名称： 打造正规木马，获取远程信息
主题： 当你面对一个很难摆平的管理员的时候，你是否想到获取他的信息渗透到其他机器里呢？
工具： Personal Inspector4.56
测试环境：（windows 2003 server SP1）、肉鸡一只
——华夏黑客同盟出品
========================================================================
前几天废了好大的劲才进了一个大站并提权进了主机，机器配置相当的高，但是接下来的问题却让我很郁闷，对方管理员技术太强了，我又是传木马又是开3389，招数都快用遍了可还是逃不过对方的法眼，（我原来以为克隆了帐号开通了3389就万事大吉无敌了呢，-_-|||）,这样和对方斗争了将近一个星期可还是不行，那怎么办呢，总不能放弃吧，面对这么好的一个肉鸡，怎么能说放就放呢，我们先来看一下这只鸡，图1：

从上面的文字和那个网站的后缀大家应该可以看出来是哪个国家的了吧？呵呵，不好意思了，我也是为了民族仇恨啊，不过让我很郁闷的是就连小日本还有技术强悍的管理员，很是不理解。什么？win2000?win2000怎么了，win2000就没有好的了？呵呵，根据我的探测，内网有N多机器的系统是win2003的，好象还有linux的，不太清楚，我们可以看到这台机器的内网IP是192.168.1.12，我们既然对付不了这台机器那我们就想办法进他的内网吧，管理员虽然NB，可他不能天天把整个内网的机器全都放在他的面前吧？可问题就在这儿，已经和对方管理员斗争了5个工作日了，还是没获取到什么有用的信息，简而言之就是还没办法进到内网，上次传了个键盘记录进去，结果还没工作呢就被干掉了，所以在这里我劝大家平时都好好学习一下技术，从这台机器的管理员来看，人家日本的技术也不弱啊，不过我相信，我们的技术更强！！！接下来我们得整理一下我们的思路了，首先，这台机器要耗下去是非常不明智的，我们要想办法进入他们的内网，要进入内网我们还得从这台机器上下手，从这台机器上获取有用的信息，可要怎么获取呢？我原本想装一个DameWare上去，不是都说这个是控制win2000的好手吗？可紫色贵族告诉我说你既然3389都不好使，那说明人家一定在时时监控着连到人家机器上的用户的，这样的话DameWare也难以逃脱，后来紫色让我试一试Personal Inspector，（说实话，这款软件原来就没听过-_-|||），既然这样那我们就来试试吧，因为这台肉鸡迟迟不进系统，只好从紫色那里顺便淘了一只鸡来做一下实验，为以后做一下准备，所以才有了本文（声明：本文主要是说一下Personal Inspector打造成为我们的“免杀后门”，不涉及到对上述站的渗透，不爱看的到此可以结束了）呵呵~.~，这次紫色可亏大了，给了一款工具还丢了一只鸡：），现在想想，华夏真是为大家着想啊！！！（有做广告嫌疑？不，我从不骗人，我只说事实），好了，我们来看一下这台肉鸡，是一个网吧的主机，Win2003的系统，图2：

 
来看看他在干什么，图3：

不好，要重启机器，看来本文也要等一下完成了，看到了吧，还是win2003 Ser版，Standard Edition，呵呵，现在是用的RADMIN控制的~~~
好了，废话了半天，我们进入正题，首先先来介绍一下Personal Inspector，我淘来的是4.5的，网上最新的有5.0版的，Personal Inspector 是一款计算机监视和控制工具，可以监视所有的计算机的活动和互联网的使用。它具有追踪访问的网址、记录密码、保存剪贴板内容和屏幕捕捉等功能。而且她还可以把记录的所有信息通过E-Mail或FTP给我们返回来，真是不错的一款东东啊。
我们先来安装她，因为Personal Inspector不是绿色免安装的，所以我们要把她打造成绿色版的，嘿嘿。我们必须得先在我们自己的机器上安装一下，安装过程很简单，我们看一下安装界面，图4：

 
 一路回车，软件默认安装在这个位置，图5：

 
安装完成后会弹出来一个窗口问你是否要注册，免费可以使用21天，同时功能上也会稍有一点差别，有汉化补丁我就不装了，毕竟大部分鸡都不是国内的，同时也强烈BS那些拿本国的机器做鸡的人，安装好后我们可以在任务栏上看到一个PI的小图标，右击图6：

 
安装完成之后我们可以在她的安装地址上发现产生了3个文件夹和10个文件，接下来我们要把这些无用的文件删除。其中Icons是软件的图标，没用，Images是截图时要保存的文件夹，没用，等截屏需要的时候会自己创建，那个Links文件夹是一些连接地址，更没什么用，剩下的10个文件我们只需要保留下来svcmon.exe（主程序）,svcmon.cfg（配置文件）,svcmoni.dll,svcmon.dll在四个就可以了，其他的都没用，全删。剩下这四个我们按照常规做法先把这四个文件拷贝到别的地方，然后把程序卸载，现在完成了，我们开始配置：从图6的显示我们一步步来，view report就是查看记录报告的意思，stop logging的意思是停止记录，hide icon的意思是隐藏图标，其他的大家一看也明白了，最重要的设置内容在options（选项）里，我们打开看一下，图7：

这里一共有10项需要设置，最下边的about是关于软件的一些信息，不用设置，general是常规的意思，这里的设置分别都有：记录所有运行的程序、是否截屏、是否起用键盘记录录入的字符、password当然就是记录所有和密码相关的字符、还有就是记录剪贴板的内容和浏览器里输入过的网址，下面的是查看日志、屏幕、清除日志、屏幕等；看advanced高级选项，图8：

 
这里有设置记录日志和屏幕的保存路径，下面两个是是否启动记录非字符的关键字（建议选上）以及只能处理退格键，再下面就是设置剪贴板的最大容量和起用密码保护，如果你不想别人也看的话请起用密码保护。下一板，图9：

 
这里设置图片的一些相关设置，最上面的是截屏时是全屏还是活动窗口，下面是截屏的间隔时间和压缩比率、保存的文件名和是否船送图片文件（只保留在本地），这些大家都可以自己设置，看一下板，图10：

 
这里用来设置程序的不可见因素，分别是在系统启动目录隐藏、在注册表的“RUN”下隐藏、在任务管理器下隐藏，这个是1.5版本的选项，5.0的还有在删除程序等地方隐藏，建议大家使用5.0的，更安全。我这里是注册版的，非注册版的话第一项隐藏无法使用。接着往下看，图11：

 
这里设置启动项，有岁系统启动，不在启动栏显示，运行的名字，我填了个rislng，因为测试机器上大家也看了是装的瑞星，呵呵，下面的是监视的用户名，你可以输入要监视的用户名或者所有的用户，再往下，图12：

 
这里设置热键，我因为要在肉鸡上使用就不启用任何热键了，别和哪个软件冲突了，呵呵，如果你的用法也一样的话，也建议你不要启用，看下面两项，图13、14：

 
 
这两项的设置基本一样，就是通过什么渠道给你传输回去，设置大家都看的明白就不说了，邮件选项里有一个是通过HTML就可以观看还是只能通过该程序观看，最下面的意思是发送成功之后删除日志，建议大家选上，来看最后一项，图15：

 
这一项的意思是当程序启动时提示什么，这个反正我是没填，你要是本机用的话可以提示一句比如说你在非法使用机器，已经被记录等等，大家自由发挥吧，呵呵
到这里就完了，我们点OK。然后先退出程序，我们把这四个文件打造成自解压的，关于如何打造成自解压的大家都会我就不解图了。我先来打包好，我还给她命名为rislng,这样我们的免杀后门就打造好了，我们不为控制，剩下的就是想办法把我们可爱的免杀后门上传到肉鸡上运行，就只等着收他们的信息吧，哈哈哈哈……（汗，失态了，不好意思啊，嘿嘿，太兴奋了！）
现在我们来看看我们的测试肉鸡还在不，汗，连不上了，难道被杀了？对，刚才传RADMIN的时候是先把他的杀毒软件给关了，现在人家重新启动机器了，估计是被杀了，这也怪紫色，不知道给个免杀的后门儿，哼！不行，再找他要一个，大家等等。
汗啊，就是不一样，随手就甩给我一个，还是3389的，哈哈，紫色亏大了。偶也是连哄带骗的啊，要不是说做教程，估计也不给偶，-_-||| 汗，以后得多做教程了，呵呵，还是英文版的，这个版本我就没见过，什么for small business server，倒，我还以为不是microsoft出的呢，我查了一下，晕，是澳大利亚的，爱国啊，找鸡都只找国外的，支持！！！支持华夏！！！，我们看一下界面，图16：

 
好，我刚才忘了把本地资源映射过去了，晕，那就从我的FTP上下载吧，名利就不给大家截图了，算了还是给大家截一张吧，IP就不显示了，图17：

 
下面运行，图18：

 
好了，现在我们就打开自己的FOXMAIL好好的等着收信息吧，哈哈
欢迎大家来到华夏黑客同盟，来这里，大家一起进步！为中国网络安全做贡献！！！