木马后门与密码破解

第3章-木马后门与密码破解

一、木马后门介绍

（1）、常见的木马种类

1、远程控制木马

Ø远程控制木马是数量多、危害最大、知名度最高的一种木马，它可以得到被感染计算机的私密信息，访问任意文件

Ø它属于‘三代木马’，比如"冰河木马"

2、键盘屏幕记录木马

Ø就是记录用户的各种键盘操作，或者对用户屏幕进行截屏，然后将记录下来的内容通过邮件等方式传送给黑客

Ø这种木着系统的启动而启动，在后台运行，不易被用户发现

3、反弹端口型木马

Ø反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口

Ø它会实时监测‘控制端’的存在，一旦发现‘控制端’上线，立即弹出端口主动连接控制端

Ø它属于‘四代木马’，如“广外女生、网络神偷、上新”等

4、DDos攻击木马

ØDDos就是分布式拒绝服务，最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令

Ø很多Dos攻击源一起攻击某台服务器就组成了DDos攻击

（2）、后门程序

1、后门程序介绍

Ø后门程序也属于木马的一种，又称为特洛伊木马，其用途在于潜伏在计算机中，从事收集信息便于黑客进入的动作

Ø后门是一种登录系统的方法，它不仅可以绕过系统已有的安全设置，还能挫败系统上各种增强的安全设置

【后门、木马、远程控制软件的区别】

后门：是程序开发者为了完善自己设计的程序，而开设的特殊接口（通道），便

于自己对程序进行修改时，一般拥有最高权限

木马：是利用后门或发现的漏洞非法入侵用户计算机

远程控制：则是更广泛的概念，它是一种技术，包括使用木马或者别的手段，包

括正当用途的远程管理和维护，如Windows的远程桌面连接，赛门铁克

的PCAnywhere等

《注意》

一般在命名的时候，后门程序经常带有backdoor字样，而木马带有Trojan字样

2、后门程序分类

a、网页后门

   #网页后门其实就是一段网页代码，主要以ASP和PHP代码 主

   #攻击者通过精心设计的代码，让这些代码都运行在服务器端

b、线程插入后门

   #攻击者利用系统自身的某个服务或线程，将后门程序插入其中

   #这种后门程序在运行的时候并没有自己的独立进程，所以具有很强的隐蔽性，非常难以查杀

c、扩展后门

   #这类后门就是将非常多的功能集成到了后门里，让后门本身就可以实现很

多功能

   #如文件上传/下载、服务启动、端口开放等

d、C/S后门

   #类似于传统的木马程序，采用‘客户端/服务端’的控制方式

（3）、木马的特点

1、自启动功能

1）在Windows的“启动”文件夹中自动加载

   2）在Windows系统的注册表中进行配置实现自启动。

   3）通过本地组策略中的启动/关机、登录/注销脚本进行加载。

   4）将程序注册为系统服务。

   5）将程序捆绑到正常程序中，如QQ、IE、记事本等，随着正常程序的启动而自动运行。

2、隐蔽性

   1）木马本身的隐蔽性、迷惑性

   2）木马运行时的隐蔽性

   3）木马在通信时的隐蔽性

（4）、木马举例

制作木马程序 条件如下

a、创建一个具有管理员权限的用户hacker，密码为 benet

b、还要打开远程桌面

c、使用记事本创建，并保存格式为.vbs的格式

d、保存名字为config.vbs

1、开机木马自启动

第一步：

将编写好的木马文件config.vbs保存到C:\Windwos\System32目录下，不易被发现

第二步：

打开注册表，导般到“HKEY_LOCAL_MATHINE\SOFTWARE\Windows\currentVersion\Run项”，右击    RUN--新建--字符串值

第三步：

字符串取名为config，输入数值数据“C:\Windows\System32\config.vbs”

第四步：

重启生效

2、脚本捆绑木马

第一步：

修改config.vbs脚本，插入两行命令，并另存名为qq.vbs

   wshell.yun"cmd /c rename c:\Progra~l\Tencent\QQ\Bin\QQ.exeQQ2.exe" vbhide

   wshell.yunchr(34)&"c:\ProgramFiles\Tencent\QQ\Bin\QQ2.exe"&chr (34)

如下图所示：

第二步：

安装VBScript编辑器，将QQ.vbs脚本粘贴到VBScript编辑器中，另存为QQ.exe

第三步：将QQ.exe用木马程序替换为和原程序相同的图标

3、WinRAR木马捆绑

第一步：

将“clock.exe”和“Config.vbs”两个文件进行捆绑

注意（Clock.exe为第三方的闹钟软件 ）

第二步：

输入压缩文件名“colck2.0.exe”

如下图所示

第三步：在“高级”选项卡中打开“自解压缩”选项

第四步:设置高级解压参数

第五步：窗口弹出设置

二、密码确解的方式

v暴力破解与字典攻击

§密码穷举

§字典攻击

v键盘屏幕记录

v网络钓鱼

§伪造站点诱骗用户登陆，获取账号与密码

vSniffer（嗅探器）

§直接抓取网络包，获取未加密信息

v密码心理学

§通过个人习惯猜测密码组成

本文转自甘兵 51CTO博客，原文链接：http://blog.51cto.com/ganbing/1259269，如需转载请自行联系原作者