史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-06-27, 03:56 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 知馬識馬不養馬

為了保護自己,木馬會想盡辦法來隱藏自己。


以往,木馬通常會通過「開始」表單的「啟動」項或註冊表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun項來啟動自己,也有的木馬會註冊為系統的「服務」程序,而那些老舊的方法,比如在Autoexec.bat、Config.sys、Winstart.bat、Win.ini、System.ini、Wininit.ini等文件中載入木馬程序,大家更是耳熟能詳。


不過,隨著木馬技術的發展,木馬的隱藏方法已經變得越來越高明了。


所謂「知己知彼,百戰不殆」,要想防「馬」,當然要先「知」馬。下面,筆者就為您介紹一些鮮為人知的木馬隱藏方法。

「群組原則」中的木馬

通過「群組原則」來載入木馬這種方式非常隱蔽,不易為人發現。具體方法是:
點擊「開始」表單中的「執行」,輸入Gpedit.msc,開啟「群組原則」。在「本機電腦原則」中順次點擊「用戶組態」→「管理範本」→「系統」→「登入」,然後雙按「在用戶登入時執行這些程序」子項,出現對話視窗,如所顯示。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-06-27, 03:58 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

在這裡進行內容設定,選定「設定」中的「已啟用」,按下「顯示」按鈕,會彈出「顯示內容」視窗。

按下「增加」按鈕,出現「增加項目」視窗,在其中的文本項中輸入要自動執行的文件所在的路徑,按下「確定」按鈕後重新啟動電腦,系統便會在登入時自動執行所增加的程序。

提示:如果自啟動的文件不是位於%Systemroot%目錄中,則必須指定文件的完整、有效路徑。

如果我們剛才在「群組原則」中增加的是木馬,就會出現一個「隱形」的木馬。在「系統組態實用程序」Msconfig中,我們是無法發現該木馬的,因為在註冊表項中,如HKEY_ CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Run項和HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun項,根本找不到相應的鍵值。所以說,這種載入木馬的方式是非常隱蔽的,對普通用戶的危脅也非常大。


實際上,通過這種方式增加的自啟動程序依然會被記錄在註冊表中,只不過不是在我們所熟悉的那些註冊表項下,而是在註冊表的HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionPoliciesExplorerRun項中載入。所以,如果您懷疑自己的電腦中有木馬,卻找不到它躲在哪兒,可以到上述的註冊表項中去看一看,或者到「群組原則」的「用戶組態→管理範本→系統→登入」下的「在用戶登入時執行這些程序」中檢視一下,也許會有所發現。


暗藏殺機的註冊表項

利用註冊表項載入木馬一直是木馬的最愛,也是我們所熟知的一種手段,不過,有一種新的利用註冊表來隱藏木馬的方法您可能還不知道。

具體方法是:
點擊「開始」表單中的「執行」,輸入Regedit,開啟註冊表編輯器。展開註冊表到HKEY_CURRENT_USERSoftware MicrosoftWindows NTCurrentVersionWindows項,新增一個字元串值,命名為「load」,把它的鍵值改為要自啟動程序的路徑即可。

提示:要使用文件的短檔案名,即「C:Program Files」應該寫為「C:Progra~1」,且自啟動程序的後面不能帶有任何參數。如果改在註冊表HKEY_USERS用戶ID號Software MicrosoftWindows NTCurrentVersionWindows項載入,則本方法對其他用戶也有效,否則換個用戶名登入就不管用了。

用這種方法載入木馬,在Windows最佳化大師的「開機速度最佳化」選項中將無法看到有木馬程序被載入,如果被有心人利用在這裡載入惡意程序或木馬,對大家的威脅將很大。


建議大家以後檢查木馬及病毒程序時特別注意這部分,不給別人可乘之機。另外,這個方法只對Windows 2000/XP/2003有效,使用Windows 9x的用戶不用擔心。

利用AutoRun.inf載入木馬

經常使用光碟的朋友都知道,某些光碟放入光碟後會自動執行,這種功能的實現主要靠兩個文件,一個是系統檔案之一的Cdvsd.vxd,一是光碟上的AutoRun.inf文件。

Cdvsd.vxd會隨時偵測光碟中是否有放入光碟的動作,如果有,便尋找光碟根目錄下的AutoRun.inf文件。如果存在,就執行裡面的預設程序。

不過,AutoRun不僅能套用於光碟中,同樣也可以套用於硬碟中(要注意的是,AutoRun.inf必須存放在磁牒根目錄下才能起作用)。讓我們一起看看AutoRun.inf文件的內容吧。
開啟記事本,新增一個文件,將其命名為AutoRun.inf,在AutoRun.inf中按鍵輸入以下內容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,「[AutoRun]」是必須的固定格式,一個標準的AutoRun文件必須以它開頭,目的是告訴系統執行它下面幾行的指令;第二行「Icon=C:WindowsSystemShell32.DLL,21」是給硬碟或光碟設定一個個性化的圖示,「Shell32.DLL」是包含很多Windows圖示的系統檔案,「21」表示顯示編號為21的圖示,無數位則預設採用文件中的第一個圖示;第三行「Open=C:Program FilesACDSeeACDSee.exe」指出要執行程序的路徑及其檔案名。
如果把Open行換為木馬文件,並將這個AutoRun.inf文件設定為隱藏內容,我們點擊硬碟時就會啟動木馬。

為防止遭到這樣的「埋伏」,可以禁止硬碟AutoRun功能。在「開始」表單的「執行」中輸入Regedit,開啟註冊表編輯器,展開到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主鍵下,在右側視窗中找到「NoDriveTypeAutoRun」,就是它決定了是否執行CDROM或硬碟的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬碟的AutoRun功能,如果改為B5,00,00,00則禁止光碟的AutoRun功能。

修改後重新啟動電腦,設定就會生效。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-06-27, 03:59 AM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

螢幕保護也可能成為木馬的幫兇

Windows的螢幕保護程序對應的是.scr文件,它是PE格式的可執行文件,在預設情況下儲存在Windows的安裝目錄下。如果把.scr更名為.exe文件,該程序仍然可以正常啟動,.exe文件更名為.scr文件也照樣可以執行。順便提一下,把.exe文件改名為.com、.pif、.bat後,exe文件仍舊可以自由執行。這在exe文件關聯丟失掉後非常有用。


在螢幕保護程序中,我們可以設定它的等待時間,這個啟動時間其實是可以在註冊表中設定的。在註冊表項 HKEY_USERS.DEFAULTControl Paneldesktop下面的字元串值ScreenSaveTimeOut記錄的就是螢幕保護程式程序的等待時間,時間服務機構為秒,從60秒開始記錄,如果記錄時間小於60秒,則自動定為1分鍾。


提示:是否選項了螢幕保護程序可以在system.ini文件中看出來。在「開始」表單的「執行」中輸入msconfig,找到System標籤,找到裡面的[boot]小節,可以看到有「SCRNSAVE.EXE=」這一行。在它後面是螢幕保護程式文件的路徑。如果您設定了螢幕保護程式程序,這一行前面就會有一個「√」,反之則沒有「√」。


由上面的介紹可以產生一種聯想:如果把.exe文件重新命名為.scr文件(假設改為trojan.scr),並在System.ini中增加「SCANSAVE.EXE=C:Program files rojan.scr」,然後修改註冊表中的HKEY_USERS.DEFAULTControl Paneldesktop下的字元串值ScreenSaveTimeOut,把其鍵值改為60,則系統只要閒置一分鍾該檔案就會被啟動。
防範這種攻擊的方法就是禁止使用螢幕保護功能。要想一次性取消螢幕保護功能,可以通過修改註冊表來實現。開啟註冊表編輯器,找到HKEY_CURRENT_USER ControlPaneldesktopScreenSaveActive子鍵,將「ScreenSaveActive」改為「0」,就可以禁止使用螢幕保護功能。


控制台中的木馬

控制台的各個選項實際上是以後面名為cpl的文件單獨存在的,再加上Windows安裝目錄中的control.exe和control.ini文件,就構成控制台的全部組成部分。


每一個cpl文件都對應「控制台」中的一個選項,例如desk.cpl對應「桌面內容」、inetcpl.cpl對應「Internet內容」等。

由於.cpl文件的特殊性,需要使用RunDll32.exe來啟動該檔案,換句話說,控制台中的任何一個選項都可以通過RunDll32.exe來使用。

RunDll32.exe的一項強大功能就是對控制台的管理,用它使用控制台程序的格式如下:
在「開始」表單的「執行」中或指令行下輸入「RunDll32 shell32.dll,Control_RunDLL *.cpl,,X」。其中,shell32.dll為被使用的DLL文件,意思為使用shell32.dll中的Control_RunDLL來開啟desk.cpl文件;「*.cpl」為您想使用的cpl文件的路徑和檔案名;而「X」為對應cpl文件的頁數,從0開始,0為第一頁(如desk.cpl,,0代表「顯示 內容」的「背景」),1為第二頁(如desk.cpl,,1代表「顯示 內容」的「螢幕保護程序」),依此類推。
提示:
shell32.dll和Control_RunDLL兩者之間只能以「,」分隔,逗號之後不能有空格,如果這裡出現錯誤的話,不會得到任何提示。


根據上面的原理,我們可以自己寫一個無視窗或隱藏視窗的控制台程序,將其寫進註冊表的啟動項,使之可以自啟動。如果您編寫的控制台程序是木馬的話,則不僅中木馬者無法發現,就連木馬剋星等專門查殺木馬的軟體也會不知所措。



具體步驟就是在註冊表啟動項中加入RunDll32 shell32.dll、Control_RunDll mycpl.cpl,這樣,這個mycpl.cpl就會在用戶機器啟動的時候被使用。


(註:如果mycpl.cpl儲存在預設目錄中,可以不加路徑直接使用,否則必須加上路徑。)控制台在執行的時候會載入System子目錄中的所有*.cpl文件,所以只要把這個cpl木馬放在System(Windows 9x)或System32(Windows 2000/XP)子目錄中就可以達到目的。要提醒大家的是,如果mycpl.cpl真是木馬的話,那麼別人一定會給它改個名字,或取代掉系統中那些不常用的cpl文件,使您疏於察覺。


是不是只有把cpl文件放到System(Windows 9x)或System32(Windows 2000/XP)子目錄下才會被載入呢?答案是否定的。


如果您的控制台程序不在Windows目錄,假設在Dk下,想讓它在控制台裡顯示,只需編輯control.ini文件,在[MMCPL]小節裡面加入「mycpl.cpl=Dkmycpl.cpl」就可以了。如果不想讓cpl文件顯示在控制台中,依然要從control.ini文件入手,只需在[don't load]小節中加入「mycpl.cpl=no」,這個mycpl.cpl文件就不會被載入了。


如果有人利用這種方式進行攻擊,防範方法是經常檢查註冊表的啟動項,發現用RunDll32.exe使用的.cpl文件就殺無赦。在將這個註冊表鍵值移除後,還要按鍵值提供的路徑找到這個cpl文件,把它也移除掉。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-06-27, 04:01 AM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

可怕的超長目錄中隱藏的木馬

給我們下木馬的人要想在我們的電腦中隱藏木馬文件,會絞盡腦汁,利用Windows系統建立超長目錄然後在其中隱藏木馬就是手段之一。


我們可以做這樣一個試驗:開啟「檔案總管」,在任意一個磁牒(假設是E碟)下建立一個目錄,假設為good,然後進入此目錄,在下面再建立一個子目錄,假設為123,然後在123子目錄下建立一個子目錄test,現在test這個目錄的絕對路徑就是:
E:goodS est。接下來把您要隱藏的目錄和文件都拷貝test子目錄下。


然後點擊「向上」按鈕,來到123子目錄,對著它點擊滑鼠右鍵,在彈出表單中選項「重新命名」,把這個123子目錄改名為「1111……1111」,能寫多長就寫多長。

接下來點擊「向上」按鈕,來到good目錄,用同樣的辦法把它也重新命名,假設改名為goodluck123,現在test子目錄的絕對路徑就是E:goodluck123I1……1111 est。

這時,當您想訪問該目錄時,會出現一個提示:無法訪問此資料夾,路徑太長,如所顯示。

而且,這個目錄在視窗界面下無法看到裡面的內容,在DOS下同樣如此,所以,該目錄和裡面的文件就被巧妙地隱藏起來了。誰能想到裡面會有個test子目錄呢,誰能想到test子目錄下還有文件和資料夾呢?木馬文件就這樣巧妙地隱藏起來了。

為什麼會這樣呢?其實,這只是利用了Windows系統的一個小Bug,即Windows目錄的絕對路徑不能超過254個字元,如果您建立的目錄的絕對路徑超過254個字元的話,系統是看不到的。

反過來講,系統也不允許您直接建立一個絕對路徑長度超過254個字元的目錄,而我們前面所做的就是迂迴地建立了一個目錄,其絕對路徑超過了254個字元,所以別人就無法訪問裡面包含的子目錄和文件了,變相地把目錄和文件隱藏了起來。更妙的是,整個目錄根本無法直接移除,進行移除操作時會彈出一個視窗,提示我們「無法移除*.*:找不到文件。請確定指定的路徑及檔案名是否正確」,在DOS下或是使用工具軟體Windows Commander等也同樣無法移除該目錄。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-06-27, 04:02 AM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

讓我們再用其他軟體來檢視一下利用這種方法來隱藏木馬的效果如何。

大家知道,一般的隱藏文件或目錄的方法,如特殊空格法、給資料夾設定一個空白圖示法、修改註冊表隱藏目錄法等,都會在文件管理軟體Windows Commander、看圖軟體ACDSee或壓縮軟體WinZIP或WinRAR中顯露原形。而用本方法隱藏的目錄不會被顯示在上述軟體中,它們只能看到受保護資料夾的上一層目錄,而無法看到裡面隱藏的內容。

以ACDSee為例,左上視窗有Windows樹型目錄結構,右邊主視窗能顯示資料夾中的文件,包括具有「隱藏」內容的文件。找到我們隱藏目錄和文件的那個E碟,看,根本無法看到goodluck123資料夾裡面的test目錄,如圖3所顯示。


同理,使用殺毒軟體也無法掃瞄該檔案夾的內容,在檔案總管中也無法移除該目錄。

為了更好地隱藏木馬文件,入侵者還可能在此方法的基礎上略微變通一下。


比如,進入C: ecycled(資源回收桶)目錄下,用文中剛開始提到的方法建立超長目錄,並把要隱藏的木馬文件移動到其中,選定這些文件後按右鍵,在彈出表單中選項「內容」,將其內容設定為「隱藏」,這樣,在Windows中就看不到這些文件了,清空資源回收桶也依然存在。而且,入侵者利用特殊資料夾同樣可以取得這樣的功效,比如C:windows onts等。

接下來修改一下註冊表,讓文件更徹底地隱藏起來。在「開始」表單的「執行」中輸入Regedit,開啟註冊表編輯器,展開到HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionexplorerAdvancedFolderHiddenSHOWALL分支,修改DWORD值Checked類型的鍵值為0(預設為1,如果沒有該DWORD值,可以新增),如所顯示,關閉註冊表編輯器,按F5鍵重新整理桌面,這些文件就隱藏得更深了。我們進入隱藏文件的那個資源回收桶後,將什麼都看不到。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-06-27, 04:04 AM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

利用這種方法隱藏目錄和文件非常巧妙,原因有三:一是別人想不到資源回收桶中藏有秘密;二是修改註冊表後這些隱藏起來的文件和目錄更隱蔽了,在Windows下根本發現不了;三是即便發現了這些隱藏的目錄和文件,也會由於絕對路徑太長而無法進入該目錄檢視文件。這就讓木馬可以在我們的電腦中「安居樂業」了。

對方要在我們的電腦中建立如此特殊的目錄,必定要進行遠端操作,所以我們平時必須要及時給系統打修正檔,把系統漏洞都堵上,再安裝上網路防火牆,不隨意瀏覽不瞭解的網頁,不隨意檢視陌生的電子郵件,做到這些,對普通用戶來說就會安全多了。

如果發現系統中有這樣特殊的資料夾存在,只要給最外層的目錄改名,比方說將goodluck123改名為g,然後就可以進入下一級目錄,進而可以進入test子目錄,進行相關的操作。當然,您也可以自己編寫一個程序來讀這個目錄。


木馬對文件關聯的利用

我們知道,在註冊表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以載入程序,使之開機時自動執行,類似「Run」這樣的子鍵在註冊表中還有幾處,均以「Run」開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改註冊表的方法也可以使程序自啟動。

具體說來,就是更改文件的開啟方式,這樣就可以使程序跟隨您開啟的那種檔案類型一起啟動。舉例來說,開啟註冊表,展開註冊表到HKEY_CLASSES_ROOTexefileshell
opencommand,這裡是exe文件的開啟方式,預設鍵值為:「%1」%*。如果把預設鍵值改為Trojan.exe「%1」%*,您每次執行exe文件,這個Trojan.exe文件就會被執行。


木馬灰鴿子就採用關聯exe文件的開啟方式,而大名鼎鼎的木馬冰河採用的是也與此相似的一招——關聯txt文件。

對付這種隱藏方法,主要是經常檢查註冊表,看文件的開啟方式是否發生了變化。

如果發生了變化,就將開啟方式改回來。


最好能經常制作備份註冊表,發現問題後立即用備份檔案恢復註冊表,既方便、快捷,又安全、省事。

木馬對設備名的利用

大家知道,在Windows下無法以設備名來命名文件或資料夾,這些設備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以設備名來命名文件或資料夾,讓木馬可以躲在那裡而不被發現。

具體方法是:點擊「開始」表單的「執行」,輸入cmd.exe,Enter鍵進入命令提示字元視窗,然後輸入md c:con\指令,可以建立一個名為con的目錄。預設請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。


再試試輸入md c:aux\指令,可以建立aux目錄,輸入md crn\可以建立prn目錄,輸入md c:com1\目錄可以建立Com1目錄,而輸入md c: ul\則可以建立一個名為nul的目錄。在檔案總管中依次點擊試試,您會發現當我們試圖移除以aux或com1命名的資料夾時,explorer.exe失去了回應,而許多「牧馬人」就是利用這個方法將木馬隱藏在這類特殊的資料夾中,從而達到隱藏、保護木馬程序的目的。

現在,我們可以把文件複製到這個特殊的目錄下,當然,不能直接在Windows中複製,需要採用特殊的方法,在CMD視窗中輸入copy muma.exe \.c:aux\指令,就可以把木馬文件muma.exe複製到C碟下的aux資料夾中,然後點擊「開始」表單中的「執行」,在「執行」中輸入c:aux muam.exe,就會成功啟動該木馬



。我們可以通過點擊資料夾名進入此類特殊目錄,不過,如果您要試圖在檔案總管中移除它,會發現這根本就是徒勞的,Windows會提示找不到該檔案。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-06-27, 04:05 AM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

由於使用del c:aux\指令可以移除其中的muma.exe文件,所以,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe文件也改名,讓我們很難移除。


具體方法就是在複製木馬文件到aux資料夾時使用指令copy muma.exe \.c:con.exe,就可以把木馬文件muma.exe複製到aux目錄中,並且改名為con.exe,而con.exe文件是無法用普通方法移除的。



可能有的朋友會想,這個con.exe文件在「開始」表單的「執行」中無法執行啊。


其實不然,只要在指令行方式下輸入cmd /c \.c:con就可以執行這個程序了。

在執行時會有一個cmd視窗一閃而過,下木馬者一般來說會對其進行改進,方法有很多,可以利用開機指令碼,也可以利用cmd.exe的autorun:在註冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun,值為要執行的.bat文件或.cmd文件的路徑,如c:winntsystem32auto.cmd,如果建立相應的文件,它的內容為@\.c:con,就可以達到隱蔽的效果。


對於這類特殊的資料夾,發現後我們可以採用如下方法來移除它:先用del \.c:con.exe指令移除con.exe文件(該檔案假設就是其中的木馬檔案名),然後再用rd \.c:aux指令移除aux資料夾即可。

好了,文章到這裡就結束了。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-06-27, 02:36 PM   #8 (permalink)
長老會員
榮譽勳章
UID - 9489
在線等級: 級別:54 | 在線時長:3147小時 | 升級還需:98小時級別:54 | 在線時長:3147小時 | 升級還需:98小時級別:54 | 在線時長:3147小時 | 升級還需:98小時級別:54 | 在線時長:3147小時 | 升級還需:98小時
註冊日期: 2002-12-11
住址: 高雄
文章: 13429
精華: 0
現金: 1669094 金幣
資產: 1838923 金幣
預設

希望能知馬識馬不養馬
玩東玩西木馬不要玩
感謝提供教學
k2hungss 目前離線  
送花文章: 5064, 收花文章: 1120 篇, 收花: 1465 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 05:48 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1