【IT168 专稿】喜欢在网上浏览新闻的人，一定会经常看到某人隐私被黑客盗窃，或者以此来要挟受害人的事情。这里大家可能要问了，他们是如何做到的呢?其实答案很简单，只不过是利用了远程木马控制实现，下面笔者将会针对黑客圈子里，常见的远程木马进行详细讲解。

　　一、穿透力极强的Byshell木马

　　Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。

　　1.配置Byshell木马服务端

　　要想配置Byshell木马服务端，我们首先打开下载到本地的“Byshell客户端”程序，在所弹出的“监听端口”对话框内，输入其木马想要监听的端口，默认设置为2007(如图1)。

图1

　　修改完毕后，进入到“Byshell木马客户端”界面，在顶端的工具栏内，单击“配置服务端”按钮，此时就会打开“配置服务端”的对话框(如图2)。

图2

　　在“IP通知地址”标签处，输入自己空间的访问地址，“IP或者DNS域名”标签，则输入自己的本机IP，另外客户端口输入的数字，要与此前设置的监听端口一致，否则会出现肉鸡无法上线的情况。然后在单击“生成”按钮，在弹出的“另存为”对话框内，选择好所要生成的路径，单击“确定”按钮，就可使其服务端生成完毕。

　　2.让主动防御纷纷落马

　　为了能够测试Byshell木马的威力，我们这里打开杀毒软件的所有“主动防御”选项，并且将其安全级别提高到最高，然后在运行一下刚生成好的Byshell木马服务端，此时你会发现杀毒软件竟然将它的启动视而不见，并且在客户端还可以看到中招的机器上线。如果你想对肉鸡进行控制，我们可以选择其上线的机器，然后在上方单击工具栏里的“相关”按钮，如这里单击“文件管理”按钮，就可打开被控制机器的“文件管理”对话框，从中我们可以查阅该肉鸡里的所有硬盘文件。另外最后要想卸载掉远程服务端，只要在“客户端”界面内，右击上线肉鸡IP栏，选择“远程卸载”选项，就可将其服务端从受害者系统里摘除。

　　总结：其实Byshell木马通过对当前系统的SSDT表进行破坏，所使用系统原来的SSDT表覆盖现在的SSDT表，才使杀毒软件的主动防御功能实效的。如果你想从数据上了解Byshell木马的穿透，可以使用Wsyscheck等工具查看系统中的SSDT表，这样就会清楚的看见杀毒软件在正常情况下，与被木马穿透的表是不同的了。