下载文档原格式
木马的常用伪装手段
1木马程序更名:为增强木马程序的欺骗性,木马的设计者通常会给木马取一个极具迷
惑性的名称(一般与系统文件名相似,如svchOsto Exe等)或者允许控制端用户自由设定安装后的木马文件名。
这就使得用户很难判断所感染的木马类型。
2扩展名欺骗:这是黑客惯用的一-种手法,其主要是将木马伪装成图片、文本、Word
文档等文件,以掩饰自己真实的文件类型,例如将木马程序的名称为“文件名.exe"的文件改为“文件名txtexe”。
此时,用户只需把该文件的扩展名显示出来,就可以轻
松识别出此文件的类型。
3修改程序图标:木马服务端所用的图标有一定的规律可循,木马经常故意伪装成常用
图标的形式(例如文本文件的图标),等待用户因为疏忽而将其认为是应用程序图标而
双击启动。
4捆绑文件:这种方式是将木马捆绑到- -个安装程序中,当用户双击启动程序时,木
马就会随之启动,并运行于计算机系统中。
被捆绑的文件一般是可执行文件,例如后
缀名为“.Exe”,“.COM”之类的文件。
5定制端口:老式木马的端口都是固定的,这位用户判断电脑是否带有木马带来了方便
o现在很多木马都加入了定制端口的功能,控制端用户可以在“1024-6535”之间任意
选择一个端口作为木马端口,这样大大提高了用户判断电脑感染木马类型的难度。
6自我复制:是为了弥补木马的一个缺陷而设计的当服务端用户打开含有木马的文件后,木马会将自己复制到系统目录中(C:WINDOWS System或C:WINDOWS\System32目录)。
八种硬件木马设计和实现硬件木马是指通过在计算机硬件上植入恶意代码,实现对目标计算机的操控和攻击的一种恶意软件。
与软件木马相比,硬件木马更加隐蔽,很难被检测和清除。
下面将介绍八种常见的硬件木马设计和实现方法。
1.主板固件植入:通过对计算机主板固件进行修改,将恶意代码写入主板的固件中。
这样在计算机启动时,恶意代码会自动加载并运行,从而实现对目标计算机的控制。
2.硬盘固件植入:恶意代码可以被植入到硬盘的固件中,当计算机启动时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以读取硬盘上的数据,或者在计算机运行中篡改数据。
3.网卡固件植入:恶意代码可以被植入到网卡的固件中,当计算机连接到网络时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以监听和窃取网络通信数据,或者篡改传输数据。
4.显示器固件植入:恶意代码可以被植入到显示器的固件中,当计算机连接到显示器时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以监控和截获显示器的显示内容,包括屏幕上的敏感信息。
5.键盘固件植入:恶意代码可以被植入到键盘的固件中,当用户使用键盘输入时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以记录用户的敏感输入信息,如密码、信用卡号等。
6.鼠标固件植入:恶意代码可以被植入到鼠标的固件中,当用户使用鼠标时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以控制鼠标的移动和点击,实现对目标计算机的操控。
B设备植入:恶意代码可以被植入到USB设备的固件中,当用户将USB设备连接到计算机时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以利用USB设备传输恶意代码,实现对目标计算机的攻击。
8.CPU植入:恶意代码可以被植入到CPU中的控制电路中,当计算机启动时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以直接控制和操控CPU的功能,实现对目标计算机的远程控制。
以上是八种常见的硬件木马设计和实现方法。
由于硬件木马具有隐蔽性高、难以被检测和清除等特点,对于用户来说,保持计算机硬件的安全是至关重要的。
深度剖析木马的植入与攻击安全问题2010-09-18 13:57:43 阅读54 评论0 字号:大中小订阅为了学习转的:第3章深度剖析木马的植入与攻击●木马是如何实施攻击的●木马的植入与隐藏●木马信息反馈●常用木马例说●木马的清除和防范木马,也称特伊洛木马,英文名称为Trojan。
其本身就是为了入侵个人电脑而开发的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。
Windows本身没有监视网络的软件,所以不借助其它工具软件,许多时候是很难知道木马的存在和黑客的入侵的。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该如何清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现自己是否中“木马”了。
3-1 木马是如何实施攻击的木马是黑客最常用的攻击方法,因此,在本章中将使用较大篇幅来介绍木马的攻防技术。
木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,甚至可以远程监控这台计算机上的所有操作。
尽管资深的黑客是不屑于使用木马的,但在对网络安全事件的分析统计里,却发现有相当部分的网络入侵是通过木马来进行的,包括2002年微软被黑一案,据说就是通过一种普通的蠕虫木马侵入微软的系统,并且窃取了微软部分产品源代码的。
3-1-1 木马是如何侵入系统的小博士,你好!可以给我讲一下木马是如何侵入系统的吗?没问题,一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控制植入木马的计算机,服务器端程序就是通常所说的木马程序。
攻击者要通过木马攻击计算机系统,他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
对于给你下木马的人来说,一般不会改变硬盘的盘符图标,但他会修改Autorun.inf文件的属性,将该文件隐藏起来。
然后按F5键刷新,这样,当有人双击这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人最有效。
识别这种伪装植入方式的方法是,双击盘符后木马程序会运行,并且我们不能进入盘符。
4把木马文件转换为图片格式这是一种相对比较新颖的方式,把EXE转化成为BMP图片来欺骗大家。
原理:BMP文件的文件头有54个字节,包括长宽、位数、文件大小、数据区长度。
我们只要在EXE的文件头上加上这54字节,IE就会把它当成BMP文件下载下来。
改过的图片是花的,会被人看出破绽,用<imgscr=″xxx.bmp″higth=″0″width=″0″>,把这样的标签加到网页里,就看不见图片了,也就无法发现“图片”不对劲。
IE 把图片下载到临时目录,我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件,并在注册表添加启动项,利用那个VBS找到BMP,调用debug来还原EXE,最后,运行程序完成木马植入。
下一次启动时木马就运行了,无声无息非常隐蔽。
5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马,也是骗术最高的木马。
特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。
对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。
一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。
实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。
操作结束后关掉进程,继续进入休眠状况。
举个具体的例子,黑客们将写好的文件(例如DLL、OCX等)挂在一个十分出名的软件中,例如QQ中。
当受害者打开QQ时,这个有问题的文件即会同时执行。
木马最新植入五种方法揭密木马是大家网上安全的一大隐患,说是大家心中永远的痛也不为过。
对于木马采用敬而远之的态度并不是最好的方法,我们必须更多地了解其“习性”和特点,只有这样才能做到“知己知彼,百战不殆”!随着时间的推移,木马的植入方式也悄悄地发生了一定的变化,较之以往更加的隐蔽,对大家的威胁也更大,以下是笔者总结的五种最新的木马植入方式,以便大家及时防范。
方法一:利用共享和Autorun文件为了学习和工作方便,有许多学校或公司的局域网中会将硬盘共享出来。
更有甚者,竟将某些硬盘共享设为可写!这样非常危险,别人可以借此给您下木马!利用木马程序结合Autorun.inf文件就可以了。
方法是把Autorun.inf和配置好的木马服务端一起复制到对方D盘的根目录下,这样不需对方运行木马服务端程序,只需他双击共享的磁盘图标就会使木马运行!这样作对下木马的人来说的好处显而易见,那就是大大增加了木马运行的主动性!许多人在别人给他发来可执行文件时会非常警惕,不熟悉的文件他们轻易不会运行,而这种方法就很难防范了。
下面我们简单说一下原理。
大家知道,将光盘插入光驱会自动运行,这是因为在光盘根目录下有个Autorun.inf文件,该文件可以决定是否自动运行其中的程序。
同样,如果硬盘的根目录下存在该文件,硬盘也就具有了AutoRun功能,即自动运行Autorun.inf文件中的内容。
把木马文件.exe文件以及Autorun.inf放在磁盘根目录(这里假设对方的D盘共享出来且可写),对于给您下木马的人来说,他还会修改Autorun.inf文件的属性,将该文件隐藏起来。
这样,当有人双击这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人威胁最大。
更进一步,利用一个.REG文件和Autorun.inf结合,还可以让你所有的硬盘都共享出去!方法二:把木马文件转换为BMP格式这是一种相对比较新颖的方式,把EXE转化成为BMP来欺骗大家。
木马的伪装欺骗方法详解如今大多数上网的朋友警惕性都很高,想骗他们执行木马是件很困难的事。
即使电脑菜鸟都知道一见到exe 文件便不会轻易“招惹”它,因而中标的机会也就相对减少了。
但黑客们是不会甘于寂寞的,所以就出现了很多更容易让人上当的木马伪装手段。
本文介绍一些常见的木马伪装手段,希望对大家有所帮助。
1、将木马包装为图像文件首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用。
只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为“类似”图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它。
为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是exe,而木马程序的扩展名基本上又必定是exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了!还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个“马甲”,即用IconForge等图标文件修改文件图标,这样木马就被包装成jpg 或其他图片格式的木马了,很多人会不经意间执行了它。
2、合并程序欺骗通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵者一不做二不休,干脆将木马程序说成是应用程序:反正都是以exe 作为扩展名的。
然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程序等等,目地是让受害者立刻执行它。
木马入侵常见手法及其防范木马入侵常见手法及其防范作者:夏成效吕占广袁艺发布时间: 2009年01月09日据有关部门公布的资料显示,2008年新增木马数量将突破100万,预计2010年木马数量更有可能呈几何级数增长,达到千万以上。
而据某一反病毒厂商公布的统计结果分析,当前用户最为关注的木马和病毒排行榜前十名中,有九个是木马,一个是集黑客、蠕虫、木马于一身的混合型病毒。
由于木马威胁日趋严重,业已取代传统病毒成为网络安全的头号大敌,加之木马和病毒也呈现出一体化的趋势,因此反病毒厂商对木马和病毒已经不作严格区分,而是按统一规则命名,并给以更高的关注程度。
由于木马工作机制的隐蔽性和窃取信息的便利性,使其成为黑客手中天然的“间谍工具”,在近几年发生的一些网络失泄密案件中,木马是窃密者的重要作案工具之一。
因此,了解木马的基本原理和掌握其防治措施,已经成为信息时代每一名保密工作者的一项紧迫任务。
木马的原理木马通常由一个隐秘运行在目标计算机中的服务端程序和一个运行在黑客计算机中的控制端程序组成,是一种特殊的远程控制软件。
远程控制软件本来是网络管理员为便于管理分散于不同地域计算机而经常采用的一种远程管理工具,木马除具有此种工具的所有功能外,它还具有“不死术”(驻留技术),木马进入目标计算机后,会自动修改注册表或系统配置文件,在系统每次启动时,都会自动加载自身运行。
它具有“隐身术”(隐藏技术),将自身文件伪装成系统文件或取一个类似系统文件的名字安身于系统文件夹中,其运行时在任务栏和任务管理器中都毫无踪迹,处于完全隐形状态。
它具有“遥控术”(远程控制技术),木马运行后会打开一个特殊的端口,与控制端发生联系,并接受控制端的指令,远程遥控目标计算机。
当黑客要利用木马进行网络入侵时,一般都需完成“向目标计算机传播木马”->“启动和隐藏木马”->“服务端(目标计算机)和控制端建立连接”->“进行远程控制”等几个步骤。
木马采用的伪装方法1. 修改图标木马服务端所用的图标也是有讲究的,木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标,这样很容易诱惑你把它打开。
看看,木马是不是很狡猾?2. 捆绑文件这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。
被捆绑的文件一般是可执行文件(即EXE COM一类的文件)。
3. 出错显示有一定木马知识的人部知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序。
木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。
当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如" 文件已破坏,无法打开!" 之类的信息,当服务端用户信以为真时,木马却悄悄侵人了系统。
4. 自我销毁这项功能是为了弥补木马的一个缺陷。
我们知道,当服务端用户打开含有木马的文件后,木马会将自己拷贝到Windows的系统文件夹中(C;\wmdows或C:\windows'system 目录下),一般来说,源木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么,中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件,然后根据源木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。
而木马的自我销毁功能是指安装完木马后,源木马文件自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下。
就很难删除木马了。
5. 木马更名木马服务端程序的命名也有很大的学问。
如果不做任何修改,就使用原来的名字,谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪,不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。
例如有的木马把名字改为window.exe ,如果不告诉你这是木马的话,你敢删除吗?还有的就是更改一些后缀名,比如把dll 改为dl 等,不仔细看的,你会发现吗?木马的种类1 、破坏型惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL INI、EXE文件。
木马伪装植入的方法
如果我们要想把自己的木马植入到别人的计算机上,首先就要伪装好自己。
一般来讲,木马主要有两种隐藏手段:
①把自己伪装成一般的软件
很多用户可能都遇到过这样的情况,在网站上得到一个自称是很好玩或是很有用的小程序,拿下来执行,但系统报告了内部错误,程序退出了。
一般人都会认为是程序没有开发好,不会疑心到运行了木马程序这上面。
等到运行自己的QQ等程序时,被告知密码不对,自己熟得不能再熟的密码怎么也进不去,这时才会想起检查自己的机器是否被人安装了木马这回事情。
提示:
这种程序伪装成正常程序,实质是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。
②把自己绑定在正常的程序上面
对于那些老到的黑客来说,他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件,然后用户在安装该正版程序时,就神不知鬼不觉地被种上木马了。
伪装之后,木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了,或者是放在网站上供人下载。
黑客还会为它们加上一些动人的话语来诱惑别人,像“最新火辣辣小电影!”、“CuteFTP5.0完全解密版!!!”等。
一点不骗人,在安装了这个CuteFTP之后,你的机器就被“完全解密”了,那些喜欢免费盗版的朋友们也要小心了!
下面介绍几种常见的伪装植入木马的方法:
修改木马图标
将木马服务端程序更改图标,如设为图片图标,并将其扩展名设置为***.jpg.exe格式,直接发给对方,由于Windows的默认设置是隐藏已知文件的扩展名,所以对方收到后就会轻易相信这就是一幅图片。
对方运行后,结果毫无反应(运行木马后的典型表现),对方说:“怎么打不开呀!”,回答:“哎呀,不会程序是坏了吧?”,或者说:“对不起,我发错了!”,然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。
虽然有些木马制作工具中带有修改图标的功能,但是黑客还常常使用其他辅助工具来修改图标。
如IconChanger,就是一个更换文件图标工具,其运行界面如图1所示。
图1:更换图标工具
在“Search icons in”里选择不同的盘符,程序就会自动搜索该盘符下的所有程序图标列在下部的列表中。
然后选择“File”|“Choose file to change its icon”命令,在打开的对话框中选择待更换图标的木马程序,选出的程序会出现在界面左上部。
接下来在程序的图标列表中选择一个中意的图标,拉到右下侧列表中,最后选中一个最满意的,点击工具栏的“Set”按钮,左上部的程序的图标就会变成黑客想要设置的图标,如图2所示。
图2:更改图标后的效果
捆绑欺骗
把木马服务端和某个游戏或工具捆绑成一个文件在QQ或邮件中发给别人,别人运行后它们往往躲藏在Windows的系统目录下,图标伪装成一个文本文件或者网页文件,通过端口与外界进行联系。
然后把自己和一些EXE文件捆绑在一起,或者采用改变文件关联方式的方法来达到自启动的目的。
而且,即使以后系统重装了,如果该程序还是保存着的话,还是有可能再次中招的。
捆绑欺骗大多采用捆绑软件如Deception Binder进行以下几种方式的捆绑:
将一款小游戏和木马服务端捆绑成一个文件;
把一个txt文件和木马服务端捆绑成一个文件;
把一个JPG图片和木马服务端捆绑成一个文件。
Deception Binder的程序运行界面如图3所示。
图3:Deception Binder的程序运行界面
Deception Binder程序一个外国的小巧的文件合并器,虽然小巧,功能却不错,可以设置捆绑的程序打开文件是否隐蔽运行,设置打开文件是否加入注册表启动项,设置打开文件时是否显示错误信息以迷惑对方。
最后将捆绑后的文件找一个相应的理由发送给对方,让对方在不知不觉中被种植木马。
文件夹惯性点击
把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹木马时,也会收不住鼠标点下去,这样木马就成功运行了。
比方说著名的木马黑洞2001的服务端程序用的就是文件夹的图标,如果您以为它是文件夹而去点击那您就错了,它是个不折不扣的EXE文件!
当然,如果对方使用的IE 5.0及以下的版本,还可以利用Windows中的文件夹支持HTML 和JavaScript定义的一些“动作”原理,通过JavaScript,让文件夹自动执行程序,做成
一个真正“文件夹木马”,让对方不受骗都难。
危险下载点
攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载,这样以后每增加一次下载次数,就等于多了一台中木马的计算机。
或者把木马免杀处理后捆绑到其他软件上,然后“正大光明”地发布到各大软件下载网站,它们也不查毒,就算查也查不出一些新木马,或是进行过免杀处理的木马。
邮件冒名欺骗
该类木马植入的前提是,用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件,别人下载附件并运行的话就中木马了。
如冒充单位的系统管理员,向各个客户端发送系统补丁或是其它安装程序(因为这些程序都是可执行文件)。
QQ冒名欺骗
该类木马植入的前提是,必须先获取一个不属于自己的QQ号。
然后使用这个QQ号码给好友们发去木马程序,由于信任被盗号码的主人,好友们会毫不犹豫地运行木马程序,结果就中招了。
ZIP伪装
将一个木马和一个损坏的ZIP包(可自制)捆绑在一起,然后指定捆绑后的文件为ZIP 图标,这样一来,除非别人看了他的后缀,否则点下去将和一般损坏的ZIP没什么两样,根本不知道其实已经有木马在悄悄运行了。
ZIP伪装的常见做法如下:
首先创建一个文本文档,输入任意个字节(其实一个就行,最小),将它的后缀txt 直接改名为zip即可,然后把它和木马程序捆在一起,修改捆绑后的文件图标为zip图标就成了。
论坛上发链接
在可以上传附件的论坛上传捆绑好的木马(如将木马捆绑在图片上传),然后把链接发给想要攻击的目标肉机的主人,诱惑他点击那个链接。
网页木马法
在黑客自己的网页上捆绑木马,再在QQ上邀请想要攻击的目标网友去访问,轻松给他种上黑客配置的木马。
伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马。
黑客们通常将木马程序写成为任何类型的文件 (例
如 dll、ocx等),然后挂在一个十分出名的软件中,例如 QQ 。
由于QQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件是否多了。
而当受害者打开QQ 时,这个有问题的文件即会同时执行。
此种方式相比起用捆绑程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开QQ时木马程序就会同步运行,相对一般特洛伊木马可说是“踏雪无痕”。
更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一个新木马来,所以即使安装有杀毒软件也拿它没有丝毫办法。
