12.2.1 背景描述
木马并不是合法的网络服务程序,如果单纯以本来面目出现,很容易被网络用户识别。为了不被别人发现,木马制造者必须想方设法改换面貌;为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏自己。总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者,而用户一旦不慎打开这些文件,木马就自动执行了,主机就中木马了。 12.2.2 工作原理
挠度计算1.木马捆绑
木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶
意程序的文件时,其中的木马等恶意程序就会被激活。
木马捆绑的手段归纳起来共有四种:
(1)利用捆绑机软件和文件合并软件捆绑木马;
(2)利用WINRAR、WINZIP 等软件制作自解压捆绑木马;
(3)利用软件打包软件制作捆绑木马;
(4)利用多媒体影音文件传播。
2.木马隐藏
隐藏是一切恶意程序生存之本。以下是木马的几种隐藏手段:
(1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。
(2)伪装成图像文件:即将木马图标修改成图像文件图标。
(3)伪装成应用程序扩展组件:将木马程序写成任何类型的文件(如dll,ocx等),然后挂在十分出名的软件中。因为人们一般不怀疑这些软件。
(4)错觉欺骗:利用人的错觉,例如故意混淆文件名中的1(数字)与l(L的小写)、0(数字)与o(字母)或O(字母)。
韩国新村(5)合并程序欺骗:合并程序就是将两个或多个可执行文件结合为一个文件,使这些可执行文件能同时执行。木马的合并欺骗就是将木马绑定到应用程序中。
3.木马捆绑的过程分析
入侵者可以把木马和正常文件捆绑成一个文件作为伪装,当远程主机的管理员打开文件的同时会自动执行木马和正常文件。在管理员看来,他们打开的只是那个正常的程序,却不知已经被种植了木马。大家总感觉自己莫名其妙地被种了木马,可能入侵者也是通过这个方法得逞的。下面来了解一下入侵者是如何通过文件合并工具制作木马捆绑的。
(1)文件合并工具之Deception Binder 2.1。它是国外的一个文件合并器,小巧而功能强大。能够捆绑任意格式(包括test、jpg)文件;能够设置打开文件是否隐蔽运行;能够设置打开文件是否加入注册表启动项;能够设置打开文件时是否显示错误信息以迷惑对方。
(2)文件合并工具之IExpress。IExpress是微软为压缩CAB文件及制作安装程序所开发的小工具,其实应该算是MAKECAB的一个Shell。虽一直藏身于微软的产品中,却从未对它说明过,但不能否认是一款不错的免费软件。
等贵贱
(3)文件合并攻击之灰鸽子。灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。
4.防御策略
首先应当在系统里安装防毒杀毒软件,将木马挡在系统的大门之外。而针对一些顽固的木马,则可以采用一些技术手段来应对。如针对捆绑在文件中的木马可以采用如下策略:
(1)使用MT捆绑克星识别捆绑的木马
文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!
中国进出口银行
(2)使用无忧文档探测器(Fearless BoundFileDetector)清除捆绑在程序中的木马
光检测出了文件中捆绑了木马,然后利用清除工具将木马清除掉。如“无忧文档探测器“就是一款清除捆绑文件中的木马的工具。使用时,程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“CleanFile”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马即可。
(3)针对隐藏在系统中的木马,如下是一些策略建议:
①打开win.ini文件,在[WINDOWS]下面,查看“run=”程序和“load=”程序,里面是否包含了
木马程序;
②打开system.ini文件,在[BOOT]下面查看“shell=”文件是否含有木马;
③在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下查 “木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序。
④有的木马程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的木马键值删除就行了,因为有的木马如BladeRunner木马,如果直接删除它,木马会立即自动加上,需要先记下“木马”的名字与目录,然后退回到MS-DOS下,到此木马文件并删除掉。重新启动计算机,然后再到注册表中将所有木马文件的键值删除。
最后,用户应养成良好的上网习惯,不随便访问来历不明的网站,不使用来历不明的软件等。
12.2.3 实验列表
【实验一】木马捆绑实验
【实验分析】
阿基里斯
实验目的:
● 掌握木马捆绑的基本内容、学会利用灰鸽子对文件进行简单的木马捆绑。
场景描述:
图12-2-1 木马捆绑实验拓扑图
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议