系统后门编程技术.pptx

反黑风暴— 网站入侵与脚本技术快速防杀
系统***编程技术
♂编写简单的***程序
♂实现自启动功能的编程技术
♂远程线程技术
♂端口复用***
编写简单的***程序
编程实现远程终端的开启
编程实现文件查找功能
编程实现重启、关机、注销
编程实现http下载文件
编程实现cmdshell和各功能的切换
编程实现文件查找功能
利用***的文件查找功能,可以实现快速查找目标主机中某种格式的文件,如寻找目标主机中的日志文件,该功能是***中比较少见的功能。文件查找其实是一个比较复杂的过程,文件查找具体流程如图11-2所示。
编程实现cmdshell和各功能的切换
把前面介绍的几种***的基本功能组合在一起,再加上密码验证就构成一个完整的***。可以把每个功能都写成函数,再以接收到特定的字符串来判断要调用哪个函数、执行哪项功能等。在相应的功能执行完毕之后,再继续等待接收新的特定字符串。而且在刚接收到连接时必须对连接进行密码验证。其具体流程如图11-12所示。
实现自启动功能的编程技术
注册表自启动的实现
ActiveX自启动的实现

注册表自启动的实现
注册表自启动是在注册表中修改或添加相关的自启动键值,而且这些键值的数据一般都为修改为要实现自启动程序的文件名。在【运行】对话框中输入“msconfig”命令,如图11-13所示。单击【确定】按钮,即可打开【系统配置实用程序】对话框。在“启动”选项卡中可看到本机中所有的启动程序,如图11-14所示。
远程线程技术
初步的远程线程注入技术
编写远程线程注入***
远程线程技术的发展
初步的远程线程注入技术
远程线程中的远程不是跨越计算机,而是跨越进程。假如有A和B两个进程,其中A是系统的正常进程,而进程B是木马进程。如果进行A中启动一个新线程,并且用这个线程来实现木马功能,当新线程启动后,B进程自动退出。此时在进程列表中就看不到木马线程,并且新线程是通过系统正常进程访问网络,就不会被防火墙拦截。要创建远程线程的具体流程如图11-18所示。
端口复用***
***思路
具体编程实现