史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-07-08, 06:51 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 木馬各種隱藏技術全方位大披露

以前,曾認為只要不隨便執行網友發來的文件就不會中病毒或木馬,但後來出現了利用漏洞傳播的衝擊波、震盪波;以前,我曾認為不上小網站就不會中網頁木馬,但後來包括國內某知名遊戲網站在內的多個大網站均在其首頁被黑客掛上了木馬。從此,我知道:安全,從來沒有絕對的。

  雖然沒有絕對的安全,但如果能知已知彼,瞭解木馬的隱藏手段,對於木馬即使不能百戰百勝,也能做到及時發現,使損失最小化。那麼,木馬究竟是如何躲在我們的系統中的呢?

  最基本的隱藏:不可見表單+隱藏文件

  木馬程序無論如何神秘,但歸根究底,仍是Win32平台下的一種程序。Windows下一般的程序有兩種:

  1.Win32應用程式(Win32 Application),比如QQ、Office等都屬於此行列。

  2.Win32控制台程序(Win32 Console),比如硬碟啟始修復程序FixMBR。

  其中,Win32應用程式通常會有應用程式界面,比如系統中原有的的「計算器」就有提供各種數位按鈕的應用程式界面。

木馬雖然屬於Win32應用程式,但其一般不包含表單或隱藏了表單(但也有某些特殊情況,如木馬使用者與被害者聊天的視窗),並且將木馬文件內容設定為「隱藏」,這就是最基本的隱藏手段,稍有經驗的用戶只需開啟「工作管理器」,並且將「資料夾選項」中的「顯示所有文件」勾選即可輕鬆找出木馬,於是便出現了下面要介紹的「工作隱藏」技術。

第一代工作隱藏技術:Windows 98的後門

  在Windows 98中,微軟提供了一種能將工作註冊為服務工作的方法。儘管微軟沒有公開提供這種方法的技術實現細節(因為Windows的後續版本中沒有提供這個機制),但仍有高手發現了這個秘密,這種技術稱為RegisterServiceProcess。

只要利用此方法,任何程序的工作都能將自己註冊為服務工作,而服務工作在Windows 98中的工作管理器中恰巧又是不顯示的,所以便被木馬程序鑽了空子。

  要對付這種隱藏的木馬還算簡單,只需使用其他第三方工作系統管理工具即可找到其所在,並且採用此技術進行隱藏的木馬在Windows 2000/XP(因為不支持這種隱藏方法)中就得現形!
中止該工作後將木馬文件移除即可。可是接下來的第二代工作隱藏技術,就沒有這麼簡單對付了。
第二代工作隱藏技術:工作插入

  在Windows中,每個工作都有自己的私有記憶體位址空間,當使用游標(一種訪問記憶體的機制)訪問記憶體時,一個工作無法訪問另一個工作的記憶體位址空間,就好比在未經鄰居同意的情況下,你無法進入鄰居家吃飯一樣。

比如QQ在記憶體中存放了一張圖片的資料,而MSN則無法通過直接讀取記憶體的方式來獲得該圖片的資料。

這樣做同時也保證了程序的穩定性,如果你的工作存在一個錯誤,改寫了一個隨機位址上的記憶體,這個錯誤不會影響另一個工作使用的記憶體。

  你知道嗎——工作(Process)是什麼

  對應用程式來說,工作就像一個大容器。

在應用程式被執行後,就相當於將應用程式裝進容器裡了,你可以往容器裡加其他東西(如:應用程式在執行時所需的變數資料、需要引用的DLL文件等),當應用程式被執行兩次時,容器裡的東西並不會被倒掉,系統會找一個新的工作容器來容納它。

  一個工作可以包含若幹線程(Thread),執行緒可以說明 應用程式同時做幾件事(比如一個執行緒向磁牒寫入文件,另一個則接收用戶的按鍵操作並及時做出反應,互相不干擾),在程序被執行後中,系統首先要做的就是為該程序工作建立一個預設執行緒,然後程序可以根據需要自行增加或移除相關的執行緒(見圖2 工作關係圖)。

1.工作插入是什麼

  獨立的位址空間對於編程人員和用戶來說都是非常有利的。對於編程人員來說,系統更容易捕獲隨意的記憶體讀取和寫入操作。

對於用戶來說,操作系統將變得更加健壯,因為一個應用程式無法破壞另一個工作或操作系統的執行。


當然,操作系統的這個健壯特性是要付出代價的,因為要編寫能夠與其他工作進行通信,或者能夠對其他工作進行操作的應用程式將要困難得多。

但仍有很多種方法可以打破工作的界限,訪問另一個工作的位址空間,那就是「工作插入」(Process Injection)。


一旦木馬的DLL插入了另一個工作的位址空間後,就可以對另一個工作為所欲為,比如下文要介紹的盜QQ密碼。

  2.木馬是如何盜走QQ密碼的

  普通情況下,一個應用程式所接收的鍵盤、滑鼠操作,別的應用程式是無權「過問」的。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-07-08, 06:53 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

可盜號木馬是怎麼偷偷記錄下我的密碼的呢?

木馬首先將1個DLL文件插入到QQ的工作中並成為QQ工作中的一個執行緒,這樣該木馬DLL就赫然成為了QQ的一部分!然後在用戶輸入密碼時,因為此時木馬DLL已經進入QQ工作內部,所以也就能夠接收到用戶傳送給QQ的密碼按鍵輸入了,真是「家賊難防」啊!
  (插入cxtrojan0a.tif)

  3.如何插入工作

  (1)使用註冊表插入DLL

  早期的工作插入式木馬的伎倆,通過修改註冊表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達到插入工作的目的。缺點是不既時,修改註冊表後需要重新啟動才能完成工作插入。

  (2)使用掛鉤(Hook)插入DLL

  比較進階和隱蔽的方式,通過系統的掛鉤機制(即「Hook」,類似於DOS時代的「中斷」)來插入工作(一些盜QQ木馬、鍵盤記錄木馬以Hook方式插入到其他工作中「偷雞摸狗」),需要使用SetWindowsHookEx函數(也是一個Win32 API函數)。缺點是技術門檻較高,程序偵錯困難,這種木馬的製作者必須具有相當的Win32編程水準。

  你知道嗎——什麼是API

  Windows中提供各種功能實現的接頭稱為Win32 API(Application Programming Interface,即「應用程式編程接頭」),如一些程序需要對磁牒上的文件進行讀寫,就要先通過對相應的API(文件讀寫就要使用文件相關的API)發出使用請求,然後API根據程序在使用其函數時提供的參數(如讀寫文件就需要同時指出需要讀寫的文件的檔案名及路徑)來完成請求實現的功能,最後將使用結果(如寫入文件成功,或讀取文件失敗等)返回給程序(見 應用程式、Win32 API、系統的關係)。

(3)使用遠端執行緒函數(CreateRemoteThread)插入DLL

  在Windows 2000及以上的系統中提供了這個「遠端工作」機制,可以通過一個系統API函數來向另一個工作中新增執行緒(插入DLL)。


缺點很明顯,僅支持Windows 2000及以上系統,在國內仍有相當多用戶在使用Windows 98,所以採用這種工作插入方式的木馬缺乏平台通用性。

  木馬將自身作為DLL插入別的工作空間後,用檢視工作的方式就無法找出木馬的蹤跡了,你能看到的僅僅是一些正常程序的工作,但木馬卻已經偷偷潛入其中了。


解決的方法是使用支持「工作模組檢視」的工作系統管理工具(如「Windows最佳化大師」提供的工作檢視),木馬的DLL模組就會現形了。

  不要相信自己的眼睛:恐怖的工作「蒸發」

  嚴格地來講,這應該算是第2.5代的工作隱藏技術了,可是它卻比前幾種技術更為可怕得多。這種技術使得木馬不必將自己插入到其他工作中,而可以直接消失!

  它通過Hook技術對系統中所有程式的工作檢測相關API的使用進行了監控,「工作管理器」之所以能夠顯示出系統中所有的工作,也是因為其使用了EnumProcesses等工作相關的API函數,工作訊息都包含在該函數的返回結果中,由發出使用請求的程序接收返回結果並進行處理(如「工作管理器」在接收到結果後就在工作列表中顯示出來)。

  而木馬由於事先對該API函數進行了Hook,所以在「工作管理器」(或其他使用了列舉工作函數的程序)使用EnumProcesses函數時(此時的API函數充當了「內線」的角色),木馬便得到了通知,並且在函數將結果(列出所有工作)返回給程序前,就已將自身的工作訊息從返回結果中抹去了。


就好比你正在看電視節目,卻有人不知不覺中將電視接上了DVD,你在不知不覺中就被欺騙了。

  所以無論是「工作管理器」還是殺毒軟體,想對這種木馬的工作進行檢測都是徒勞的。這種木馬目前沒有非常有效的查殺手段,只有在其執行前由殺毒軟體檢測到木馬文件並阻止其病毒體的執行。


當時還有一種技術是由木馬程序將其自身的工作訊息從Windows系統用以記錄工作訊息的「工作鏈表」中移除,這樣工作系統管理工具就無法從「工作鏈表」中獲得木馬的工作訊息了。但由於缺乏平台通用性而且在程序執行時有一些問題,所以沒有被廣泛採用。

你知道嗎——什麼是Hook

  Hook是Windows中提供的一種用以取代DOS下「中斷」的一種系統機制,中文譯名為「掛鉤」或「鉤子」。


在對特定的系統事件(包括上文中的特定API函數的使用事件)進行Hook後,一旦發生已Hook的事件,對該事件進行Hook的程序(如:木馬)就會收到系統的通知,這時程序就能在第一時間對該事件做出回應(木馬程序便搶在函數返回前對結果進行了修改)。

  毫無蹤跡:全方位立體隱藏

  利用剛才介紹的Hook隱藏工作的手段,木馬可以輕而易舉地實現文件的隱藏,只需將Hook技術套用在文件相關的API函數上即可,這樣無論是「檔案總管」還是殺毒軟體都無法找出木馬所在了。更令人吃驚的是,現在已經有木馬(如:灰鴿子)利用該技術實現了文件和工作的隱藏。要防止這種木馬最好的手段仍是利用殺毒軟體在其執行繼續行攔截。

  跟殺毒軟體對著干:反殺毒軟體外殼

  木馬再狡猾,可是一旦被殺毒軟體定義了特徵碼,在執行前就被攔截了。要躲過殺毒軟體的追殺,很多木馬就被加了殼,相當於給木馬穿了件衣服,這樣殺毒軟體就認不出來了,但有部分殺毒軟體會嘗試對常用殼進行脫殼,然後再查殺(小樣,別以為穿上件馬夾我就不認識你了)。


除了被動的隱藏外,最近還發現了能夠主動和殺毒軟體對著干的殼,木馬在加了這種殼之後,一旦執行,則外殼先得到程序控制權,由其通過各種手段對系統中安裝的殺毒軟體進行破壞,最後在驗證安全(殺毒軟體的保護已被瓦解)後由殼解壓縮包裹在自己「體內」的木馬體並執行之。對付這種木馬的方法是使用具有脫殼能力的殺毒軟體對系統進行保護。

  你知道嗎——什麼是殼

  顧名思義,你可以很輕易地猜到,這是一種包在外面的東西。沒錯,殼能夠將文件(比如EXE)包住,然後在文件被執行時,首先由殼獲得控制權,然後解壓縮並執行包裹著的文件體。很多殼能對自己包住的文件體進行加密,這樣就可以防止殺毒軟體的查殺。



比如原先殺毒軟體定義的該木馬的特徵是「12345」,如果發現某文件中含有這個特徵,就認為該檔案是木馬,而帶有加密功能的殼則會對文件體進行加密(如:原先的特徵是「12345」,加密後變成了「54321」,這樣殺毒軟體當然不能靠文件特徵進行檢查了)。脫殼指的就是將文件外邊的殼去除,恢覆文件沒有加殼前的狀態。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-07-09, 02:28 AM   #3 (permalink)
註冊會員
榮譽勳章
UID - 14476
在線等級: 級別:8 | 在線時長:115小時 | 升級還需:2小時級別:8 | 在線時長:115小時 | 升級還需:2小時級別:8 | 在線時長:115小時 | 升級還需:2小時
註冊日期: 2002-12-19
VIP期限: 2011-06
住址: 美女主播群親衛隊
文章: 243
精華: 0
現金: 0 金幣
資產: 1009257 金幣
預設

嗯,先收起來,慢慢看
joexyz 目前離線  
送花文章: 1, 收花文章: 5 篇, 收花: 5 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 09:02 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1