简单木马植入过程
- 格式:doc
- 大小:118.00 KB
- 文档页数:4
下载文档原格式
合集下载
木马的植入自启动和隐藏
计算机病毒与防治课程小组
木马自启动途径
3 加入系统启动组
在启动文件夹[Windir]\start menu\programs\startup\中 添加程序或快捷方式,也可修改册表的位置:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\Shell Folders Startup]="windows\start menu\programs\startup"
计算机病毒与防治课程小组
木马入侵
通过缓冲区溢出植入木马
上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str 的长度大于16就会造成buffer的溢出,使程序运行出错。存在象strcpy这 样的问题的标准函数还有strcat(),sprintf(), vsprintt(), gets(), scanf(),以及在循环内的getc(), fgetc(), getchar()等。当然,随便 往缓冲区中填东西造成它溢出一般只会出现Segmentation fault错误,而 不能达到攻击的目的。 如果在溢出的缓冲区中写入我们想执行的代码,再覆盖函数返回地址的 内容,使它指向缓冲区的开头,就可以达到运行其它指令的目的。
通过电子邮件传播是一种最简单有效的方法,黑客通常给 用户发电子邮件,而这个加在附件中的软件就是木马的服务器 端程序。
缓冲区溢出攻击是植入木马最常用的手段。据统计,通过 缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。
计算机病毒与防治课程小组
木入侵
通过缓冲区溢出植入木马
缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段, 通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从 而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。 造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例 如下面程序: void function(char *str){ char buffer[16]; strcpy(buffer,str); }
计算机病毒
计算机病毒计算机病毒的定义、分类计算机病毒是一些能够自我复制的代码段,它能附着在应用程序或系统的其他可执行部分。
在宿主程序执行的某些阶段,它能够获得执行控制权。
广义上讲,计算机病毒可以指所有对系统有干扰或破坏作用的代码。
计算机病毒按寄生的方式不同,可分为系统引导型病毒、文件型病毒和复合型病毒三种;按其破坏、危害程度可分为良性病毒和恶性病毒;按传染途径可分为驻留内存型病毒和非驻留型病毒。
病毒的潜伏和激活大多数病毒在感染后不留下它们存在的外部特征,被感染的程序保持原功能不变,有时可以没有任何感染特征地运行数月,甚至数年,在此期间病毒只是静静地进行自身复制,处于潜伏状态;病毒内部有基于某种算法的激活条件,当满足这一条件时,病毒激活(发作),这时将引起各种明显的系统混乱或破坏。
计算机病毒的传播被动传播方式通过计算机存储介质、通信网络等传播介质。
主动传播方式完全替换宿主附着于宿主外部附着插入计算机病毒的运行机制通常,病毒在刚开始进人计算机的过程中,要进行自身定位、置某些标志的初值等一系列动作。
以后,它还要经常判断其传染或表现的条件是否成熟,从而相应地进行传染及表现活动,因此病毒代码可以分成初始化、控制、传染及表现四个部分。
计算机病毒具有以下特点:修改了载体程序驻留内存修改中断传统计算机病毒惯用特性分析攻击对象趋于混合型对可执行文件和系统引导区同时感染,在病毒源码的编制、反跟踪调试、程序加密、隐秘性、攻击能力等方面的设计都呈现了许多不同一般的变新。
采用反动态跟踪技术为反这种动态跟踪,目前的病毒程序中一般都嵌人一些破坏单步中断int 1h和中断点设置中断int 3h的中断向量的代码,从而使动态跟踪难以完成。
DONG病毒驻留内存后,巧妙地覆盖了的int 1h中断向量,使单步中断后,系统自检重新启动。
还有的病毒通过对键盘进行封锁,以禁止单步跟踪,主要通过两种方式实现:使用键盘封锁指令屏蔽键盘中断int 9h降低代码可阅读性(1) 改写返回地址如新世纪病毒中有段程序:CS:0B9A PUSH AX ;此前已将代码段始址赋给AXCS:0B9B MOV AX,0BA0CS:9B9E PUSH AXCS:0B9F RETF ;返下条指令继续执行CS:0BA0 XOR AX,AXCS:0BA2 INT 13(2) 修改程序段从中截断执行有些病毒将类似功能都调用一个子程序完成,但对实现各功能,其相应的子程序的指令略有不同,为解决公用的目的,病毒将建立一个公用子程序原型,然后在具体调用时,针对不同的调用,动态修改该子程序的几字节指令码以实现相应功能。
木马常用植入方法大曝光
接着把DOC和EXE合并:copy/banyname.doc+anyname.exeanyname.doc。打开这个DOC文档,隐藏在其中的木马就会自动运行。不过还需要满足一个条件HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security中的Level值必须是1或者0。
DLL文件的特点决定了这种实现形式的木马的可行性和隐蔽性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机中的级别未经授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。
[AutoRun]//这是AutoRun部分开始,必须输入
Icon=E:\sex.ico//用sexual.ico文件给E盘设置一个个性化的盘符图标
Open=E:\sexual.exe//指定要运行程序的路径和名称,在此为E盘下的sexual.exe。如果sexual.exe文件是木马或恶意程序,那我们的电脑就危险了。
5伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马,也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程,继续进入休眠状况。
8木马伪装植入的方法
木马伪装植入的方法如果我们要想把自己的木马植入到别人的计算机上,首先就要伪装好自己。
一般来讲,木马主要有两种隐藏手段:①把自己伪装成一般的软件很多用户可能都遇到过这样的情况,在网站上得到一个自称是很好玩或是很有用的小程序,拿下来执行,但系统报告了内部错误,程序退出了。
一般人都会认为是程序没有开发好,不会疑心到运行了木马程序这上面。
等到运行自己的QQ等程序时,被告知密码不对,自己熟得不能再熟的密码怎么也进不去,这时才会想起检查自己的机器是否被人安装了木马这回事情。
提示:这种程序伪装成正常程序,实质是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。
②把自己绑定在正常的程序上面对于那些老到的黑客来说,他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件,然后用户在安装该正版程序时,就神不知鬼不觉地被种上木马了。
伪装之后,木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了,或者是放在网站上供人下载。
黑客还会为它们加上一些动人的话语来诱惑别人,像“最新火辣辣小电影!”、“CuteFTP5.0完全解密版!!!”等。
一点不骗人,在安装了这个CuteFTP之后,你的机器就被“完全解密”了,那些喜欢免费盗版的朋友们也要小心了!下面介绍几种常见的伪装植入木马的方法:修改木马图标将木马服务端程序更改图标,如设为图片图标,并将其扩展名设置为***.jpg.exe格式,直接发给对方,由于Windows的默认设置是隐藏已知文件的扩展名,所以对方收到后就会轻易相信这就是一幅图片。
对方运行后,结果毫无反应(运行木马后的典型表现),对方说:“怎么打不开呀!”,回答:“哎呀,不会程序是坏了吧?”,或者说:“对不起,我发错了!”,然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。
虽然有些木马制作工具中带有修改图标的功能,但是黑客还常常使用其他辅助工具来修改图标。
木马种植的方法是什么
木马种植的方法是什么相信很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。
下面是店铺精心为你整理的木马种植的方法,一起来看看。
木马种植的方法现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。
你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。
为了避免不熟悉木马的用户误运行服务端,现在流行的木马都没有提供单独的服务端程序,而是通过用户自己设置来生成服务端,黑洞2004也是这样。
首先运行黑洞2004,点击“功能/生成服务端”命令,弹出“服务端配置”界面。
由于黑洞2004采用了反弹技术(请参加小知识),首先单击旁边的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反映出注册的情况。
域名注册成功以后,返回“服务端配置”界面,填入刚刚申请的域名,以及“上线显示名称”、“注册表启动名称”等项目。
为了迷惑他人,可以点“更改服务端图标”按钮为服务端选择一个图标。
所有的设置都完成后,点击“生成EXE型服务端”就生成了一个服务端。
在生成服务端的同时,软件会自动使用UPX为服务端进行压缩,对服务端起到隐藏保护的作用。
服务端生成以后,下一步要做的是将服务端植入别人的电脑?常见的方法有,通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带,把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹,通过P2P软件(比如PP 点点通、百宝等),让网友在毫无防范中下载并运行服务端程序。
由于本文主要面对普通的网络爱好者,所以就使用较为简单的Email夹带,为大家进行讲解。
我们使用大家经常会看到的Flash动画为例,建立一个文件夹命名为“好看的动画”,在该文件夹里边再建立文件夹“动画.files”,将木马服务端软件放到该文件夹中假设名称为“abc.exe”,再在该文件夹内建立flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击打开按钮安装插件”,新建一个按钮组件,将其拖到舞台中,打开动作面板,在里边输入“on (press) {getURL("动画.files/abc.exe");}”,表示当单击该按钮时执行abc这个文件。
深度剖析木马的植入与攻击
深度剖析木马的植入与攻击安全问题2010-09-18 13:57:43 阅读54 评论0 字号:大中小订阅为了学习转的:第3章深度剖析木马的植入与攻击●木马是如何实施攻击的●木马的植入与隐藏●木马信息反馈●常用木马例说●木马的清除和防范木马,也称特伊洛木马,英文名称为Trojan。
其本身就是为了入侵个人电脑而开发的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。
Windows本身没有监视网络的软件,所以不借助其它工具软件,许多时候是很难知道木马的存在和黑客的入侵的。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该如何清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现自己是否中“木马”了。
3-1 木马是如何实施攻击的木马是黑客最常用的攻击方法,因此,在本章中将使用较大篇幅来介绍木马的攻防技术。
木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,甚至可以远程监控这台计算机上的所有操作。
尽管资深的黑客是不屑于使用木马的,但在对网络安全事件的分析统计里,却发现有相当部分的网络入侵是通过木马来进行的,包括2002年微软被黑一案,据说就是通过一种普通的蠕虫木马侵入微软的系统,并且窃取了微软部分产品源代码的。
3-1-1 木马是如何侵入系统的小博士,你好!可以给我讲一下木马是如何侵入系统的吗?没问题,一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控制植入木马的计算机,服务器端程序就是通常所说的木马程序。
攻击者要通过木马攻击计算机系统,他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
黑客是如何骗取你执行木马的
黑客是如何骗取你执行木马的如今大多数上网的朋友警惕性都很高,想骗取他们执行木马是件很困难的事,因为木马出现这么久,木马两个字听得人们耳朵都长出了老茧,可说是谈"马"色变,即使不是电脑高手都知道,一见到是exe 文件便不会轻易"招惹"它,因而中标的机会也就相对减少了。
对于此,黑客们是不会甘于寂寞的,在黑客的世界里挑战与刺激才是他们趋之若婺的。
1、冒充为图像文件首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用。
只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为"类似"图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它。
为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是exe,而木马程序的扩展名基本上又必定是exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把"sam.exe" 更改为"sam.jpg" ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了!还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个"马甲",即修改文件图标。
修改文件图标的方法如下:1 . 比如到 下载一个名为IconForge 的软件,再进行安装。
2 . 执行程序,按下File > Open3 . 在File Type 选择exe 类4 . 在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作,也可以在网上找找) 。
学习情景5-2木马的植入、自启动和隐藏技术
《计算机病毒与防治》学习情景设计
学习情景三典型病毒防治
教学单元3-5-1
木马的植入、自启动和隐藏技术
课程基本信息
制定人
授课时间
授课班级
计划学时
教
学
目
标
1、让学生掌握木马的植入技术;
2、让学生掌握木马的自启动原理;
3、让学生了解木马的自启动的实现技术;
4、让学生掌握木马的隐藏手段;
5、让学生掌握木马隐藏技术的实现;
1、角色扮演复习法
学生以角色扮演的方式,每个学生扮演一种类型的病毒特征,对该特征进行阐述。
体现学习过程考核。
对知识的学习和运用能力
2、情景引入
在了解了木马病毒的基础知识之上,更深入一部向学生讲解木马病毒涉及到的一些关键技术。包括:植入、自启动、隐藏技术。
1、情景引入法
结合日常生活和兴趣点的情景引入是激发学生对课程兴趣的关键。
教
学
资
源
1、多媒体教室
2、授课教程
3、多媒体课件
3、演示动画
4、任务清单
5、黑板
教学重点
让学生掌握木马相关的关键技术。
教学难点
木马各种关键技术的实现方式。
课程内容
教学情景设计
教学方法建议
能力培养
1、复习
通过角色扮演法法对上次课程中木马病毒的特点进行复习,巩固上次的学习成果。
对学生的掌握情况进行点评。
1、案例教学法
通过引入案例,给学生以生动形象的教学。
8、木马隐藏原理
向学生讲解木马隐藏中的两个主要步骤部分。
1、教师讲解法
9、实列分析
对木马的隐藏进程技术以程序案例的方式进行分析。
1、案例教学法
学习情景三典型病毒防治
教学单元3-5-1
木马的植入、自启动和隐藏技术
课程基本信息
制定人
授课时间
授课班级
计划学时
教
学
目
标
1、让学生掌握木马的植入技术;
2、让学生掌握木马的自启动原理;
3、让学生了解木马的自启动的实现技术;
4、让学生掌握木马的隐藏手段;
5、让学生掌握木马隐藏技术的实现;
1、角色扮演复习法
学生以角色扮演的方式,每个学生扮演一种类型的病毒特征,对该特征进行阐述。
体现学习过程考核。
对知识的学习和运用能力
2、情景引入
在了解了木马病毒的基础知识之上,更深入一部向学生讲解木马病毒涉及到的一些关键技术。包括:植入、自启动、隐藏技术。
1、情景引入法
结合日常生活和兴趣点的情景引入是激发学生对课程兴趣的关键。
教
学
资
源
1、多媒体教室
2、授课教程
3、多媒体课件
3、演示动画
4、任务清单
5、黑板
教学重点
让学生掌握木马相关的关键技术。
教学难点
木马各种关键技术的实现方式。
课程内容
教学情景设计
教学方法建议
能力培养
1、复习
通过角色扮演法法对上次课程中木马病毒的特点进行复习,巩固上次的学习成果。
对学生的掌握情况进行点评。
1、案例教学法
通过引入案例,给学生以生动形象的教学。
8、木马隐藏原理
向学生讲解木马隐藏中的两个主要步骤部分。
1、教师讲解法
9、实列分析
对木马的隐藏进程技术以程序案例的方式进行分析。
1、案例教学法
第四章 任务4 木马植入
第四章任务4 木马植入4.1木马植入的方式使用木马程序的第一步是将木马的“服务器程序”放到远程被监控主机上,这个过程成为木马的植入过程。
常见的植入过程有如下几种方法。
●邮件收发:将木马的“服务器程序”放入电子邮件中植入到远程主机。
●网页浏览:将木马的“服务器程序”放入网页中植入到远程主机。
●文件下载:将木马的“服务器程序”和被下载的文件捆绑到一起植入到远程主机。
4.2 木马的运行方式服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。
首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。
安装后就可以启动木马了。
1. 自启动激活木马(1) 注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion下的Run主键,在其中寻找可能是启动木马的键值。
(2) WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。
(3) SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mci],[drivers32]中有命令行,在其中寻找木马的启动命令。
(4) Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。
但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。
(5) *.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
简单黑客攻击步骤详解
简单黑客攻击步骤详解网络攻防技术初步1、简单密码破解:一台在网络上的计算机从理论上讲可以相应任何人的操作请求,为了确保计算机所有者的权益,设计者们为计算机启用了密码保护,只有那些通过密码验证的用户才能够拥有操作计算机的权限,黑客们为了非法获取计算机的操作权限,其第一步往往就是获取用户密码。
很多人使用电脑时习惯不设置密码或设置一些简单密码比如“111111”、“123456”等等,利用一些工具比如流光可以轻松的破解这些密码,由于时间的关系我们在这里利用Xscan这个网管人员的好帮手来达到这一目的,通过这样一个实例让学员明白不设置密码或设置简单密码的坏处。
下面让我们来通过实例观察一下如何做到这一点。
通过鼠标左键双击图一所示的小图标,我们就启动了Xscan,启动界面如图二所示,我们利用鼠标左键单击如图二右上角被黑色方框围住的图形按钮,设置扫描参数。
图一启动Xscan图标“指定IP范围:”下的文字栏中输入“192.168.0.34”,并在左上角点击“全局设置”前方的小“+”号,在新弹出的菜单中点击“扫描模块”,设置扫描参数如图四所示。
图二启动Xscan后的样子图三指定IP地址范围设置完毕后点击“确定”按钮,然后回到图二所示的界面,点击左上角的“”按钮,即可启动扫描。
扫描完毕后,Xscan会自动的把扫描结果生成一张网页格式的报表,翻到网页的最后部分,仔细观察图五中被黑色粗线条标示出的部分,我们发现这台计算机的超级管理员帐户(administrator)居然没有设置任何密码。
黑客攻击过程中最重要的一步已经轻松越过。
图四Xscan设置参数图五超级帐户的密码没有设置小知识:Xscan实际上是一个网络管理工具,能够帮助网管人员扫描网络,分析漏洞所在。
192.168.0.34如果设置一些简单密码如“111111”、“123456”,Xscan一样可以找出来,至于复杂一点的密码,只能通过流光软件暴力破解了,如果想让流光破解不了,你要确保你的密码足够复杂,至少八位以上。