2024年4月9日发(作者:win10注册表清理工具)
木马常见植入方法大曝光
(2005-06-27 10:20:30)
伴随着Windows操作系统核心技术的日益成熟,“木马植入技术”也得到发展,
使得潜入到系统的木马越来越隐蔽
,对网络安全的危害性将越来越大。所以,全面了解木马植入的方法和技术,
有助于采取有力的应对措施,同时也有助于促进信息对抗技术的发展。本文就来剖
析几种Windows下基于远程线程插入的木马植入技术。
1利用E-MAIL
控制端将木马程序以附件的形式夹在电子邮件中发送出去,收信人只要打开附件,
系统就会感染木马。
2软件下载
一般的木马执行文件非常小,大小也就是几K到几十K。如果把木马捆绑到其他
正常文件上,是很难被发现的。一些非正规的网站以提供软件下载为名义,将木马捆绑
在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
3利用共享和Autorun文件
学校或单位的局域网里为了学习和工作方便,会将许多硬盘或文件夹共享出来,
有时甚至不加密码。更有甚者,竟将共享设为可写。
大家知道,将光盘插入光驱会自动运行,这是因为在光盘根目录下有个
文件,这个文件可以决定是否自动运行程序。同样,如果硬盘的根目录下
存在该文件,硬盘也就具有了AutoRun功能,即自动运行文件中的内容。
文件一般是如下格式(“//”后面是加的注释,使用时去掉):
[AutoRun]//这是AutoRun部分开始,必须输入
Icon=E:\//用文件给E盘设置一个个性化的盘符图标
Open=E:\//指定要运行程序的路径和名称,在此为E盘下的
。如果文件是木马或恶意程序,那我们的电脑就危险了。
将和文件以及放在E盘根目录,然后进入
“我的电脑”,你会发现E盘的磁盘图标变了,双击进入E盘,还会自动执行E盘下的
文件!
对于给你下木马的人来说,一般不会改变硬盘的盘符图标,但他会修改
文件的属性,将该文件隐藏起来。然后按F5键刷新,这样,当有人双击
这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人最有效。识别这种伪装植入方式
的方法是,双击盘符后木马程序会运行,并且我们不能进入盘符。
4把木马文件转换为图片格式
这是一种相对比较新颖的方式,把EXE转化成为BMP图片来欺骗大家。
原理:BMP文件的文件头有54个字节,包括长宽、位数、文件大小、数据区长度。
我们只要在EXE的文件头上加上这54字节,IE就会把它当成BMP文件下载下来。改过
的图片是花的,会被人看出破绽,用<imgscr=″″higth=″0″width=″0″
>,把这样的标签加到网页里,就看不见图片了,也就无法发现“图片”不对劲。IE
把图片下载到临时目录,我们需要一个JavaScript文件在对方的硬盘里写一个VBS文
件,并在注册表添加启动项,利用那个VBS找到BMP,调用debug来还原EXE,最后,
运行程序完成木马植入。下一次启动时木马就运行了,无声无息非常隐蔽。
5伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马,也是骗术最高的木马。特洛伊木马编写者用自
己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。对于正常的
调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,
DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程,虽然所有的操作
都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。实际上这样的木马大
多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的
进程进行正常的木马操作。操作结束后关掉进程,继续进入休眠状况。
举个具体的例子,黑客们将写好的文件(例如DLL、OCX等)挂在一个十分出名的
软件中,例如QQ中。当受害者打开QQ时,这个有问题的文件即会同时执行。此种方式
相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当
其打开QQ时木马程序就会同步运行,相较一般特洛伊木马可说是“踏雪无痕”。目前,
有些木马就是采用的这种内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL
线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在WindowsNT/2000下,都达到了
良好的隐藏效果。这样的木马对一般电脑用户来说简直是一个恶梦。防范它的方法就是
小心小心再小心!
6利用WinRar制作成自释放文件
这是最新的伪装方法,把木马服务端程序和WinRar捆绑在一起,将其制作成自释
放文件,这样做了以后是非常难以检查的,即使是用最新的杀毒软件也无法发现!识别
的方法是:对着经过WinRar捆绑的木马文件点击鼠标右键,查看“属性”,在弹出的
“属性”对话框中,会发现多出两个标签“档案文件”和“注释”,点选“注释”标签,
你就会发现木马文件了。
发布者:admin,转转请注明出处:http://www.yc00.com/xitong/1712631544a2093286.html
评论列表(0条)