至顶网›安全频道 ›网络安全›“黑客之门”后门魅力：感染与加载

“黑客之门”后门魅力：感染与加载

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

　最近对后门产生了很浓厚的兴趣，上网与各位高手讨论的时候，有人提到了“黑客之门”很厉害，也算是推出来的比较成功的一个后门，于是上网下载了一个研究研究，顺便也学习学习其中的方法与技巧。不敢独享，分享于此，同时希望高手们指教。

来源：eNet 2009年12月11日

　　“黑客之门”介绍

　　黑客之门采用的目前一些先进的后门技术，它只有一个Dll文件，通过感染系统文件启动自身，被感染的系统文件大小和日期都不会改变;同时采用线程插入技术，本身没有进程;本身不开端口，而是重用系统进程开的任意一个端口，如80，135，139，445等，因此它的隐藏性非常好，而且穿透防火墙也是很容易的事。这个版本文件不大，只提供一些很有用的命令。目前还没有发现如何工具能查到这个后门，象Fport，Llister，RKDetector等查工具都失效。

　　程序的自启动

　　既然是一个后门，那么就要随系统的启动而启动，根据黑客之门的介绍，它是通过感染系统程序文件来实现程序的自启动的。既然是感染了系统文件(像病毒)，那就看看感染前和感染后的系统文件的区别吧!为了测试感染前后的差别，我准备了一个专门用来被感染的文件TestLoad.exe，它没有什么功能，只是弹出一个对话框，这样好等待测试，麻雀虽小，五脏俱全，省得动系统文件了。接着运行命令：

　　C:>rundll32 hkdoordll，DllRegisterServer TestLoad.exe 2

　　使黑客之门感染TestLoad.exe，感染完毕后用EXE文件查看利器eXescope查看TestLoad.exe被感染前后的差别。

　　被感染之前eXescpoe显示的TestLoad.exe的结构如图1所示：

　　感染之后的TestLoad.exe的结构如图2所示：

　　可以看出感染之后的TestLoad.exe的引入表多了一个Hkdoordll.dll引入库。细心观察感染之后的TestLoad.exe的引入表地址(Import Table Address ITA)已经被改变，原来的ITA为0x000043FC，感染之后为0x0000477E。

　　为了进一步看清除感染前后的文件的变化，这里使用LordPE.exe比较感染前后的TestLoad.exe的引入表函数，比较结果如图3所示：

　　小提示：使用LordPE.exe查看exe文件的引入表函数方法是：点击PE Edito打开相应的文件，接着点击Directories，弹出对话框后点击Import Table右边的三个点，这样就可以查看一个可执行文件的引入表了。

　　“黑客之门”介绍

　　程序的自启动

　　C:>rundll32 hkdoordll，DllRegisterServer TestLoad.exe 2

　　使黑客之门感染TestLoad.exe，感染完毕后用EXE文件查看利器eXescope查看TestLoad.exe被感染前后的差别。

　　为了进一步看清除感染前后的文件的变化，这里使用LordPE.exe比较感染前后的TestLoad.exe的引入表函数，比较结果如图3所示：