Recentemente, eu estou estudando Winsock, e esta é 
a minha primeira aplicação Winsock. É um backdoor C ++.
O backdoor tem duas partes: cliente e servidor.
O servidor, CppServer.exe, uma vez executado, ele irá
 se instalar para o diretório do Windows, eo servidor
 é executado em cada inicialização do sistema. 
Quando o processo do servidor
é executado, ele escutar na porta 65530, e esperar 
por conexões de entrada.
Quando o executável do servidor é executado, o
 servidor cria uma svchost.exe suspenso e,
 em seguida, o servidor de injetar-se no processo
 de svchost.exe, eo código do servidor
executa no espaço de endereço do processo svchost.exe. 
Esta é a técnica chamada de bifurcação dinâmica,
 também conhecido como processo de esvaziamento.

Recursos de servidor:

1) Processo de esvaziamento no processo svchost.exe.

2) Criar processos.

3) ShellExecute.

4) Desligar o computador.

5) Reinicie o computador.

6) user Logoff.

7) Forçar desligamento usando a função NtShutdownSystem.

8) Força reiniciar usando a função NtShutdownSystem.

9) Limpar o MBR do computador remoto.

Comandos:

começar [nome do programa]
Criar um novo processo.

shellexecute [nome do arquivo]
Abrir um arquivo ou site usando a função ShellExecute.

desligar
Desligue o computador remoto.

reiniciar
Reinicie o computador remoto.

sair
Logoff no computador remoto.

forceshutdown
Força desligar o computador remoto
 usando a função NtShutdownSystem.

forcerestart
Força reiniciar o computador remoto
 usando a função NtShutdownSystem.

limpar
Substituir o MBR do computador remoto
 com dados de lixo, fazer com que o 
computador remoto incapaz de arrancar.
Funções de API nativas utilizadas no servidor:

1) RtlAdjustPrivilege

2) NtOpenProcess

3) NtTerminateProcess

4) NtReadVirtualMemory

5) NtWriteVirtualMemory

6) NtGetContextThread

7) NtSetContextThread

8) NtUnmapViewOfSection

9) NtResumeThread

10) NtShutdownSystem

11) NtClose
BAIXE AKI