所謂擴(kuò)展后門，顧名思義，就是擴(kuò)展后門的功能，將許多的功能都集中到了后門里，使得后門幾乎萬能化，可以直接控制肉雞或者服務(wù)器。擴(kuò)展后門很受初學(xué)者喜愛，通常集成了文件上傳/下載、系統(tǒng)用戶檢測、HTTP訪問、終端安裝、端口開放、啟動/停止服務(wù)等功能，本身就是個小的工具包，功能強(qiáng)大。

Wineggdroup shell

類型：系統(tǒng)后門

使用范圍：win2000/xp/2003

隱蔽程度：★★★★☆

使用難度：★★☆☆☆

危害程度：★★★★☆

查殺難度：★★★★☆

這個后門是擴(kuò)展后門中很有代表性的一個，功能這全面讓人嘆為觀止，它能實現(xiàn)如下比較有特色的功能：進(jìn)程管理，可查看，殺進(jìn)程(支持用進(jìn)程名或PID來殺進(jìn)程);注冊表管現(xiàn)(查看，刪除，增加等功能);服務(wù)管理(停止，啟動，枚舉，配置，刪除服務(wù)等功能)端口到程序關(guān)聯(lián)功能(fport);系統(tǒng)重啟，關(guān)電源，注銷等功能(reboot,poweroff,shutdown,logoff);嗅探密碼功能;安裝終端，修改終端端口功能;端口重定向功能(多線程，并且可限制連接者IP);HTTP服務(wù)功能(多線程，并且可限制連接者IP);Socd5代理功能(支持兩種不同方式驗證，可限制連接者IP);克隆賬號，檢測克隆賬戶功能(clone,checkclone);加強(qiáng)了的FindpassWord功能(可以得到所有登錄用戶，包括使用克隆賬戶遠(yuǎn)程登錄用戶密碼);HTTP代理(完全匿名，支持oicq、 MSN、mirc等程序);其他輔助功能，http下載，刪除日志，系統(tǒng)信息，恢復(fù)常用關(guān)聯(lián)，枚舉系統(tǒng)賬戶等。

當(dāng)網(wǎng)絡(luò)上剛推出這個后門的時候，非常多的人用它來替換自己原來使用的后門，一時間各處贊揚之聲迭起，但多為一些普通的打撈手的心聲，其實它和“后門”的原始定義是有出入的：一旦你需要實現(xiàn)越多的功能，那你的程序在執(zhí)行、隱藏、穩(wěn)定等方面就需要考慮非常多的問題，一個疏忽就會導(dǎo)致全盤皆敗，所以不建議將此后門用在需要非常隱蔽的地方。

運用舉例

在安裝后門前，需要使用它自帶的EditServer.exe程序?qū)Ψ?wù)端進(jìn)行非常詳細(xì)的配置，從10個具體配置中，包括了插入線程、密碼、IP登錄郵件通告等方面，不難看出它的功能是非常強(qiáng)大的，隱蔽性也很強(qiáng)，下面說幾個在入侵中常用的功能，相信經(jīng)常玩入侵的朋友一定能發(fā)現(xiàn)它的強(qiáng)大之處：

Fport:列出進(jìn)程到端口的列表，用于發(fā)現(xiàn)系統(tǒng)中運行程序所對應(yīng)的端口，可以用來檢測常見的隱蔽的后門。

Reboot:重啟系統(tǒng)，如果你上傳并運行了其他后門程序，并需要重啟機(jī)器以便讓后門正常工作，那使用這個命令吧!

Shell:得到一個Dos Shell,這個不多講了，直接得到服務(wù)器或者肉雞上的cmd shell。

Pskill PID或程序名：用于殺掉特定的服務(wù)，比如殺毒軟件或者是防火墻。

Execute程序：在后臺中執(zhí)行程序，比如sniffer等。[url=http://ip/]http://ip/[/url]文件名 保存文件名：下載程序，直接從網(wǎng)上down一個后門到服務(wù)器上。

Installterm端口：在沒有安裝終端服務(wù)的win2k服務(wù)版的系統(tǒng)中安裝終端服務(wù)，重啟系統(tǒng)后才生效，并可以自定義連接端口，比如不用3389而用其他端口。

StopService/StartService:停止或者啟動某個系統(tǒng)服務(wù)，比如telnet。

CleanEvent:刪除系統(tǒng)日志。

Redirect:TCP數(shù)據(jù)轉(zhuǎn)發(fā)，這個功能是后門程序中非常出色的一個功能，可以通過某一端口的數(shù)據(jù)轉(zhuǎn)發(fā)來控制內(nèi)網(wǎng)的機(jī)器，在滲透入侵的時候非常管用!

EnumService:列舉所有自動啟動的服務(wù)的資料，比如后門、木馬。

RegEdit:進(jìn)入注冊表操作模式，熟悉注冊表的使用者終于在后門中找到了福音!

Findpassword:得到所有登錄用戶密碼，比我們常用的findpass功能可強(qiáng)多了。

……

總體來講，Wineggdrop shell是后門程序中很出彩的一個，它經(jīng)過作者幾次大規(guī)模的修改和升級，已經(jīng)趨于穩(wěn)定，功能的強(qiáng)大當(dāng)然沒得說，但是由于功能太強(qiáng)大，被查殺和懷疑是難以避免的，所以很多人在使用Wineggdrop shell一段時間后就發(fā)現(xiàn)肉雞飛了，其實是很正常的事，我你出不用氣餒，其實用很簡單的方法就可以很好地提高它的隱蔽性，下文將有說明。

相對于Wineggdrop shell來說，獨孤劍客的winshell在功能上就不那么全面了，但是筆者推薦新手更多的使用winshell而不是Wineggdrop shell，因為winshell功能除了獲得一個shell以外，只加入了一些重啟、關(guān)閉服務(wù)器的命令，功能相對簡單，但完全使用系統(tǒng)自帶的cmd來執(zhí)行命令，對系統(tǒng)學(xué)習(xí)和掌握也是非常有幫助的!

Winshell和wolf這兩者都是國內(nèi)早期頂尖的后門程序，程序的編制無疑是非常經(jīng)典的，新手學(xué)習(xí)時使用這兩款后門一定能讓你明白很多系統(tǒng)相關(guān)東西，了解很多入侵思路和方法。

【編輯推薦】

1. 淺談后門的概念與分類
2. 經(jīng)典后門實例之網(wǎng)頁后門
3. 經(jīng)典后門實例之線程插入后門
4. 開源軟件為黑客們開好后門？
5. 用Mysql語句來生成后門木馬方案