当前位置:主页   - 电脑 - 信息安全 - 病毒防治
Byshell后门:无进程无DLL无硬盘文件
来源:网络   作者:   更新时间:2012-01-05
收藏此页】    【字号    】    【打印】    【关闭

  现在网络上流行的木马后门类工具很多,但可以称为精品的则没有多少,大多数新手们还在使用Radmin一类的软件来替代后门程序。不幸的是,它们并不是一个真正的后门,极容易服务器管理员察觉,因此肉鸡经常飞掉也就很正常了。

  一个合格的后门至少应该做到不能有陌生进程存在于任务管理器里,给后门进程起一个看起来像系统进程的名字只是掩耳盗铃;不能在注册表Run启动项或者服务启动项里留下众所周知的启动键值或新增服务,当然更不能直接写开始菜单的启动项;不能如同无视管理员或者防火墙一般明目张胆地打开陌生端口;像Bits.dll那样等待连接时无端口,连接时开端口的程序,在端口检查时只有30%的几率能逃脱。另外后门最好能隐藏自己生成的文件,或者避免感染一些管理员经常检查完整性的系统文件。前三点没有做到的后门程序不是一个“比较高级”的后门程序,当然在使用的时候也就没有稳定性、保密性可言了。

  按照我的分类,现在常见的后门大概可以分成三个“级别”:

  ★应用级。如WinShell、Radmin、冰河等,它们基本没有采取别的方法来隐藏自己,只是一个普通的能够实现远程控制的应用程序而已。

  ★系统级。多多少少采用了一些Ring3下隐藏行踪的编程技术,用得少的比如Bits.dll,Portless,用得多的比如Hxdef。

  小提示:Hxdef虽然有一个驱动,但是它对系统的Hook全都是Ring3的,因此大家倾向于称它为系统级而非内核级后门。

  ★内核级,后门主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。但是公布的完整的内核级后门数量不多,兼容性也不近人意。这个话题在Phrack和Rootkit.com上有很多有价值的讨论和成果公布。

  我在自己写的系统级后门Byshell v0.64中尽力做到以上的要求,然而由于个人能力有限,功能的实现不够全面、稳定,希望大家能给我提好的意见或者替我升级版本。在这篇文章中我将和大家讨论这个开源后门的设计、实现,当然还有实际的应用举例,希望高手不要扔板砖,大家一起讨论。

其它资源
来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明