木马与后门

发表于:2009-06-10来源:作者:点击数: 标签:木马后门
现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么,同时还要搞清楚木马的类型,并且学习一些流行的木马程序的用法,这是一个相辅相成的学习进程,当黑客利用漏洞进入服务器之后,就可以选择两条路:一、破坏系统、获得资料、显示自己;
现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么,同时还要搞清楚木马的类型,并且学习一些流行的木马程序的用法,这是一个相辅相成的学习进程,当黑客利用漏洞进入服务器之后,就可以选择两条路:一、破坏系统、获得资料、显示自己;二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻击其他系统。
由此看来,木马程序是为第二种情况涉及的一种可以远程控制系统的程序,根据实现木马程序的目的,可以知道这种程序应该具有以下性质:
1、伪装性:程序将自己的服务端伪装成合法程序,并且具有诱惑力的让被攻击者执行,在程序被激活后,木马代码会在未经授权的情况下运行并装载到系统开始运行进程中;
2、隐藏性:木马程序通病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其他程序的运行进行的,因此在一般情况下使用者很难发现系统中木马的存在;
3、破坏性:通过远程控制,黑客可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作;
4、窃密性:木马程序最大的特点就是可以窥视被入侵电脑上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
看了上面的介绍,学习者应该对木马程序的用途有了一个初步了解,并且区分清除木马程序和病毒之间的相同点和不同点,由于黑客手段的日益增多,许多新出现的黑客手段(例如 D.O.S)经常会让学习者思维混乱,但实际上这些新出现的黑客手段都是从最开始的溢出、木马演变出来的,因而对于初学者来说,并不需要急于接触过多的新技术,而是要对最基本的也是最有效的黑客技术进行深入学习。
一、木马的原理:
大多数木马程序的基本原理都是一样的,他们是由两个程序配合使用——被安装在入侵系统内的Server程序;另一个是对Server其控制作用的Client程序。学习者已经了解了木马和病毒的区别,大多数Server程序不会像病毒一样主动传播,而是潜伏在一些合法程序内部,然后由目标操作者亲手将其安装到系统中,虽然这一切都是没有经过目标操作者授权的,然而从某种程度上说,这的确是在经过诱惑后目标“心甘情愿”接收木马的,当Server安装成功后,黑客就可以通过Client控制程序对Server端进行各种操作了。
木马程序的Server端为了隐藏自己,必须在设计中做到不让自己显示到任务栏或者系统进程控制器中,同时还不会影响其他程序的正常运行,当使用者电脑处于断线状态下,Server段不会发送任何信息到预设的端口上,而会自动检测网络状态直到网络连接好,Server会通过email或者其他形式将Server端系统资料通知Client端,同时接收Client发送出来的请求。
二、BackOffice使用说明:
1、BackOffice简介:
Back Orifice(以下简称BO)是一个客户机、服务器(Client/Server)木马应用程序,其客户机程序可以用于监视、管理和使用其他网络中运行服务器程序所在的网络资源。要与BO服务器连接,基于文本或图形方式的BO客户机需要运行在微软视窗系统中。
2、服务器端程序的安装:
在安装BO以前,先要对有关服务器端程序进行一些参数设置:如安装后的BO文件名、监听端口、加密密码,这些设置可以使用boconfig.exe工具。在不进行上述设置的情况下,BO缺省是监听31337端口、不使用加密密码。
配置完毕后,将BO服务端交给目标系统并想办法让服务端程序在目标系统中执行,BO就可以自动进行安装了,并且会在安装完毕删除服务端程序,这样做有助于黑客,因为黑客入侵系统并将BO服务端上传完毕后,并不用考虑有关运行和删除服务端程序的问题,只要将这个程序上传到视窗系统的startup目录中就可以了,系统会在启动的时候自动执行startup目录中的程序,BO服务端安装完毕,相关程序会驻留在系统内部,所以即便删除了服务端程序,也不会将BO从系统中清除。安装好BO服务端之后,BO会在系统每次启动的时候自动执行,此操作既不需要黑客考虑,也不会引起使用者的注意。
如果黑客需要远程更新BO服务端的版本,可以再一次将新版本的BO服务端上传到服务器上,然后利用手中的客户端使用Process spawn命令,BO会自动覆盖原系统中的老版本服务端程序。

原文转自:http://www.ltesting.net