3、RootKit后门
) W) ?. `8 l+ c: }8 m$ b　　Rootkit是一个或者多个用于隐藏、控制系统的工具包，该技术被越来越多地应用于一些恶意软件中，当然攻击者也往往通过它来制作服务器后门。下面结合实例解析其利用方法。0 e6 _/ B; @" n+ {
　　(1).创建一般帐户. q" B7 x, C8 e
　　在命令提示符(cmd.exe)下输入如下命令：net user gslw$ test168 /add
/ v6 i. I& `/ e2 o" E& B0 G　　通过上面的命令建立了一个用户名为gslw$，密码为test168的普通用户。为了达到初步的隐藏我们在用户名的后面加了“$”号，这样在命令提示符下通过net user是看不到该用户的，当然在“本地用户和组”及其注册表的“SAM”项下还可以看到。+ B& J) C4 c- J
　　(2).帐户非常规提权6 P( ~9 z) V; J* J
　　下面我们通过注册表对gslw$帐户进行提权，使其成为一个比较隐蔽(在命令行和“本地用户和组”中看不到)的管理员用户。
' i+ v0 R* f& J& W　　第一步：打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SAM\SAM项。由于默认情况下管理员组对SAM项是没有操作权限的，因此我们要赋权。右键点击该键值选择“权限”，然后添加“administrators”组，赋予其“完全控制”权限，最后刷新注册表，就能够进入SAM项下的相关键值了。
" f" E; b3 R" t) A+ p0 I　　第二步：定位到注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users项，点击“000001F4”
  m; B' {+ f& J% q- `. g　　注册表项，双击其右侧的“F”键值，复制其值，然后点击“00000404”注册表项(该项不一定相同)，双击其右侧的“F”键值，用刚才复制键值进行替换其值。(图7)
" T& W. ]5 ~: Z: r

7 d, s/ L0 K4 S; f1 z1 f2 R; P9 {第三步：分别导出gslw$、00000404注册表项为1.reg和2.reg。在命令行下输入命令"net user gslw$ /del"删除gslw$用户，然后分别双击1.reg和2.reg导入注册表，最后取消administrators对SAM注册表项的访问权限。