• 黑客種植木馬的方法及防範策略
    发布时间:2009/9/15 15:06:49        次浏覽

    相信很多朋友都聽說過木馬程序,總覺得它很神秘、很高難,但事實上隨著木馬軟件的智能化,很多駭客都能輕松達到攻擊的目的。今天,筆者就以最新的一款木馬程序——黑洞2004,從種植、使用、隱藏、防範四個方面來爲網絡愛好者介紹一下木馬的特性。需要提醒大家的是,在使用木馬程序的時候,請先關閉系統中的病毒防火牆,因爲殺毒軟件會把木馬作爲病毒的一種進行查殺。


    操作步驟:


    一、種植木馬


    现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。


    爲了避免不熟悉木馬的用戶誤運行服務端,現在流行的木馬都沒有提供單獨的服務端程序,而是通過用戶自己設置來生成服務端,黑洞2004也是這樣。首先運行黑洞2004,點擊“功能/生成服務端”命令,彈出“服務端配置”界面。由于黑洞2004采用了反彈技術(請參加小知識),首先單擊旁邊的“查看”按鈕,在彈出的窗口中設置新的域名,輸入你事先申請空間的域名和密碼,單擊“域名注冊”,在下面的窗口中會反映出注冊的情況。域名注冊成功以後,返回“服務端配置”界面,填入剛剛申請的域名,以及“上線顯示名稱”、“注冊表啓動名稱”等項目。爲了迷惑他人,可以點“更改服務端圖標”按鈕爲服務端選擇一個圖標。所有的設置都完成後,點擊“生成EXE型服務端”就生成了一個服務端。在生成服務端的同時,軟件會自動使用UPX爲服務端進行壓縮,對服務端起到隱藏保護的作用。


    服務端生成以後,下一步要做的是將服務端植入別人的電腦?常見的方法有,通過系統或者軟件的漏洞入侵別人的電腦把木馬的服務端植入其的電腦;或者通過Email夾帶,把服務端作爲附件寄給對方;以及把服務端進行僞裝後放到自己的共享文件夾,通過P2P軟件(比如PP點點通、百寶等),讓網友在毫無防範中下載並運行服務端程序。


    由于本文主要面对普通的网络爱好者,所以就使用较为简单的Email夹带,为大家进行讲解。我们使用大家经常会看到的Flash动画为例,建立一个文件夹命名为“好看的动画”,在该文件夹里边再建立文件夹“动画.files”,将木马服务端软件放到该文件夹中假设名称为“abc.exe”,再在该文件夹内建立flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击打开按钮安装插件”,新建一个按钮组件,将其拖到舞台中,打开动作面板,在里边输入“on (press) {getURL("动画.files/abc.exe");}”,表示当单击该按钮时执行abc这个文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.htm”,将刚才制作的动画放到该网页中。看出门道了吗?平常你下载的网站通常就是一个.html文件和一个结尾为.files的文件夹,我们这么构造的原因也是用来迷惑打开者,毕竟没有几个人会去翻.files文件夹。现在我们就可以撰写一封新邮件了,将文件夹“好看的动画”压缩成一个文件,放到邮件的附件中,再编写一个诱人的主题。只要对方深信不疑的运行它,并重新启动系统,服务端就种植成功了。

    二、使用木馬


    成功的給別人植入木馬服務端後,就需要耐心等待服務端上線。由于黑洞2004采用了反連接技術,所以服務端上線後會自動和客戶端進行連接,這時,我們就可以操控客戶端對服務端進行遠程控制。在黑洞2004下面的列表中,隨便選擇一台已經上線的電腦,然後通過上面的命令按鈕就可以對這台電腦進行控制。下面就簡單的介紹一下這些命令的意義。


    文件管理:服務端上線以後,你可以通過“文件管理”命令對服務端電腦中的文件進行下載、新建、重命名、刪除等操作。可以通過鼠標直接把文件或文件夾拖放到目標文件夾,並且支持斷點傳輸。簡單吧?


    進程管理:查看、刷新、關閉對方的進程,如果發現有殺毒軟件或者防火牆,就可以關閉相應的進程,達到保護服務器端程序的目的。

    窗口管理:管理服務端電腦的程序窗口,你可以使對方窗口中的程序最大化、最小化、正常關閉等操作,這樣就比進程管理更靈活。你可以搞很多惡作劇,比如讓對方的某個窗口不停的最大化和最小化。


    视频监控和语音监听:如果远程服务端电脑安装有USB摄像头,那么可以通过它来获取图像,并可直接保存为Media Play可以直接播放的Mpeg文件;需要对方有麦克风的话,还可以听到他们的谈话,恐怖吧?


    除了上面介紹的這些功能以外,還包括鍵盤記錄、重啓關機、遠程卸載、抓屏查看密碼等功能,操作都非常簡單,明白了吧?做駭客其實很容易。


    三、隱藏


    隨著殺毒軟件病毒庫的升級,木馬會很快被殺毒軟件查殺,所以爲了使木馬服務端辟開殺毒軟件的查殺,長時間的隱藏在別人的電腦中,在木馬爲黑客提供幾種可行的辦法。


    1.木馬的自身保護


    就像前面提到的,黑洞2004在生成服務端的時候,用戶可以更換圖標,並使用軟件UPX對服務端自動進行壓縮隱藏。


    2.捆綁服務端


    用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。


    3.制做自己的服務端


    上面提到的這些方法雖然能一時瞞過殺毒軟件,但最終還是不能逃脫殺毒軟件的查殺,所以若能對現有的木馬進行僞裝,讓殺毒軟件無法辨別,則是個治本的方法。可以通過使用壓縮EXE和DLL文件的壓縮軟件對服務端進行加殼保護。例如Step1中的UPX就是這樣一款壓縮軟件,但默認該軟件是按照自身的設置對服務端壓縮的,因此得出的結果都相同,很難長時間躲過殺毒軟件;而自己對服務端進行壓縮,就可以選擇不同的選項,壓縮出與衆不同的服務端來,使殺毒軟件很難判斷。下面我就以冰河爲例,爲大家簡單的講解一下脫殼(解壓)、加殼(壓縮)的過程。


    如果我們用殺毒軟件對冰河進行查殺,一定會發現2個病毒,一個是冰河的客戶端,另一個是服務端。使用軟件“PEiD”查看軟件的服務端是否已經被作者加殼。


    現在,我們就需要對軟件進行脫殼,也就是一種解壓的過程。這裏我使用了“UPXUnpack”,選擇需要的文件後,點擊“解壓縮”就開始執行脫殼。


    脫殼完成後,我們需要爲服務端加一個新殼,加殼的軟件很多,比如:ASPack、ASProtect、UPXShell、Petite等。這裏以“ASPack”爲例,點擊“打開”按鈕,選擇剛剛脫殼的服務端程序,選擇完成後ASPack會自動爲服務端進行加殼。再次用殺毒軟件對這個服務端進行查殺,發現其已經不能識別判斷了。如果你的殺毒軟件依舊可以查殺,你還可以使用多個軟件對服務端進行多次加殼。筆者在使用Petite和ASPack對服務端進行2次加殼後,試用了多種殺毒軟件都沒有掃描出來。現在網絡中流行的很多XX版冰河,就是網友通過對服務端進行修改並重新加殼後制做出來的。


    四、防範


    防範重于治療,在我們的電腦還沒有中木馬前,我們需要做很多必要的工作,比如:安裝殺毒軟件和網絡防火牆;及時更新病毒庫以及系統的安全補丁;定時備份硬盤上的文件;不要運行來路不明的軟件和打開來路不明的郵件。


    最後筆者要特別提醒大家,木馬除了擁有強大的遠程控制功能外,還包括極強的破壞性。我們學習它,只是爲了了解它的技術與方法,而不是用于盜竊密碼等破壞行爲,希望大家好自爲之。


    小知识:反弹技术,该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是,客户端首先登录到FTP服务器,编辑在木马软件中预先设置的主页空间上面的一个文件,并打开端口监听,等待服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。因此在互联网上可以访问到局域网里通过 NAT (透明代理)代理上网的电脑,并且可以穿过防火墙。与传统的远程控制软件相反,反弹端口型软件的服务端会主动连接客户端,客户端的监听端口一般开为80(即用于网页浏览的端口),这样,即使用户在命令提示符下使用“netstat -a”命令检查自己的端口,发现的也是类似“TCP UserIP:3015 ControllerIP:http ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页,而防火墙也会同样这么认为的。于是,与一般的软件相反,反弹端口型软件的服务端主动连接客户端,这样就可以轻易的突破防火墙的限制。

 
友情链接:幸运飞艇网站  幸运28登录  广东11选5开奖结果  vr赛车彩票  大地彩票开户注册  乐赢彩票开户  广东快乐10分计划  浙江风采网  金福彩票  极速飞艇平台