先来废话一下 介绍一下木马的传播方式
(一)传播方式: 木马的传播方式多种多样。主要有:一、通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去, 收信人只要打开附件系统就会感染木马;二、软件下载,一些非正规的网站以提供软件下载为名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。三、在网页上挂马,当访问者访问该页面时,木马自动下载并运行。四、在多媒体中插入木马网址,利用播放器漏洞弹出该网址,使之种马等等。
(二)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者和使用者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
(1)修改图标: 为了麻痹用户的心理,欺骗用户,目前很多木马都提供了修改自身图标的功能(也可以利用相关工具修改)。当你看到一个图片文件,你有想过它可能是一个伪装好的木马吗?当我们双击打开它时,并没有闪现往常图片,有的只是一个无声无息的潜入者,主机的权限岌岌可危。木马可以将木马服务端程序的图标改成HTML,TXT, ZIP,JPG,Bmp等各种文件的图标,有的木马还可以弹出迷惑你的提示信息,当你打开一幅MS图片的文件,它会弹出一个错误提示"该文件已经损坏",或者"********指令引用的“0x0000000000内存。该内存不能为read.”这样,连打开图片没反应这一破绽也掩饰过去了。当然,这种伪装也不是无懈可击的,图标可以改,但后缀名总改不了吧。我们可以把"文件夹选项"的"查看"选项卡下面的"隐藏已知文件的扩展名"前面的勾去掉,这样我们就可以看到文件的后缀了.如果一个图标为图片的文件,后缀是.bat、.exe、.com、.vbs,等等,那就相当可疑了。我们也不必整天提心吊胆,疑神疑鬼,要细心观察,多用杀软扫扫,用反捆绑文件检测。不久之后,我相信你会成为一个能识害马的好"伯乐".
(2)捆绑文件:这种伪装手段是将木马捆绑到任意一个可执行文件上。比如捆绑在一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。捆绑后的文件比原文件大,在执行被捆绑程序中的正常程序时,捆绑的木马也悄悄执行,我们是很难看出来的,唯一能觉察到的是鼠标的箭头状态快速的变化着,然而被捆绑程序中的恶意程序(即除了正常程序体本身)已经在后台被安装完毕并已被加载到内存当中了。如果是病毒或木马、后门之类的程序,往往已经非常隐蔽的驻留在你的系统中了,并在系统的启动项目列表中加入了自身。对于捆绑程序,我们是直接看不出来的,我们可以用相关的工具检测,如果你懂得相关的反捆绑知识,也可以配合软件手动检测。这里我们介绍两款反捆绑软件和两种手工检测捆绑的方法。反捆绑软件:1、System Safety Monitor 2.0.566汉化版,简称SSM,是一款对系统进行全方位监测的防火墙工具.对于一些软件是否捆绑,很容易识别出来.2、FBFE(捆绑文件提取)这两款工具使用简单,这里不做介绍。手工反捆绑的两种方法:1、用LordPE查"导入表" 中USER32.DLL的个数。user32.dll是Windows用户界面相关应用程序接口,用于包括Windows处理,基本用户界面等特性。如果检测到文件中有两个或以上USE32.DLL就说明他有两个或多个用户界面,那就可以说明它可能捆绑了其他程序。2、用WinHex打开我们要检测的程序,在"搜索"下的"查找文本"中输入"this program"进行查找.如果出现两个或两个以上的“this program”,说明这软件可能被捆了别的软件.当然,这不是绝对的,不是所有的捆绑程序都检测得出来,而且使用反捆绑软件,误报率极高,还有一些捆绑软件,无法用反捆绑工具检测出来,有些正常的程序反倒被误认为捆了非正常软件.(汗,跑题了,希望米丢原作者的脸)
我这里就主要讲一下捆绑~ 所谓的捆绑呢~ 就是把两个或是两个以上的程序捆绑在一起` 他们可是是普通的文件~ 也可以是木马文件~
达到在别人不注意的情况下运行你的木马文件 但是这种捆绑方式也有不足 就是捆绑后的体积比较大~ 容易给一些捆绑检查软件检查出来
我这里要说的呢~ 就是往EXE插入DLL 这种方式呢 比较隐藏 并且不容易给发现 如果是没有太好的黑客基础的大大~ 呵呵 不是很容易发现的哦
另外 这种办法生成的程序体积也不是很大~ 比如吧 我写的一个16K的下载者~ 插进CMD.EXE里面 体积才仅仅大了几K
在入侵了别人的服务器以后不知道咋留后门好? 呵呵~ 往他的系统文件里插下载者DLL 只要它的系统一重启~ 就会执行那个DLL的功能~
下载我们可爱的MM~ 这样服务器想掉? 都难咯~~HOHO~
还有啊~ 在别人写好的软件里插个下载者 嘎嘎~ 然后发布出去~
还能怎么发挥~ 就看你自己的发挥了
我做了一个演示教程 大家可以看下
下面的是未插入DLL和插入DLL程序的比较~~
体积仅仅大了4K 就实现一个穿墙下载者的功能 是不是很好 很强大呢~
用纯API打造的DLL下载者 目前过所有杀软 嘎嘎~
因为我昨天才写出来的 还没发布呢 生成DLL体积为16.5K
用捆绑检查器检查
~
[ 此帖被laozhangya在2008-08-26 19:06重新编辑 ]
