木馬與后門

現在我們來看看木馬在黑客學習中的作用。首先學習者要明確木馬究竟是什么，同時還要搞清楚木馬的類型，并且學習一些流行的木馬程序的用法，這是一個相輔相成的學習進程，當黑客利用漏洞進入服務器之后，就可以選擇兩條路：一、破壞系統、獲得資料、顯示自己；二、利用木馬為自己開辟一個合法的登錄賬號、掌管系統、利用被入侵系統作為跳板繼續攻擊其他系統。
由此看來，木馬程序是為第二種情況涉及的一種可以遠程控制系統的程序，根據實現木馬程序的目的，可以知道這種程序應該具有以下性質：
1、偽裝性：程序將自己的服務端偽裝成合法程序，并且具有誘惑力的讓被攻擊者執行，在程序被激活后，木馬代碼會在未經授權的情況下運行并裝載到系統開始運行進程中；
2、隱藏性：木馬程序通病毒程序一樣，不會暴露在系統進程管理器內，也不會讓使用者察覺到木馬的存在，它的所有動作都是伴隨其他程序的運行進行的，因此在一般情況下使用者很難發現系統中木馬的存在；
3、破壞性：通過遠程控制，黑客可以通過木馬程序對系統中的文件進行刪除、編輯操作，還可以進行諸如格式化硬盤、改變系統啟動參數等惡性破壞操作；
4、竊密性：木馬程序最大的特點就是可以窺視被入侵電腦上的所有資料，這不僅包括硬盤上的文件，還包括顯示器畫面、使用者在操作電腦過程中在硬盤上輸入的所有命令等。
看了上面的介紹，學習者應該對木馬程序的用途有了一個初步了解，并且區分清除木馬程序和病毒之間的相同點和不同點，由于黑客手段的日益增多，許多新出現的黑客手段（例如 D.O.S）經常會讓學習者思維混亂，但實際上這些新出現的黑客手段都是從最開始的溢出、木馬演變出來的，因而對于初學者來說，并不需要急于接觸過多的新技術，而是要對最基本的也是最有效的黑客技術進行深入學習。
一、木馬的原理：
大多數木馬程序的基本原理都是一樣的，他們是由兩個程序配合使用——被安裝在入侵系統內的Server程序；另一個是對Server其控制作用的Client程序。學習者已經了解了木馬和病毒的區別，大多數Server程序不會像病毒一樣主動傳播，而是潛伏在一些合法程序內部，然后由目標操作者親手將其安裝到系統中，雖然這一切都是沒有經過目標操作者授權的，然而從某種程度上說，這的確是在經過誘惑后目標“心甘情愿”接收木馬的，當Server安裝成功后，黑客就可以通過Client控制程序對Server端進行各種操作了。
木馬程序的Server端為了隱藏自己，必須在設計中做到不讓自己顯示到任務欄或者系統進程控制器中，同時還不會影響其他程序的正常運行，當使用者電腦處于斷線狀態下，Server段不會發送任何信息到預設的端口上，而會自動檢測網絡狀態直到網絡連接好，Server會通過email或者其他形式將Server端系統資料通知Client端，同時接收Client發送出來的請求。
二、BackOffice使用說明：
1、BackOffice簡介：
Back Orifice（以下簡稱BO）是一個客戶機、服務器(Client/Server)木馬應用程序，其客戶機程序可以用于監視、管理和使用其他網絡中運行服務器程序所在的網絡資源。要與BO服務器連接，基于文本或圖形方式的BO客戶機需要運行在微軟視窗系統中。
2、服務器端程序的安裝：
在安裝BO以前，先要對有關服務器端程序進行一些參數設置：如安裝后的BO文件名、監聽端口、加密密碼，這些設置可以使用boconfig.exe工具。在不進行上述設置的情況下，BO缺省是監聽31337端口、不使用加密密碼。
配置完畢后，將BO服務端交給目標系統并想辦法讓服務端程序在目標系統中執行，BO就可以自動進行安裝了，并且會在安裝完畢刪除服務端程序，這樣做有助于黑客，因為黑客入侵系統并將BO服務端上傳完畢后，并不用考慮有關運行和刪除服務端程序的問題，只要將這個程序上傳到視窗系統的startup目錄中就可以了，系統會在啟動的時候自動執行startup目錄中的程序，BO服務端安裝完畢，相關程序會駐留在系統內部，所以即便刪除了服務端程序，也不會將BO從系統中清除。安裝好BO服務端之后，BO會在系統每次啟動的時候自動執行，此操作既不需要黑客考慮，也不會引起使用者的注意。
如果黑客需要遠程更新BO服務端的版本，可以再一次將新版本的BO服務端上傳到服務器上，然后利用手中的客戶端使用Process spawn命令，BO會自動覆蓋原系統中的老版本服務端程序。

原文轉自：http://www.anti-gravitydesign.com