|
前置知识:黑客之门的基本功能
蝴蝶:学习黑客技术很关键的一点就在于不断地学习先进的技术,不断地创造出新的东西,这样才能在飞速发展的网络技术中占领自己的一席之地。最近大家关注的黑兵器有些什么呢?黑客之门估计是大多数人关注的目标,因为它太厉害了,厉害到它不但是个功能超强的后门,同时它还有很多思想都是比较新颖的,值得大家学习。正好本文作者通过自己写程序和分析黑客之门的代码获得了很大的提高,于是写下此文。抱着学习的态度从技术角度分析黑客程序的编制技巧,与大家分享,8错8 错!
黑客之门的魅力:感染与加载
最近对后门产生了很浓厚的兴趣,上网与各位高手讨论的时候,有人提到了“黑客之门”很厉害,也算是推出来的比较成功的一个后门,于是上网下载了一个研究研究,顺便也学习学习其中的方法与技巧。不敢独享,分享于此,同时希望高手们指教。
“黑客之门”介绍
黑客之门采用的目前一些先进的后门技术,它只有一个Dll文件,通过感染系统文件启动自身,被感染的系统文件大小和日期都不会改变;同时采用线程插入技术,本身没有进程;本身不开端口,而是重用系统进程开的任意一个端口,如80,135,139,445等,因此它的隐藏性非常好,而且穿透防火墙也是很容易的事。这个版本文件不大,只提供一些很有用的命令。目前还没有发现如何工具能查到这个后门,象Fport,Llister,RKDetector等查工具都失效。
程序的自启动
既然是一个后门,那么就要随系统的启动而启动,根据黑客之门的介绍,它是通过感染系统程序文件来实现程序的自启动的。既然是感染了系统文件(像病毒),那就看看感染前和感染后的系统文件的区别吧!为了测试感染前后的差别,我准备了一个专门用来被感染的文件TestLoad.exe,它没有什么功能,只是弹出一个对话框,这样好等待测试,麻雀虽小,五脏俱全,省得动系统文件了。接着运行命令:
C:>rundll32 hkdoordll,DllRegisterServer TestLoad.exe 2
使黑客之门感染TestLoad.exe,感染完毕后用EXE文件查看利器eXescope查看TestLoad.exe被感染前后的差别。
被感染之前eXescpoe显示的TestLoad.exe的结构如图1所示:
图1
感染之后的TestLoad.exe的结构如图2所示:
图2
[1] [2] [3] 下一页 |
