內容提要為了保持對已經入侵的主機長久的控制，需要在主機上建立網絡后門，以后可以直接通過后門入侵系統為了入侵的痕跡被發現，需要隱藏或者清除入侵的痕跡實現隱身有兩種方法：設置代理跳板清除系統日志網絡安全第六章全文共87頁，當前為第1頁。網絡后門網絡后門是保持對目標主機長久控制的關鍵策略?？梢酝ㄟ^建立服務端口和克隆管理員帳號來實現。留后門的藝術只要能不通過正常登錄進入系統的途徑都稱之為網絡后門。后門的好壞取決于被管理員發現的概率。只要是不容易被發現的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺沒有任何特別。網絡安全第六章全文共87頁，當前為第2頁。案例6-1遠程啟動Telnet服務利用主機上的Telnet服務，有管理員密碼就可以登錄到對方的命令行，進而操作對方的文件系統。如果Telnet服務是關閉的，就不能登錄了。默認情況下，Windows2000Server的Telnet是關閉的，可以在運行窗口中輸入tlntadmn.exe命令啟動本地Telnet服務。網絡安全第六章全文共87頁，當前為第3頁。啟動本地Telnet服務在啟動的DOS窗口中輸入4就可以啟動本地Telnet服務了。網絡安全第六章全文共87頁，當前為第4頁。遠程開啟對方的Telnet服務利用工具RTCS.vbe可以遠程開啟對方的Telnet服務，使用該工具需要知道對方具有管理員權限的用戶名和密碼。命令的語法是：“cscriptRTCS.vbe09administrator123456123”，其中cscript是操作系統自帶的命令RTCS.vbe是該工具軟件腳本文件IP地址是要啟動Telnet的主機地址administrator是用戶名123456是密碼1是登錄系統的驗證方式23是Telnet開放的端口該命令根據網絡的速度，執行的時候需要一段時間。網絡安全第六章全文共87頁，當前為第5頁。遠程開啟對方的Telnet服務網絡安全第六章全文共87頁，當前為第6頁。確認對話框執行完成后，對方的Telnet服務就被開啟了。在DOS提示符下，登錄目標主機的Telnet服務，首先輸入命令“Telnet09”，因為Telnet的用戶名和密碼是明文傳遞的，首先出現確認發送信息對話框。網絡安全第六章全文共87頁，當前為第7頁。登錄Telnet的用戶名和密碼輸入字符“y”，進入Telnet的登錄界面，需要輸入主機的用戶名和密碼。網絡安全第六章全文共87頁，當前為第8頁。登錄Telnet服務器如果用戶名和密碼沒有錯誤，將進入對方主機的命令行。網絡安全第六章全文共87頁，當前為第9頁。記錄管理員口令修改過程當入侵到對方主機并得到管理員口令以后，就可以對主機進行長久入侵了，但是一個好的管理員一般每隔半個月左右就會修改一次密碼，這樣已經得到的密碼就不起作用了。利用工具軟件Win2kPass.exe記錄修改的新密碼，該軟件將密碼記錄在Winnt\temp目錄下的Config.ini文件中，有時候文件名可能不是Config，但是擴展名一定是ini，該工具軟件是有“自殺”的功能，就是當執行完畢后，自動刪除自己。網絡安全第六章全文共87頁，當前為第10頁。記錄管理員口令修改過程首先在對方操作系統中執行Win2KPass.exe文件，當對方主機管理員密碼修改并重啟計算機以后，就在Winnt\temp目錄下產生一個ini文件。網絡安全第六章全文共87頁，當前為第11頁。案例6-3建立Web服務和Telnet服務

使用工具軟件wnc.exe可以在對方的主機上開啟兩個服務：Web服務和Telnet服務。其中Web服務的端口是808，Telnet服務的端口是707。執行很簡單，只要在對方的命令行下執行一下wnc.exe就可以。網絡安全第六章全文共87頁，當前為第12頁。建立Web服務和Telnet服務執行完畢后，利用命令“netstat-an”來查看開啟的808和707端口。網絡安全第六章全文共87頁，當前為第13頁。測試Web服務說明服務端口開啟成功，可以連接該目標主機提供的這兩個服務了。首先測試Web服務808端口，在瀏覽器地址欄中輸入“”，出現主機的盤符列表。網絡安全第六章全文共87頁，當前為第14頁。看密碼修改記錄文件可以下載對方硬盤設置光盤上的任意文件（對于漢字文件名的文件下載有問題），可以到Winnt/temp目錄下查看對方密碼修改記錄文件。網絡安全第六章全文共87頁，當前為第15頁。利用telnet命令連接707端口可以利用“telnet09707”命令登錄到對方的命令行。網絡安全第六章全文共87頁，當前為第16頁。登錄到對方的命令行不用任何的用戶名和密碼就可以登錄對對方主機的命令行。網絡安全第六章全文共87頁，當前為第17頁。自啟動程序通過707端口也可以方便的獲得對方的管理員權限。wnc.exe的功能強大，但是該程序不能自動加載執行，需要將該文件加到自啟動程序列表中。一般將wnc.exe文件放到對方的winnt目錄或者winnt/system32目下，這兩個目錄是系統環境目錄，執行這兩個目錄下的文件不需要給出具體的路徑。網絡安全第六章全文共87頁，當前為第18頁。將wnc.exe加到自啟動列表首先將wnc.exe和reg.exe文件拷貝對方的winnt目錄下，利用reg.exe文件將wnc.exe加載到注冊表的自啟動項目中，命令的格式為：“reg.exeaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vservice/dwnc.exe”。網絡安全第六章全文共87頁，當前為第19頁。修改后的注冊表如果可以進入對方主機的圖形界面，可以查看一下對方的注冊表的自啟動項，已經被修改。網絡安全第六章全文共87頁，當前為第20頁。案例6-4讓禁用的Guest具有管理權限

操作系統所有的用戶信息都保存在注冊表中，但是如果直接使用“regedit”命令打開注冊表，該鍵值是隱藏的。網絡安全第六章全文共87頁，當前為第21頁。查看winlogon.exe的進程號可以利用工具軟件psu.exe得到該鍵值的查看和編輯權。將psu.exe拷貝對方主機的C盤下，并在任務管理器查看對方主機winlogon.exe進程的ID號或者使用pulist.exe文件查看該進程的ID號。網絡安全第六章全文共87頁，當前為第22頁。執行命令該進程號為192，下面執行命令“psu-pregedit-ipid”其中pid為Winlogon.exe的進程號。網絡安全第六章全文共87頁，當前為第23頁。查看SAM鍵值在執行該命令的時候必須將注冊表關閉，執行完命令以后，自動打開了注冊表編輯器，查看SAM下的鍵值。網絡安全第六章全文共87頁，當前為第24頁。查看帳戶對應的鍵值查看Administrator和guest默認的鍵值，在Windows2000操作系統上，Administrator一般為0x1f4，guest一般為0x1f5。網絡安全第六章全文共87頁，當前為第25頁。帳戶配置信息根據“0x1f4”和“0x1f5”找到Administrator和guest帳戶的配置信息。網絡安全第六章全文共87頁，當前為第26頁?？截惞芾韱T配置信息在圖右邊欄目中的F鍵值中保存了帳戶的密碼信息，雙擊“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進制信息，將這些二進制信息全選，并拷貝到出來。網絡安全第六章全文共87頁，當前為第27頁。覆蓋Guest用戶的配置信息將拷貝出來的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中。網絡安全第六章全文共87頁，當前為第28頁。保存鍵值Guest帳戶已經具有管理員權限了。為了能夠使Guest帳戶在禁用的狀態登錄，下一步將Guest帳戶信息導出注冊表。選擇User目錄，然后選擇菜單欄“注冊表”下的菜單項“導出注冊表文件”，將該鍵值保存為一個配置文件。網絡安全第六章全文共87頁，當前為第29頁。刪除Guest帳戶信息打開計算機管理對話框，并分別刪除Guest和“00001F5”兩個目錄。網絡安全第六章全文共87頁，當前為第30頁。刷新用戶列表這個刷新對方主機的用戶列表，會出現用戶找不到的對話框。網絡安全第六章全文共87頁，當前為第31頁。修改Guest帳戶的屬性然后再將剛才導出的信息文件，再導入注冊表。再刷新用戶列表就不在出現該對話框了。下面在對方主機的命令行下修改Guest的用戶屬性，注意：一定要在命令行下。首先修改Guest帳戶的密碼，比如這里改成“123456”，并將Guest帳戶開啟和停止。網絡安全第六章全文共87頁，當前為第32頁。查看guest帳戶屬性再查看一下計算機管理窗口中的Guest帳戶，發現該帳戶使禁用的。網絡安全第六章全文共87頁，當前為第33頁。利用禁用的guest帳戶登錄注銷退出系統，然后用用戶名：“guest”，密碼：“123456”登錄系統。網絡安全第六章全文共87頁，當前為第34頁。連接終端服務的軟件終端服務是Windows操作系統自帶的，可以遠程通過圖形界面操縱服務器。在默認的情況下終端服務的端口號是3389。可以在系統服務中查看終端服務是否啟動。網絡安全第六章全文共87頁，當前為第35頁。查看終端服務的端口服務默認的端口是3389，可以利用命令“netstat-an”來查看該端口是否開放。網絡安全第六章全文共87頁，當前為第36頁。連接到終端服務管理員為了遠程操作方便，服務器上的該服務一般都是開啟的。這就給黑客們提供一條可以遠程圖形化操作主機的途徑。利用該服務，目前常用的有三種方法連接到對方主機：1、使用Windows2000的遠程桌面連接工具。2、使用WindowsXP的遠程桌面連接工具。3、使用基于瀏覽器方式的連接工具。網絡安全第六章全文共87頁，當前為第37頁。案例6-5三種方法連接到終端服務第一種方法利用Windows2000自帶的終端服務工具：mstsc.exe。該工具中只要設置要連接主機的IP地址和連接桌面的分辨率就可以。網絡安全第六章全文共87頁，當前為第38頁。終端服務如果目標主機的終端服務是啟動的，可以直接登錄到對方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對方主機了。網絡安全第六章全文共87頁，當前為第39頁。終端服務第二種方法是使用WindowsXP自帶的終端服務連接器：mstsc.exe。界面比較簡單，只要輸入對方的IP地址就可以了。網絡安全第六章全文共87頁，當前為第40頁。Web方式連接第三種方法是使用Web方式連接，該工具包含幾個文件，需要將這些文件配置到IIS的站點中去。網絡安全第六章全文共87頁，當前為第41頁。配置Web站點將這些文件設置到本地IIS默認Web站點的根目錄。網絡安全第六章全文共87頁，當前為第42頁。在瀏覽器中連接終端服務然后在瀏覽器中輸入“”打開連接程序。網絡安全第六章全文共87頁，當前為第43頁。瀏覽器中的終端服務登錄界面在服務器地址文本框中輸入對方的IP地址，再選擇連接窗口的分辨率，點擊按鈕“連接”連接到對方的桌面。網絡安全第六章全文共87頁，當前為第44頁。案例6-6安裝并啟動終端服務假設對方不僅沒有開啟終端服務，而且沒有安裝終端服務所需要的軟件。使用工具軟件djxyxs.exe，可以給對方安裝并開啟該服務。在該工具軟件中已經包含了安裝終端服務所需要的所有文件。網絡安全第六章全文共87頁，當前為第45頁。上傳程序到指定的目錄將該文件上傳并拷貝到對方服務器的Winnt\temp目錄下（必須放置在該目錄下，否則安裝不成功?。＞W絡安全第六章全文共87頁，當前為第46頁。目錄列表然后執行djxyxs.exe文件，該文件會自動進行解壓將文件全部放置到當前的目錄下，執行命令查看當前目錄下的文件列表，生成了一個I386目錄。網絡安全第六章全文共87頁，當前為第47頁。木馬木馬是一種可以駐留在對方系統中的一種程序。木馬一般由兩部分組成：服務器端和客戶端。駐留在對方服務器的稱之為木馬的服務器端，遠程的可以連到木馬服務器的程序稱之為客戶端。木馬的功能是通過客戶端可以操縱服務器，進而操縱對方的主機。網絡安全第六章全文共87頁，當前為第48頁。木馬和后門的區別木馬程序在表面上看上去沒有任何的損害，實際上隱藏著可以控制用戶整個計算機系統、打開后門等危害系統安全的功能。木馬來自于“特洛伊木馬”，英文名稱為TrojanHorse。傳說希臘人圍攻特洛伊城，久久不能攻克，后來軍師想出了一個特洛伊木馬計，讓士兵藏在巨大的特洛伊木馬中部隊假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰利品拖入城中，到了夜里，特洛伊木馬內的士兵便趁著夜里敵人慶祝勝利、放松警惕的時候從特洛伊木馬里悄悄地爬出來，與城外的部隊里應外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。網絡安全第六章全文共87頁，當前為第49頁。常見木馬的使用常見的簡單得木馬有NetBus遠程控制、“冰河”木馬、PCAnyWhere遠程控制等等。這里介紹一種最常見的木馬程序：“冰河”。案例6-7使用“冰河”進行遠程控制“冰河”包含兩個程序文件，一個是服務器端，另一個是客戶端。網絡安全第六章全文共87頁，當前為第50頁?！氨印钡目蛻舳藈in32.exe文件是服務器端程序，Y_Client.exe文件為客戶端程序。將win32.exe文件在遠程得計算機上執行以后，通過Y_Client.exe文件來控制遠程得服務器，客戶端的主界面如圖所示網絡安全第六章全文共87頁，當前為第51頁。選擇配置菜單將服務器程序種到對方主機之前需要對服務器程序做一些設置，比如連接端口，連接密碼等。選擇菜單欄“設置”下的菜單項“配置服務器程序”。網絡安全第六章全文共87頁，當前為第52頁。設置“冰河”服務器配置在出現的對話框中選擇服務器端程序win32.exe進行配置，并填寫訪問服務器端程序的口令，這里設置為“1234567890”。網絡安全第六章全文共87頁，當前為第53頁。查看注冊表點擊按鈕“確定”以后，就將“冰河”的服務器種到某一臺主機上了。執行完win32.exe文件以后，系統沒有任何反應，其實已經更改了注冊表，并將服務器端程序和文本文件進行了關聯，當用戶雙擊一個擴展名為txt的文件的時候，就會自動執行冰河服務器端程序。前面章節對此已經做了介紹，當計算機感染了“冰河”以后，查看被修改后的注冊表。網絡安全第六章全文共87頁，當前為第54頁。使用冰河客戶端添加主機沒有中冰河的情況下，該注冊表項應該是使用notepad.exe文件來打開txt文件，而圖中的“SYSEXPLR.EXE”其實就是“冰河”的服務器端程序。目標主機中了冰河了，可以利用客戶端程序來連接服務器端程序。在客戶端添加主機的地址信息，這里的密碼是就是剛才設置的密碼“1234567890”。網絡安全第六章全文共87頁，當前為第55頁。查看對方的目錄列表點擊按鈕“確定”以后，查看對方計算機的基本信息了，對方計算機的目錄列表如圖所示。網絡安全第六章全文共87頁，當前為第56頁。查看并控制遠程屏幕的菜單從圖中可以看出，可以在對方計算機上進行任意的操作。除此以外還可以查看并控制對方的屏幕等。網絡安全第六章全文共87頁，當前為第57頁。網絡代理跳板當從本地入侵其他主機的時候，自己的IP會暴露給對方。通過將某一臺主機設置為代理，通過該主機再入侵其他主機，這樣就會留下代理的IP地址，這樣就可以有效的保護自己的安全。二級代理的基本結構如圖所示。網絡安全第六章全文共87頁，當前為第58頁。本地通過兩級代理入侵某一臺主機，這樣在被入侵的主機上，就不會留下的自己的信息。可以選擇更多的代理級別，但是考慮到網絡帶寬的問題，一般選擇兩到三級代理比較合適。選擇代理服務的原則是選擇不同地區的主機作為代理。比如現在要入侵北美的某一臺主機，選擇南非的某一臺主機作為一級代理服務器，選擇北歐的某一臺計算機作為二級代理，再選擇南美的一臺主機作為三級代理服務器?？梢赃x擇做代理的主機有一個先決條件，必須先安裝相關的代理軟件，一般都是將已經被入侵的主機作為代理服務器。網絡安全第六章全文共87頁，當前為第59頁。網絡代理跳板工具的使用常用的網絡代理跳板工具很多，這里介紹一種比較常用而且功能比較強大的代理工具：Snake代理跳板。Snake的代理跳板，支持TCP/UDP代理，支持多個（最多達到255）跳板。程序文件為：SkSockServer.exe，代理方式為Sock5，并自動打開默認端口1813監聽。網絡安全第六章全文共87頁，當前為第60頁。使用Snake代理跳板使用Snake代理跳板需要首先在每一級跳板主機上安裝Snake代理服務器。程序文件是SkSockServer.exe，將該文件拷貝到目標主機上。一般首先將本地計算機設置為一級代理，將文件拷貝到C盤根目錄下，然后將代理服務安裝到主機上。安裝需要四個步驟，如圖所示。網絡安全第六章全文共87頁，當前為第61頁。查看開放的1122端口第一步執行“sksockserver-install”將代理服務安裝主機中第二步執行“sksockserver-configport1122”將代理服務的端口設置為1122，當然可以設置為其他的數值，第三步執行“sksockserver-configstarttype2”將該服務的啟動方式設置為自動啟動。第四步執行“netstartskserver”啟動代理服務。設置完畢以后使用“netstat-an”命令查看1122端口是否開放。網絡安全第六章全文共87頁，當前為第62頁。代理級別配置工具本地設置完畢以后，在網絡上其他的主機上設置二級代理，比如在IP為09的主機上也設置和本機同樣的代理配置。使用本地代理配置工具：SkServerGUI.exe。網絡安全第六章全文共87頁，當前為第63頁。設置經過的代理服務器選擇主菜單“配置”下的菜單項“經過的SKServer”，在出現的對話框中設置代理的順序，第一級代理是本地的1122端口，IP地址是，第二級代理是09，端口是1122端口，注意將復選框“允許”選中。網絡安全第六章全文共87頁，當前為第64頁。設置可以訪問代理的客戶端設置可以訪問該代理的客戶端，選擇主菜單“配置”下的菜單項“客戶端”，這里只允許本地訪問該代理服務，所以將IP地址設置為，子網掩碼設置為“55”，并將復選框“允許”選中。網絡安全第六章全文共87頁，當前為第65頁。啟動代理跳板一個二級代理設置完畢，選擇菜單欄“命令”下的菜單項“開始”，啟動該代理跳板。網絡安全第六章全文共87頁，當前為第66頁。安裝程序和漢化補丁從圖可以看出，該程序啟動以后監聽的端口是“1913”。下面需要安裝代理的客戶端程序，該程序包含兩個程序，一個是安裝程序，一個漢化補丁，如果不安裝補丁程序將不能使用。網絡安全第六章全文共87頁，當前為第67頁。設置Socks代理首先安裝sc32r231.exe，再安裝補丁程序HBC-SC32231-Ronnier.exe，然后執行該程序，首先出現設置窗口如圖所示。網絡安全第六章全文共87頁，當前為第68頁。代理客戶端的主界面設置Socks代理服務器為本地IP地址，端口設置為跳板的監聽端口“1913”，選擇Socks版本5作為代理。設置完畢后，點擊按鈕“確定”。網絡安全第六章全文共87頁，當前為第69頁。設置需要代理的應用程序添加需要代理的應用程序，點擊工具欄圖標“新建”，比如現在添加InternetExplore添加進來。網絡安全第六章全文共87頁，當前為第70頁。設置完畢以后，IE的圖標就在列表中了，選中IE圖標，然后點擊工具欄圖標“運行”。網絡安全第六章全文共87頁，當前為第71頁。使用IE連接某地址在打開的IE中連接某一個地址，比如“09”。網絡安全第六章全文共87頁，當前為第72頁。查看使用代理的情況在IE的連接過程中，查看代理跳板的對話框，可以看到連接的信息。這些信息在一次連接會話完畢后會自動消失，必須在連接的過程中查看。網絡安全第六章全文共87頁，當前為第73頁。清除日志電影中通常會出現這樣的場景，當有黑客入侵計算機系統的時候，需要全樓停電來捉住黑客，為什么停電就可以逮住黑客呢？這是因為當黑客入侵系統并在退出系統之前都會清除系統的日志，如果突然停電，黑客將沒有機會刪除自己入侵的痕跡，所以就可以抓住黑客了。清除日志是黑客入侵的最后的一步，黑客能做到來無蹤去無影，這一步起到決定性的作用。網絡安全第六章全文共87頁，當前為第74頁。清除IIS日志當用戶訪問某個IIS服務器以后，無論是正常的訪問還是非正常的訪問，IIS都會記錄訪問者的IP地址以及訪問時間等信息。這些信息記錄在Winnt\System32\logFiles目錄下。網絡安全第六章全文共87頁，當前為第75頁。

IIS日志的格式打開任一文件夾下的任一文件，可以看到IIS日志的基本格式，記錄了用戶訪問的服務器文件、用戶登的時間、用戶的IP地址以及用戶瀏覽器以及操作系統的版本號。網絡安全第六章全文共87頁，當前為第76頁。清除IIS日志最簡單的方法是直接到該目錄下刪除這些文件夾，但是全部刪除文件以后，一定會引起管理員的懷疑。一般入侵的過程是短暫的，只會保存到一個Log文件，只要在該Log文件刪除所有自己的記錄就可以了。

網絡安全第六章全文共87頁，當前為第77頁。清除IIS日志的全過程使用工具軟件CleanIISLog.exe可以做到這一點，首先將該文件拷貝到日志文件所在目錄，然后執行命令“CleanIISLog.exeex031108.log10”，第一個參數ex031108.log是日志文件名，文件名的后六位代表年月日，第二個參數是要在該Log文件中刪除的IP地址，也就是自己的IP地址。先查找當前目錄下的文件，然后做清楚的操作。網絡安全第六章全文共87頁，當前為第78頁。清除主機日志主機日志包括三類的日志：應用程序日志、安全日志和系統日志。可以在計算機上通過控制面板下的“事件查看器”查看日志信息。網絡安全第六章全文共87頁，當前為第79頁。?FTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0（微軟IIS5.0）#Version:1.0（版本1.0）#Date:2000102303:11:55（服務啟動時間日期）03:11:55[1]USERadministator331（IP地址為用戶名為administator試圖登錄）03:11:58[1]PASS–530（登錄失敗）03:12:04[1]USERnt331（IP地址為用戶名為nt的用戶試圖登錄）03:12:06[1]PASS–530（登錄失?。?3:12:32[1]USERadministrator331（IP地址為用戶名為administrator試圖登錄）03:12:34[1]PASS–230（登錄成功）03:12:41[1]MKDnt550（新建目錄失敗）03:12:45[1]QUIT–550（退出FTP程序）從日志里就能看出IP地址為的用戶一直試圖登錄系統，換了3次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時間IP地址以及探測的用戶名。網絡安全第六章全文共87頁，當前為第80頁。?HTTP日志分析，如下例：–#Software:MicrosoftInternetInformationServices5.0–#Version:1.0–#Date:2000102303:09:31–#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)–2000102303:09:316780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)–2000102303:09:346780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)–通過分析第六行，可以看出2000年10月23日，IP地址為6的用戶通過訪問IP地址為7機器的80端口，查看了一個頁