|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-10-31, 05:54 PM | #1 |
榮譽會員
|
用WinRAR解密木馬元件服務的原理
今天朋友突然想我求救,說網路遊戲傳奇世界的號被盜了,由於朋友是在家上網,排除了在公共場所帳號和密碼被別他人瞟視的可能。據朋友所說,在被盜的前一個多小時,在網上下載了一個網友的照片,並開啟瀏覽了,但是出現的確實是網友的照片,並且是用「Windows 圖片和傳真檢視器」(朋友家是XP系統)開啟的,這也可以肯定一定是圖片文件。朋友還告訴筆者後面名是.gif,很顯然是圖片文件,朋友的電腦也沒有安裝殺毒軟體,並且最重要的是那個文件還沒有刪。
筆者便讓朋友把那個文件通過QQ發了過來,傳送的時候筆者在QQ顯示檔案名中發現了那個文件並不是gif文件,而是exe文件,檔案名是:我的照片.gif.exe,並且它的圖示也是圖片文件的圖示,見圖1。筆者認為朋友的電腦應該開啟了「隱藏已知檔案類型的副檔名」(大家可以在「我的電腦」表單中「工具→資料夾選項→檢視→進階設定」中設定,見圖2,所以告訴我後面名是gif。筆者無意中右點了下這個文件,發現可以用「WinRAR開啟」,於是筆者就用WinRAR開啟了,發現裡面含有兩個文件——我的照片.gif和server.exe,可以肯定這server.exe就是木馬,也就是朋友盜傳奇世界號的罪魁禍首。 圖 1 圖 2 由於可以直接用WinRAR開啟,筆者斷定它就是由WinRAR製作的,現在筆者就開始解密它的製作程序。首先要有圖片文件的ico(圖示)文件(可以使用其他軟體提取,筆者就不在這裡講述詳細程序了),如圖3。把圖片文件和木馬都選定,右點,選項「增加到檔案文件」(WinRAR的選項),見圖4,在「檔案檔案名」那輸入壓縮後的檔案名,比如:我的照片.gif.exe,後面如果為.exe就可以直接執行,如果不是.rar就會開啟WinRAR,所以這裡最後的後面為.exe,根據自己的需要選項「壓縮方式」,然後點擊「進階」標籤,選項「SFX 選項」,見圖5,在「釋放路徑」中填入你需要解壓的路徑,筆者這裡填的是「%systemroot%\temp」(不包括引號),表示解壓縮到系統安裝目錄下的temp(臨時文件)資料夾下,並且在「安裝程序」的「釋放後執行」輸入「server.exe」(不包括引號),在「釋放前執行」輸入「我的照片.gif」(不包括引號)。 圖 3 圖 4 圖 5 這樣在解壓縮前將會開啟我的照片.gif這個文件,造成朋友對文件判斷的假象,會認為它就是一個圖片文件,而釋放完以後便會自動執行木馬(即server.exe)。在「模式」標籤的「緘默模式」中選項「全部隱藏」,「覆蓋方式」中選項「覆蓋所有文件」,在「文字和圖示」標籤的「自訂SFX圖示」,載入剛才所準備的圖片文件的ico文件,然後點擊「確定」即可,這樣即天衣無縫的製作了一個元件服務圖片的木馬。當開啟這個文件時,會先執行圖片文件,再自動開啟木馬文件,中間不會出現任何提示。 註:希望廣大朋友不要進行非法用途,在這裡解密木馬元件服務是希望大家瞭解其原理。 |
送花文章: 3,
|
2005-05-08, 11:36 PM | #4 (permalink) |
榮譽會員
|
【檔案名稱】:WINRAR FAKER偽裝壓縮檔成圖片
【檔案格式】:rar 【檔案大小】:221kb 【程式語言】:不詳 【有效期限】:直到載點掛掉 【軟體簡介】: 利用WINRAR FAKER偽裝壓縮檔成圖片 1.打開FAKER,選擇壓縮檔偽裝,並且選擇單檔,最後點瀏覽 2.選擇要偽裝成目標照片的檔案 3.選擇剛才所分割的檔案資料夾,最後把要偽裝的檔案點選起來 4.點選單檔偽裝 5.有看到OK和多出了11個圖片檔就成功了 6.檢查檔案是否成功的偽裝了 7.以下為成功的偽裝 【軟體下載】: http://ms1.nihs.tp.edu.tw/~s201424/RAR%20Faker.rar 給你個蒙面間諜專殺 附件: 在新浪網上看到的,大家也注意一下, 這裡給個趨勢供的專殺,趨勢專殺下載(新浪下) 看詳情:請點擊以下: http://tech.sina.com.cn/s/s/2005-05-12/1135605602.shtml 附件使用的檔案名如:女孩們、愛情、音樂、照片、螢幕保護程式等等,後面緊跟著一個假的doc,jpg,txt等副檔名,而在精心設計的多個空格後才是真的scr可執行文件副檔名。例如:「message.txt .scr」,如果用戶不仔細看,會誤認為是「message.txt」,一個純文本文件,從而放鬆了警惕,掉入病毒的圈套。 |
__________________ |
|
送花文章: 3,
|