欢迎来到天天文库
浏览记录
ID:5366851
大小:1.71 MB
页数:15页
时间:2017-12-08
《简单反黑客远程控制后门的方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、简单反黑客远程控制/后门的方法远程控制技术帖子:http://www.cnhonkerarmy.com/thread-159998-1-1.html前面已提到了远程控制技术,现在的很多黑客软件、外挂软件都存在后门程序的捆绑,所为后门程序就是在你的计算机中开某一个端口后门与黑客的主控端进行连接,一旦运行了捆绑后门的软件,你的电脑就中了后门程序,只要黑客在线就能随意的控制你的电脑了,不只是软件,当然假如你的计算机存在漏洞已经被黑客提权并且植入了木马你也没发现,黑客总是喜欢植入远程木马,远程木马控制你的计算机,黑客通过远程控制软件即主控端能监控你的桌面活动、监控你在干什么;可以查看你各个磁盘
2、的文件,还可以把你的重要隐私文件、照片下载到黑客的电脑中;可以删除、格式化你的资料,修改你的操作系统设置,无时无刻监控着你。更可怕的是只要你有麦,就可以监听你的语音说话声,只要你有摄像头就可以在后台悄悄打开摄像头看到你本人。这是多么可怕的木马吧,这样把我们的全部隐私都暴露在了黑客的眼中。如果黑客再植入盗号木马那就更麻烦了。所以现在本来在这里教大家简单的反黑客远程控制的方法,方法很简单,大家一学就会的。学习之前我们先了解下远程木马的几个特性然后针对这些特性如何去判别是否被远程控制,软件是否有后门?一、远程控制的两个通性(1)任何一款的远程控制技术都必须与目标(被控端)建立至少一个TCP或
3、者UPD连接。如果黑客未上线,则会每隔30秒向黑客发起连接请求。(2)任何一款远控木马都会向系统写入至少一个随机启动项、服务启动项,或者劫持某个系统必备的正常启动项。并且会在某个目录中隐、释放木马。以方便随机启动。二、基于远控通性反远程控制法——两条命令判断是否被控制1.最简单的方法就是通过两条命令,一条是“netstat“。另一条就是“tasklist“命令,这两条命令可真为是绝配的反黑客远控的方法啊。首先我们就在虚拟机中测试,在本机使用灰鸽子主控端生成一个木马放入到虚拟机中运行。2.确认虚拟机已经中了我们的远控木马之后我们开始执行第一条命令,首先大家先在联网的情况,把所有联网的程序
4、都关闭,包括杀毒软件、QQ、迅雷、等存在联网的程序关闭,保存最原始的进程。这样很方便我们识别。再次打开开始菜单——运行——输入“cmd”。进入到黑色的DOS窗口下,输入命令“netstat-ano“。这条命令的意思是查看当前网络的连接状态。输入之后我们查看中主要看"state"的状态,如果是“listenning”是端口的监听这个可以放心,如果是“ESTABLISHED”可要注意了,这个状态意思是正在连接!我们肯定会想,我们都没开任何程序在联网,何来正在与远程主机连接呢?下面是中了远程控制木马的虚拟机中网络连接状态。3.此时捕捉到正在连接的状态的最后一行PID值为:3920,这就是我们
5、说的远控至少与目标建立一个TCP或UDP连接,而这里建立了一个TCP连接,并且仔细看下,“ForeginAddress”意思是外网地址,这个IP地址可以百度进行查询下就可以知道是哪个地区的人在控制我们的电脑,再仔细看下IP地址后面的端口为:8000,现在很多主流的远程软件都是8000或者80端口,这又更值得怀疑了。这样我们就可以查看进程,因为木马要想进行连接就必定会在内存中进行运行,否则就无法进行连接了,我们查看内存中可疑的进程,上面捕获的连接PID为:3920。我们输入命令“tasklist/svc“这条命令是查看当前进程与PID值和启动的服务。4.通过上面的命令找到了网络连接对应的
6、PID值进程3920,并且发现该进程名是一个IE的进程,很明显这就有问题,因为我们根本没打开浏览器,何来IE进程呢?果断的就知道它的一个远程控制木马伪装的进程。我们应该马上去进行一个查杀掉该进程,从内存中干掉它。我们输入命令“taskkill/f/pid3920”这条命令是强制结束PID值为3920的进程。当我们强制结束掉了木马之后发现主控端远程控制软件上的肉鸡马上就下线了。这样黑客就无法进行控制了。5.在这里说明,我们只是暂时现在已经让黑客无法控制我们的电脑,结束了它的远程控制的连接程序。但是我们要知道远程控制的第二个通性,就是远程控制软件为了让对方能够重启系统后继续在黑客的远控软件
7、上面上线,就必须会在被控者的电脑上写入一个随机启动项,这个随机启动项就是当系统启动的时候立马运行木马,运行了木马就可以再次上线。所以我们还需要检测我们的启动项。很多启动项都是写入注册表的,我们这里给大家列出一些木马可能写入的启动键值。HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindow
此文档下载收益归作者所有