通常我们在得到一个主机的控制权后，总是考虑下次如何轻易的能再次进来，而不需要每次都重复复杂的漏洞利用，也有可能系统管理员发现了漏洞及时的补上了呢。那么我们需要安装backdoor（后门），这样只要管理员没有发现被入侵或没有发现我们的后门，下次就可以非常轻松的进来. 
大多数入侵者的后门实现以下的目的：即使管理员改变密码或改变设置，仍然能再次侵入，并且使再次侵入被发现的可能性减至最低。 
"后门"是入侵者在入侵了计算机以后为了以后能方便的进入该计算机而安装的一类软件，它的使用者是水平比较高的入侵者，他们入侵的机器都是一些性能比较好的服务器，而且这些计算机的管理员水平都比较高，为了不让管理员发现，这就要求“后门”必须很隐蔽，因此后门的特征就是它的隐蔽性。 
后门作为一种黑客工具，它的主要用途还是在非法方面，把它说成是一种恶意程序也可以接受，可是却不能把它说成是病毒、木马，因为它们出来本质特征是不同的。当然，任何事物都有两面性，有好的作用就有坏的作用，工具本身的好坏是一个方面，但是关键是要看使用工具的人，刀可以用来杀人也可以用来救人，不能因为刀可以杀人就把刀说得一无是处，关键是看好处多些还是坏处多些。后门也一样，不可否认，它的坏处要多些，可是它的破坏力不大，而且它也有好的一方面，比如后门让大家增加网络安全意识，提高国家整体网络安全水平，可以增加杀毒软件的卖点. 

B:什么样的后门才是好后门？也就是后门最重要的是什么？ 
后门的特征就是它的隐蔽性，因此隐蔽性好的后门才是真正的好后门。 
那么后门的隐蔽性主要体现在哪些方面呢？有下面四个方面： 
是否查杀、启动方式、存在方式和连接方式。 
是否查杀是指当后门启动运行时,是否被当前的各种杀毒软件查杀;目前大多数后门的寿命不会久长,不是被发现就是被杀毒软件杀掉了. 
启动方式是指当操作系统启动时怎样启动后门，目前决大多数后门都是采用加注册表启动项或者加系统服务的方式，这些方式都是很容易发现的，而感染系统文件的启动方式是比较隐蔽的。 
存在方式是指当后门成功启动后，它在操作系统中的存在形式，目前主要有三种方式：进程、隐藏进程和远程线程，进程和隐藏进程现在都很容易发现了，远程线程是一种比较隐蔽的方式。 
连接方式是指该后门的用户怎样通过客户端和安装了该后门的机器建立连接，从而控制该机器。开tcp端口的方式太明显，fport就可以发现，udp端口也一样，使用icmp等数据包实现无连接传输不是很稳定，目前端口复用技术和反向连接技术都是比较好的技术，各有所长，也可以两种技术相结合。 

C:(后门.后门,黑客的命根) 如果一个后门能够把上面四个方面都做得很好，那才是一个真正的好后门。 
我们今天利用第三方软件替换系统服务来隐藏后门,背靠比尔.盖茨的微软这棵大树,做一个Windows的后门,我看谁还敢杀?除非他们不想干了.我们的后门启动方式自然是以系统服务启动的.以服务进程存在.连接方式是以传统的C/S方式主动连接的. 

D:我们今天通过隐藏后门实际操作,从中要学习和掌握到什么呢? 
我感觉有以下几点: 
1:认识,熟悉,掌握Windows操作系统的进程和服务及他们的作用.这是进程中的进程,核心中的核心,基础中 的基础. 
2:学习,熟悉和掌握批处理命令. 
3:学习和使用在命令提示符下对注册表的操作,修改,添加和删除. 
4:也是我认为最重要的一点就是,给大家提供的一条思路.这样才能举一反三,事半功倍.  

[1] [2] [3] [4] [5] [6] 下一页