网站点,徐州网站建设推广,做品牌的人常用的网站,保定企业网站制作1 木马
1.1 木马简介
木马是攻击者编写的一段恶意代码#xff0c;它潜伏在被攻击者的计算机中。攻击者通过这个代码可远程控制被攻击者的计算机#xff0c;以窃取计算机上的信息或者操作计算机。从本质上讲#xff0c;木马也是病毒的一种#xff0c;因此不少用户也把木马…1 木马
1.1 木马简介
木马是攻击者编写的一段恶意代码它潜伏在被攻击者的计算机中。攻击者通过这个代码可远程控制被攻击者的计算机以窃取计算机上的信息或者操作计算机。从本质上讲木马也是病毒的一种因此不少用户也把木马简单称为病毒。
木马通常有两个可执行程序一个是客户端即控制端攻击者另一个是服务端即被控制端被攻击者。植入被攻击者电脑的是“服务端”部分而攻击者利用“控制端”远程控制运行了“服务端”的电脑。
1.2 木马的特征
1隐蔽性如其他所有的病毒一样木马必须隐藏在系统之中。 2自动运行性计算机系统启动时木马会自动运行。 3能自动打开特别的端口木马程序潜入计算机后会打开TCP/IP协议的某些端口等待控制端进行连接从而实现远程控制的目的。现在的木马还会主动连接到控制端。 4功能的特殊性很多木马的功能十分特殊的除了普通的文件操作以外有些木马具有搜索Cache中的口令、设置口令、扫描目标计算机的IP地址、进行键盘记录、远程操作注册表、锁定鼠标、打开摄像头等功能
1.3 木马的种类
1破坏型其功能就是破坏并且删除文件可以自动删除电脑上的DLL、INI、EXE文件。 2密码发送型可以找到隐藏密码并把它们发送到指定的信箱。 3远程访问型可以实现远程控制。 4键盘记录木马记录受害者的键盘敲击并且在LOG文件里查找密码。 5DoS攻击木马计算机成为黑客DoS攻击的最得力助手了称为肉鸡。 6代理木马变成攻击者发动攻击的跳板攻击者可以隐蔽自己的踪迹。 7程序杀手木马关闭对方计算机上运行的防病毒软件让木马更好地发挥作用。 8反弹端口型木马服务端(被控制端)使用主动端口客户端(控制端)使用被动端口。木马服务端定时监测控制端的存在发现控制端上线立即主动连接控制端。
1.4 冰河木马
冰河木马属于第二代木马
刚开始是一个远程控制软件
国产木马的标志和代名词
冰河的服务器端程序为G-server.exe客户端程序为G-client.exe默认连接端口为7626。一旦运行G-server那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe并删除自身。
Kernel32.exe在系统启动时自动加载运行sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe但只要你打开TXT文件sysexplr.exe就会被激活它将再次生成Kernel32.exe于是冰河又回来了。 DEMO 1.配置冰河木马的服务器端 2.使用冰河木马远程控制计算机 1.被攻击者计算机运行木马服务端后攻击者在客户端上可以手动添加计算机可是攻击者无法知道服务端的IP地址。 2.在茫茫大海似的Internet中搜索冰河服务端也是一件纯粹靠运气的事情。 3.如果服务端采用私有网络的IP地址或者是在防火墙的保护之内控制端也将无法搜索或者连接到这些服务端。 4.于是反弹木马应运而生。
1.5 反弹木马
防火墙可以阻挡非法的外来连接请求所以可以有效防范冰河这样的木马。然而再坚固的防火墙也不能阻止内部计算机对外的连接。反弹木马服务端在被攻击者的计算机启动后服务端主动从防火墙的内侧向木马控制端发起连接从而突破了防火墙的保护。反弹木马还有另外一个优点服务端运行后会主动连接控制端攻击者只需要开启控制端坐等服务端的连接就行了而无需像使用冰河木马一样盲目地搜索服务端。 1.6 Rootkit介绍
Rootkit是一种特殊的、小巧的木马Rootkit是攻击者用来隐藏自己的踪迹和保留Root访问权限的工具。 通常攻击者通过远程攻击获得目标主机的Root访问权限后攻击者会在目标主机安装Rootkit此后他将通过Rootkit这一后门软件保持对目标主机的持续控制。 wollf是一个典型的Rootkit工具它扩展Telnet服务集成文件传输、Ftp服务器、键盘记录、Sniffer(forwin2konly)、端口转发等功能可反向连接可通过参数选择随系统启动或作为普通进程启动。 wollf[选项] -install安装wollf服务默认参数 -remove停止并清除wollf服务 -update:升级wollf服务 -debug调试wollf服务用于安装失败后查看出错信息 -once作为普通进程运行重启后不自动加载 -connect[host][port]连接到远程wollf服务主要用于连接后传输文件 -listen[port]监听指定端口等待远程连接主要用于反向连接方式 -setup对wollf.exe进行设置包括监听端口、访问口令或设置为反向连接方式完成后将生成wollf_new.exe设置内容及示例见“config_howto.txt”。 wollf使用案例 1.“wollf”安装并启动服务监听默认端口7614 2.“wolf -remove”停止并卸载服务 3.“wolf -update”用当前wollf升级旧版本 4.“wollf- debug”无法安装服务加-debug参数运行以便查看失败原因 5.“wolf -once”作为普通进程运行重新启动后不自动加载指定监听2000端口 6.“wolf –connect 192.168.0.1 7614”连接到远程主机7614端口 7.“wolf –listen 2000”监听2000端口等待远程机器主动连接 8.“wolf -setup”对wollf.exe进行配置并生成wollf_new.exe 2 木马免杀
木马要发挥作用必须能经得起防病毒软件的查杀这个就称为木马免杀。木马免杀技术和防病毒软件查杀技术之间的关系可谓是“魔高一尺道高一丈”。一旦有的新木马出现防病毒软件厂商很快就找到查杀新木马的方法而造马者也总是不时地推出新的木马。任何木马和木马免杀技术一旦广泛使用都将被防病毒软件所识别因此木马的生存周期也就是被防病毒软件识别之前的那一小段时间。
防病毒软件对病毒的查杀是建立在拥有该病毒的特征码的基础上的。黑客为了让木马程序不被防病毒软件查杀会通过各种方法对它进行修改或伪装也就是进行免杀处理。
目前常见的免杀方法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等。同时当前主流的防病毒软件都采用了复合特征码因此很多时候通过一种方法很难达到免杀效果这时需要几种方法配合才能起到免杀效果。
2.1 加壳工具的使用
所谓加壳是一种通过一系列数学运算将可执行程序文件EXE或动态链接库文件DLL的编码进行改变目前加壳软件还可以压缩、加密以达到缩小文件体积或加密程序编码的目的。当被加壳的程序运行时外壳程序先被执行然后由这个外壳程序负责将用户原有的程序在内存中解压缩并把控制权交还给脱壳后的真正程序。 较常见到的压缩壳有“UPX”、“北斗程序压缩”、“ASPack”等加密壳有“PE-Armor”、“ASProtect”等等。
2.2 加花工具的使用
和对文件进行加壳一样加花也是一种木马免杀的手段。所谓的加花是在木马程序中加入一段无用代码或者垃圾代码有了这些代码程序还是正常运行当然没有这些代码程序也是正常运行。这些代码实际上是一些汇编代码让程序到处转跳这样防病毒软件将难以查找病毒特征码从而实现木马免杀的目的。
有很多的加花工具例如牧马游民的“超级加花器”、“怒剑狂花加花器”等。
2.3 VMProtect软件的使用
VMProtect是一个软件保护软件。通过这个软件保护的代码部分在虚拟机上执行这使得被保护的程序很难被分析与破解。VMProtect可将被保护文件中的部分代码转化到在虚拟机以下称作VM上运行的程序。可也把VM想象为具备命令系统的虚拟处理器该命令系统与X86处理器所使用的完全不同。用VMProtect保护的木马服务端很可能躲过防病毒软件的查杀。
3 木马的传播
木马只有在被攻击者的电脑中运行才能发挥作用所以攻击者经常采取各种办法传播木马。木马的传播主要有以下方式 1利用系统漏洞攻击者通过网络扫描程序扫描到有漏洞的电脑,再利用漏洞进入电脑在电脑上中偷偷安装上木马程序。 2文件捆绑这是黑客种植木马最常用的手段之一。将木马程序捆绑在正常的程序中当别人下载并运行后被捆绑了木马的程序可以正常运行但在运行正常程序的过程中木马程序也已经悄悄运行了。黑客通常会将木马程序捆绑到一个广为传播的热门软件上来诱使他人下载,并把它放到下载网站或网站论坛中使其在网络上传播。 3文件伪装将木马程序伪装成其他文件是黑客种植木马最简单也是最常用的手段之一。比如修改木马程序的图标、文件名或后缀名使它看起来与另外一个正常文件别无二样而且为了让人容易接受常常会伪装成热门文件来诱使对方打开。伪装木马最常用的传播方式就是通过电子邮件和QQ等即时通信软件来传播。 4网页木马网页木马是通过网页浏览传播的一种木马种植方式这是黑客种植木马最常用的手段之一。此方法非常隐蔽常常让人在不知不觉间中招。黑客会将制作好的木马程序放到网页中当人们在浏览这些网页时木马程序会通过系统或软件的漏洞自动安装或是以浏览该网页必须的插件等名义诱骗用户点击安装。
3.1 文件捆绑
Demo EXE捆绑机 Winrar压缩捆绑 插入捆绑
3.2 木马伪装
1.图片捆绑机 2.资源编辑器 3.伪造数字签名
4 木马的防范
对于普通用户来说掌握防范某个木马的方法或者检查木马的某一方法已经没有实际的意义。用户需要有普遍意义上的木马防范方法如下 1及时升级浏览器安装防病毒软件、修复系统漏洞务必及时更新病毒库。 2不下载来历不明的文件更不要运行这些文件。 3不浏览身份不明的网站特别注意浏览网页时不安装不明的控件。 4收到来历不明的邮件直接删除不要打开或运行邮件中的文件。 5和他人QQ聊天时不打开来历不明的链接。 国内的防病毒软件主要有瑞星、金山、360、腾讯的电脑管家、卡巴斯基、诺顿等。建议每天进行软件更新并且定期每周、每个月进行全盘查杀
