喜欢在网上浏览新闻的人,一定会经常看到某人隐私被黑客盗窃,或者以此来要挟受害人的事情。这里大家可能要问了,他们是如 何做到的呢?其实答案很简单,只不过是利用了远程木马控制实现,下面笔者将会针对黑客圈子里,常见的远程木马进行详细讲解。 一、穿透力极强的By s hell 木马 By shell 是一个无进程、无 DLL、无启动项的、集多种 Rootkit 技术特征的独立功能远程控制后门程序 (Backdoor)。其利用线程注射 DLL 到系统进程,解除 DLL 映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在 Ring0,因此有很强的隐蔽性和杀伤力。 1.配置 By s hell 木马服务端 要想配置 By shell 木马服务端,我们首先打开下载到本地的“Byshell 客户端”程序,在所弹出的“监听 端口”对话框内,输入其木马想要监听的端口,默认设置为 2007(如图 1)。 图 1 修改完毕后,进入到“Byshell 木马客户端”界面,在顶端的工具栏内,单击“配置服务端”按钮,此时就会打 开“配置服务端”的对话框(如图 2)。 图 2 在“IP 通知地址”标签处,输入自己空间的访问地址,“IP 或者DNS 域名”标签,则输入自己的本机 IP,另外 客户端口输入的数字,要与此前设置的监听端口一致,否则会出现肉鸡无法上线的情况。然后在单击“生成”按钮,在弹出的“另存为”对话框内,选择好所要生成 的路径,单击“确定”按钮,就可使其服务端生成完毕。 2 .让主动防御纷纷落马 为了能够测试 By s hell 木马的威力,我们这里打开杀毒软件的所有“主动防御”选项,并且将其安全级别提高到 最高,然后在运行一下刚生成好的 By s hell 木马服务端,此时你会发现杀毒软件竟然将它的启动视而不见,并且在客户端还可以看到中招的机器上线。如果你 想对肉鸡进行控制,我们可以选择其上线的机器,然后在上方单击工具栏里的“相关”按钮,如这里单击“文件管理”按钮,就可打开被控制机器的“文件管理”对 话框,从中我们可以查阅该肉鸡里的所有硬盘文件。另外最后要想卸载掉远程服务端,只要在“客户端”界面内,右击上线肉鸡 IP 栏,选择“远程卸载”选项,就 可将其服务端从受害者系统里摘除。 总结:其实By s hell 木马通过对当前系统的 SSDT 表进行破坏,所 使用系统原来的 SSDT表覆盖现在的 SSDT 表,才使杀毒软件的主动防御功能实效的。如果你想从数据上了解By s hell木马的穿透,可以使...
