现在流行的telnet扩展后门主要有三个:winshell,wollf和wineggdropshell,三个后门都是以w开头,不知道是不是巧合。以下我会详细对这三个后门作功能,大小,稳定性,优缺点,安全上的比较。
winshell最新版本是5.0,应该是不会有再新的版本的了。
wollf最新版本是1.6,很久都没有升级过了,很有可能不再有新的版本。
wineggdropshell最新是matrix版本,作者自1.40版本后升级时间加长了,不过还是会定期为后门加入些有用的新功能。
三个后门作者:
winshell作者是孤独剑客(jacker),主要代表作就是winshell,也没有其它免费的作品了。
wollf作者是wollf,主要代表作是wollf。
wineggdropshell作者是wineggdrop,另有网名Hotmail,代表作是这个后门,还有写过很多小工具,属于多产,小工具最大特点是小型,小工具一般大小都是介于3k到8k之内,他写的20多个小工具,加上这个后门,可以完全装在一个软盘上。
大小方面比较:
winshell :服务端压缩后只是6k,最小型的一个。
wollf :服务端压缩后是56k,属于不算大。
wineggdropshell:最新版本是58k.
wollf和wineggdropshell在大小上相差无几,不过wineggdropshell在隐藏性方面比wollf优胜很多,因为是插入到其它进程中运行的,在进程中是看不到wineggdropshell后门本身进程的。
功能:
三个后门都是以服务启动,都支持多用户同时连接
winshell :基本上没有什么大的功能,只提供下载,得到一个cmd的shell
和关闭,重启几个功能。
wollf :功能不算太多,因为大多数功能根本弄同虚设,例如删除件,复制文件,改文件名,显示目录等一类的功能,根本可以在得到一个cmd的shell后自己去操作。基本有用的功能是查看和杀进程,通过FTP或http下载,嗅探密码,打开ftp服务以及键盘记录这几个功能。
wineggdropshell:功能最多的一个后门,有很多功能是在telnet后门中首先出现的。关于那些功能,会在后面加以说明。
稳定性:
基本上都是一样稳定。
安全性:
winshell :配置信息放在文件中,加过密的,很安全。
wollf :配置信息放在文件尾,全是明文的,连密码也是明文的,极不安全,人家得到服务器就能知道连接密码。
wineggdropshell:配置信息放在文件尾,密码是md5加密的,因为md5本身的特性,所以就算得到服务器程序,一样无法得到密码。
优点:
winshell :小型是winshell的最大优点。
wollf :具有反向连接是wollf比较突出的一个优点。
wineggdropshell:丰富的功能,比较高的隐藏性和丰富的在线帮助是wineggdropshell的最大优点
缺点:
winshell :功能太少了,而且命令是可以用一个字符的,很容易就误输入了个d,然后系统就关机了。
wollf :很多功能都做得不太好,我稍微列举一下某些功能的问题。
1.连接后输入密码失败,不会断开,一样连接,很容易使用穷举密码的方法去破出密码来。
2.键盘记录并不是实时将击键记录,是要收到一定数量的击键后才会记录,如果用户只是输入几个字符后就不再输入任何东西,只是使用鼠标的话,根本不知道用户的击键。
3.ftp服务并不是做得太好,因为不支持断点再传。
4.用户没有配置过服务器的密码的话,默认居然是空密码,极不安全。
5.嗅探密码功能无法配置嗅探内网还是外网,很容易就只是嗅探内网的网卡的连接,根本什么都得不到。
6.配置信息全是明文,极不安全。
wineggdropshell:功能丰富是优点,但同时也是缺点,因为很多功能并不是一般新手可以使用到的,这后门一般不适合于新手使用。而且升级比较困难,因为是插入到其它进程的。
功能大比拼:
由于winshell基本上没有什么功能,所以这里只能比较wollf和wineggdropshell
[1] [2]
wollf和winshelldropshell都具有的功能
1.cmd的Shell
都写得很好,输入和输出都没有显示错误的字符,相当的稳定。
2.http下载
wollf的http下载不支持断点再传,wineggdropshell的支持。wollf只支持标准的http服务,就是http服务打开的端口一定是要80端口,如果是其它端口的话,无法下载。wineggdropshell对于非80端口的http服务一样支持。
3.ftp上传和下载
wollf支持ftp上传和下载,不过你本身一定要知道文件在ftp服务器的什么目录以及要知道文件名字。上传和下载都不支持断点再传.
wineggdropshell提供一个ftp console功能,这个功能特别在于控制ftp的操作象在dos一样简单,支持ftp的基本功能,可以上传,下载,建目录,删除文件,将文件改名和发送ftp命令.上传下载都支持断点再传,这功能可以归纳为一个简单的FTP客户端功能。
4.查看和杀进程
基本上两个后门都是一样,不过wollf杀进程只能杀某个PID的进程,不支持进程名。wineggdropshell杀进程支持杀某个PID或进程名。
5.嗅探密码功能
wollf因为不支持用户自配置网卡号,嗅探多内网的系统多会失败,而且记录看起来比较乱。
wineggdropshell支持自配置嗅探的网卡号,嗅探的记录很整齐。
6.查看系统信息功能
wollf列出的信息太过模糊,系统全是NT/2000,不够wineggdropshell的详细。
7.关机,重启功
基本上是一样
8.端口转发功能
基本上一样,wollf的只支持单进程转发,wineggdrosphell支持多进程转发。
9.内建telnet功能
wollf支持,wineggdropshell没有
10.ftpd功能(ftp 服务)
wollf支持,wineggdropshell暂时没有.wollf的ftp服务不支持断点再传功能
11.键盘记录功能
wollf支持,不过不是太好用。插入进程版的wineggdropshell没有键盘记录功能。
12.注册表管理功能
wineggdropshell独有功能,一个dos类的控制平台,有基本的注册表操作。
13.系统服务管理功能
wineggdrosphell独有功能,支持查看某个服务状态,配置某个服务启动参数,停止服务,启动服务,删除服务等。
14.端口到程序关联功能
wineggdropshell独有功能,相当于fport.exe的功能
15.安装终端功能
wineggdropshell独有功能,在win 2k 服务版上,并没有安装终端的系统上安装终端,不需要上传任何文件,一个命令再重启系统就搞定。
16.克隆帐号功能
wineggdropshell独有功能,相当于小榕的ca.exe
17.httpd(http服务功能)
wineggdropshell独有功能,在远程系统打开一个http服务,支持多线程,打开这服务后,可以用IE随意查看远程系统的文件列表和下载文件。
18.findpass功能
wineggdropshell独有功能,功能是以NT 4.0或2k系统中得到所有登陆了系统的用户的密码,一个加强版本的findpass,可以得到克隆帐户的密码,在原版的findpass无法得到密码的情况中,这个功能都可以得到密码。
19.tcp/ip filtering功能(端口过滤功能)
wineggdropshell独有功能,网上只看过一个叫ipf的程序可以有同样的功能,但后门中这个功能比ipf更为先进和准确。
20.sock5代理功能
wineggdropshell独有功能,可以在将远程系统做成一个具有无密码验证或有密码验证的sock5代理,可以限制连接的IP。相当于skserver,不过不提供代理串联和数据加密.
21.还有其它删除日志,恢复系统常用关联,查看本地或远程系统帐户SID,列举系统所有IP,多用户连入时互相发信息聊天等功能
wineggdropshell独有功能
22.在线帮助
wollf也有在线帮助功能,不过不够详细,只提供功能用法,不带例子.wineggdropshell在线帮助提供用法并带有例子。
23.反向连接功能
wollf独有功能。
总结:
三个后门各自有自己本身的特别。如果喜欢小型后门的朋友,winshell就是首选。如果喜欢功能丰富的朋友,wineggdropshell绝对是首选,在功能上wineggdropshell和wollf比较的话,是具有压倒性的优势的,而且很多功能比wollf的功能要实用很多。如果想有键盘记录或者打开ftp服务功能的话,可以使用一下wollf。telnet后门还有很多,例如srv.exe,tini.exe,tcmd,remotenc等等,但那些因为有的没有验证密码或者功能只是一个cmd的shell,基本上和系统本身的telnet服务差不多,根本上不算是telnet扩展后门,所以不加以比较。
(出处:http://www.sheup.com)
[1] [2]
22.在线帮助
wollf也有在线帮助功能,不过不够详细,只提供功能用法,不带例子.wineggdropshell在线帮助提供用法并带有例子。
23.反向连接功能
wollf独有功能。
总结:
三个后门各自有自己本身的特别。如果喜欢小型后门的朋友,winshell就是首选。如果喜欢功能丰富的朋友,wineggdropshell绝对是首选,在功能上wineggdropshell和wollf比较的话,是具有压倒性的优势的,而且很多功能比wollf的功能要实用很多。如果想有键盘记录或者打开ftp服务功能的话,可以使用一下wollf。telnet后门还有很多,例如srv.exe,tini.exe,tcmd,remotenc等等,但那些因为有的没有验证密码或者功能只是一个cmd的shell,基本上和系统本身的telnet服务差不多,根本上不算是telnet扩展后门,所以不加以比较。
(出处:http://www.sheup.com)
[1] [2] [3]