木马程序分析_木马程序结构

hacker|
168

计算机病毒程序结构

计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来的

之一份关于计算机病毒理论的学术工作( "病毒" 一词当时并未使用)于 1949 年由约翰·冯·诺伊曼完成。以 "Theory and Organization of Complicated Automata" 为题的一场在伊利诺伊大学的演讲,后改以 "Theory of self-reproducing automata" 为题出版。冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。

1980 年,Jürgen Kraus 于多特蒙德大学撰写他的学位论文 "Self-reproduction of programs"。论文中假设计算机程序可以表现出如同病毒般的行为。

“病毒”一词最早用来表达此意是在弗雷德·科恩(Fred Cohen)1984年的论文《电脑病毒实验》。[7]

1983 年 11月,在一次国际计算机安全学术会议上,美国学者科恩之一次明确提出计算机病毒的概念,并进行了演示。

1986年年初,巴基斯坦兄弟编写了“大脑(Brain)”病毒,又被称为“巴基斯坦”病毒。

1987年,之一个电脑病毒C-BRAIN诞生。由巴基斯坦兄弟:巴斯特(Basit)和阿姆捷特(Amjad)编写。计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。

1988年在财政部的计算机上发现的,中国最早的计算机病毒。

1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。

1990年,发展为复合型病毒,可感染COM和EXE文件。

1992年,利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒。

1995年,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器” ,幽灵病毒流行中国。[8] 典型病毒代表是“病毒制造机” “VCL”。

1998年台湾大同工学院学生刘盈豪编制了CIH病毒。

2000年更具破坏力的10种病毒分别是:Kakworm,爱虫, Apology-B, Marker , Pretty ,Stages-A,Navidad,Ska-Happy99 ,WM97/Thus ,XM97/Jin。[9]

2003年,中国大陆地区发作最多的十个病毒,分别是:红色结束符、爱情后门、FUNLOVE、 *** 传送者、冲击波杀手、罗拉、求职信、尼姆达II、 *** 木马、CIH。[1]

2005年,1月到10月,金山反病毒监测中心共截获或监测到的病毒达到50179个,其中木马、蠕虫、黑客病毒占其中的91%,以盗取用户有价账号的木马病毒(如网银、 *** 、网游)为主,病毒多达2000多种。[11]

2007年1月,病毒累计感染了中国80%的用户,其中78%以上的病毒为木马、后门病毒。[12] 熊猫烧香肆虐全球。[13]

2010年,越南全国计算机数量已500万台,其中93%受过病毒感染,感染电脑病毒共损失59000万亿越南盾

病毒分为五种特性

1繁殖性

计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行时,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。

2破坏性

计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS,硬件环境破坏。

传染性

计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件。

3潜伏性

计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作, 会使电脑变慢。

4隐蔽性

计算机病毒具有很强的隐蔽性,可以通过病毒软件检查出来少数,隐蔽性计算机病毒时隐时现、变化无常,这类病毒处理起来非常困难。

5可触发性

编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足,计算机病毒就会“发作”,使系统遭到破坏.

计算机的病毒原理是

病毒依附存储介质软盘、 硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存, 并设置触发条件,触发的条件是多样化的, 可以是时钟,系统的日期,用户标识符,也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中,进行各种破坏活动等。

病毒的传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去

感染的策略

为了能够复制其自身,病毒必须能够运行代码并能够对内存运行写操作。基于这个原因,许多病毒都是将自己附着在合法的可执行文件上。如果用户企图运行该可执行文件,那么病毒就有机会运行。病毒可以根据运行时所表现出来的行为分成两类。非常驻型病毒会立即查找其它宿主并伺机加以感染,之后再将控制权交给被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的,一个常驻型病毒会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。[22]

非常驻型病毒

非常驻型病毒可以被想成具有搜索模块和复制模块的程序。搜索模块负责查找可被感染的文件,一旦搜索到该文件,搜索模块就会启动复制模块进行感染。[23]

常驻型病毒

常驻型病毒包含复制模块,其角色类似于非常驻型病毒中的复制模块。复制模块在常驻型病毒中不会被搜索模块调用。病毒在被运行时会将复制模块加载内存,并确保当操作系统运行特定动作时,该复制模块会被调用。例如,复制模块会在操作系统运行其它文件时被调用。在这个例子中,所有可以被运行的文件均会被感染。常驻型病毒有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的文件。例如,一个快速感染者可以感染所有被访问到的文件。这会对杀毒软件造成特别的问题。当运行全系统防护时,杀毒软件需要扫描所有可能会被感染的文件。如果杀毒软件没有察觉到内存中有快速感染者,快速感染者可以借此搭便车,利用杀毒软件扫描文件的同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得快速感染者容易被侦测到,这是因为其行为会使得系统性能降低,进而增加被杀毒软件侦测到的风险。相反的,慢速感染者被设计成偶而才对目标进行感染,如此一来就可避免被侦测到的机会。例如,有些慢速感染者只有在其它文件被拷贝时才会进行感染。但是慢速感染者此种试图避免被侦测到的作法似乎并不成功。

破坏性

良性病毒、恶性病毒、极恶性病毒、灾难性病毒。

传染方式

引导区型病毒主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的"主引导记录"。

文件型病毒是文件感染者,也称为“寄生病毒”。它运行在计算机存储器中,通常感染扩展名为COM、EXE、SYS等类型的文件。

混合型病毒具有引导区型病毒和文件型病毒两者的特点。

宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。

连接方式

源码型病毒攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。源码型病毒较为少见,亦难以编写。

入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。

操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。

外壳型病毒通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。[25]

计算机病毒种类繁多而且复杂,按照不同的方式以及计算机病毒的特点及特性,可以有多种不同的分类 *** 。同时,根据不同的分类 *** ,同一种计算机病毒也可以属于不同的计算机病毒种类。

按照计算机病毒属性的 *** 进行分类,计算机病毒可以根据下面的属性进行分类。

根据病毒存在的媒体划分:

*** 病毒——通过计算机 *** 传播感染 *** 中的可执行文件。

文件病毒——感染计算机中的文件(如:COM,EXE,DOC等)。

引导型病毒——感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。

还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。

根据病毒传染渠道划分:

驻留型病毒——这种病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,它处于激活状态,一直到关机或重新启动

非驻留型病毒——这种病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。

根据破坏能力划分:

无害型——除了传染时减少磁盘的可用空间外,对系统没有其它影响。

无危险型——这类病毒仅仅是减少内存、显示图像、发出声音及同类影响。

危险型——这类病毒在计算机系统操作中造成严重的错误。

非常危险型——这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

根据算法划分:

伴随型病毒——这类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。

“蠕虫”型病毒——通过计算机 *** 传播,不改变文件和资料信息,利用 *** 从一台机器的内存传播到其它机器的内存,计算机将自身的病毒通过 *** 发送。有时它们在系统存在,一般除了内存不占用其它资源。

寄生型病毒——除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同还可细分为以下几类。

练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。

诡秘型病毒,它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等对DOS内部进行修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。

变型病毒(又称幽灵病毒),这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

目前的电脑病毒有

WM Word6.0、Word95宏病毒

WM97 Word97宏病毒

XM Excel5.0、Excel95宏病毒

X97M Excel5.0和Excel97版本下发作

XF Excel程序病毒

AM Access95宏病毒

AM97M Access97宏病毒

W95 Windows95、98病毒

Win Windows3.x病毒

W32 32位病毒,感染所有32位Windows系统

WINT 32位Windows病毒,只感染Windows NT

Trojan/Troj 特洛伊木马

VBS VBScript程序语言编写的病毒

V *** Visio VBA宏或script的宏或script病毒

*** *** cript编程语言编写的病毒

PE 32位寻址的Windows病毒

OSX OS X的病毒

OSXL OS X Lion或者更新版本的病毒

比特币勒索敲诈病毒

在中国 最有名的还要属2006年年底爆发的熊猫烧香病毒

熊猫烧香(2006年)准确的说是在06年年底开始大规模爆发,以Worm.WhBoy.h为例,由Delphi工具编写,能够终止大量的反病毒软件和防火墙软件进程,病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,导致用户一打开这些网页文件,IE自动连接到指定病毒网址中下载病毒。在硬盘各分区下生成文件autorun.inf和setup.exe.病毒还可通过U盘和移动硬盘等进行传播,并且利用Windows系统的自动播放功能来运行。

“熊猫烧香”还可以修改注册表启动项,被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。

损失的话大概有上亿美元 此外 这病毒发作的时候 最严重可导致整个互联网瘫痪! 虽说熊猫烧香病毒已绝亡 但是现在病毒最缺德的要属比特币病毒 这类木马会加密受感染电脑中的docx、pdf、xlsx、jpg等114种格式文件,使其无法正常打开,并弹窗“敲诈”受害者,要求受害者支付3比特币作为“赎金”,而从网上查询到的最近比特币的比价,3比特币差不多人民币也要五六千元。这种木马一般通过全英文邮件传播,木马程序的名字通常为英文,意为“订单”“产品详情”等,并使用传真或表格图标,极具迷惑性。收件人容易误认为是工作文件而点击运行木马程序。这种木马“绑匪”的加密方式复杂,运用的是4096位算法,暴力破解需要数十万年,超级计算机破解需要十几年甚至几十年。而且它使用比特币做“赎金”,这种虚拟货币特点是分散化、匿名、只能在数字世界使用,因此比特币交易难以追踪,而同时木马罪犯也藏身匿名 *** ,这种名为Tor的匿名 *** ,曝光了“棱镜计划”的美国中央情报局技术分析员斯诺登曾经推荐使用,因为它可以让用户进行匿名访问,保证其使用的服务器无法被追踪。 还有一种病毒也是你需要注意的 那就是Virus.Win32.Alman.b这个病毒 这是一个感染型的病毒 极短时间内可以感染上千个exe可执行程序和C盘所有文件!

中此病毒的系统,将会很惨,可能不得不备份文档后重装系统。

提醒用户及早升级防范virut病毒,如果不幸中招,可根据受损程度处理。如果系统EXE破坏严重,可以采用备份进行还原,没有备份的情况下,覆盖安装可以更大程度减少损失。实在不想麻烦,可以将机子停用个把星期的时间,然后升级病毒库,再查杀,说不定一切迎刃而解了。

这个病毒使用的加密引擎来自波兰,那个IRC服务器域名为 proxim.ircgalaxy.pl,貌似也是波兰的域名。

1 windows 目录下的linkinfo.dll(33792 字节),正常的linkinfo.dll(19968 字节)在windows\system32目录下,该文件是病毒的感染与传播部分,一旦该文件启动之后,就会从网上下载apphelps.dll(有正常的apphelp.dl文件l,但不在该目录下) 到windows\apppatch目录,并注入explorer.exe,以及多种常见的网游客启端,并利用自带字典猜解局域网内所有机器的共享密码 ( *** ,估计是从熊猫那学来的,基本上不会成功),若成功则将病毒文件复制过去,并启动守感染程序(ins.exe,只从代码中看出,不过我没有发现这个程序)和守护服务riodrvs.sys(tmd,驱动),那像还会注入一些程序,没仔细看.

2 windows\system32\drivers下的riodrvs.sys,正常的是riodrv.sys,这个程序估计是感染部分exe文件(我的一些exe文件坏了,有些没坏,看不出规律),阻止反编译软件,令icesword, *** s之类强力工具不能启动用的,真是强,不过还没有分析这个文件.

还有没有不正常的文件还有待进一步分析.

症状

中毒后压缩文件全部被感染,图标变得肥肿,点击系统盘(简称C盘)以外的盘有时会出现蓝屏,进到系统后,杀毒软件打不开,重装了系统还是不行,再点击C盘以外的盘,又被感染! 想防范这个病毒 不要到陌生网站下载软件 以免被感染。

木马结构

由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。

揭开木马的神秘面纱

[color=Red][b]声明:[/b][/color]本内容转载于网上!作者请勿见怪!

[color=Blue][b]前 言[/b][/color]

在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现哪些功能?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之一 冰河为例,向大家剖析木马的基本原理,为大家揭开木马的神秘面纱。

木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。

[color=Blue][b]一、基础篇(揭开木马的神秘面纱)[/b][/color]

无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个 *** 客户/服务程序。那么,就让我们从 *** 客户/服务程序的编写开始。

1.基本概念:

*** 客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!甚至还有人跟我争得面红耳赤,昏倒!!)

2.程序实现:

在VB中,可以使用Winsock控件来编写 *** 客户/服务程序, 实现 *** 如下:

(其中,G_Server和G_Client均为Winsock控件)

服务端:

G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)

G_Server.Listen(等待连接)

客户端:

G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)

G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)

(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)

G_Client.Connect (调用Winsock控件的连接 *** )

一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_Server.Accept requestID

End Sub

客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)

如果客户断开连接,则关闭连接并重新监听端口

Private Sub G_Server_Close()

G_Server.Close (关闭连接)

G_Server.Listen (再次监听)

End Sub

其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令......

[color=Blue][b]二、控制篇(木马控制了这个世界!)[/b][/color]

由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)

因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述, 主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数, 请查询WinAPI手册。

1.远程监控(控制对方鼠标、键盘,并监视对方屏幕)

keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。

mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

dwFlags:

MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

MOUSEEVENTF_MOVE 移动鼠标

MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下

MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起

MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下

MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下

MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下

MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下

dx,dy:

MOUSEEVENTF_ABSOLUTE中的鼠标坐标

2.记录各种口令信息(出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)

3.获取系统信息

a.取得计算机名 GetComputerName

b.更改计算机名 SetComputerName

c.当前用户 GetUserName函数

d.系统路径

Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象)

Set SystemDir = FileSystem0bject.getspecialfolder(1)

(取系统目录)

Set SystemDir = FileSystem0bject.getspecialfolder(0)

(取Windows安装目录)

(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)

e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx

f.当前显示分辨率

Width = screen.Width \ screen.TwipsPerPixelX

Height= screen.Height \ screen.TwipsPerPixelY

其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表

比如计算机名和计算机标识吧:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP

中的Comment,ComputerName和WorkGroup

注册公司和用户名:

HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo

至于如何取得注册表键值请看第6部分

4.限制系统功能

a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:

ExitWindowsEx(ByVal uFlags,0)

当uFlags=0 EWX_LOGOFF 中止进程,然后注销

=1 EWX_SHUTDOWN 关掉系统电源

=2 EWX_REBOOT 重新引导系统

=4 EWX_FORCE 强迫中止没有响应的进程

b.锁定鼠标

ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以

注:RECT是一个矩形,定义如下:

Type RECT

Left As Long

Top As Long

Right As Long

Bottom As Long

End Type

c.锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的......

d.让对方掉线 RasHangUp......

e.终止进程 ExitProcess......

f.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口

5.远程文件操作

无论在哪种编程语言里, 文件操作功能都是比较简单的, 在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现

6.注册表操作

在VB中只要Set RegEdit=CreateObject("WScript.Shell")

就可以使用以下的注册表功能:

删除键值:RegEdit.RegDelete RegKey

增加键值:RegEdit.Write RegKey,RegValue

获取键值:RegEdit.RegRead (Value)

记住,注册表的键值要写全路径,否则会出错的。

7.发送信息

很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。

8.点对点通讯

呵呵,这个嘛随便去看看什么聊天软件就行了

(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑......)

9.换墙纸

Call SystemParametersInfo(20,0,"BMP路径名称",H1)

值得注意的是,如果使用了Active Desktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找比尔盖子吧。

[color=Blue][b]三、潜行篇(Windows,一个捉迷藏的大森林)[/b][/color]

木马并不是合法的 *** 服务程序(即使你是把木马装在女朋友的机子上,也是不合法的,当然,这种行为我可以理解,呵呵),因此,它必须想尽一切办法隐藏自己,好在,Windows是一个捉迷藏的大森林!

1、在任务栏中隐藏自己:

这是最基本的了,如果连这个都做不到......(想象一下,如果Windows的任务栏里出现一个国际象棋中木马的图标...@#$%!#@$...也太嚣张了吧!)

在VB中,只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。

2、在任务管理器中隐形:(就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程)

这个有点难度,不过还是难不倒我们,将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。

在VB中如下的代码可以实现这一功能:

Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long

Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long

(以上为声明)

Private Sub Form_Load()

RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)

End Sub

Private Sub Form_Unload()

RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)

End Sub

3、如何悄没声息地启动:

你当然不会指望用户每次启动后点击木马图标来运行服务端,木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端(之一重要的是如何让对方中木马,嘿嘿,这部分的内容将在后面提到)

Windows支持多种在系统启动时自动加载应用程序的 *** (简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种 *** 确保你不能摆脱它(怎么听起来有点死缠烂打呀....哎呦,谁呀谁呀,那什么黄鑫,不要拿鸡蛋扔我!)首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了system\kernl32.exe(system是系统目录), 其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化)下生成一个叫sysexplr.exe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本?), sysexplr.exe文件就会重新生成krnel32.exe, 然后你还是被冰河控制著。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555)

4、端口

木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243....)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露; 而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)

5.最新的隐身技术

目前,除了冰河使用的隐身技术外,更新、更隐蔽的 *** 已经出现,那就是-驱动程序及动态链接库技术(冰河3.0会采用这种 *** 吗?)。

驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的 *** (改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的 *** 查杀)、不需要打开新的端口(所以不能用端口监视的 *** 查杀)、没有新的进程(所以使用进程查看的 *** 发现不了它,也不能用kill进程的 *** 终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作......

事实上,我已经看到过几个这样类型的木马,其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪)

[color=Blue][b]四、XX篇(魔高一尺、道高一丈)[/b][/color]

本文主要是探讨木马的基本原理, 木马的XX并非是本文的重点(也不是我的长处),具体的XX请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载 *** 做一个小小的总结:

1.端口扫描

端口扫描是检查远程机器有无木马的更好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中)

但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。

2.查看连接

查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。

3.检查注册表

上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。

4.查找文件

查找木马特定的文件也是一个常用的 *** (这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......)冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlpr.exe(什么什么,不是超级解霸吗?)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样(废话,Server端程序都没了,还能干嘛?)

黄鑫:"咳咳,不是那么简单哦......"(狡猾地笑)

是的, 如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上, *** 有三种:

a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)

b.在我的电脑-查看-文件夹选项-文件类型中编辑

c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中始终用该程序打开......,然后找到notepad,点一下就OK了。(这个最简单,推荐使用)

黄鑫:"我...我笑不起来了 :( "

提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它......你苦了!连regedit都不能运行了!

5.杀病毒软件

之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此, 不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来)

另外,对于驱动程序/动态链接库木马,有一种 *** 可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用!)

[color=Blue][b]五、狡诈篇(只要你的一点点疏忽......)[/b][/color]

只要你有一点点的疏忽,就有可能被人安装了木马,知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。

1.网上“帮”人种植木马的伎俩主要有以下的几条

a.软哄硬骗法;

这个 *** 很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭, 有的......反正目的都一样,就是让你去运行一个木马的服务端。

b.组装合成法

就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。

c.改名换姓法

这个 *** 出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体 *** 是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)

d.愿者上钩法

木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗;奉劝:不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意...(什么乱七八糟呀)

2. 几点注意(一些陈词滥调)

a.不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点,这些站点一般都有专人杀马杀毒;

b.不要过于相信别人,不能随便运行别人给的软件;

(特别是认识的,不要以为认识了就安全了,就是认识的人才会给你装木马,哈哈,挑拨离间......)

c.经常检查自己的系统文件、注册表、端口什么的,经常去安全站点查看最新的木马公告;

d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)

e.如果上网时发现莫名奇妙地硬盘乱响或猫上的数据灯乱闪,要小心;

(我常常会突然关掉所有连接,然后盯著我的猫,你也可以试试,要是这时数据传送灯还在拼命闪,恭喜,你中木马了,快逃吧!)

[color=Blue][b]六、后 记[/b][/color]

这篇文章的问世首先要感谢冰河的作者-黄鑫,我对他说:“我要写篇关于冰河的文章”,他说:“写呗”,然后就有了这篇文章的初稿(黄鑫:“不是吧,你答应要用稿费请我吃饭的,不要赖哦”),随后,黄鑫给我提了很多建议并提供了不少资料,谢谢冰河。

其次是西祠的yagami,他是公认的木马专家,在我写作期间,他不仅在木马的检测、杀除方面提出了不少自己的看法,还给我找来了几个木马的源代码作为参考,不过这个家伙实在太忙,所以想看《特洛伊木马看过来》的朋友就只有耐心地等待了。

第三个值得一提的家伙是武 *** ,我的初稿一出来,他就忙不迭地贴出去了,当时我很狼狈,只能加紧写,争取早日完成,赶快把漏洞百出的初稿换下来,要不然,嘿嘿,估计大家也要等个一年半载的才能看到这篇文章了。

这篇文章的初稿出来以后,有很多朋友问:为什么不用C++,而要用VB来写木马的源码说明呢?呵呵,其一是我很懒,VB比 VC要容易多了,还不会把windows搞死机(我用VC写程序曾经把系统搞崩溃过的:P);其二,本文中能用API的,我基本上都用了,VB只是很小的一块, WINAPI嘛,移植起来是很容易的;其三,正如我前面强调的,本文只是对木马的结构和原理进行一番讨论,并非教人如何编写木马程序,要知道,公安部已经正式下文:在他人计算机内下毒的要处以刑事处分。相比而言,VB代码的危害性要小很多的(如果完全用VB做一个冰河,大概要一兆多,还不连那些控件和动态链接库文件,呵呵,这么庞大的程序,能 悄 悄 地在别人的机子里捣鬼吗?)

最后,作为冰河的朋友,我希望大家能抱著学术的态度来看这篇文章,同样能抱著学术的态度来看待冰河木马,不要用冰河做坏事,我替黄鑫先谢谢你了!(监视自己的女朋友不算,不过冰河不会对因为使用冰河导致和女友吵架直至分手负任何责任)

当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的 *** ,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。

在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。

知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的 *** 就是马上将计算机与 *** 断开,防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。

特洛伊木马是什么意思?

特洛伊木马(简称木马)是隐藏在系统中的用以完成未授权功能的非法程序,是黑客常用的一种攻击工具,它伪装成合法程序,植入系统,对计算机 *** 安全构成严重威胁。区别于其他恶意代码,木马不以感染其它程序为目的,一般也不使用 *** 进行主动复制传播。 [2]

特洛伊木马是基于C/S(客户/服务器)结构的远程控制程序,是一类隐藏在合法程序中的恶意代码,这些代码或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。通常,使用木马的过程大致分两步首先,把木马的服务器端程序通过 *** 远程植入受控机器,然后通过安装程序或者启动机制使木马程序在受控的机器内运行。一旦木马成功植入,就形成了基于C/S结构的控制架构体系,服务端程序位于受控机器端,客户端程序位于控制机器端

0条大神的评论

发表评论