Byshell后门:无进程无DLL无硬盘文件

　　现在网络上流行的木马后门类工具很多，但可以称为精品的则没有多少，大多数新手们还在使用Radmin一类的软件来替代后门程序。不幸的是，它们并不是一个真正的后门，极容易服务器管理员察觉，因此肉鸡经常飞掉也就很正常了。

　　一个合格的后门至少应该做到不能有陌生进程存在于任务管理器里，给后门进程起一个看起来像系统进程的名字只是掩耳盗铃；不能在注册表Run启动项或者服务启动项里留下众所周知的启动键值或新增服务，当然更不能直接写开始菜单的启动项；不能如同无视管理员或者防火墙一般明目张胆地打开陌生端口；像Bits.dll那样等待连接时无端口，连接时开端口的程序，在端口检查时只有30%的几率能逃脱。另外后门最好能隐藏自己生成的文件，或者避免感染一些管理员经常检查完整性的系统文件。前三点没有做到的后门程序不是一个“比较高级”的后门程序，当然在使用的时候也就没有稳定性、保密性可言了。

　　按照我的分类，现在常见的后门大概可以分成三个“级别”：

　　★应用级。如WinShell、Radmin、冰河等，它们基本没有采取别的方法来隐藏自己，只是一个普通的能够实现远程控制的应用程序而已。

　　★系统级。多多少少采用了一些Ring3下隐藏行踪的编程技术，用得少的比如Bits.dll，Portless，用得多的比如Hxdef。

　　小提示：Hxdef虽然有一个驱动，但是它对系统的Hook全都是Ring3的，因此大家倾向于称它为系统级而非内核级后门。

　　★内核级，后门主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。但是公布的完整的内核级后门数量不多，兼容性也不近人意。这个话题在Phrack和Rootkit.com上有很多有价值的讨论和成果公布。

　　我在自己写的系统级后门Byshell v0.64中尽力做到以上的要求，然而由于个人能力有限，功能的实现不够全面、稳定，希望大家能给我提好的意见或者替我升级版本。在这篇文章中我将和大家讨论这个开源后门的设计、实现，当然还有实际的应用举例，希望高手不要扔板砖，大家一起讨论。