四、攻击与防范方法探讨

1.攻击方法探讨
（1）定制化开发
WinlogonHack代码是开源的，因此入侵者可以定制它，即在“lstrcat( LogPath , "\boot.dat");”代码中将boot.dat换成其它一个文件，执行Winlogonhack后，一般人员很难发觉。入侵者还可以在此基础上增 加一个邮件发送功能，将记录下来的3389远程终端用户名和密码发送到指定的邮箱，笔者在安全加固过程中就曾经碰到过具有这种功能的3389密码截取木马 软件。

（2）对WinlogonHack软件做免杀处理
由于WinlogonHack工具软件在网络入侵中扮演了一个重要的辅助角色，因此一些厉害的杀毒软件会自动查杀wminotify.dll文件，如图4 所示，我在做试验时，我的avast!杀毒软件就能查出来，作为病毒处理。因此可以通过加花指令、修改特征码等方法修改wminotify.dll文件， 使其能够绕过杀毒软件。

（3）WinlogonHack在攻击中应用
WinlogonHack工具软件主要用于截取3389登录密码，因此在被入侵计算机上运行mstsc后，如果发现在mstsc的计算机地址栏目中出现有 多个登录IP地址列表，如图5所示，那么在该计算机上就有安装WinlogonHack软件的必要，通过它来记录在服务器上管理员所登录的3389用户名 和密码。

2.防范方法探讨
（1）在系统目录查找 “wminotify.dll”文件，如果发现有这个文件，则说明系统中一定安装了Winlogonhack工具，可以通过登录一个3389终端来测试， 系统目录下是否存在boot.dat文件，如果存在，则可以尝试使用“Uninstall.bat”批处理来卸载它，如果还不能卸载，可以重启后再次卸 载。

（2）直接到注册表的键值“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywminotify”下进行查看，如果存在，则删除即可。

（3）对于定制的WinlogonHack比较难于根除，一个好的办法就是在系统安全状态下做一次文件名称列表备份，以后每次检测系统是通过比较系统目前状态下的文件列表的异同来查看。

（4）如果使用3389远程终端登录多台服务器进行管理，最好在管理完毕后，及时清除3389登录地址列表。

（5）定期杀毒，杀毒软件在一定程度上面能够防范一些已知的病毒，因此勤杀毒，勤看日志，在确认系统被入侵后，一定要仔细彻底的做一边系统的安全检测。
 

除了用以上的方法清理木马外,本人建议几条:

⒈超级管理员的密码不要轻易给外人,如有需要,分配临时管理员权限

⒉服务器打上最新补丁,安装上杀毒软件

⒊服务器除了常用的 80、21等端口,禁止其他端口访问,禁止服务器访问外网

⒋修改3389远程控制端口,防止别人不停暴力破解

⒌设置好组策略,做好安全审计

小总一下,个人觉得服务器安全配置的足够好的话,那些菜鸟别说拿到服务器的权限,就是拿到网站的权限都困难,当然大鸟就不要喷我了 !