NameLess后门技术分析全接触(1)

NameLess的大名都应该听说过吧，估计还有相当多的人用过呢，个人认为这个后门非常经典，我们再来简单看一下有关它的介绍：仅有一个DLL文件，平时不开端口,可以进行反向连接的后门程序。

　　这个后门早已经开源了，网上流传最广的是V1.14(稳定版)，(我已经把这个版本的完整源代码打包了)哈哈，这样的好事可千万不能错过哦，立马从网上Down回来研究了下，越读越觉得越有味道，就把一些东西分享出来吧，希望对各位能有所帮助。

　　对于一个较完整的后门来说，最需要关心的地方莫过于几点：启动方式、连接方式、控制功能、自身保护。而NameLess就具备了一个完整后门的所有功能，我们就通过品读它的代码来启发自己能做出一个属于自己的后门吧。

　　首先将源代码文件解压，鼠标双击NameLess.dsw文件打开，我的测试环境是VC6.0，更高的版本我没测试过(没安装)，为了方便分析，我同时使用EditPlus将其打开了，便于快速查找各函数的定义跟踪流程。

　　一、启动方式

　　NameLess后门的安装方法：打开CMD窗口,转到后门放置的目录,输入Rundll32 NameLess.dll,Install ServiceName ActiveString Password。

　　可见它是通过系统提供的Rundll32程序来进行安装的(毕竟它只有一个DLL文件)，安装函数代码在输出的Install函数中，我们在源工程中找到这个函数并跟踪到InstallService(param)中，一目了然。

　　作者首先用自写的DesStringArgument函数把命令行参数给分解出来，再用自写的ReadRegEx函数检查注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\NameLess(我们下面用“注册表路径1来代替这个路径”)是否存在，然后进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"ServiceName"(注册表路径2)把start的值改为2，接着进入子项“Parameters”中把原服务的ServiceName读取出来后保存到注册表路径1中，随后把自身的一些信息比如密码、替换的服务名也保存在这里以备卸载的时候恢复。后面紧接着就是卸载函数RemoveService，大概流程就是先判断密码是否正确，然后到“注册表路径1”中找到原服务的文件路径进行恢复，然后删除掉“注册表路径1”。(代码我就不贴了，见附件源工程中的NameLess.cpp文件)

　　这种启动方法只需替换掉系统中原有不太重要的服务，在当时来说效果应该是比较好的，不过随着现在主动防御的大行其道，这种直接修改注册表的方法已失去了效果，毕竟是两年前的作品了。但主动防御也不是无懈可击，它毕竟还是要被用户控制的(技术是要为用户服务的)，所以我们可以综合利用各种方法将自己完美地伪装好后欺骗用户的允许，顺利地Pass，所以说“人”才是网络安全中最薄弱的一环。

　　二、连接方式

　　现在我们的后门可以启动了，但它是如何工作的呢?我们知道如果程序以服务方式启动的话，在DLL中必须导出一个ServiceMain函数，所以我们就在NameLess.cpp文件中找到该函数开始我们的分析过程。

　　这里先注册了一个服务控制函数ServiceHandler以便控制服务的启动、暂停等行为，具体的实现在TellSCM函数中，这个函数是通过调用API函数SetServiceStatus实现的，没什么新意。我们回到ServiceMain函数中继续看，就剩下一个调用了：RealService，看样子是从这里开始了真正的工作。

　　在RealService函数中经过一系列的读取注册表初始化后程序创建了一个保护线程，(该线程函数ShieldThread的实现代码在源工程的./Command/Shield.h文件中，这个放到后面的“自我保护”功能中讲解)然后初始化套接字InitSocket，紧接着StartSniffer，然后就调用了WSACleanup开始做清理工作了，所以我们就来专注分析StartSniffer函数(函数的实现代码在源工程./Sniffer/Sniffer.h文件中)。

　　这里首先建立了一个IPPROTO_IP类型的原始套接字，紧接着调用函数GetInetIP获取本机的IP地址，它这个GetInetIP函数中对各种情况都进行了比较完善的考虑，大家在做自己的程序时可以参考一下。我们继续关注它的sniffer工作，在bind了套接字之后调用了WSAIoctl将第二个参数dwIoControlCode设置为SIO_RCVALL来捕获流经本机的所有数据;每捕获到一个数据包后就调用自写函数DecodeIPPack(具体功能后面有分析)将其解析出来后创建一个StartBackDoor线程，因为给它传递的参数为NULL，所以此线程函数将执行BindShell函数(实现代码在./Socket/Socket.h文件中)建立一个新的监听套接字，将其属性设置为可重用，每监听到一个新的连接后就为其建立一个会话套接字并比较源IP，代码如下：

　　if(stricmp(SourceIP,inet_ntoa(AccpetAddr.sin_addr)))

　　{

　　closesocket(AcceptSocket);

　　continue;

　　}