最近在分析恶意代码的过程中，遇到了一个基于管道的后门，于是学习了基于管道的shell后门的原理，自己写了一个简单的shell后门。分享给大家交流。如果有错误，请指出来。免责声明：本内容仅用于分析恶意代码时参考相关原则。请自觉遵守相关法律，严禁将相关技术用于任何非法目的。否则，后果自负。

00-1010这一次实现了一个正壳，被告充当服务器，本地监听一个端口，黑客充当客户端，通过网络连接。整个原理如下图所示：

黑客通过网络收发数据，这里的箭头表示数据流方向。首先将数据从黑客通过网络套接字传输到被控人的缓冲区，然后通过管道写入缓冲区，由CMD程序从管道的另一端读取，作为CMD程序的输入。

CMD程序执行结果后，输出被写入另一条流水线，缓冲区从流水线的另一端读取输出，然后通过网络套接字发送给黑客。

其中，CMD程序是通过函数API CreateProcess调用的。设置时，程序的输入输出可以自行指定。

00-101010

原理

相信大家对socket相关的API都很熟悉。下面简单介绍一下创建TCP服务器程序的函数调用过程，如下所示：

WSAStartup()-socket()-bind()-listen()-accept()-send()/recv()-closesocket()-WSACleanup().

首先使用WSAStartup()初始化Winsock库，使用后再调用WSACleanup()释放Winsock库。然后使用socket()创建一个套接字，使用后调用closesocket()关闭套接字。对于像WSAStartup()/WSACleanup()和socket()/closesocket()这样的函数，最好在写完一个函数之后再写另一个函数，以免遗忘。创建套接字后，可以使用bind()，listen()，accept()，send()和recv()。为bind()函数指定地址和端口时，还涉及sockaddr_in结构、将主机字节顺序转换为网络字节顺序的htons函数等。这些都是固定流程，我就不多赘述了。

00-1010管道是一种进程间通信技术，可分为命名管道和匿名管道。匿名管道只能实现本地机器上两个进程之间的通信，常用于父进程和子进程之间的数据传输。我们可以在这里使用匿名管道，因为匿名管道比命名管道相对简单。

首先，需要CreatePipe()来创建管道。该功能定义如下：

HReadPipe指向用于接收管道的读取句柄的变量；

hWritePipe指向用于接收管道写句柄的变量；

LpPipeAttributes是一个指向SECURITY_ATTRIBUTES结构的指针，该结构决定了返回的句柄是否可以被子进程继承。如果lpPipeAttributes为空，则无法继承句柄。我们会让它在这里传承下去。SECURITY_ATTRIBUTES结构相对简单。您可以自行查阅MSDN设置。

NSize指定管道的缓冲区大小，以字节为单位。大小合适。

一个建议；系统使用值来计算一个适当的缓冲机制。如果此参数为零，则系统使用默认缓冲区大小。这里我们赋值为0即可。

向管道读取或者写入数据，直接调用ReadFile和WriteFile即可。在读取数据前，可以先调用PeekNamePipe()查看管道中是否有数据，其定义如下：