讨论下一个好的后门应该拥有哪些特征

Ruin

议题作者：风蓝

使用了这么长时间的后门，但是一直没有一款是心目中理想的后门。所以想和大家讨论讨论一个好的后门应该有哪些特征。

当然现今乃至以后都可能不会出现完美的后门。

后门我现在把他分为好几种。
1.打开突破口的后门.
2.保留权限的后门.
3.方便远程控制操作的后门.
4.智能型的后门.

其中3可以分为2小类.

3-1.一种是方便远程操作.
3-2.一种是方便渗透的后门.

下面我说下这些后门应该具有的特征
1.能够突破 市场上
绝大部分防火墙的主动防御功能,和一些杀毒程序的智能行为分析功能,这类后门不需要有什么特殊的功能,只要能够 突破
目标机器的防火墙,拥有一个反向的shell,有自己写的上传 下载 执行文件功能就够了. 这类后门被广泛应用在一些 欺骗入侵手段中.

2.这类后门的代码编写和功能应该得到编写者的充分考虑,因为这类后门往往是留在一些非常重要的机器上的.他要求的功能也很简单,拥有一个反向或是正向隐藏端口的shell.提供普通的文件管理功能就行,但是这类后门极度的要求
网络协议部分
稳定(这个问题是市面上95%以上的后门通用的毛病).还要求有隐藏链接,(正向的话要能实现端口复用),隐藏文件,隐藏掉自启动方式.能够anti-icesword,anti-sniff(目前还没有见过`)

3-1.这类后门就是要求界面和功能的友好性了,要有文件，进程，注册表，服务，CMDSHELL，远程控制管理。这类后门完全可以不需要自启动，不需要一些底层的东西，只需要在应用层上完善稳定优化好功能就行。

3-2.这类后门可以集成一些常用的渗透工具所拥有的功能，findpass,读取本机保存的网络链接密码，读取IE缓存的密码，读取MS N,OE等聊天工具里的联系人信息，内外网映射，键盘记录等。如果能够集成一些常见的EXP那就更完善了。

4.这类后门能够利用自己的优点进行自动传播.比如利用自身携带的EXP进行自行渗透,利用USB硬盘的自启动,利用网上邻居感染exe等都是属于智能型的.

再来归类以下国内市面上的后门对应哪些功能.
1.这种后门很少有发布，都是找人定做的，这个我就不方便透漏了，目前知道的国内有4个人写的后门均能达到这个要求。

2.ncph的隐蔽性不错,但是网络协议部分太差,如果在网络不是非常好的情况下上线时间超过10分钟左右就不能操作了.这个可以用做入门级的保留权限的后门.pcshare
上兴也是属于这个类的,可惜的是都是隐蔽性能一般，上线性能极差.hackdoor也属于这类的.
这类工具也有我后面说的anti-ice,anti-sniff的后门,也是找人定做的，听说价格不菲，就是不知道具体功能怎么样.

3-1.这里就是强烈推荐灰鸽子了,功能齐全,操作界面人性化,上线最稳定.不足之处是太过显眼容易被杀..

3-2.以前有人给我推荐过这类后门,开价有点高.市面上倒是没有见过有发布的，和第一款一样，当然这类后门只是图个方便.可用范围较小,一般通用的小程序都能搞定.

4.熊猫烧香和那种自动传播的下载着就是典型的只能型的,不过用作后门的话应该把传播范围缩小,比如只在某个内网网段类进行智能行为,要不然不限制他乱传播小心又成了下一个熊猫烧香.

总结下,一款好的后门你不需要拥有以前全部的功能，那基本上也是不可能的。
你的后门可以分为几种版本出来，但是前提是上线必须稳定，这是作为一个好的后门必须拥有的条件。

另外，如果有正在开发后门的人看到这个帖子~如果你的后门希望测试，我很乐意给你做测试员~

ps:其实我只是举了3种后门出来~不过确实现在可以用的后门都是这几款演变来的~

棉周

楼主,你太强大了,分析得如此透彻!

willJ

这些讨论的都是XP的技术了吧，win7上面很多都是不可行了的

baoshan19880425

好东西 。。。收藏先   

hn2099

貌似很多软件都被开发者故意留后门

411516320

最好的后门就微软 搞不好我们的门都开着 楼下同意吗