返回列表 回復 發帖

[教學分享] 木马与后门

木马与后门
    现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么,同时还要搞清楚木马的类型,并且学习一些流行的木马程序的用法,这是一个相辅相成的学习进程,当黑客利用漏洞进入服务器之后,就可以选择两条路:一、破坏系统、获得资料、显示自己;二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻击其他系统。
    由此看来,木马程序是为第二种情况涉及的一种可以远程控制系统的程序,根据实现木马程序的目的,可以知道这种程序应该具有以下性质:
    1、伪装性:程序将自己的服务端伪装成合法程序,并且具有诱惑力的让被攻击者执行,在程序被激活后,木马代码会在未经授权的情况下运行并装载到系统开始运行进程中;
    2、隐藏性:木马程序通病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其他程序的运行进行的,因此在一般情况下使用者很难发现系统中木马的存在;
    3、破坏性:通过远程控制,黑客可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作;
    4、窃密性:木马程序最大的特点就是可以窥视被入侵电脑上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
    看了上面的介绍,学习者应该对木马程序的用途有了一个初步了解,并且区分清除木马程序和病毒之间的相同点和不同点,由于黑客手段的日益增多,许多新出现的黑客手段(例如 D.O.S)经常会让学习者思维混乱,但实际上这些新出现的黑客手段都是从最开始的溢出、木马演变出来的,因而对于初学者来说,并不需要急于接触过多的新技术,而是要对最基本的也是最有效的黑客技术进行深入学习。

一、木马的原理:
    大多数木马程序的基本原理都是一样的,他们是由两个程序配合使用——被安装在入侵系统内的Server程序;另一个是对Server其控制作用的Client程序。学习者已经了解了木马和病毒的区别,大多数Server程序不会像病毒一样主动传播,而是潜伏在一些合法程序内部,然后由目标操作者亲手将其安装到系统中,虽然这一切都是没有经过目标操作者授权的,然而从某种程度上说,这的确是在经过诱惑后目标“心甘情愿”接收木马的,当Server安装成功后,黑客就可以通过Client控制程序对Server端进行各种操作了。
    木马程序的Server端为了隐藏自己,必须在设计中做到不让自己显示到任务栏或者系统进程控制器中,同时还不会影响其他程序的正常运行,当使用者电脑处于断线状态下,Server段不会发送任何信息到预设的端口上,而会自动检测网络状态直到网络连接好,Server会通过email或者其他形式将Server端系统资料通知Client端,同时接收Client发送出来的请求。

二、BackOffice使用说明:
    1、BackOffice简介:
    Back Orifice(以下简称BO)是一个客户机、服务器(Client/Server)木马应用程序,其客户机程序可以用于监视、管理和使用其他网络中运行服务器程序所在的网络资源。要与BO服务器连接,基于文本或图形方式的BO客户机需要运行在微软视窗系统中。
    2、服务器端程序的安装:
    在安装BO以前,先要对有关服务器端程序进行一些参数设置:如安装后的BO文件名、监听端口、加密密码,这些设置可以使用boconfig.exe工具。在不进行上述设置的情况下,BO缺省是监听31337端口、不使用加密密码。
    配置完毕后,将BO服务端交给目标系统并想办法让服务端程序在目标系统中执行,BO就可以自动进行安装了,并且会在安装完毕删除服务端程序,这样做有助于黑客,因为黑客入侵系统并将BO服务端上传完毕后,并不用考虑有关运行和删除服务端程序的问题,只要将这个程序上传到视窗系统的startup目录中就可以了,系统会在启动的时候自动执行startup目录中的程序,BO服务端安装完毕,相关程序会驻留在系统内部,所以即便删除了服务端程序,也不会将BO从系统中清除。安装好BO服务端之后,BO会在系统每次启动的时候自动执行,此操作既不需要黑客考虑,也不会引起使用者的注意。
    如果黑客需要远程更新BO服务端的版本,可以再一次将新版本的BO服务端上传到服务器上,然后利用手中的客户端使用Process spawn命令,BO会自动覆盖原系统中的老版本服务端程序。
    3、客户端程序的使用:
    BO客户端与服务端程序之间的信息是经过加密的UDP包,使用客户端确定目标的IP地址和端口,然后发送连接请求并验证密码,确认无误后就可以利用客户端对服务端系统进行控制了。BO的客户端程序分为图形界面和控制台界面两种操作方式,无论哪一种都可以实现其提供的所有功能。当试图进行连接的时候,控制台模式需要使用“-p”参数设置服务端程序端口。
    如果入侵系统安装了防火墙,可能会屏蔽某些常见的木马占用端口,这就需要在开始设置时改变端口为一个防火墙没有屏蔽的端口,这一步是否能成功关键取决于黑客经验的多少。
    输入对方的IP地址有两种情况:如果服务端系统拥有静态IP地址,可以在每次运行BO客户端时直接输入对方地址,并通过sweep或者ping命令进行连接申请;如果对方使用的是动态IP地址,需要在开始设置服务端时要求BO服务端在每次系统上网时将分配到的IP地址通过email方式传送到指定信箱中,然后由黑客到信箱中接收最新的服务器端系统的IP地址。
    4、常用的BO命令和说明:
    App add/appadd - 在TCP端口输出一个基于文本的应用程序。
    App del/appdel - 从监听的连接中关闭一个应用程序。
    Apps list/applist - 列出当前监听的连接中的应用程序。
    Directory create/md - 创建目录。
    Directory remove/rd - 删除目录。
    Directory list/dir - 列出文件和目录,支持使用通配符。
    Export add/shareadd - 在BO服务器上创建一个共享目录。
    Export delete/sharedel - 删除一个共享目录。
    Exports list/sharelist - 列出当前共享驱动器、目录、权限和密码等信息。
    File copy/copy - 复制文件。
    File delete/del - 删除文件。
    File find/find - 在目录中查找符合条件的文件。
    File view/view - 查看文件内容。
    HTTP Disable/httpoff - 使HTTP服务器失效。
    HTTP Enable/httpon - 使HTTP服务器有效。
    Keylog begin/keylog - 记录服务器上的键盘操作。
    Keylog end - 停止击键记录。基于文本的BO客户机使用“keylog stop”命令。
    Net connections/netlist - 列出当前接入和接出的连接。
    Net delete/netdisconnect - 断开BO服务器的一个网络资源连接。
    Net use/netconnect - 把BO服务器连接到一个网络资源。
    Net view/netview - 查看所有的网络接口、域名、服务器和可见的共享目录。
    Ping host/ping - Ping主机,返回主机名和BO版本。
    Process kill/prockill - 终止一个进程。
    Process list/proclist - 列出运行中的进程。
    Redir add/rediradd - 重定向接入的TCP连接或UDP数据包到另一个IP地址。
    Redir del/redirdel - 停止端口重定向。
    Redir list/redirlist - 列出激活的端口重定向。
    Resolve host/resolve - 解析BO服务器主机名的IP地址,主机名可能是一个Internet主机名或本地网络机器名。
    System info/info - 显示BO服务器上的系统信息,包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器信息。
    System lockup/lockup - 锁住BO服务器机器。
    System passwords/passes - 显示缓存中的用户密码和屏幕保护密码。
    System reboot/reboot - 关闭BO服务器主机并重启动。
    TCP file receive/tcprecv - 将BO服务器主机连接到一个特定的IP地址和端口,并保存所接收到的数据到特定文件中。
    TCP file send/tcpsend - 将BO服务器主机连接到一个特定的IP地址和端口,发送特定文件中的内容,然后断开此连接。

三、有争议的程序:
    可以肯定木马程序是专门为黑客开发的,随着时间的推移一些功能象大的木马程序也被用来当作远程管理工具,然而这些木马程序都是“明目张胆”出现在我们面前的,另外还有一些隐藏的非常巧妙的类木马程序,他们的发现给网络带来了不小的争议,这是些正常的、无破坏性的电脑软件,而且这些软件中的大多数都是免费软件,软件作者为了获得收入,在开发软件的时候在程序中加入了收集使用者电脑信息的代码,也就是说当使用者运行这些软件的时候,软件会自动为使用者进行“注册”,将系统中的各种个人信息发送给软件作者,然后再由软件作者将这些资料出卖给第三方人员,以此赚取收入。
    这种作为免费使用软件所应该付出的回报的做法并无可厚非,但是问题出现在软件究竟从使用者电脑上获得了那些资料?如果单纯是电脑的类型、硬件配置等也还能够让人接受,但如果是关于个人信用卡或者个人email地址等隐私性问题,这种软件是否构成了木马的性质就很难说清楚了,当然这是否称得上侵犯个人隐私也还是一个悬而未决的问题。



有什么不明白可在此发问,我会尽量回答。。



[ 本帖最後由 wayne7 於 2008-10-10 06:13 PM 編輯 ]
thx for the knowledge sharing
thx for telling us
返回列表