课程设计报告




课程名称：面向对象程序设计
设计题目：基于反弹Socket通信的windows系统后门实现
专业：计算机科学与技术
姓名：
学号：
指导教师：李晓虹





2016年1月5日



基于反弹socket通信的windows系统后门程序
前言
由于工作需要，本人开发了一个比较强大的windows系统后门程序管理某个公司内网作为间谍软件，经过一翻修改，将大部分功能去掉，公布了这部分功能源代码，请老师细看，绝对是网上独一无二的后门程序，开发周期为3个月的时间（此次作业仅为部分主要功能源代码），此程序具有一定的破坏性，请勿恶意使用，仅仅做测试即可。

需求分析
介绍
HYPERLINK"http://baike.baidu.com/view/20922.htm"\t"_blank"后门HYPERLINK"http://baike.baidu.com/view/17674.htm"\t"_blank"程序就是留在HYPERLINK"http://baike.baidu.com/view/1130583.htm"\t"_blank"计算机系统中，供某位特殊使用者通过某种特殊方式控制计算机系统的途径。基于反弹socket通信的windows系统后门程序，此程序为典型恶意后门程序，在渗透测试的过程中我们会获取目标服务器的系统权限，如果目标服务器刚好在企业内网里，通过拿下的服务器可以进行进一步的信息搜集渗透内网里的其他网络，如果目标服务是公网服务器，那么可以保存下来做中转跳板，要达到以上目的都需要服务器长久的保存下去，毕竟大多数情况下我们是未授权而进入系统的，管理员的维护活动很有可能修补了我们所能利用的漏洞，如果能通过合适的后门程序来维护被我们攻陷的服务器，那么在一定程度上可以延长服务器在我们手中的控制时间。

下面来简要的介绍一下这个windows系统后门的功能：

程序分为三个子程序，分别为：

HVNcon.exe：
后门主控制程序，包含主要的系统操作代码与后门反弹连接代码，其中包含的功能有服务安装、关机计划注册表操作、写Explorer启动项、下载者、反弹cmdshell、cmdshell密码保护。

HVNADD.exe
主要功能是延时添加指定用户到注册表中，代码中设置了sleep函数在系统启动后规定的时间外执行用户添加，HVNcon.exe中写Explorer启动项就是为了执行HVNADD.exe。

HVNdel.exe
主要功能是关机执行的从注册表SAM中删除指定用户信息的任务，HVNcon.exe中关机计划注册表操作函数就是实现此功能。

功能简介
服务启动
服务是指执行指定系统功能的程序、进程，以便支持其他程序，尤其是底层程序，服务就是一种特殊的应用程序，服务启动后对应的程序就一直运行，对于自启动的服务，在系统加载完后就自动启动，而不需要登陆，采用服务启动可以获取系统最高权限，而不仅仅是当前用户权限。
反弹后门连接
反弹后门的工作原理与常见的木马不一样，反弹后门的连接为反向连接方式，也就是让我们预控制的目标中马后来反向连接我们的控制端，由于防火墙对外连的流量一般是放行的，都是信任的流量，也就信任了反弹后门的行为。

后门连接密码保护
对我们已经控制了的服务器，为了不被其他黑客所利用，通常会为自己的后门加密码验证来保护自己所控制的服务器。

隐藏用户的重启隐藏
此功能为本后门的又一大亮点，在为服务器添加隐藏账后可能由于各种原因管理员要对服务器进行维护更有可能重启服务器，那么在“计算机管理”里的“本地用户和组”—“用户”里会通过重新读取注册表SAM来显示出我们的隐藏用户，那么我想到的思路则是关闭服务器的过程中从注册表中删除隐藏用户重启服务器后延时添加我们的隐藏用户的操作。
这里通过HVNcon.exe来写入Explorer/Run启动项来开机进入桌面后自动调用HVNADD.exe来添加用户。



下载者
通过去互联网上下载其他恶意程序到本地执行其他恶意行为，如：键盘记录、远程监听、广告插件等。






总体设计
功能要求
支持单个目标客户端的连接，在服务器和多个客户端之间进行数据传输；
利用C/Ssocket通信，反弹连接，由客户端主动去连接服务端，可在服务端上执行客户端的命令并将显示结果回传；
在用户连接上后有提示，显示出连接信息与客户端主机名；
在系统注册表中创建用户配置；
关机前删除注册表中的用户，重启完成后延时在注册表中创建关机前删除的用户。

2.3系统主要功能和主要功能描述：
服务器端控制程序能够做的事情：
隐藏用户，并且重启隐藏，当运行此程序时恶意用户会在服务器关机后被删除，开机后延迟在注册表中创建隐藏账户。
反弹连接，由客户端主动通过Socket隧道连接服务端，并