关注恶意软件:
名称:“白金远控”木马(Trojan-PSW.Win32.Bjlog.hvc)
大小:192 KB
是否加壳:否
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista/Win7
具体表现:
创建文件:C:\Documents and Settings\All Users\DRM\%SESSIONNAME%\fekkx.pic
创建服务:Hidserv
修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HidServ "Description"="启用对智能界面设备(HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。" "DisplayName"="Human Interface Device Access"
下载文件:https://www.doczj.com/doc/6018865662.html,:55/55.exe -> %Program Files%\cao.exe
连接黑客:https://www.doczj.com/doc/6018865662.html,
恶意行为:此木马文件的的扩展为".jpg.scr",是一种可执行文件,但却会利用图标伪装成图片文件迷惑用户点击运行,从而造成感染。首先,木马会创建fekkx.pic动态库,通过启动服务的方式加载病毒动态库,一旦加载成功会主动连接至黑客,等待黑客的命令。
此恶意程序具有远程文件管理、远程注册表管理、远程发送命令、远程查看屏幕、远程查看摄像头、开启远程桌面、修改Guset权限等功能,同时还会记录用户按键信息,从而盗取用户密码及隐私。该病毒会监视系统连接,阻止用户访问常见杀毒软件的官方网站。此木马可以形成一个完整的病毒产业链。不法分子从黑客手中购买此恶意软件,黑客负责对恶意软件进行更新和维护,不法分子负责控制用户和盗取用户信息。该木马还具有更新功能,黑客一旦发现自己此木马被杀毒软件查杀时,会对其重新进行编写和更新,然后提供给不法分子。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母
组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
木马分析与防范 【摘要】本文针对计算机木马攻击这一主题,介绍了计算机木马的产生、含义、发展历程及传播传播途径。文中提出的使用代理隐藏计算机IP地址的方法在实际使用过程中能有效的防止计算机木马程序的攻击,相对于手工查杀和使用软件工具查杀木马更具有主动防范的特点,并且从效果上来看基本上杜绝了计算机木马的攻击和其它的一些黑客攻击,达到了预期的目的。 【关键词】木马;攻击;防范 计算机应用以及计算机网络己经成为现实社会中不可缺少的重要组成部分,在遍及全世界的信息化浪潮的作用下,计算机网络除了影响人们正常生活的名个方面,还对公司管理、发展经济和国家机密起着十分重要的作用。使用计算机木马技术进行非法入侵、控制和破坏计算机网络信息系统,获取非法系统信息,并利用获取的这些信息进行非法行为,是目前公认的计算机网络信息安全问题。 1.木马 1.1木马的产生 最早的计算机木马是从Unix平台上诞生出来的,然后随着Windows操作系统的广泛使用,计算机木马在Windows操作系统上被广泛使用的。最早的Unix 木马是运行在服务器后台的一个小程序,木马程序伪装成登录过程,与现在流行的计算机木马程序是不同的。 当一台计算机被植入了木马程序后,如果计算机用户从终端上用自己的帐号来登录服务器时,计算机木马将向用户显示一个与正常登录界面一样的登录窗口,让用户输入正确的账号。在得到正确的用户名和口令之后,计算机木马程序会把账号保存起来,然后在第二次显示出真的登录界面,计算机用户看到登录界面又出现了,以为之前输入密码时密码输错了,于是计算机用户再次输入相关帐号进入计算机系统,但此时计算机用户的账号已被偷取,计算机用户却不知道。 1.2木马的定义 在计算机网络安全领域内,具有以下特征的程序被称作计算机木马:(1)将具有非法功能的程序包含在合法程序中的:具有非法功能的程序执行不为用户所知功能。(2)表面看上去好象是运行计算机用户期望的功能,但实际上却执行具有非法功能的程序。(3)能运行的具有非法操作的恶意程序。 1.3木马的发展历程 从计算机木马的出现一直到现在,计算机木马的技术在不断发展,木马的发展已经历了五代:
西安翻译学院XI’AN FANYI UNIVERSITY 毕业论文 题目: 网络木马病毒的行为分析专业: 计算机网络技术 班级: 姓名: 彭蕊蕊 指导教师: 朱滨忠 5月 目录学号: 院系: 诒华
1 论文研究的背景及意义........................... 错误!未定义书签。 2 木马病毒的概况................................. 错误!未定义书签。 2.1 木马病毒的定义............................ 错误!未定义书签。 2.2 木马病毒的概述............................ 错误!未定义书签。 2.3 木马病毒的结构............................ 错误!未定义书签。 2.4 木马病毒的基本特征........................ 错误!未定义书签。 2.5木马病毒的分类............................. 错误!未定义书签。 2.6木马病毒的危害............................. 错误!未定义书签。 3 木马程序病毒的工作机制......................... 错误!未定义书签。 3.1 木马程序的工作原理........................ 错误!未定义书签。 3.2 木马程序的工作方式........................ 错误!未定义书签。 4 木马病毒的传播技术............................. 错误!未定义书签。 4.1 木马病的毒植入传播技术.................... 错误!未定义书签。 4.2 木马病毒的加载技术........................ 错误!未定义书签。 4.3 木马病毒的隐藏技术........................ 错误!未定义书签。 5 木马病毒的防范技术............................. 错误!未定义书签。 5.1防范木马攻击............................... 错误!未定义书签。 5.2 木马病毒的信息获取技术.................... 错误!未定义书签。 5.3 木马病毒的查杀............................ 错误!未定义书签。 5.4 反木马软件................................ 错误!未定义书签。 6 总结........................................... 错误!未定义书签。
电子取证:木马后门的追踪分析 SRAT木马分析 仅以此教程,送给那些整天服务器上到处挂马的朋友。。 每当我们拿下一个服务器的时候,要怎样保持对该服务器的长久霸占呢?很多朋友首先会想到的肯定是远控木马,无论是批量抓鸡,还是其他什么方式,你植入在该计算机中的木马,都会暴漏你的行踪。信息取证的方式有很多,首先我说下最简单的两种方式:(此文章网上早就有了,只不过是自己实践以后,贴出来警醒某些人的。。) 一、网关嗅探,定位攻击者踪迹 网关嗅探定位,是利用攻击者要进行远程控制,必须与被控端建立连接的原理,木马会反弹连接到攻击者的IP地址上,说简单些,就是攻击者当前的上网IP地址上。 例如我们在主控端先配置一个远控马,IP地址我填写的是自己的动态域名: 动态域名:
我的公网IP: 主控机的IP地址为:192.168.1.29 被控主机的IP地址为:192.168.1.251(虚拟机) 在被控主机上,我们可以利用一款小工具《哑巴嗅探器》来进行分析,该工具体积小,比较稳定,中文界面,具体用法我就不介绍了。打开哑巴分析器,对被控主机进行数据分析: 通过上图,我们可以清楚的看到,源IP地址110.119.181.X,正在访问192.168.1.251的被控主机,并且在访问对方的8800端口,而110.119.181.X的主机为主控机,当你的木马与肉鸡相连的时候,可以直接暴漏攻击者当前的上网地址,锁定地理位置,进行定位追踪。 二、分析木马服务端程序进行取证: 无论是什么远控马,其程序代码中都会携带控制端的IP地址、域名或FTP地址信息,以便于主控端进行反弹连接。大部分的木马程序所包含的反弹信息都是未加密的,通过对后门木马进行源代码数据分析,
特洛伊木马工作原理分析及清除方法 1 什么是特洛伊木马 特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。 2 木马的工作原理 完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet);软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。 2.1 获取并传播木马 木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病毒传播。200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13 312@MM)。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件,并将自己作为邮件的附件,使用不同的名称继续传播。 2.2 运行木马 服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活时,它就进入内存,并开启事先定义的木马端口,准备与控制端建立连接。 2.2 建立连接,进行控制 建立一个木马连接必须满足2个条件:(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。 3 用VB6.0编写的木马程序 下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。 (1)用VB建立2个程序:客户端程序Client和服务器端程序Server。 (2)在Client工程中建立一个窗体,加载WinSock控件,称为Win_Client,协议选择TCP。
最近又有一种新的国产木马出现了,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。 由于“广外女生”这个木马的驻留、启动的方法比较具有典型性,下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。 一、所需工具 1.RegSnap v 2.80 监视注册表以及系统文件变化的最好工具 2.fport v1.33 查看程序所打开的端口的工具 3.FileInfo v2.45a 查看文件类型的工具 4.ProcDump v1.6.2 脱壳工具 5.IDA v4.0.4 反汇编工具 二、分析步骤 一切工具准备就绪了,我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。 首先打开RegSnap,从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录,一会儿如果木马修改了其中某项,我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。 然后我们就在我们的电脑上运行“广外女生”的服务器端,不要害怕,因为我们已经做了比较详细的备份了,它做的手脚我们都可以照原样改回来的。双击gdufs.exe,然后等一小会儿。如果你正在运行着“天网防火墙”或“金山毒霸”的话,应该发现这两个程序自动退出了,很奇怪吗?且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap,从file菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。 从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮,这样RegSnap就开始比较两次记录又什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。 看一下Regsnp1-Regsnp2.htm,注意其中的: Summary info: Deleted keys: 0 Modified keys: 15
android手机木马的提取与分析 Android手机木马病毒的提取与分析为有效侦破使用 手机木马进行诈骗、盗窃等违法犯罪的案件,对手机木马病毒的特点、植入方式、运行状态进行了研究,利用dex2jar、jdgui等工具软件查看apk文件源代码。结合实例,讲述了 如何提取关键代码与配置数据,并对手机木马病毒的危险函数、启动方式、权限列表进行分析,证明了该方法的可行性,提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。智能手机给用户带来便利的同时,手机恶意软件也在各种各样的违法活动中充当了重要角色,其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现, 这种恶意短信中附的网址,其实就是诱导下载一个手机软件,安装后手机内并不会显示出该应用,但其中的木马病毒已植入,后台会记录下机主的一切操作,可以随时监控到手机记录。若机主登录网银、支付宝、微信红包等,银行卡账号、密码就都被泄露了,黑客能轻易转走资金。此类案件近期呈现高发的趋势。面对各种各样善于伪装隐藏的手机木马病毒,如何提取分析,并固定证据成为一项重要工作。本文从
Android手机木马病毒的特点入手,讲述了如何提取分析关键代码与配置数据,从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。诈骗、盗窃的目标不变,那就是诱导点击安装短信的链接网址中的木马。木马植入到目标系统,需要一段时间来获取信息,必须隐藏自己的行踪,以确保木马的整体隐藏能力,以便实现长期的目的。主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。然后实现了Android系统下木马攻击的各种功能,主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。1、木马病毒的植入、提取 1.1植入(1)很多用户不希望支付软件费用,含有木马的手机应用的第三方网站通过提供破解版、修改版来诱骗下载。(2)通过发送短信或彩信到用户手机,诱骗手机用户点击短信中URL 或者打开彩信附件,从而达到了植入木马的目的。带网址链接的短信诈骗是目前十分流行的诈骗方式,短信内容不断变化,但对于手机系统来讲,为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。通过对Android运行任务进行检查可以发现是否有可疑程序在运行。 1.2提取提取的方式,一是根据URL链接地址,从互联网上进行提取;二是根据手机存储的位置,找到安装文件进行提取,比较常见的提取位置有:一般存放在根目录下、DownLoad文
木马编程技术分析 杨希来,杨大全,吕海华,刘雪玲 (沈阳工业大学信息科学与工程学院,沈阳110023) 摘 要:随着In ternet 的普及,网络安全日益重要。本文介绍了网络攻击的手段之一:特洛伊木马。描述了它的发展状况和分类,重点分析了木马程序开发所采用的关键技术,最后给出了预防和消除木马程序的几点建议。 关键词:特洛伊木马;进程;线程 中图分类号:T P 393.08 文献标识码:A 文章编号:1002-2279(2004)04-0036-03 The A na lys is of T ro ja ns P rog ramm ing Te chno logy YAN G X i -lai ,YAN G D a -quan ,LV H ai -hua ,et al (S chool of inf or m ation S cience and E ng ineering S heny ang U niversity of T echnology ,S heny ang 110023,Ch ina ) Abstract :W ith the pop u larizati on of In ternet ,secu rity of In ternet is m o re i m po rtan t .T h is pap er discu sses one w ay of the attack s on the In ternet -T ro jan s .It describes the developm en t and class of T ro jan s and m ain ly analyses the p ivo tal techno logy to p rogram T ro jan s p rogram s .In the end ,it p u ts som e advice how to defend and get rid of T ro jan s . Key words :T ro jan s ;P rocess ;T h read 1 引 言 在古希腊人同特洛伊人的战争中,希腊人利用一只内藏有战士的巨大木马,麻痹敌人,赢得了战争的胜利。在当今的网络中有一类称作“木马“的特殊程序,它隐藏在用户的计算机中,远程控制者可以利用它来窃取用户的机密信息,对网络安全造成了极大的威胁。 木马技术发展至今已经历了四代。第一代,简单的密码窃取和发送。第二代在技术上有了很大的进步,冰河是典型代表之一。第三代木马改进了数据传递技术,出现了I C M P 等类型的木马,即利用畸形报文传递数据。第四代木马提高了进程隐藏技术,它采用内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL 线程,或者挂接PSA P I ,实现木马程序的隐藏。根据特洛伊木马的表现行为可以把木马分为:远程控制型、密码发送型、键盘记录型、FT P 型、破坏型。 本文通过对木马编程技术的分析,让人们了解木马程序的开发技术,从而能够更加安全地管理自己的计算机。 2 木马编程关键技术 在编写木马程序时会用到很多技术,下面仅介绍一些关键技术。 2.1 木马程序隐藏技术 木马程序与普通远程管理程序的一个很大区别就是它的隐藏性。在隐藏技术中最为关键的是进程的隐藏。在介绍隐藏技术之前,首先了解三个相关的概念:进程、线程和服务。 进程:一个正常的W indow s 应用程序,在运行时都会在系统中产生一个进程。每个进程对应一个不同的进程标识符,即P I D (P rogress I D )。 系统为进程分配一个虚拟的内存空间地址段,一切相关的操作,都会在此虚拟空间进行。 线程:一个进程可以存在一个或多个线程,线程之间同步执行多种操作,线程之间相互独立,当一个线程发生错误时,并不一定会导致整个进程的崩溃。 服务:当进程以服务的方式工作时,它不会出现在任务列表中,但在W inN T 2000下,仍可通过服务管理器检查是否有服务程序运行。因此W in 9x 下,木马程序隐藏的方法就是把服务器端的木马程序注册为一个服务。参见以下代码: In t (CALLBA CK 3h ide )(DW ORD ,DW ORD ); 获得R egisterServiceP rocess 入口地址 H ide =(in t (CALLBA CK 3)(DW ORD ,DW ORD ))GetP roA ddress (dll ,"R egisterServiceP rocess "); 调用R egisterServiceP rocess ,把程序注册为服务H ide (NULL ,1); 杨希来(1977-),男,山东茌平人,硕士研究生,研究方向:计算机网络与安全。收稿日期:2003-10-08 第4期2004年8月 微 处 理 机 M I CRO PROCESSOR S N o.4A ug .,2004
西安翻译学院 XI’AN FANYI UNIVERSITY 毕业论文 题 目: 网络木马病毒的行为分析 专 业: 计算机网络技术 班 级: 103120601 姓 名: 彭蕊蕊 指 导 教 师: 朱滨忠 2013年5月 学号:10312060108 院系: 诒华学院 成绩:
目录 1 论文研究的背景及意义...................................................................................... - 3 - 2 木马病毒的概况 .................................................................................................. - 4 - 2.1 木马病毒的定义......................................................................................... - 4 - 2.2 木马病毒的概述......................................................................................... - 4 - 2.3 木马病毒的结构......................................................................................... - 4 - 2.4 木马病毒的基本特征................................................................................. - 5 - 2.5木马病毒的分类.......................................................................................... - 5 - 2.6木马病毒的危害.......................................................................................... - 6 - 3 木马程序病毒的工作机制.................................................................................. - 6 - 3.1 木马程序的工作原理................................................................................. - 6 - 3.2 木马程序的工作方式................................................................................. - 7 - 4 木马病毒的传播技术.......................................................................................... - 7 - 4.1 木马病的毒植入传播技术......................................................................... - 8 - 4.2 木马病毒的加载技术................................................................................. - 9 - 4.3 木马病毒的隐藏技术................................................................................ - 11 - 5 木马病毒的防范技术......................................................................................... - 11 - 5.1防范木马攻击............................................................................................. - 11 - 5.2 木马病毒的信息获取技术...................................................................... - 12 - 5.3 木马病毒的查杀...................................................................................... - 12 - 5.4 反木马软件............................................................................................... - 12 - 6 总结 .................................................................................................................... - 13 -
对有关病毒木马的案例分析通过学习网络安全法律法规,我们对“大小姐木马”与“熊猫烧香病毒”做出了学习与分析。 一、“大小姐”病毒起因与发展。 2008年5月6日,南京市公安局网络警察支队接江苏省水利厅报案称,该厅政务网站“江苏水利网”页面无法打开,怀疑疑被黑客侵入。 据了解,江苏省水利厅网站主要承担公文办理、汛情下达等重要任务,日访问量在5000人次。当时,江苏全省已进入汛期,该网站能否正常运行将直接影响全省防汛工作。南京市公安局网络警察支队将其立为破坏计算机信息系统案侦查,并迅速会同鼓楼公安分局抽调精干警力,成立“5·6”专案组。 攻击是为植入“大小姐”木马专案组围绕省水利厅网站被黑客攻击案,迅速开展勘查取证、侦查侦控、追查抓捕等侦查工作。去年5月14日至6月6日,专案组在湖北宜昌、广西桂林、湖北潜江等地抓获何某等6名犯罪嫌疑人,成功侦破水利厅网站被攻击案。 在侦破水利厅网站被攻击案件过程中,专案组发现,这些人攻击水利厅网站的目的,是为了在该网站上植入一款名为“大小姐”的木
马盗号程序。而这个“大小姐”木马早已臭名昭著,不少网络游戏账号均被该木马程序盗取过。 这一情况引起公安部高度重视,公安部指定南京市公安局管辖此案,并于7月1日挂牌督办本案。专案组经艰苦工作,分别于6月13日在上海、6月24日在四川广元、绵阳、10月10日在湖南长沙抓获了制作、传播“大小姐”系列木马,破坏计算机信息系统犯罪团伙的组织者王某、作者龙某及销售总代理周某等10人。犯罪嫌疑人王某以牟利为目的,自2006年下半年开始,雇用犯罪嫌疑人龙某先后编写了四十余款针对国内流行网络游戏的盗号木马。王某拿到龙某编写的木马程序后,对外谎称为自己所写,同时寻找代理人进行销售,先后通过周某等人在网上总代理销售木马,该木马系列在传播销售时被命名为“大小姐”木马。购买了“大小姐”木马的犯罪嫌疑人,则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏进行盗号。今年2月23日,专门负责盗号并销售游戏装备的犯罪嫌疑人张某在湖南益阳落网。在他的账户中,警方查获现金30余万元;2007年以来,张某已支付给王某700余万元。而王某靠销售“大小姐”木马,已非法获利1400余万元。据介绍,这些人先将非法链接植入正规网站,用户访问网站后,会自动下载盗号木马。当用户登录游戏账号时,游戏账号就会自动被盗取。嫌疑人将盗来的账号直接销售或者雇佣人员将账号内的虚拟财产转移出后销售牟利。 二、中国破获的国内首例制作计算机病毒的大案“熊猫烧香病毒”
完整版-木马分析 一个木马的分析 第一次详细分析木马,不足之处请见谅。 这个木马一共4KB,是个比较简单的程序,所以分析起来也不是很难。下面开始正式分析。 这是程序的主题函数,一进来就是三个初始化的call,然后就是一个大的循环,程序就是在这个循环之中不停的运行着。 跟进第一个call: 函数首先创建了一个hObject变量~用于存放创建的互斥对象句柄。mov [ebp+hObject], start proc near eax就是将创建的互斥句柄传送到 call sub_401481hObject中。这里是创建了一个名为 call sub_401092 H1N1Bot的互斥对象。然后调用 call sub_4011AE loc_4014C4: GetLastError得到错误码~这里加 call sub_4013D5 入程序已经有一份实例在运行了~则 call sub_40143F push 0EA60h ; 这个互斥对象就是创建过了的~就是dwMilliseconds 得到错误代码为0B7h的值。通过查 call Sleep 询msdn发现:0b7h含义是Cannot jmp short loc_4014C4 start endp create a file when that file already exists.所以这样就防止了木马程序同时打开了多份。当返回值是 0B7h的时候~调用ExitProcess退出程序。总结来说这个call就是检查程序是否已经打开~要是打开过了就退出。
进入401092的call,由于这hObject = dword ptr -4 个函数代码过多,就不贴详细的.text:00401481 代码了。函数定义了两个局部字.text:00401481 push ebp 符串数组ExistingFileName,.text:00401482 mov ebp, esp String2(这里是ida分析给出的名.text:00401484 add esp, 0FFFFFFFCh 字)和一个文件指针。函数先将.text:00401487 push offset Name ; 这两个数组用零填充,然后调用"H1N1Bot" GetModuleFileNameA得到当前.text:0040148C push 0 ; 程序的完整路径,并将结果存放bInitialOwner 在ExistingFileName中。在调用.text:0040148E push 0 ; SHGetFolderPathA并将结果存lpMutexAttributes 放在String2中。 .text:00401490 call CreateMutexA SHGetFolderPathA可以获.text:00401495 mov [ebp+hObject], eax 取系统文件夹,这里他的参数值.text:00401498 call GetLastError 是0x1c。 .text:0040149D cmp eax, 0B7h Const .text:004014A2 jz short loc_4014A6 CSIDL_LOCAL_APPDATAH1C调用ExitProcess退出程序. (用户)\本地设置\应用程序数.text:004014A4 leave 据。即如果以administration身.text:004014A5 retn 份登录获得的是C:\DocumentsandSettings\Administrator\Local Settings\Applicaton Data\路径。 然后调用lstrcatA这个函数在String2的后面加上\\winvv.exe。然后比较String2和ExistingFileName是否相同,不同则把自身复制到ExistingFileName 中,最后运行复制
特洛伊木马分析 摘要在计算机如此普及的网络时代,病毒对于我们来说早已不是一个新鲜的名词,而通常被称为木马病毒的特洛伊木马也被广为所知,为了更好的保护自己的电脑我们应该了解跟多有关特洛伊病毒的信息。本文对该病毒原理、预防和清除进行了详细的阐述,并对此发表了一些个人的看法。 关键词特洛伊木马病毒木马 特洛伊木马是一种特殊的程序,它们不感染其他文件,不破坏系统,不自身复制和传播。在它们身上找不到病毒的特点,但它们们仍然被列为计算机病毒的行列。它们的名声不如计算机病毒广,但它们的作用却远比病毒大。利用特洛伊木马,远程用户可以对你的计算机进行任意操作(当然物理的除外),可以利用它们传播病毒,盗取密码,删除文件,破坏系统。于是这个在网络安全界扮演重要角色,课进行超强功能远程管理的“功臣”,自然而然也被列为受打击的行列。 在网络上,各种各样的特洛伊木马已经多如牛毛,它们和蠕虫病毒、垃圾邮件一起构成了影响网络正常秩序的三大害。下面我就来说说特洛伊木马的特点、工作原理、预防和清除的方法,以及我自己对木马病毒及其防护方法的一些见解。 一.什么是特洛伊木马 特洛伊木马简称木马,英文名为Trojan。它是一种不同于病毒,但仍有破坏性的程序,普通木马最明显的一个特征就是本身可以被执行,所以一般情况下它们是由.exe文件组成的,某些特殊木马也许还有其他部分,或者只有一个.dll文件。 木马常被用来做远程控制、偷盗密码等活动。惯用伎俩是想办法让远程主机执行木马程序,或者主动入侵到远程主机,上传木马后再远程执行。当木马在远程主机被执行后,就等待可控制程序连接,一旦连接成功,就可以对远程主机实施各种木马功能限定内的操作。功能强大的木马可以在远程主机中做任何事情,就如同在自己的机器上操作一样方便。 可见,木马实际上就是一个具有特定功能的可以里应外合的后门程序,将其与其他的病毒程序结合起来造成的危害将会是相当大的。 二.木马的工作原理
一个木马的分析 第一次详细分析木马,不足之处请见谅。 这个木马一共4KB,是个比较简单的程序,所以分析起来也不是很难。下面开始正式分析。 这是程序的主题函数,一进来就是三个初始化的call,然后就是一个大的循环,程序就是在这个循环之中不停的运行着。 跟进第一个call: 函数首先创建了一个hObject变 mov [ebp+hObject], eax就是将 创建的互斥句柄传送到hObject中。 这里是创建了一个名为H1N1Bot的 互斥对象。然后调用GetLastError 得到错误码,这里加入程序已经有一 份实例在运行了,则这个互斥对象就是创建过了的,就是得到错误代码为0B7h的值。通过查询msdn发现:0b7h含义是Cannot create a file when that file already exists.所以这样就防止了木马程序同时打开了多份。当返回值是0B7h的时候,调用ExitProcess退出程序。总结来说这个call就是检查程序是否已经 打开,要是打开过了就退出。
进入401092的call ,由于这 个函数代码过多,就不贴详细的代码了。函数定义了两个局部字符串数组ExistingFileName ,String2(这里是ida 分析给出的名字)和一个文件指针。函数先将 这两个数组用零填充,然后调用GetModuleFileNameA 得到当前 程序的完整路径,并将结果存放在ExistingFileName 中。在调用 SHGetFolderPathA 并将结果存放在String2中。 SHGetFolderPathA 可以获取系统文件夹,这里他的参数值是0x1c 。 Const CSIDL_LOCAL_APPDATAH1C (用户)\本地设置\应用程序数据。即如果以administration 身份登录获得的是 C:\DocumentsandSettings\Administrator\Local Settings\Applicaton Data\路径。 然后调用lstrcatA 这个函数在String2的后面加上\\winvv.exe 。然后比较String2和ExistingFileName 是否相同,不同则把自身复制到ExistingFileName 中,最后运行复制 过去的文件,自身退出。 总体来讲第二个call 就是路径检查的。 3. 进入4011AE 的call,这个函数就是实现程序的开机运行,手法也很简单。就是在注册表中创建键值。位置在Software\Microsoft\Windows\CurrentVersion\Run\,键值叫做Windows Update ,其迷惑作用。 4.下面我们进入这个木马的核心程序。大循环。4013D5的call hObject = dword ptr -4 .text:00401481 .text:00401481 push ebp .text:00401482 mov ebp, esp .text:00401484 add esp, 0FFFFFFFCh .text:00401487 push offset Name ; "H1N1Bot" .text:0040148C push 0 ; bInitialOwner .text:0040148E push 0 ; lpMutexAttributes .text:00401490 call CreateMutexA .text:00401495 mov [ebp+hObject], eax .text:00401498 call GetLastError .text:0040149D cmp eax, 0B7h .text:004014A2 jz short loc_4014A6 调用ExitProcess 退出程序. .text:004014A4 leave .text:004014A5 retn
学号:10312060108 院系:诒华学院 成绩: 翻译学院 XI’AN FANYI UNIVERSITY 毕业论文 题目:网络木马病毒的行为分析 专业:计算机网络技术 班级:103120601 姓名:蕊蕊 指导教师:朱滨忠 2013年5月
目录 1 论文研究的背景及意义......................................... - 3 - 2 木马病毒的概况............................................... - 4 - 2.1 木马病毒的定义.......................................... - 4 - 2.2 木马病毒的概述.......................................... - 4 - 2.3 木马病毒的结构.......................................... - 4 - 2.4 木马病毒的基本特征...................................... - 5 - 2.5木马病毒的分类.......................................... - 5 - 2.6木马病毒的危害.......................................... - 6 - 3 木马程序病毒的工作机制....................................... - 6 - 3.1 木马程序的工作原理...................................... - 6 - 3.2 木马程序的工作方式...................................... - 7 - 4 木马病毒的传播技术........................................... - 7 - 4.1 木马病的毒植入传播技术.................................. - 8 - 4.2 木马病毒的加载技术...................................... - 8 - 4.3 木马病毒的隐藏技术..................................... - 11 - 5 木马病毒的防技术............................................ - 11 - 5.1防木马攻击............................................. - 11 - 5.2 木马病毒的信息获取技术................................. - 12 - 5.3 木马病毒的查杀......................................... - 12 - 5.4 反木马软件............................................. - 12 - 6 总结........................................................ - 13 -