篇一:木马常见植入方法大曝光
木马常见植入方法大曝光
(2005-06-27 10:20:30)
伴随着Windows操作系统核心技术的日益成熟,“木马植入技术”也得到发展,使得潜入到系统的木马越来越隐蔽
,对网络安全的危害性将越来越大。所以,全面了解木马植入的方法和技术,有
Windows下基于远程线程插入的木马植入技术。
1利用E-MAIL
控制端将木马程序以附件的形式夹在电子邮件中发送出去,收信人只要打开附件,系统就会感染木马。
2软件下载
一般的木马执行文件非常小,大小也就是几K到几十K。如果把木马捆绑到其他正常文件上,是很难被发现的。一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
3利用共享和Autorun文件
学校或单位的局域网里为了学习和工作方便,会将许多硬盘或文件夹共享出来,有时甚至不加密码。更有甚者,竟将共享设为可写。
大家知道,将光盘插入光驱会自动运行,这是因为在光盘根目录下有个Autorun.inf文件,这个文件可以决定是否自动运行程序。同样,如果硬盘的根目录下存在该文件,硬盘也就具有了AutoRun功能,即自动运行Autorun.inf文件中的内容。Autorun.inf文件一般是如下格式(“//”后面是加的注释,使用时去掉):
[AutoRun]//这是AutoRun部分开始,必须输入
Icon=E:\sex.ico//用sexual.ico文件给E盘设置一个个性化的盘符图标
Open=E:\sexual.exe//指定要运行程序的路径和名称,在此为E盘下的sexual.exe。如果sexual.exe文件是木马或恶意程序,那我们的电脑就危险了。
将sexual.ico和sexual.exe文件以及Autorun.inf放在E盘根目录,然后进入“我的电脑”,你会发现E盘的磁盘图标变了,双击进入E盘,还会自动执行E盘下的sexual.exe文件!
对于给你下木马的人来说,一般不会改变硬盘的盘符图标,但他会修改Autorun.inf
文件的属性,将该文件隐藏起来。然后按F5键刷新,这样,当有人双击这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人最有效。识别这种伪装植入方式的方法是,双击盘符后木马程序会运行,并且我们不能进入盘符。
4把木马文件转换为图片格式
这是一种相对比较新颖的方式,把EXE转化成为BMP图片来欺骗大家。
原理:BMP文件的文件头有54个字节,包括长宽、位数、文件大小、数据区长度。我们只要在EXE的文件头上加上这54字节,IE就会把它当成BMP文件下载下来。改过的图片是花的,会被人看出破绽,用<imgscr=″xxx.bmp″higth=″0″width=″0″>,把这样的标签加到网页里,就看不见图片了,也就无法发现“图片”不对劲。IE把图片下载到临时目录,我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件,并在注册表添加启动项,利用那个VBS找到BMP,调用debug来还原EXE,最后,运行程序完成木马植入。下一次启动时木马就运行了,无声无息非常隐蔽。
5伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马,也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程,继续进入休眠状况。
举个具体的例子,黑客们将写好的文件(例如DLL、OCX等)挂在一个十分出名的软件中,例如QQ中。当受害者打开QQ时,这个有问题的文件即会同时执行。此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开QQ时木马程序就会同步运行,相较一般特洛伊木马可说是“踏雪无痕”。目前,有些木马就是采用的这种内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在WindowsNT/2000下,都达到了良好的隐藏效果。这样的木马对一般电脑用户来说简直是一个恶梦。防范它的方法就是小心小心再小心!
6利用WinRar制作成自释放文件
这是最新的伪装方法,把木马服务端程序和WinRar捆绑在一起,将其制作成自释放文件,这样做了以后是非常难以检查的,即使是用最新的杀毒软件也无法发现!识别的方法是:对着经过WinRar捆绑的木马文件点击鼠标右键,查看“属性”,在弹出的“属性”对话框中,会发现多出两个标签“档案文件”和“注释”,点选“注释”标签,你就会发现木马文件了。
7在Word文档中加入木马文件
这是最近才流行起来的一种方法,比较奇特。这种方法很隐蔽,在Word文档末尾加入木马文件,只要别人点击这个所谓的Word文件就会中木马。这种方法主要是通过把一个EXE格式的木马文件接在一个DOC文件的末尾,使别人察觉不到木马的存在,因此使之上当受骗。
大家知道,Word的宏是使用VBA来编写的,而这种植入木马的方法就是利用VBA写一段代码,新建一个DOC文件,打开VISUALBASIC编辑器,新建一个模块,输入VB函数的声明,然后回到“ThisDocument”代码视图,选择DocumentOpen的事件,同样输入代码。注意其中的文件大小(做好后的DOC大小)就可以了。
接着把DOC和EXE合并:copy/banyname.doc+anyname.exeanyname.doc。打开这个DOC文档,隐藏在其中的木马就会自动运行。不过还需要满足一个条件HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security中的Level值必须是1或者0。
然后编写一个特殊的宏(太长了这里就不介绍了),接下来把EXE文件接到DOC文件后面。方法很简单,把你要接的EXE放到和这个DOC文件同一个目录下,运行如下命令:copy/bxxxx.doc+xxxxx.exenewdoc.doc就可以了。当你打开这个newdoc.doc的时候,宏就会把后面的EXE文件读出来并保存在C:\AUTOEXEC.EXE中,然后运行,是不是很恐怖啊!不过这需要你的WORD2000安全度为最低的时候才能实现,请大家看注册表中如下键:HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security中的Level值,当Level值为3(代表安全度为高)的时候,WORD不会运行任何宏;为2时(安全度中),WORD会询问你是否运行宏,为1(安全度低)的时候WORD就会自动运行所有的宏!聪明的你一定想到如果这个值为0的时候会怎么样?哈,如果设为0的话,WORD就会显示安全度为高,但却能自动运行任何的宏!是不是很恐怖啊?
对于这种欺骗方式,最重要的是小心防范,陌生人的附件千万不要收看!
8把木马和其他文件捆绑在一起
这是最为常见的手段,将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。被捆绑的文件一般是可执行文件。例如,把木马服务端和某个游戏捆绑成一个文件在QQ或邮件发给别人,运行后他会看到游戏程序正常打开,却不知木马程序已经悄悄在后台运行了,这样做对一般人的迷惑性很大,而且即使他以后重装系统了,如果他的系统中还保存了那个“游戏”的话,就有可能再次中招。
用来执行捆绑任务的工具软件非常多,如exe文件捆绑机,ExeBind等,这类程序的原理:该类程序可以将指定的黑客程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序(黑客程序)也在后台被执行。当您再次上网时,您已经在不知不觉中被控制住了。您说这个文件捆绑专家恐怖不?而且它支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。
利用上述方法投放的木马程序最终都是以独立的进程运行于目标主机中,这些木马进程利用进程查看工具很容易被识别。这些方法有的将木马程序注册为一个系统服务进程,这样也只能避免在任务列表中出现。
9基于DLL和远程线程插入的木马植入技术
在Windows环境下,一种更为隐蔽的木马投放方案是结合DLL(动态链接库)和远程线程插入技术来实现木马植入。这种技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。
DLL文件的特点决定了这种实现形式的木马的可行性和隐蔽性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机中的级别未经授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。
(中国网友报)
篇二:你了解黑客是怎样入侵我们电脑吗?
什么是电脑“肉鸡”
所谓电脑肉鸡,就是拥有管理权限的远程电脑。也就是受别人控制的远程电脑。肉鸡可以是各种系统,如win,linux,unix等;更可以是一家公司\企业\学校甚至是政府军队的服务器,一般所说的肉鸡是一台开了3389端口的Win2K系统的服务器,所以3389端口没必要开时关上最好。
要登陆肉鸡,必须知道3个参数:远程电脑的IP、用户名、密码。
说到肉鸡,就要讲到远程控制。远程控制软件例如灰鸽子、上兴等。
肉鸡不是吃的那种,是中了木马,或者留了后门,可以被远程操控的机器,现在许多人把有WEBSHELL 权限的机器也叫肉鸡。
谁都不希望自己的电脑被他人控制,但是很多人的电脑是几乎不设防的,很容易被远程攻击者完全控制。你的电脑就因此成为别人砧板上的肉,别人想怎么吃就怎么吃,肉鸡(机)一名由此而来。
如何检测自己是否成为肉鸡
注意以下几种基本的情况:
1:QQ、MSN的异常登录提醒 (系统提示上一次的登录IP不符)
2:网络游戏登录时发现装备丢失或与上次下线时的位置不符,甚至用正确的密码无法登录。
3:有时会突然发现你的鼠标不听使唤,在你不动鼠标的时候,鼠标也会移动,并且还会点击有关按钮进行操作。
4:正常上网时,突然感觉很慢,硬盘灯在闪烁,就象你平时在COPY文件。
5:当你准备使用摄像头时,系统提示,该设备正在使用中。
6:在你没有使用网络资源时,你发现网卡灯在不停闪烁。如果你设定为连接后显示状态,你还会发现屏幕右下角的网卡图标在闪。
7:服务列队中出可疑程服务。
8:宽带连接的用户在硬件打开后未连接时收到不正常数据包。(可能有程序后台连接)9:防火墙失去对一些端口的控制。
10:上网过程中计算机重启。
11:有些程序如杀毒软件防火墙卸载时出现闪屏(卸载界面一闪而过,然后报告完成。)12:一些用户信任并经常使用的程序(QQ`杀毒)卸载后。目录文仍然存在,删除后自动生成。
13:电脑运行过程中或者开机的时候弹出莫名其妙的对话框
以上现象,基本是主观感觉,并不十分准确,但需要提醒您注意。
接下来,我们可以借助一些软件来观察网络活动情况,以检查系统是否被入侵。
1.注意检查防火墙软件的工作状态
比如金山网镖。在网络状态页,会显示当前正在活动的网络连接,仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机,就要小心了。
2.推荐使用tcpview,可以非常清晰的查看当前网络的活动状态。
一般的木马连接,是可以通过这个工具查看到结果的。
这里说一般的木马连接,是区别于某些精心构造的rootkit木马采用更高明的隐藏技术,不易被发现的情况。
3.使用金山清理专家进行在线诊断,特别注意全面诊断的进程项
清理专家会对每一项进行安全评估,当遇到未知项时,需要特别小心。
4.清理专家百宝箱的进程管理器
可以查找可疑文件,帮你简单的检查危险程序所在
如何避免自己的电脑成为“肉鸡”
1.关闭高危端口:
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步,进入“新规则属性”对话框,点击“新筛选器操作”,
其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。
2.及时打补丁 即升级杀毒软件
肉鸡捕猎者一般都是用“灰鸽子”病毒操控你的电脑,建议用灰鸽子专杀软件杀除病毒。
3.经常检查系统
经常检查自己计算机上的杀毒软件,防火墙的目录,服务,注册表等相关项。黑客经常利用用户对它们的信任将木马隐藏或植入这些程序。
警惕出现在这些目录里的系统属性的DLL。(可能被用来DLL劫持)
警惕出现在磁盘根的pagefile.sys.(该文件本是虚拟页面交换文件。也可被用来隐藏文件。要检查系统的页面文件的盘符是否和它们对应)
食用肉鸡
肉鸡,既提供人类食用的鸡肉的鸡,生长速度快,繁殖率高,抗病强,适宜饲养以提供鸡肉等产品! 但不好吃。
成为肉鸡后的自救方法
一、正在上网的用户,发现异常应首先马上断开连接
如果你发现IE经常询问是你是否运行某些ActiveX控件,或是生成莫名其妙的文件、询问调试脚本什么的,一定要警惕了,你可能已经中招了。典型的上网被入侵有两种情况:
一是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题,这算是轻的;还有就是遇到可以格式化硬盘或是令你的Windows不断打开窗口,直到耗尽资源死机——这种情况恶劣得多,你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。
二是潜在的木马发作,或是蠕虫类病毒发作,让你的机器不断地向外界发送你的隐私,或是利用你的名义和邮件地址发送垃圾,进一步传播病毒;还有就是黑客的手工入侵,窥探你的隐私或是删除破坏你的文件。
自救措施:马上断开连接,这样在自己的损失降低的同时,也避免了病毒向更多的在线电脑传播。请先不要马上重新启动系统或是关机,进一步的处理措施请参看后文。
篇三:8木马伪装植入的方法
木马伪装植入的方法
如果我们要想把自己的木马植入到别人的计算机上,首先就要伪装好自己。一般来讲,木马主要有两种隐藏手段:
① 把自己伪装成一般的软件
很多用户可能都遇到过这样的情况,在网站上得到一个自称是很好玩或是很有用的小程序,拿下来执行,但系统报告了内部错误,程序退出了。一般人都会认为是程序没有开发好,不会疑心到运行了木马程序这上面。等到运行自己的QQ等程序时,被告知密码不对,自己熟得不能再熟的密码怎么也进不去,这时才会想起检查自己的机器是否被人安装了木马这回事情。
提示:
这种程序伪装成正常程序,实质是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。
② 把自己绑定在正常的程序上面
对于那些老到的黑客来说,他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件,然后用户在安装该正版程序时,就神不知鬼不觉地被种上木马了。 伪装之后,木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了,或者是放在网站上供人下载。黑客还会为它们加上一些动人的话语来诱惑别人,像“最新火辣辣小电影!”、“CuteFTP5.0完全解密版!!!”等。
一点不骗人,在安装了这个CuteFTP之后,你的机器就被“完全解密”了,那些喜欢免费盗版的朋友们也要小心了!
下面介绍几种常见的伪装植入木马的方法:
修改木马图标
将木马服务端程序更改图标,如设为图片图标,并将其扩展名设置为***.jpg.exe格式,直接发给对方,由于Windows的默认设置是隐藏已知文件的扩展名,所以对方收到后就会轻易相信这就是一幅图片。对方运行后,结果毫无反应(运行木马后的典型表现),对方说:“怎么打不开呀!”,回答:“哎呀,不会程序是坏了吧?”,或者说:“对不起,我发错了!”,然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。
虽然有些木马制作工具中带有修改图标的功能,但是黑客还常常使用其他辅助工具来修改图标。如IconChanger,就是一个更换文件图标工具,其运行界面如图1所示。
图1:更换图标工具
在“Search icons in”里选择不同的盘符,程序就会自动搜索该盘符下的所有程序图标列在下部的列表中。然后选择“File”|“Choose file to change its icon”命令,在打开的对话框中选择待更换图标的木马程序,选出的程序会出现在界面左上部。接下来在程序的图标列表中选择一个中意的图标,拉到右下侧列表中,最后选中一个最满意的,点击工具栏的“Set”按钮,左上部的程序的图标就会变成黑客想要设置的图标,如图2所示。
图2:更改图标后的效果
捆绑欺骗
把木马服务端和某个游戏或工具捆绑成一个文件在QQ或邮件中发给别人,别人运行后它们往往躲藏在Windows的系统目录下,图标伪装成一个文本文件或者网页文件,通过端口与外界进行联系。然后把自己和一些EXE文件捆绑在一起,或者采用改变文件关联方式的方法来达到自启动的目的。而且,即使以后系统重装了,如果该程序还是保存着的话,还是有可能再次中招的。
捆绑欺骗大多采用捆绑软件如Deception Binder进行以下几种方式的捆绑:
将一款小游戏和木马服务端捆绑成一个文件;
把一个txt文件和木马服务端捆绑成一个文件;
把一个JPG图片和木马服务端捆绑成一个文件。
Deception Binder的程序运行界面如图3所示。
图3:Deception Binder的程序运行界面
Deception Binder程序一个外国的小巧的文件合并器,虽然小巧,功能却不错,可以设置捆绑的程序打开文件是否隐蔽运行,设置打开文件是否加入注册表启动项,设置打开文件时是否显示错误信息以迷惑对方。
最后将捆绑后的文件找一个相应的理由发送给对方,让对方在不知不觉中被种植木马。 文件夹惯性点击
把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹木马时,也会收不住鼠标点下去,这样木马就成功运行了。比方说著名的木马黑洞2001的服务端程序用的就是文件夹的图标,如果您以为它是文件夹而去点击那您就错了,它是个不折不扣的EXE文件!
当然,如果对方使用的IE 5.0及以下的版本,还可以利用Windows中的文件夹支持HTML和JavaScript定义的一些“动作”原理,通过JavaScript,让文件夹自动执行程序,做成
一个真正“文件夹木马”,让对方不受骗都难。
危险下载点
攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载,这样以后每增加一次下载次数,就等于多了一台中木马的计算机。或者把木马免杀处理后捆绑到其他软件上,然后“正大光明”地发布到各大软件下载网站,它们也不查毒,就算查也查不出一些新木马,或是进行过免杀处理的木马。
邮件冒名欺骗
该类木马植入的前提是,用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件,别人下载附件并运行的话就中木马了。如冒充单位的系统管理员,向各个客户端发送系统补丁或是其它安装程序(因为这些程序都是可执行文件)。
QQ冒名欺骗
该类木马植入的前提是,必须先获取一个不属于自己的QQ号。然后使用这个QQ号码给好友们发去木马程序,由于信任被盗号码的主人,好友们会毫不犹豫地运行木马程序,结果就中招了。
ZIP伪装
将一个木马和一个损坏的ZIP包(可自制)捆绑在一起,然后指定捆绑后的文件为ZIP图标,这样一来,除非别人看了他的后缀,否则点下去将和一般损坏的ZIP没什么两样,根本不知道其实已经有木马在悄悄运行了。
ZIP伪装的常见做法如下:
首先创建一个文本文档,输入任意个字节(其实一个就行,最小),将它的后缀txt直接改名为zip即可,然后把它和木马程序捆在一起,修改捆绑后的文件图标为zip图标就成了。
论坛上发链接
在可以上传附件的论坛上传捆绑好的木马(如将木马捆绑在图片上传),然后把链接发给想要攻击的目标肉机的主人,诱惑他点击那个链接。
网页木马法
在黑客自己的网页上捆绑木马,再在QQ上邀请想要攻击的目标网友去访问,轻松给他种上黑客配置的木马。
伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例
如 dll、ocx等),然后挂在一个十分出名的软件中,例如 QQ 。由于QQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件是否多了。而当受害者打开QQ时,这个有问题的文件即会同时执行。此种方式相比起用捆绑程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开QQ时木马程序就会同步运行,相对一般特洛伊木马可说是“踏雪无痕”。更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一个新木马来,所以即使安装有杀毒软件也拿它没有丝毫办法。
《黑客怎么植入木马》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/35959.html
转载请保留,谢谢!
- 上一篇:选美比赛
- 下一篇:2016民调工作计划