網絡后門與網絡隱身隱藏技術入侵者不可避免與遠程主機直接接觸，這樣很容易暴露他們的真實身份，因此入侵者需要使用一些額外的手段來隱藏他們的行蹤。主要有三個方面的隱藏技術：1）文件傳輸與隱藏技術2）掃描隱藏技術3）入侵隱藏技術文件傳輸與隱藏技術文件傳輸1）IPC$文件傳輸2）FTP傳輸文件打包工具：通過對文件壓縮，減小文件的體積，減少傳送時間，把多個文件打包在一個文件，簡化傳輸命令。RARX300.exe命令行方式下的壓縮工具文件隱藏1)簡單隱藏使用命令attrib為文件添加”隱藏”和“系統”屬性命令格式：attrib+h+s<文件>+h給目標文件添加隱藏屬性+s給目標文件添加系統屬性利用專用文件夾隱藏文件在windwos系統中，可以雙擊“計劃任務”、“回收站”等圖標來實現一些系統的管理操作，實際上也可以把這些圖標看成文件夾。與普通文件夾不同的是，這類文件夾屬于系統專用。表面上看去并不能在這些文件夾中進行文件存放、復制、粘貼等操作，但實際上，這些系統專用文件夾確實可以用來存放文件的。實例1：隱藏殺進程工具aproman.exe在命令行方式下，鍵入命令Copyc:\aproman.exec:\winnt\tasks可以使用命令查看Cdc:\winnt\tasksDir但在圖形界面中，看不到這aproman.exe這個文件實例2：自建專用文件夾1)新建一個文件夾，重新命名為“Faketasks.{D6277990-4C6A-11CF-8D87-00AA0060F5BF}”這時，新建文件夾和系統自帶的計劃任務完全一樣。掃描隱藏技術通常入侵者都是通過制作“掃描代理肉雞”的方法來隱藏自己的掃描行為。1、手工思路：把掃描器傳輸到肉雞里，然后入侵者通過遠程控制使肉雞執行掃描程序。2、工具，如流光sensor流光sensor是集成在流光掃描器中的工具，用來管理、制作掃描型肉雞，功能強大，只要獲得遠程主機的口令，入侵者就可以通過流光掃描器把該主機加入流光sensor中成為掃描型肉雞。入侵隱藏技術跳板技術這里指的跳板可稱為“入侵代理”或入侵肉雞，它存在于在入侵者與遠程主機之間，用來代替入侵者與遠程主機建立網絡連接或漏洞攻擊，這種間接的連接方式可以避免與遠程主機的直接接觸，從而實現入侵中的隱藏。入侵隱藏技術跳板結構下面是一個簡單的攻擊模型，入侵者通過跳板一、跳板二、跳板三與遠程主機建立連接。虛擬機一虛擬機二虛擬機三本機選擇跳板的原則是選擇不同地區的主機作為代理。比如現在要入侵北美的某一臺主機，選擇南非的某一臺主機作為一級代理服務器，選擇北歐的某一臺計算機作為二級代理，再選擇南美的一臺主機作為三級代理服務器，這樣很安全了。制作跳板方法(1)手工最簡單、最通用。通過telnet或其他連接工具把一個個跳板連接起來。制作跳板方法(2)采用網絡代理跳板常用的網絡代理跳板工具很多，這里介紹一種比較常用而且功能比較強大的代理工具：Snake代理跳板。Snake的代理跳板，支持TCP/UDP代理，支持多個（最多達到255）跳板。程序文件為：SkSockServer.exe，代理方式為Sock5，并自動打開默認端口1813.監聽。使用Snake代理跳板使用Snake代理跳板需要首先在每一級跳板主機上安裝Snake代理服務器。程序文件是SkSockServer.exe，將該文件拷貝到目標主機上。一般首先將本地計算機設置為一級代理，將文件拷貝到C盤根目錄下，然后將代理服務安裝到主機上。安裝需要四個步驟，查看開放的1122端口第一步執行“sksockserver-install”將代理服務安裝主機中第二步執行“sksockserver-configport1122”將代理服務的端口設置為1122，當然可以設置為其他的數值，第三步執行“sksockserver-configstarttype2”將該服務的啟動方式設置為自動啟動。第四步執行“netstartskserver”啟動代理服務。設置完畢以后使用“netstat-an”命令查看1122端口是否開放代理級別配置工具本地設置完畢以后，在網絡上其他的主機上設置二級代理，比如在IP為的主機上也設置和本機同樣的代理配置。使用本地代理配置工具：SkServerGUI.exe，該配置工具的主界面如圖所示。設置經過的代理服務器選擇主菜單“配置”下的菜單項“經過的SKServer”，在出現的對話框中設置代理的順序，第一級代理是本地的1122端口，IP地址是，第二級代理是，端口是1122端口，注意將復選框“允許”選中，如圖所示。設置可以訪問代理的客戶端設置可以訪問該代理的客戶端，選擇主菜單“配置”下的菜單項“客戶端”，這里只允許本地訪問該代理服務，所以將IP地址設置為，子網掩碼設置為“55”，并將復選框“允許”選中。。啟動代理跳板一個二級代理設置完畢，選擇菜單欄“命令”下的菜單項“開始”，啟動該代理跳板。該程序啟動以后監聽的端口是“1913”。安裝程序和漢化補丁下面需要安裝代理的客戶端程序，該程序包含兩個程序，一個是安裝程序，一個漢化補丁，如果不安裝補丁程序將不能使用。設置Socks代理首先安裝sc32r231.exe，再安裝補丁程序HBC-SC32231-Ronnier.exe，然后執行該程序，首先出現設置窗口如圖所示。代理客戶端的主界面設置Socks代理服務器為本地IP地址，端口設置為跳板的監聽端口“1913”，選擇Socks版本5作為代理。設置完畢后，點擊按鈕“確定”，主界面如圖所示。設置需要代理的應用程序添加需要代理的應用程序，點擊工具欄圖標“新建”，比如現在添加InternetExplore添加進來，設置完畢以后，IE的圖標就在列表中了，選中IE圖標，然后點擊工具欄圖標“運行”，網絡后門網絡后門是保持對目標主機長久控制的關鍵策略?？梢酝ㄟ^建立服務端口和克隆管理員帳號來實現。留后門的藝術只要能不通過正常登錄進入系統的途徑都稱之為網絡后門。后門的好壞取決于被管理員發現的概率。只要是不容易被發現的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺沒有任何特別的。記錄管理員口令修改過程當入侵到對方主機并得到管理員口令以后，就可以對主機進行長久入侵了，但是一個好的管理員一般每隔半個月左右就會修改一次密碼，這樣已經得到的密碼就不起作用了。利用工具軟件Win2kPass.exe記錄修改的新密碼，該軟件將密碼記錄在Winnt\temp目錄下的Config.ini文件中，有時候文件名可能不是Config，但是擴展名一定是ini，該工具軟件是有“自殺”的功能，就是當執行完畢后，自動刪除自己。記錄管理員口令修改過程首先在對方操作系統中執行Win2KPass.exe文件，當對方主機管理員密碼修改并重啟計算機以后，就在Winnt\temp目錄下產生一個ini文件。建立Web服務和Telnet服務

使用工具軟件wnc.exe可以在對方的主機上開啟兩個服務：Web服務和Telnet服務。其中Web服務的端口是808，Telnet服務的端口是707。執行很簡單，只要在對方的命令行下執行一下wnc.exe就可以。測試Web服務說明服務端口開啟成功，可以連接該目標主機提供的這兩個服務了。首先測試Web服務808端口，在瀏覽器地址欄中輸入“:808”，出現主機的盤符列表?？疵艽a修改記錄文件可以下載對方硬盤的任意文件（對于漢字文件名的文件下載有問題），可以到Winnt/temp目錄下查看對方密碼修改記錄文件。利用telnet命令連接707端口可以利用“telnet09707”命令登錄到對方的命令行。登錄到對方的命令行不用任何的用戶名和密碼就可以登錄對對方主機的命令行。自啟動程序通過707端口也可以方便的獲得對方的管理員權限。wnc.exe的功能強大，但是該程序不能自動加載執行，需要將該文件加到自啟動程序列表中。一般將wnc.exe文件放到對方的winnt目錄或者winnt/system32目下，這兩個目錄是系統環境目錄，執行這兩個目錄下的文件不需要給出具體的路徑。將wnc.exe加到自啟動列表首先將wnc.exe和reg.exe文件拷貝對方的winnt目錄下，利用reg.exe文件將wnc.exe加載到注冊表的自啟動項目中，命令的格式為：“reg.exeaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vservice/dwnc.exe”執行過程如圖所示。修改后的注冊表如果可以進入對方主機的圖形界面，可以查看一下對方的注冊表的自啟動項，已經被修改，讓禁用的Guest具有管理權限

操作系統所有的用戶信息都保存在注冊表中，但是如果直接使用“regedit”命令打開注冊表，該鍵值是隱藏的。查看winlogon.exe的進程號可以利用工具軟件psu.exe提升regedit權限，得到該鍵值的查看和編輯權。將psu.exe拷貝對方主機，并在任務管理器查看對方主機winlogon.exe進程的ID號或者使用pulist.exe文件查看該進程的ID號.執行命令該進程號為192，下面執行命令“psu-pregedit-ipid”其中pid為Winlogon.exe的進程號。查看SAM鍵值在執行該命令的時候必須將注冊表關閉，執行完命令以后，自動打開了注冊表編輯器，查看SAM下的鍵值。查看帳戶對應的鍵值查看Administrator和guest默認的鍵值，在Windows2000操作系統上，Administrator一般為0x1f4，guest一般為0x1f5。帳戶配置信息根據“0x1f4”和“0x1f5”找到Administrator和guest帳戶的配置信息。拷貝管理員配置信息F鍵值中保存了帳戶的密碼信息，雙擊“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進制信息，將這些二進制信息全選，并拷貝到出來。覆蓋Guest用戶的配置信息將拷貝出來的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中。保存鍵值Guest帳戶已經具有管理員權限了。為了能夠使Guest帳戶在禁用的狀態登錄，下一步將Guest帳戶信息導出注冊表。選擇User目錄，然后選擇菜單欄“注冊表”下的菜單項“導出注冊表文件”，將該鍵值保存為一個配置文件。刪除Guest帳戶信息打開計算機管理對話框，并分別刪除Guest和“00001F5”兩個目錄刷新用戶列表這個刷新對方主機的用戶列表，會出現用戶找不到的對話框,然后再將剛才導出的信息文件，再導入注冊表。再刷新用戶列表就不在出現該對話框了。修改Guest帳戶的屬性下面在對方主機的命令行下修改Guest的用戶屬性，注意：一定要在命令行下。首先修改Guest帳戶的密碼，比如這里改成“123456”，并將Guest帳戶開啟和停止。查看guest帳戶屬性再查看一下計算機管理窗口中的Guest帳戶，發現該帳戶使禁用的。連接終端服務的軟件終端服務是Windows操作系統自帶的，可以遠程通過圖形界面操縱服務器。在默認的情況下終端服務的端口號是3389?？梢栽谙到y服務中查看終端服務是否啟動查看終端服務的端口服務默認的端口是3389，可以利用命令“netstat-an”來查看該端口是否開放。連接到終端服務管理員為了遠程操作方便，服務器上的該服務一般都是開啟的。這就給黑客們提供一條可以遠程圖形化操作主機的途徑。利用該服務，目前常用的有三種方法連接到對方主機：1、使用Windows2000的遠程桌面連接工具。2、使用WindowsXP的遠程桌面連接工具。3、使用基于瀏覽器方式的連接工具。連接到終端服務第一種方法利用Windows2000自帶的終端服務工具：mstsc.exe。該工具中只要設置要連接主機的IP地址和連接桌面的分辨率就可以。終端服務如果目標主機的終端服務是啟動的，可以直接登錄到對方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對方主機了。Web方式連接第二種方法是使用Web方式連接，該工具包含幾個文件，需要將這些文件配置到IIS的站點中去，程序列表如圖。配置Web站點將這些文件設置到本地IIS默認Web站點的根目錄。在瀏覽器中連接終端服務然后在瀏覽器中輸入“”打開連接程序。瀏覽器中的終端服務登錄界面在服務器地址文本框中輸入對方的IP地址，再選擇連接窗口的分辨率，點擊按鈕“連接”連接到對方的桌面。木馬木馬是一種可以駐留在對方系統中的一種程序。木馬一般由兩部分組成：服務器端和客戶端。駐留在對方服務器的稱之為木馬的服務器端，遠程的可以連到木馬服務器的程序稱之為客戶端。木馬的功能是通過客戶端可以操縱服務器，進而操縱對方的主機。木馬木馬來自于“特洛伊木馬”，英文名稱為TrojanHorse。傳說希臘人圍攻特洛伊城，久久不能攻克，后來軍師想出了一個特洛伊木馬計，讓士兵藏在巨大的特洛伊木馬中部隊假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰利品拖入城中，到了夜里，特洛伊木馬內的士兵便趁著夜里敵人慶祝勝利、放松警惕的時候從特洛伊木馬里悄悄地爬出來，與城外的部隊里應外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。木馬的發展第一代木馬功能簡單，主要對付Unix系統，Windows系統木馬不多，第二代木馬功能大大加強，幾乎有現在木馬的所有操作，國內有代表性的是冰河木馬。第三代木馬繼續完善連接技術，增加木馬的穿透防火墻功能，出現了“反彈端口”技術，國內有代表性的是“灰鴿子”。第四代增加了進程隱藏技術，使系統更加難以發現木馬的存在與入侵的連接。木馬分類按對計算機的破壞方式分類遠程訪問型木馬、密碼發送型木馬、鍵盤記錄型木馬、FTP型木馬按傳輸方式分類主動型木馬、反彈型木馬、嵌入式木馬。木馬實現技術木馬連接方式1)傳統連接方式即C/S連接方式，在這種連接方式下，遠程主機開放監聽端口等待外部連接，成為服務端，當入侵者需要與遠程主機建立連接的時侯，就主動發出連接請求，從而建立連接?？蛻舳诉h程主機發出建立連接請求客戶端遠程主機建立連接2)反彈端口技術a)遠程主機主動尋找客戶端建立連接，客戶端開放端口等待連接客戶端遠程主機發出建立連接請求客戶端遠程主機建立連接b)客戶端遠程主機更新ip,port中間代理，保存客戶端ip,port客戶端遠程主機獲取客戶端ip,port中間代理，保存客戶端ip,port客戶端遠程主機發出建立連接請求客戶端遠程主機建立連接第一步第二步第三步第四步木馬實現技術自動啟動技術一般的方法是通過修改系統的注冊表的方法，在注冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵值中加上要啟動的程序的路徑。Windows系統自啟動程序十大藏身之所Windows啟動時通常會有一大堆程序自動啟動。不要以為管好了“開始→程序→啟動”菜單就萬事大吉，實際上，讓Windows自動啟動程序的辦法很多，下面列出最重要的兩個文件夾和八個注冊鍵。一、當前用戶專有的啟動文件夾這是許多應用軟件自動啟動的常用位置，Windows自動啟動放入該文件夾的所有快捷方式。用戶啟動文件夾一般在：＼DocumentsandSettings＼<用戶名字>＼“開始”菜單＼程序＼啟動，其中“<用戶名字>”是當前登錄的用戶帳戶名稱。二、對所有用戶有效的啟動文件夾這是尋找自動啟動程序的第二個重要位置，不管用戶用什么身份登錄系統，放入該文件夾的快捷方式總是自動啟動——這是它與用戶專有的啟動文件夾的區別所在。該文件夾一般在：＼DocumentsandSettings＼AllUsers＼“開始”菜單＼程序＼啟動。三、Load注冊鍵介紹該注冊鍵的資料不多，實際上它也能夠自動啟動程序。位置：HKEY_CURRENT_USER＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Windows＼load。

四、Userinit注冊鍵位置：HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon＼Userinit。這里也能夠使系統啟動時自動初始化程序。通常該注冊鍵下面有一個userinit.exe，如圖，但這個鍵允許指定用逗號分隔的多個程序，例如“userinit.exe,OSA.exe”(不含引號)。五、Explorer＼Run注冊鍵和load、Userinit不同，Explorer＼Run鍵在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具體位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run。六、RunServicesOnce注冊鍵

RunServicesOnce注冊鍵用來啟動服務程序，啟動時間在用戶登錄之前，而且先于其他通過注冊鍵啟動的程序。RunServicesOnce注冊鍵的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce。七、RunServices注冊鍵

RunServices注冊鍵指定的程序緊接RunServicesOnce指定的程序之后運行，但兩者都在用戶登錄之前。RunServices的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServices。八、RunOnce＼Setup注冊鍵

RunOnce＼Setup指定了用戶登錄之后運行的程序，它的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup。九、RunOnce注冊鍵安裝程序通常用RunOnce鍵自動運行程序，它的位置在HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce鍵會在用戶登錄之后立即運行程序，運行時機在其他Run鍵指定的程序之前。HKEY_CURRENT_USER下面的RunOnce鍵在操作系統處理其他Run鍵以及“啟動”文件夾的內容之后運行。如果是XP，你還需要檢查一下HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx。十、Run注冊鍵

Run是自動運行程序最常用的注冊鍵，位置在：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run。HKEY_CURRENT_USER下面的Run鍵緊接HKEY_LOCAL_MACHINE下面的Run鍵運行，但兩者都在處理“啟動”文件夾之前。木馬實現技術隱藏技術木馬程序必須要實現隱藏，否則當木馬程序運行后很容易被對方發現并清除。木馬程序必須要做到在任務欄中，在任務管理器中隱藏自己。(1)任務欄隱藏可以采用調用一些API函數的方法達到目的，如VC＋＋可使用ShowWindow(SW_HIDE)的方法。(2)木馬為了更好的隱藏自己，又出現了所謂的無進程木馬。方式(1)用帶木馬功能的擴展名為DLL的動態鏈接庫替換正常的動態鏈接庫;方式(2)制作DLL木馬，利用rundll32.exe或svchost.exe執行;方式(3)遠程線程技術，即一個進程在另一個進程的虛擬空間中創建遠程線程的方法進入那個進程的內存地址空間。木馬實現技術種植技術1)利用系統漏洞MIME木馬是把一個EXE文件用MIME編碼為一個EML文件，放在網頁上利用IE的編碼漏洞實現自動下載和執行。2)利用瀏覽網頁BMP木馬把一個EXE文件偽裝成一個BMP圖片文件顯示在被用戶瀏覽的網頁上，當用戶單擊圖片時，欺騙IE自動下載文件，再利用網頁中的腳本把BMP圖片文件還原成EXE文件，并把它放在注冊表啟動項。3)捆綁下載一些程序和木馬捆綁在一起，只要到運行這些程序，木馬就會自動安裝木馬實現技術控制技術1、控制對方鼠標、鍵盤Keybd_event()函數可以模擬產生一個鍵盤動作;mouse_event(),sendInput()函數可以模擬鼠標事件2、監視對方屏幕API函數如GetDC()、BitBlt()完成界面的截取3、記錄各種鍵盤信息使用鍵盤鉤子可以實現，所謂鍵盤鉤子就是擊鍵信息在到達應用程序前由鉤子程序捕獲，被鉤子程序提前處理。函數SetWindowsHookEx()安裝鉤子，當第一個函數為WH_KEYBOARD時安裝的就是鍵盤鉤子。4、獲取系統信息取得計算機名用函數GetComputerName(),更改計算機名SetComputerName(),取當前用戶名GetUserName().“冰河”木馬的使用“冰河”包含兩個程序文件，一個是服務器端，另一個是客戶端。win32.exe文件是服務器端程序，Y_Client.exe文件為客戶端程序。將win32.exe文件在遠程得計算機上執行以后，通過Y_Client.exe文件來控制遠程得服務器選擇配置菜單將服務器程序種到對方主機之前需要