史萊姆論壇 - 查看單個文章

psac · 2005-11-04, 11:21 PM

隨著人們安全意識的提高，木馬的生存越來越成為問題，木馬種植者當然不甘心木馬就這樣被人所發覺，於是他們想出許多辦法來偽裝隱藏自己的行為，利用WinRAR元件服務木馬就是其中的手段之一。那麼我們怎麼才能識別出其中藏有木馬呢？本文講述的正是這個問題。

原理
攻擊者可以把木馬和其他可執行文件，比方說Flash動畫放在同一個資料夾下，然後將這兩個文件增加到檔案文件中，並將文件製作為exe格式的自解壓縮文件，這樣，當你雙按這個自解壓縮文件時，就會在啟動Flash動畫等文件的同時悄悄地執行木馬文件！

這樣就達到了木馬種植者的目的，即執行木馬服務端程序。而這一招效果又非常好，令對方很難察覺到，因為並沒有明顯的徵兆存在，所以目前使用這種方法來執行木馬非常普遍。為戳穿這種偽裝，瞭解其製作程序，做到知己知彼，下面我們來看一個實例。

實例
下面我們以一個實例來瞭解這種元件服務木馬的方法。目標是將一個Flash動畫（1.swf）和木馬服務端文件（1.exe）元件服務在一起，做成自解壓縮文件，如果你執行該檔案，在顯示Flash動畫的同時就會中木馬！
具體方法是：把這兩個文件放在同一個目錄下，按住Ctrl鍵的同時用滑鼠選1.swf和1.exe，然後點擊滑鼠右鍵，在彈出功能表中選項「增加到檔案文件」，會出現一個標題為「檔案檔案名字和參數」的對話視窗，在該對話視窗的「檔案檔案名」欄中輸入任意一個檔案名，比方說暴笑三國.exe（只要容易吸引別人點擊就可以）。注意，文件副檔名一定得是.exe（也就是將「新增自解壓縮格式檔案文件」勾選上），而預設情況下為.rar，要改過來才行，否則無法進行下一步的工作

接下來點擊「進階」選擇項，然後按下「SFX選項」按鈕

會出現「進階自解壓縮選項」對話視窗，在該對話視窗的「解壓縮路徑」欄中輸入C:\Windows\temp，其實「解壓縮路徑」可以隨便填，就算你設定的資料夾不存在也沒有關係，因為在自解壓時會自動新增該目錄。在「解壓縮後執行」中輸入1.exe，也就是填入攻擊者打算隱蔽執行的木馬文件的名字。

下一步，請點擊「模式」選擇項，在該選擇項中把「全部隱藏」和「覆蓋所有文件」選上（圖5）

這樣不僅安全，而且隱蔽，不易為人所發現。如果你願意的話，還可以改變這個自解壓縮文件的視窗標題和圖示，點擊「文字和圖示」）

在該選擇項的「自釋文件視窗標題」和「顯示用於自釋文件視窗的文本」中輸入你想顯示的內容即可，這樣更具備欺騙性，更容易使人上當。最後，點擊「確定」按鈕返回到「檔案檔案名字和參數」對話視窗。
下面請你點擊「註釋」選擇項，你會看到如圖所顯示的內容

這是WinRAR根據你前面的設定自動加入的內容，其實就是自解壓縮指令碼指令。其中，C:\Windows\temp代表自解壓路徑，Setup=1.exe表示解壓縮後執行1.exe文件即木馬服務端文件。而Silent和Overwrite分別代表是否隱藏和覆蓋文件，賦值為1則代表「全部隱藏」和「覆蓋所有文件」。一般說來，給你下木馬的人為了隱蔽起見，會修改上面的自解壓縮指令碼指令，比如他們會把指令碼改為如下內容：
Path=c:\windows\temp
Setup=1.exe
Setup=explorer.exe 1.swf
Silent=1
Overwrite=1
仔細看，其實就是加上了Setup=explorer.exe 1.swf這一行，點擊「確定」按鈕後就會產生一個名為暴笑三國.exe的自解壓文件，現在只要有人雙按該檔案，就會開啟1.swf這個動畫文件，而當人們津津有味的欣賞漂亮的Flash動畫時，木馬程序1.exe已經悄悄地執行了！更可怕的是，還可以在WinRAR中就可以把自解壓文件的預設圖示換掉，如果換成你熟悉的軟體的圖示，對大家來說是不是更危險？
特殊套用
利用WinRAR製作的自解壓文件，不僅可以用來載入隱蔽的木馬服務端程序，還可以用來修改對方的註冊表。比方說，攻擊者可以編寫一個名為change.reg的文件。接下來用「實例」中的辦法將這個文件製作成自解壓文件，儲存為del.exe文件即可。注意在製作程序中要在「註釋」中寫上如下內容：
Path=c:\Windows
Setup=regedit /s change.reg
Silent=1
Overwrite=1
完成後按「確定」按扭，就會建立出一個名為del.exe的Winrar自解壓程序，雙按執行這個文件，將不會有匯入註冊表時的提示訊息（這就是給regedit加上「/s」參數的原因）就修改了註冊表鍵值，並把change.reg拷貝到C:\Windows資料夾下。此時你的註冊表已經被修改了！不僅如此，攻擊者還可以把這個自解壓文件del.exe和木馬服務端程序或硬碟炸彈等用WinRAR元件服務在一起，然後製作成自解壓文件，那樣對大家的威脅將更大！因為它不僅能破壞註冊表，還會破壞大家的硬碟資料，想想看是不是很可怕？
識破詭計的方法
從上面的實例中不難看出，WinRAR的自解壓功能真的是太強大了，它能使得不會編程的人也能在短時間內製作出非常狠毒的惡意程序。而且對於含有木馬或惡意程序的自解壓文件，目前許多流行的殺毒軟體和木馬查殺毒軟體件竟無法查出其中有問題存在！不信的話，大家可以做個試驗，就知道結果了。

那麼該怎樣識別用WinRAR元件服務過的木馬呢？只要能發現自解壓縮文件裡面隱藏有多個文件，特別是多個可執行文件，就可以判定其中含有木馬！那麼怎樣才能知道自解壓縮文件中含有幾個文件，是哪些文件呢？

個簡單的識別的方法是：
用滑鼠右擊WinRAR自解壓縮文件，在彈出功能表中選項「內容」，在「內容」對話視窗中你會發現較之普通的EXE文件多出兩個標籤，分別是：「檔案文件」和「註釋」，按下「註釋」標籤，看其中的註釋內容，你就會發現裡面含有哪些文件了，這樣就可以做到心中有數，這是識別用WinRAR元件服務木馬文件的最好方法。

最後再告訴大家一個防範方法，遇到自解壓程序不要直接執行，而是選項右鍵功能表中的「用WinRAR開啟」，這樣你就會發現該檔案中到底有什麼了。

2005-11-04, 11:21 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	戳穿偽裝識破用WinRAR元件服務的木馬隨著人們安全意識的提高，木馬的生存越來越成為問題，木馬種植者當然不甘心木馬就這樣被人所發覺，於是他們想出許多辦法來偽裝隱藏自己的行為，利用WinRAR元件服務木馬就是其中的手段之一。那麼我們怎麼才能識別出其中藏有木馬呢？本文講述的正是這個問題。原理攻擊者可以把木馬和其他可執行文件，比方說Flash動畫放在同一個資料夾下，然後將這兩個文件增加到檔案文件中，並將文件製作為exe格式的自解壓縮文件，這樣，當你雙按這個自解壓縮文件時，就會在啟動Flash動畫等文件的同時悄悄地執行木馬文件！這樣就達到了木馬種植者的目的，即執行木馬服務端程序。而這一招效果又非常好，令對方很難察覺到，因為並沒有明顯的徵兆存在，所以目前使用這種方法來執行木馬非常普遍。為戳穿這種偽裝，瞭解其製作程序，做到知己知彼，下面我們來看一個實例。實例下面我們以一個實例來瞭解這種元件服務木馬的方法。目標是將一個Flash動畫（1.swf）和木馬服務端文件（1.exe）元件服務在一起，做成自解壓縮文件，如果你執行該檔案，在顯示Flash動畫的同時就會中木馬！具體方法是：把這兩個文件放在同一個目錄下，按住Ctrl鍵的同時用滑鼠選1.swf和1.exe，然後點擊滑鼠右鍵，在彈出功能表中選項「增加到檔案文件」，會出現一個標題為「檔案檔案名字和參數」的對話視窗，在該對話視窗的「檔案檔案名」欄中輸入任意一個檔案名，比方說暴笑三國.exe（只要容易吸引別人點擊就可以）。注意，文件副檔名一定得是.exe（也就是將「新增自解壓縮格式檔案文件」勾選上），而預設情況下為.rar，要改過來才行，否則無法進行下一步的工作接下來點擊「進階」選擇項，然後按下「SFX選項」按鈕會出現「進階自解壓縮選項」對話視窗，在該對話視窗的「解壓縮路徑」欄中輸入C:\Windows\temp，其實「解壓縮路徑」可以隨便填，就算你設定的資料夾不存在也沒有關係，因為在自解壓時會自動新增該目錄。在「解壓縮後執行」中輸入1.exe，也就是填入攻擊者打算隱蔽執行的木馬文件的名字。下一步，請點擊「模式」選擇項，在該選擇項中把「全部隱藏」和「覆蓋所有文件」選上（圖5）這樣不僅安全，而且隱蔽，不易為人所發現。如果你願意的話，還可以改變這個自解壓縮文件的視窗標題和圖示，點擊「文字和圖示」）在該選擇項的「自釋文件視窗標題」和「顯示用於自釋文件視窗的文本」中輸入你想顯示的內容即可，這樣更具備欺騙性，更容易使人上當。最後，點擊「確定」按鈕返回到「檔案檔案名字和參數」對話視窗。下面請你點擊「註釋」選擇項，你會看到如圖所顯示的內容這是WinRAR根據你前面的設定自動加入的內容，其實就是自解壓縮指令碼指令。其中，C:\Windows\temp代表自解壓路徑，Setup=1.exe表示解壓縮後執行1.exe文件即木馬服務端文件。而Silent和Overwrite分別代表是否隱藏和覆蓋文件，賦值為1則代表「全部隱藏」和「覆蓋所有文件」。一般說來，給你下木馬的人為了隱蔽起見，會修改上面的自解壓縮指令碼指令，比如他們會把指令碼改為如下內容： Path=c:\windows\temp Setup=1.exe Setup=explorer.exe 1.swf Silent=1 Overwrite=1 仔細看，其實就是加上了Setup=explorer.exe 1.swf這一行，點擊「確定」按鈕後就會產生一個名為暴笑三國.exe的自解壓文件，現在只要有人雙按該檔案，就會開啟1.swf這個動畫文件，而當人們津津有味的欣賞漂亮的Flash動畫時，木馬程序1.exe已經悄悄地執行了！更可怕的是，還可以在WinRAR中就可以把自解壓文件的預設圖示換掉，如果換成你熟悉的軟體的圖示，對大家來說是不是更危險？特殊套用利用WinRAR製作的自解壓文件，不僅可以用來載入隱蔽的木馬服務端程序，還可以用來修改對方的註冊表。比方說，攻擊者可以編寫一個名為change.reg的文件。接下來用「實例」中的辦法將這個文件製作成自解壓文件，儲存為del.exe文件即可。注意在製作程序中要在「註釋」中寫上如下內容： Path=c:\Windows Setup=regedit /s change.reg Silent=1 Overwrite=1 完成後按「確定」按扭，就會建立出一個名為del.exe的Winrar自解壓程序，雙按執行這個文件，將不會有匯入註冊表時的提示訊息（這就是給regedit加上「/s」參數的原因）就修改了註冊表鍵值，並把change.reg拷貝到C:\Windows資料夾下。此時你的註冊表已經被修改了！不僅如此，攻擊者還可以把這個自解壓文件del.exe和木馬服務端程序或硬碟炸彈等用WinRAR元件服務在一起，然後製作成自解壓文件，那樣對大家的威脅將更大！因為它不僅能破壞註冊表，還會破壞大家的硬碟資料，想想看是不是很可怕？識破詭計的方法從上面的實例中不難看出，WinRAR的自解壓功能真的是太強大了，它能使得不會編程的人也能在短時間內製作出非常狠毒的惡意程序。而且對於含有木馬或惡意程序的自解壓文件，目前許多流行的殺毒軟體和木馬查殺毒軟體件竟無法查出其中有問題存在！不信的話，大家可以做個試驗，就知道結果了。那麼該怎樣識別用WinRAR元件服務過的木馬呢？只要能發現自解壓縮文件裡面隱藏有多個文件，特別是多個可執行文件，就可以判定其中含有木馬！那麼怎樣才能知道自解壓縮文件中含有幾個文件，是哪些文件呢？個簡單的識別的方法是：用滑鼠右擊WinRAR自解壓縮文件，在彈出功能表中選項「內容」，在「內容」對話視窗中你會發現較之普通的EXE文件多出兩個標籤，分別是：「檔案文件」和「註釋」，按下「註釋」標籤，看其中的註釋內容，你就會發現裡面含有哪些文件了，這樣就可以做到心中有數，這是識別用WinRAR元件服務木馬文件的最好方法。最後再告訴大家一個防範方法，遇到自解壓程序不要直接執行，而是選項右鍵功能表中的「用WinRAR開啟」，這樣你就會發現該檔案中到底有什麼了。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次