木马与后门

现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么，同时还要搞清楚木马的类型，并且学习一些流行的木马程序的用法，这是一个相辅相成的学习进程，当黑客利用漏洞进入服务器之后，就可以选择两条路：一、破坏系统、获得资料、显示自己；二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻击其他系统。
由此看来，木马程序是为第二种情况涉及的一种可以远程控制系统的程序，根据实现木马程序的目的，可以知道这种程序应该具有以下性质：
1、伪装性：程序将自己的服务端伪装成合法程序，并且具有诱惑力的让被攻击者执行，在程序被激活后，木马代码会在未经授权的情况下运行并装载到系统开始运行进程中；
2、隐藏性：木马程序通病毒程序一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其他程序的运行进行的，因此在一般情况下使用者很难发现系统中木马的存在；
3、破坏性：通过远程控制，黑客可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作；
4、窃密性：木马程序最大的特点就是可以窥视被入侵电脑上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
看了上面的介绍，学习者应该对木马程序的用途有了一个初步了解，并且区分清除木马程序和病毒之间的相同点和不同点，由于黑客手段的日益增多，许多新出现的黑客手段（例如 D.O.S）经常会让学习者思维混乱，但实际上这些新出现的黑客手段都是从最开始的溢出、木马演变出来的，因而对于初学者来说，并不需要急于接触过多的新技术，而是要对最基本的也是最有效的黑客技术进行深入学习。
一、木马的原理：
大多数木马程序的基本原理都是一样的，他们是由两个程序配合使用——被安装在入侵系统内的Server程序；另一个是对Server其控制作用的Client程序。学习者已经了解了木马和病毒的区别，大多数Server程序不会像病毒一样主动传播，而是潜伏在一些合法程序内部，然后由目标操作者亲手将其安装到系统中，虽然这一切都是没有经过目标操作者授权的，然而从某种程度上说，这的确是在经过诱惑后目标“心甘情愿”接收木马的，当Server安装成功后，黑客就可以通过Client控制程序对Server端进行各种操作了。
木马程序的Server端为了隐藏自己，必须在设计中做到不让自己显示到任务栏或者系统进程控制器中，同时还不会影响其他程序的正常运行，当使用者电脑处于断线状态下，Server段不会发送任何信息到预设的端口上，而会自动检测网络状态直到网络连接好，Server会通过email或者其他形式将Server端系统资料通知Client端，同时接收Client发送出来的请求。
二、BackOffice使用说明：
1、BackOffice简介：
Back Orifice（以下简称BO）是一个客户机、服务器(Client/Server)木马应用程序，其客户机程序可以用于监视、管理和使用其他网络中运行服务器程序所在的网络资源。要与BO服务器连接，基于文本或图形方式的BO客户机需要运行在微软视窗系统中。
2、服务器端程序的安装：
在安装BO以前，先要对有关服务器端程序进行一些参数设置：如安装后的BO文件名、监听端口、加密密码，这些设置可以使用boconfig.exe工具。在不进行上述设置的情况下，BO缺省是监听31337端口、不使用加密密码。
配置完毕后，将BO服务端交给目标系统并想办法让服务端程序在目标系统中执行，BO就可以自动进行安装了，并且会在安装完毕删除服务端程序，这样做有助于黑客，因为黑客入侵系统并将BO服务端上传完毕后，并不用考虑有关运行和删除服务端程序的问题，只要将这个程序上传到视窗系统的startup目录中就可以了，系统会在启动的时候自动执行startup目录中的程序，BO服务端安装完毕，相关程序会驻留在系统内部，所以即便删除了服务端程序，也不会将BO从系统中清除。安装好BO服务端之后，BO会在系统每次启动的时候自动执行，此操作既不需要黑客考虑，也不会引起使用者的注意。
如果黑客需要远程更新BO服务端的版本，可以再一次将新版本的BO服务端上传到服务器上，然后利用手中的客户端使用Process spawn命令，BO会自动覆盖原系统中的老版本服务端程序。

原文转自：http://www.ltesting.net