資源描述:
《簡單反黑客遠(yuǎn)程控制后門的方法》由會員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1�、簡單反黑客遠(yuǎn)程控制/后門的方法遠(yuǎn)程控制技術(shù)帖子:http://www.cnhonkerarmy.com/thread-159998-1-1.html前面已提到了遠(yuǎn)程控制技術(shù)��,現(xiàn)在的很多黑客軟件�、外掛軟件都存在后門程序的捆綁�����,所為后門程序就是在你的計算機(jī)中開某一個端口后門與黑客的主控端進(jìn)行連接���,一旦運(yùn)行了捆綁后門的軟件�����,你的電腦就中了后門程序���,只要黑客在線就能隨意的控制你的電腦了,不只是軟件�����,當(dāng)然假如你的計算機(jī)存在漏洞已經(jīng)被黑客提權(quán)并且植入了木馬你也沒發(fā)現(xiàn)��,黑客總是喜歡植入遠(yuǎn)程木馬�����,遠(yuǎn)程木馬控制你的計算機(jī),黑客通過遠(yuǎn)程控制軟件即主控端能監(jiān)控你的桌面活動��、監(jiān)控你在干什么���;可以查看你各個磁盤
2����、的文件��,還可以把你的重要隱私文件����、照片下載到黑客的電腦中;可以刪除���、格式化你的資料����,修改你的操作系統(tǒng)設(shè)置���,無時無刻監(jiān)控著你�。更可怕的是只要你有麥,就可以監(jiān)聽你的語音說話聲�����,只要你有攝像頭就可以在后臺悄悄打開攝像頭看到你本人��。這是多么可怕的木馬吧�����,這樣把我們的全部隱私都暴露在了黑客的眼中���。如果黑客再植入盜號木馬那就更麻煩了。所以現(xiàn)在本來在這里教大家簡單的反黑客遠(yuǎn)程控制的方法����,方法很簡單,大家一學(xué)就會的����。學(xué)習(xí)之前我們先了解下遠(yuǎn)程木馬的幾個特性然后針對這些特性如何去判別是否被遠(yuǎn)程控制,軟件是否有后門����?一、遠(yuǎn)程控制的兩個通性(1)任何一款的遠(yuǎn)程控制技術(shù)都必須與目標(biāo)(被控端)建立至少一個TCP或
3、者UPD連接����。如果黑客未上線,則會每隔30秒向黑客發(fā)起連接請求��。(2)任何一款遠(yuǎn)控木馬都會向系統(tǒng)寫入至少一個隨機(jī)啟動項�、服務(wù)啟動項,或者劫持某個系統(tǒng)必備的正常啟動項�����。并且會在某個目錄中隱��、釋放木馬�����。以方便隨機(jī)啟動����。二、基于遠(yuǎn)控通性反遠(yuǎn)程控制法——兩條命令判斷是否被控制1.最簡單的方法就是通過兩條命令����,一條是“netstat“��。另一條就是“tasklist“命令�,這兩條命令可真為是絕配的反黑客遠(yuǎn)控的方法啊����。首先我們就在虛擬機(jī)中測試,在本機(jī)使用灰鴿子主控端生成一個木馬放入到虛擬機(jī)中運(yùn)行�。2.確認(rèn)虛擬機(jī)已經(jīng)中了我們的遠(yuǎn)控木馬之后我們開始執(zhí)行第一條命令�����,首先大家先在聯(lián)網(wǎng)的情況��,把所有聯(lián)網(wǎng)的程序
4��、都關(guān)閉�����,包括殺毒軟件�、QQ、迅雷�����、等存在聯(lián)網(wǎng)的程序關(guān)閉,保存最原始的進(jìn)程����。這樣很方便我們識別。再次打開開始菜單——運(yùn)行——輸入“cmd”�。進(jìn)入到黑色的DOS窗口下,輸入命令“netstat-ano“���。這條命令的意思是查看當(dāng)前網(wǎng)絡(luò)的連接狀態(tài)����。輸入之后我們查看中主要看"state"的狀態(tài)�����,如果是“l(fā)istenning”是端口的監(jiān)聽這個可以放心���,如果是“ESTABLISHED”可要注意了����,這個狀態(tài)意思是正在連接�!我們肯定會想,我們都沒開任何程序在聯(lián)網(wǎng)��,何來正在與遠(yuǎn)程主機(jī)連接呢?下面是中了遠(yuǎn)程控制木馬的虛擬機(jī)中網(wǎng)絡(luò)連接狀態(tài)���。3.此時捕捉到正在連接的狀態(tài)的最后一行PID值為:3920�����,這就是我們
5��、說的遠(yuǎn)控至少與目標(biāo)建立一個TCP或UDP連接�����,而這里建立了一個TCP連接,并且仔細(xì)看下�����,“ForeginAddress”意思是外網(wǎng)地址�,這個IP地址可以百度進(jìn)行查詢下就可以知道是哪個地區(qū)的人在控制我們的電腦,再仔細(xì)看下IP地址后面的端口為:8000�,現(xiàn)在很多主流的遠(yuǎn)程軟件都是8000或者80端口,這又更值得懷疑了����。這樣我們就可以查看進(jìn)程��,因?yàn)槟抉R要想進(jìn)行連接就必定會在內(nèi)存中進(jìn)行運(yùn)行����,否則就無法進(jìn)行連接了����,我們查看內(nèi)存中可疑的進(jìn)程,上面捕獲的連接PID為:3920�。我們輸入命令“tasklist/svc“這條命令是查看當(dāng)前進(jìn)程與PID值和啟動的服務(wù)。4.通過上面的命令找到了網(wǎng)絡(luò)連接對應(yīng)的
6�、PID值進(jìn)程3920,并且發(fā)現(xiàn)該進(jìn)程名是一個IE的進(jìn)程��,很明顯這就有問題����,因?yàn)槲覀兏緵]打開瀏覽器,何來IE進(jìn)程呢��?果斷的就知道它的一個遠(yuǎn)程控制木馬偽裝的進(jìn)程�����。我們應(yīng)該馬上去進(jìn)行一個查殺掉該進(jìn)程�����,從內(nèi)存中干掉它。我們輸入命令“taskkill/f/pid3920”這條命令是強(qiáng)制結(jié)束PID值為3920的進(jìn)程����。當(dāng)我們強(qiáng)制結(jié)束掉了木馬之后發(fā)現(xiàn)主控端遠(yuǎn)程控制軟件上的肉雞馬上就下線了。這樣黑客就無法進(jìn)行控制了�。5.在這里說明,我們只是暫時現(xiàn)在已經(jīng)讓黑客無法控制我們的電腦�����,結(jié)束了它的遠(yuǎn)程控制的連接程序��。但是我們要知道遠(yuǎn)程控制的第二個通性���,就是遠(yuǎn)程控制軟件為了讓對方能夠重啟系統(tǒng)后繼續(xù)在黑客的遠(yuǎn)控軟件
7、上面上線��,就必須會在被控者的電腦上寫入一個隨機(jī)啟動項���,這個隨機(jī)啟動項就是當(dāng)系統(tǒng)啟動的時候立馬運(yùn)行木馬���,運(yùn)行了木馬就可以再次上線����。所以我們還需要檢測我們的啟動項���。很多啟動項都是寫入注冊表的���,我們這里給大家列出一些木馬可能寫入的啟動鍵值。HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindow
