危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20614692

通杀网吧还原来盗QQ

相信许多人都过这样的经历,好不容易找到了好用的盗Q软件,但却苦于网吧安装有还原软件而无法顺利的盗取Q号,本文就针对网吧的软还原(软还原就是指使用软件还原系统,比如还原精灵、冰点还原、网维大师还原等)来进行破解,相信绝大多数都知道,软还原一般是加载在驱动层,所以只要不让还原软件运行,就可以放置我们的小马了。也许有一些人手里会有破三层还原的终极木马,但是那些好的软件都是要收费的吧,所以我们要自己动手来解决问题(如果网吧中使用的是硬盘还原卡或者是无盘网络的话,那本文所介绍的方法就无效了,请略过)。

首先我们要准备一个U盘,量产成大家所熟悉的WinPE系统(之所以要量产,是因为兼容性比较好,防止某些主板会不支持),在U盘里存放大家喜爱的盗Q软件,然后从U盘启动进入到WinPE系统,这时可能有人就要问了,就算进入到WinPE系统里,运行木马也不起作用啊,大家稍安勿躁,这时我们就要用到变通的方法了,我们可以把生成好的木马放置到系统的启动目录下,比如“X:\Documents and Setting\USERNAME\「开始」菜单\程序\启动”。

当然我们也可以制作一个快捷方式,并把这个快捷方式放到目录下,起一个比较迷惑人的名字,比如QQ游戏加速,因为一般情况下它运行和不运行是没啥区别的,相信没有人会注意吧(感觉自己有点儿小小的阴险了,呵呵),这样就完成了。当然也有人会说这样不保险,写注册表会比较好,下面就把我在WinPE下修改注册表的方法也共享出来,好让大家能来个双管齐下。先运行REGEDIT打开注册表,这时打开的是WinPE系统的注册表,不要着急,我们找到HKEY_LOCAL_MACHINE,左键选中它,然后点击“文件”,选择“加载配置单元”。

在定位到“X:\WINDOWS\SYSTEM32\CONFIG”,这时就会看到注册表的核心文件了,加载那个不带扩展名的SOFTWORE,打开后会让我们输入项名称,可以随便输入,比如1234,但不要和WinPE的键值重复就行,确定后就可以查看本地XP系统的注册表了,接下来我们找到MICROSOFT-WINDOWS-CURRENTVERSION-RUN,在右边窗口中点击右键,选择“新建”——“字符串值”,这里可以随便填写,但最好是隐蔽一些,比如我填写的就是qqgame,然后双击修改,写上我们小马的路径,比如X:\WINDOWS\XXX.EXE,这里大家找个隐蔽的地方就行了,完成后关闭就可以了(大家也可以在HKEY_CURRENT_USER下面写,效果是一样的,也可以多写个来防止启动失败)。

这样就大功告成了,就算有人发现有木马,他也删除不掉,删除后一重启系统木马又会再次运行,除非网管不怕麻烦,重新恢复这台机子。为了更好的保护我们的小马,大家还可以修改本机的备份文件,一般网管都会把备份文件存放到本地电脑中,要是在服务器上那就没办法了,使用GHOST EXPLORER,先挂载本地的GHO,然后把本地的木马和快捷方式加载到GHO文件中,修改注册表和在WinPE下一样,把SOFTWORE文件提取出来,修改完再加载进去就可以了,完成之后保存就行了,这样就算是网吧使用本机的备份文件进行还原,我们的小马还会在(感觉自己真是越来越阴险了),如果大家有能力入侵服务器的话,那么整个网吧就都有我们的小马了,到时还愁没有QQ号吗?

相关推荐