青海網站建設、網絡推廣最好的公司--您身邊的網站建設專家,馬上拿起電話,聯系我們:0971-8235355   
青海西寧網站建設、網站制作公司-西寧威勢電子信息服務有限公司 首頁 |  公司簡介 |  網站建設 |  網絡推廣 |  空間租用 |  域名注冊 |  企業郵局 |  網絡安全 |  網站編程 |  客服中心 |  聯系我們 |  人才招聘
 
西寧威勢最新網站制做案例展示
Lastest Project
 
西寧網站建設  
當前位置為:首頁 >> 安全防護 >> 正文  
終極反木馬手段

文章來源: 西寧威勢電子信息服務有限公司     發布時間:2008-11-28    瀏覽次數:6858    tags:木馬查殺

  時下寬帶的普及使網絡生活越發多姿多彩。可是有些人不這么想,網上那些如雨后春筍般涌現出的破壞者們剛學會怎么用木馬就大肆破壞,還自詡“黑客”,真是玷污了黑客這個稱號。古人云:知已知彼,方能百戰不殆。今天我就要從一個木馬程序開發者的角度,向你講述目前流行的木馬技術的原理。

言歸正傳,我們首先來分析木馬采用的各項技術:
一.傳播技術:
1.捆綁器
  此方法已經逐漸被淘汰,原理即是將木馬和一個普通程序使用一個自釋放文件頭捆一起,然后騙對方執行,現在大多數的殺毒軟件都能查殺,如果不是自己寫的文件頭,那肯定早已在殺毒軟件中的病毒定義庫中了。
2.網頁傳播
  發明此技術的人真是個天才兼惡魔。主要是利用了WSH角本的漏洞,將木馬病毒體存放在網頁中的bmp文件體中,并且bmp文件頭部是正常的,所以能夠欺騙IE下載木馬,然后網頁中的角本執行本地機上的debug從網頁臨時文件夾的病毒圖片中釋放出木馬并運行。在網頁中一般包含木馬的bmp在網頁中的顯示大小都設置為0以逃避用戶的懷疑。此方法僅對WIN9X有效,并且大多數的防火墻已經可以有效地防止此類木馬。
3.病毒傳播
  微軟的幾款基于NT內核的Windows平臺繼續展現出他那勇于暴露新漏洞的本質,眾多的后門端口和溢出漏洞使網絡蠕蟲大興其道,在此期間,有部分擁有木馬特征的蠕蟲也在此期間出現,比如紅色代碼等。Blaster(沖擊波)的教訓應該使蓋子好好反省一下了。而微軟的另一款拳頭產品OUTLOOK也因為MIME漏洞而使木馬和病毒的感染近乎瘋狂。

二.隱藏技術:
1.特殊字符文件名
  采用一些不可顯示的ASC碼作為文件名,使用透明的圖標作為程序圖標,木馬在一定程度上便隱藏了。預防此法只需將“文件夾選項”中的“隱藏已知文件的擴展名”的勾去掉就行了。
2.代替系統DLL
  木馬DLL將函數輸入表和輸出表完全對應系統DLL,并加入了自己的后門代碼,此法非常隱蔽,但技術要求較高并且可移植性差,故沒有得到廣泛的發展
3.注冊為系統進程
  用一個不常見的函數(此API函數在API瀏覽器中是隱藏的)將木馬程序本身注冊為系統進程,這樣在WIN9x中便能逃過任務管理器的法眼。對付這種方法的手段也頗多,比如使用“柳葉擦眼”等進程管理程序,而在NT內核的系統(如2k/XP)中更是直接可以在任務管理器中殺掉進程。
4.線程插入
  將木馬作為線程插入一個合法程序的進程空間中,這個方法現在很流行,木馬文件是一個DLL,而且使用普通進程查看工具看不到木馬進程。不過利用一些好的進程查看工具還是可以從進程的詳細線程中看出馬腳的,不過查殺者必須具有相當的系統使用經驗。
5.特殊設備名存儲技術
  在Win9x系統中普遍存在著諸如“con”“clock”等設備名漏洞,即使到了NT內核也只是將其屏蔽。國內某著名黑客組織在其組織內部發布了利用此漏洞將木馬程序存放在特殊路徑下并導致常規手段無法將其刪除的技術。由于此技術危害性極大,且目前僅為極少數人所掌握,本文不作詳述。
6.磁盤扇區寫入
  不通過系統的文件系統存儲,而是直接采用磁盤扇區寫入的手段存放程序體,通過系統啟動代碼激活。這種木馬的特點是不可查殺,功能單一,基本不針對個人用戶。能熟練運用此項技術來操縱木馬的,據我所知不過幾人,憑他們的技術根本不屑于來侵入個人用戶。

三.連接技術
1.C-S
  此種連接方式是最普遍的,即Client-Server。其中又包含TCP和UDP兩種方式,以TCP居多。他的原理極其簡單,就是黑客將木馬服務端安裝在受害者的電腦上,受害者連接上網后,黑客便能根據木馬使用EMAIL或其他途徑發送過來的IP地址來連接受害者的電腦。使用此方法的木馬可以采用端口掃描等方式查獲,并且由于現在內網寬帶的發展及匿名郵件服務器的大量屏蔽而逐漸被HTTP反彈端口連接所取代。
2.HTTP反彈端口
  此類木馬是為了適應FTTB寬帶的普及而發展起來的,由于現在有相當一部份的寬帶上網用戶是采用FTTB上網方式(光纖到樓),而FTTB的一個缺點就是沒有公網IP(或許對于一些用戶這是優點),即一個小區內的所有用戶對外的IP地址是相同的,外界電腦不能直接通過IP地址對小區內的電腦進行訪問。這也就造成了黑客使用的木馬客戶端無法連接到內網的受害用戶服務端的情況。而HTTP反彈就是指,黑客使用服務端在網上監聽,同時服務端自動將黑客當前的IP地址及服務端監聽端口加密后以FTP方式傳送到網站上,受害者電腦中的木馬會自動從黑客原先設定的網站上下載黑客當前的IP地址文件并以此連接黑客的電腦。也就是說黑客的控制端是被動連接的,說穿了就是C-S型木馬的連接方式反過來。這種連接的優點是普通的網絡防火墻不查殺客戶端向外的連接。
3.改進型C-S
  受害者電腦上的服務端采用HOOK(鈞子)方式截取一個端口上所有的數據包,如果數據包的頭部特征符合黑客自定義的格式,就開放端口供黑客連接,否則一律拒絕。使用改進型CS連接可以避免被掃描器掃出開放端口,進一步增加了隱蔽性。但缺點是一旦連接,還是容易被網絡防火墻發覺。

四.反查殺技術
1.殺防火墻進程
  木馬運行后自動將目標機器上網絡防火墻的進程殺掉,保證連接不被中斷。此項技術以木馬“廣外女生”為代表。廣東外語外貿大學“廣外女生”網絡小組的Machine和Fox兩位女黑客是中國黑客的驕傲,她們的“廣外女生”是全球第一個具有反防火墻能力的木馬。在下編寫的“突出重圍”木馬保護軟件也是參照了此技術,將不具備此功能的木馬服務端加上一個具有反防火墻能力的釋放外殼,可惜由于我實在是懶,所以遲遲沒有升級。

五.自啟動技術
1."WIN.INI"
  在win.ini文件中,[WINDOWS]項下面,“run=”和“load=”行是Windows啟動時要自行加載運行的程序項目,一般情況下,它們的等號后面什么都沒有,如果發現后面跟有路徑與文件名不是熟悉的或以前沒有見到過的啟動文件項目,那么計算機就可能中了木馬。
2."SYSTEM.INI"
  在system.ini文件中,[BOOT]下面有個“shell=Explorer.exe”項。如果等號后面不僅僅是explorer.exe,而是“shell=Explorer.exe 程序名”,那么后面跟著的那個程序就是木馬程序,需要注意的是木馬的命名有很強的欺騙性。
3.注冊表自啟動項
  常見的注冊表自啟動項有以下幾條,這些主鍵下面的啟動項目都可以成為木馬的容身之處:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
  Windows NT下還應該檢查:
  HKEY_LOCAL_MACHINE\SOFTWARE\SAM
  正常情況下SAM主鍵的下面應該是空的。
4.注冊表文件關聯
  在注冊表中將木馬與TxtFile或ExeFile關聯,這樣打開這兩種文件時便悄悄運行了木馬。一般防火墻在殺掉關聯過的木馬程序后會造成exe文件無法打開,網上有詳細的手動安全殺除此類木馬的方法,在此不詳述。
5.程序捆綁
  有很多木馬將自身和Explorer.exe捆綁在一起啟動,增加了隱蔽性。我曾經寫過一個QQ盜號程序是給QQ.exe加了個自釋放殼,將木馬進程作為QQ.exe的父進程,從而當運行QQ時,實際是由木馬掌握啟動權然后釋放QQ再啟動,可謂QQ的一舉一動都在木馬父進程的掌控下。

六.IP通知技術
由于此類技術與用戶防范無關,在此不作詳述
1.HTTP反彈
2.Email
3.IRC
4.ICQ

七.其他技術
1.加殼保護
  使用UPX或ASPACK對木馬文件加殼或脫殼,可以欺騙大多數防火墻。加殼已經是不新鮮的技術了,可是我喜歡反其道而行之,在下曾經將國產木馬“風雪”的服務端脫殼后成功騙過了當時各類主流防火墻。
2.破解修改
  使用反編譯等方法修改部份木馬服務端的文件特征,導致基于病毒庫的防火墻程序失效。根據我的經驗,經過修改的木馬文件普通用戶是不可能查出的,各位如果對此技術有興趣可以聯系我共同探討。


木馬終極查殺手段(此方法僅適用于高級用戶)
1.輸入表查殺
  使用VisualStudio中的DependencyWalker查看exe文件的函數輸入表,如果發現普通不應該連接網絡的程序中調用了WSOCK32.dll中的函數,那很有可能是木馬。另外,如果發現輸入表中同時調用了KERNEL32.DLL的WaitForSingleObject、GetProcAddress、GetFileSize和幾個進程、線程操作的API函數,則很有可能使用了捆綁器,這時,便應該采用下面將要介紹的方法。
2.二進制文件頭查找
  使用UltraEdit或VC等二進制編緝器打開懷疑經過捆綁處理的文件,然后查找MZ文件頭,如果發現文件體中包含了其他可執行文件的文件頭,便可以基本確定此文件經過捆綁。不過有部份高級的捆綁器會將捆綁文件加密存儲,這時可以采用EXE頭部偏移量換算的方法算出EXE文件的長度,然后與實際文件進行比較,如果不一致也可以進一步確定此文件經過捆綁。(關于EXE頭部偏移量的換算請參考MSDN或是段鋼的《加密與解密》)
3.運行監控(此方法僅適用于木馬研究者,普通用戶切勿嘗試)
  在內存中駐留磁盤監控及注冊表監視程序,運行木馬程序,然后從執行結果和木馬特征進行比較。這種變態的查殺手段是我從安裝文件監控程序中得到的靈感。

普通用戶防范木馬的7條黃金守則:
1.不從小網站上下載軟件
  特別是那些域名中帶有qq的小網站,大多都是以前QQ盜號猖獗的時候開辦的非法QQ號碼倒賣網站。那些網站上的號稱可以盜取QQ號碼的工具本身就是木馬捆綁的。
2.經常更新反毒軟件
  雖然現在殺毒軟件的木馬殺除功能實在不敢恭維,但查到有木馬也是件好事,至少可以減少損失。此類軟件最好用正版,因為有很多軟件駐留內存時都在線檢查版權信息,如發現是破解版便不能工作或是破壞系統。國內著名軟件破解組織“白菜破解”的成員經過反編譯發現,某個版本的“Windows優化大師”破解后會在90天后破壞使用者的系統,似乎想效仿江民當年在KV300中隱藏的磁盤邏緝炸彈。
3.不輕易接收網友發來的文件
  QQ上對方發來的“我的照片.exe”、“好玩的小游戲.exe”、“給你看個Flash”都是典型的木馬,這些文件往往有十分漂亮的圖標。曾經有個MM加我QQ,聊了幾句便發了一個“我的照片.exe”給我,接收完以后我叫他仔細看一下我的QQ個人資料,然后把從這個木馬文件中提取出的用來接收密碼的Email地址發給他看。幾秒鐘后,他的頭像便暗了,并且從那天起再也沒亮過。
4.經常更新系統補丁
  Windows系統的漏洞比Windows系統更有名,而且個個致命,所以打上補丁才是上策。
5.關閉不必要的系統服務
  Windows系統的默認設置是極不安全的,一臺沒有經過安全配置的Win2k機器在網上真是典型的“肉雞”,大量可供攻擊的開放端口實在是令人擔憂。真搞不懂微軟為什么把那些什么“Remote Registry Service”之類的危險服務作為默認打開……(網上有詳細的配置指南,在此不作詳述)
6.時常檢查注冊表中的自啟動項目
  大多數木馬的啟動都在注冊表中的自啟動項中,經常檢查注冊表是個好習慣。
7.使用防火墻
  網絡防火墻能及時切斷黑客與本地機上木馬的連接,并且現在很多防火墻可以限制特定程序的網絡連接。有一個方便的查看開放端口及連接情況的方法,在Win9x及NT下方法略有不同:
  Win 9X下:
  在Windows下運行“Command”,打開DOS窗口,執行“netstat -a”
  Win NT/2K/XP:
  在Windows下運行“cmd”,打開命令控制臺,執行“netstat -a”

  至此,我已經把這些年來的主流木馬技術及相關查殺手段作了一個詳細的闡述。相信如果您將我提供的終極查殺手段熟練運用后,必能將網上已經泛濫的所謂“黑客”斬于馬下。

上一篇:電腦重要數據備份與恢復速查手冊
下一篇:《入侵三步曲之掃描-溢出-上傳木馬》
評論列表
正在加載評論……
  
評論   
呢  稱:
驗證碼: 若看不清請點擊更換!
內  容:
 
 
  在線洽談咨詢:
點擊這里,在線洽談   點擊這里,在線洽談   點擊這里,在線洽談
與我交談  與我交談 與我交談
乘車路線    匯款方式   加盟合作  人才招聘  
公司地址:青海省西寧市西關大街73號(三二四部隊招行所四樓)     青ICP備13000578號-1 公安機關備案號:63010402000123    
QQ:147399120    mail:[email protected]    電話: 13897410341    郵編:810000
© Copyright( 2008-2009) QhWins.Com All Rights Reserved    版權所有:西寧威勢電子信息服務有限公司 未經書面制授權,請勿隨意轉載!
業務:青海網站制做青海網站建設青海網頁設計西寧網站制做西寧網站建設青海域名注冊青海網絡推廣青海網站推廣青海空間租用青海軟件開發網站安全網絡安全

香港六合彩开奖结果网