科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道防火墙下的黑马-DBB后门程序(2)

防火墙下的黑马-DBB后门程序(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

DarkStorm BePassFireWall BackDoor是一款成功率极高的反弹端口穿透防火墙的后门程序。该后门采用线程插入技术,隐蔽性极高,在系统中以服务形式加载,拥有system权限,一旦运行,很难将其删除。

作者:51CTO.COM 2007年11月4日

关键字: 注册表 进程 后门 线程插入

  • 评论
  • 分享微博
  • 分享邮件

  

  

  三、轻松操纵

  当成功获取了目标计算机的一个系统权限的SHELL后,就等于已经手握该台计算机的生杀大权。令人更加欣喜的是,DBB还拥有一些非常实用的控制功能。

  1.帐户克隆

  为了下次能够顺利控制目标计算机,一般的手法就是克隆一个系统权限的帐户,在这里,使用clone命令就可以轻松克隆一个本地用户。其语法格式为:clone username clonename password,其中,username是被克隆的用户的用户名,一般是administrator;clonename是你要克隆为username的用户名,一般是guest;password是你为克隆用户设置的密码,最长32位。例如,要把Guest克隆为管理员帐户,并且设置密码为snow,就只要运行命令:clone administrator guest snow(如图3)。

  

  

  

  2.开启终端服务

  远程终端服务可以说是最为理想的远程控制方式,因此,当成功入侵目标计算机后,大部分人总是想方设法来开启被控计算机的终端服务。虽然说开启3389终端服务的方法有很多,可都是有一定难度的。不过还好,有了该后门,只要用一条命令就可以轻松开启3389服务,其命令为:term port。例如:运行命令“term 3389”(如图4),这样就将开启目标计算机的端终服务,终端服务通讯端口为3389,重新启动计算机即可生效。

  

  小提示:终端服务只在Windows 2000服务器以上版本才拥有。

  3.进程管理

  想知道目标计算机运行了哪些程序吗?很简单,运行命令:pslist,这样就可以显示本地所有用户进程和相对应的pid号。如果想结束某一进程的运行,请运行命令:pskill pid,提示:pid指的是进程ID号(如图5)。

  

  

  

  另外,还有诸如Logoff(注销当前用户)、Reboot(重启系统)、Shutdown(关闭系统)、Poweroff(关闭电源)等命令可供使用。

  四、封杀后门

  如果不幸中了该后门,可以通过如下方法来删除。打开注册表编辑,依次展开如下子键:HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

  Services,找到并删除该子键下的DNScnsvc键(如图6),再重新启动系统即可。若服务名是自己设定的,请删除相关服务名的子键。

  

  

  小提示:本地计算机即接受反向SHELL的系统,必须拥有独立公网IP上网的计算机。另外,由于该后门使用的是无驱动的嗅探,无法嗅探本机对本机发起的数据请求,所以在对本机的测试中,是无法成功的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章