史萊姆論壇 - 查看單個文章

psac · 2005-11-16, 02:42 AM

如通過電子郵件的方式，木馬把侵入主機的敏感訊息送給攻擊者。現在大部分木馬一般在佔領主機後會在1024以上不易發現的高連接阜上駐停留;有一些木馬會選項一些常用的連接阜，如80、23,有一種非常先進的木馬還可以做到在佔領80HTTP連接阜後，收到正常的HTTP請求仍然把它交與Web伺服器處理，只有收到一些特殊約定的資料包後，才使用木馬程序。

　　5.隱藏隱載入方式

　　木馬載入的方式可以說千奇百怪，無奇不有。但殊途同歸，都為了達到一個共同的目的，那就是使你執行木馬的服務端程序。如果木馬不做任何偽裝，就告訴你這是木馬，你會執行它才怪呢。

而隨著網站互動化避程的不斷進步，越來越多的東西可以成為木馬的傳播介質，Java Script、VBScript、ActiveX.XLM....幾乎WWW每一個新功能部會導致木馬的快速進化。

　　6.最新隱身技術

　　在Win9x時代，簡單地註冊為系統行程就可以從工作管理欄中消失，可是在Windows2000盛行的今天。

這種方法遭到了慘敗。註冊為系統行程不僅僅能在工作管理欄中看到，而且可以直接在Services中直接控制停止。執行(太搞笑了，木馬被客戶端控制)。使用隱藏表單或控制台的方法也不能欺騙無所不見的Admlin大人(要知道，在NT下，Administrator是可以看見所有行程的)。在研究了其他軟體的長處之後，木馬發現，Windows下的中文漢化軟體採用的陷阱技術非常適合木馬的使用。

　　這是一種更新、更隱蔽的方法。通過修改虛擬設備驅動程式(VXD)或修改動態遵掇庫 (DLL)來載入木馬。這種方法與一般方法不同，它基本上擺脫了原有的木馬模式---監聽連接阜，而採用替代系統功能的方法(改寫vxd或DLL文件)，木馬會將修改後的DLL取代系統已知的DLL，並對所有的函數使用進行過濾。

對於常用的使用，使用函數轉發器直接轉發給被取代的系統DLL，對於一些相應的操作。實際上。這樣的事先約定好的特種情況，DLL會執行一般只是使用DLL進行監聽，一旦發現控制端的請求就啟動自身，綁在一個行程上進行正常的木馬操作。

這樣做的好處是沒有增加新的文件，不需要開啟新的連接阜，沒有新的行程，使用一般的方法監測不到它。在往常執行時，木馬幾乎沒有任何癱狀，且木馬的控制端向被控制端發出特定的訊息後，隱藏的程序就立即開始運作。

特洛伊木馬具有的特性

　　1.包含干正常程序中，當用戶執行正常程序時，啟動自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性

　　由於木馬所從事的是 "地下工作"，因此它必須隱藏起來，它會想盡一切辦法不讓你發現它。很多人對木馬和遠端控制軟體有點分不清，還是讓我們舉個例子來說吧。我們進行區域網路間通訊的常用軟體PCanywhere大家一定不陌生吧?我們都知道它是一款遠端控制軟體。

PCanywhere比在伺服器端執行時，客戶端與伺服器端連接成功後，客戶端機上會出現很醒目的提示標誌;而木馬類的軟體的伺服器端在執行的時候套用各種手段隱藏自己，不可能出現任何明顯的標誌。木馬開發者早就想到了可能暴露木馬蹤跡的問題，把它們隱藏起來了。例如大家所熟悉木馬修改註冊表和而文件以便機器在下一次啟動後仍能載入木馬程式，它不是自己產生一個啟動程序，而是依附在其他程序之中。

有些木馬把伺服器端和正常程序綁定成一個程序的軟體，叫做exe-binder綁定程序，可以讓人在使用綁定的程序時，木馬也入侵了系統。甚至有個別木馬程序能把它自身的exe文件和服務端的圖片文件綁定，在你看圖片的時候，木馬便侵人了你的系統。它的隱蔽性主要體現在以下兩個方面:

　　(1)不產生圖示

　　木馬雖然在你系統啟動時會自動執行，但它不會在 "工作管理欄"中產生一個圖示，這是容易理解的，不然的話，你看到工作管理欄中出現一個來歷不明的圖示，你不起疑心才怪呢!

　　(2)木馬程序自動在工作管理器中隱藏，並以"系統服務"的方式欺騙操作系統。

　　2.具有自動執行性。

　　木馬為了控制服務端。它必須在系統啟動時即跟隨啟動，所以它必須潛人在你的啟動組態文件中，如win.ini、system.ini、winstart.bat以及啟動組等文件之中。

　　3.包含具有未公開並且可能產生危險後果的功能的程序。

　　4.具備自動恢復功能。

　　現在很多的木馬程序中的功能模組巴不再由單一的文件組成，而是具有多重制作備份，可以相互恢復。當你移除了其中的一個，以為萬事大吉又執行了其他程序的時候，誰知它又悄然出現。像幽靈一樣，防不勝防。

　　5.能自動開啟特別的連接阜。

　　木馬程序潛人你的電腦之中的目的主要不是為了破壞你的系統，而是為了獲取你的系統中有用的訊息，當你上網時能與遠端客戶進行通訊，這樣木馬程序就會用伺服器客戶端的通訊手段把訊息告訴黑客們，以便黑客們控制你的機器，或實施進一步的人侵企圖。你知道你的電腦有多少個連接阜?不知道吧?告訴你別嚇著:根據TCP/IP傳輸協定，每台電腦可以有256乘以256個連接阜，也即從0到65535號 "門"，但我們常用的只有少數幾個，木馬經常利用我們不大用的這些連接阜進行連接，大開方便之 "門"。

　　6、功能的特殊性。

　　通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜尋cache中的密碼、設定密碼、掃瞄目標機器人的IP位址、進行鍵盤記錄、遠端註冊表的操作以及鎖定滑鼠等功能。上面所講的遠端控制軟體當然不會有這些功能，畢竟遠端控制軟體是用來控制遠端機器，方便自己操作而已，而不是用來黑對方的機器的。

2005-11-16, 02:42 AM	#3 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	如通過電子郵件的方式，木馬把侵入主機的敏感訊息送給攻擊者。現在大部分木馬一般在佔領主機後會在1024以上不易發現的高連接阜上駐停留;有一些木馬會選項一些常用的連接阜，如80、23,有一種非常先進的木馬還可以做到在佔領80HTTP連接阜後，收到正常的HTTP請求仍然把它交與Web伺服器處理，只有收到一些特殊約定的資料包後，才使用木馬程序。　　5.隱藏隱載入方式　　木馬載入的方式可以說千奇百怪，無奇不有。但殊途同歸，都為了達到一個共同的目的，那就是使你執行木馬的服務端程序。如果木馬不做任何偽裝，就告訴你這是木馬，你會執行它才怪呢。而隨著網站互動化避程的不斷進步，越來越多的東西可以成為木馬的傳播介質，Java Script、VBScript、ActiveX.XLM....幾乎WWW每一個新功能部會導致木馬的快速進化。　　6.最新隱身技術　　在Win9x時代，簡單地註冊為系統行程就可以從工作管理欄中消失，可是在Windows2000盛行的今天。這種方法遭到了慘敗。註冊為系統行程不僅僅能在工作管理欄中看到，而且可以直接在Services中直接控制停止。執行(太搞笑了，木馬被客戶端控制)。使用隱藏表單或控制台的方法也不能欺騙無所不見的Admlin大人(要知道，在NT下，Administrator是可以看見所有行程的)。在研究了其他軟體的長處之後，木馬發現，Windows下的中文漢化軟體採用的陷阱技術非常適合木馬的使用。　　這是一種更新、更隱蔽的方法。通過修改虛擬設備驅動程式(VXD)或修改動態遵掇庫 (DLL)來載入木馬。這種方法與一般方法不同，它基本上擺脫了原有的木馬模式---監聽連接阜，而採用替代系統功能的方法(改寫vxd或DLL文件)，木馬會將修改後的DLL取代系統已知的DLL，並對所有的函數使用進行過濾。對於常用的使用，使用函數轉發器直接轉發給被取代的系統DLL，對於一些相應的操作。實際上。這樣的事先約定好的特種情況，DLL會執行一般只是使用DLL進行監聽，一旦發現控制端的請求就啟動自身，綁在一個行程上進行正常的木馬操作。這樣做的好處是沒有增加新的文件，不需要開啟新的連接阜，沒有新的行程，使用一般的方法監測不到它。在往常執行時，木馬幾乎沒有任何癱狀，且木馬的控制端向被控制端發出特定的訊息後，隱藏的程序就立即開始運作。特洛伊木馬具有的特性　　1.包含干正常程序中，當用戶執行正常程序時，啟動自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性　　由於木馬所從事的是 "地下工作"，因此它必須隱藏起來，它會想盡一切辦法不讓你發現它。很多人對木馬和遠端控制軟體有點分不清，還是讓我們舉個例子來說吧。我們進行區域網路間通訊的常用軟體PCanywhere大家一定不陌生吧?我們都知道它是一款遠端控制軟體。 PCanywhere比在伺服器端執行時，客戶端與伺服器端連接成功後，客戶端機上會出現很醒目的提示標誌;而木馬類的軟體的伺服器端在執行的時候套用各種手段隱藏自己，不可能出現任何明顯的標誌。木馬開發者早就想到了可能暴露木馬蹤跡的問題，把它們隱藏起來了。例如大家所熟悉木馬修改註冊表和而文件以便機器在下一次啟動後仍能載入木馬程式，它不是自己產生一個啟動程序，而是依附在其他程序之中。有些木馬把伺服器端和正常程序綁定成一個程序的軟體，叫做exe-binder綁定程序，可以讓人在使用綁定的程序時，木馬也入侵了系統。甚至有個別木馬程序能把它自身的exe文件和服務端的圖片文件綁定，在你看圖片的時候，木馬便侵人了你的系統。它的隱蔽性主要體現在以下兩個方面: 　　(1)不產生圖示　　木馬雖然在你系統啟動時會自動執行，但它不會在 "工作管理欄"中產生一個圖示，這是容易理解的，不然的話，你看到工作管理欄中出現一個來歷不明的圖示，你不起疑心才怪呢! 　　(2)木馬程序自動在工作管理器中隱藏，並以"系統服務"的方式欺騙操作系統。　　2.具有自動執行性。　　木馬為了控制服務端。它必須在系統啟動時即跟隨啟動，所以它必須潛人在你的啟動組態文件中，如win.ini、system.ini、winstart.bat以及啟動組等文件之中。　　3.包含具有未公開並且可能產生危險後果的功能的程序。　　4.具備自動恢復功能。　　現在很多的木馬程序中的功能模組巴不再由單一的文件組成，而是具有多重制作備份，可以相互恢復。當你移除了其中的一個，以為萬事大吉又執行了其他程序的時候，誰知它又悄然出現。像幽靈一樣，防不勝防。　　5.能自動開啟特別的連接阜。　　木馬程序潛人你的電腦之中的目的主要不是為了破壞你的系統，而是為了獲取你的系統中有用的訊息，當你上網時能與遠端客戶進行通訊，這樣木馬程序就會用伺服器客戶端的通訊手段把訊息告訴黑客們，以便黑客們控制你的機器，或實施進一步的人侵企圖。你知道你的電腦有多少個連接阜?不知道吧?告訴你別嚇著:根據TCP/IP傳輸協定，每台電腦可以有256乘以256個連接阜，也即從0到65535號 "門"，但我們常用的只有少數幾個，木馬經常利用我們不大用的這些連接阜進行連接，大開方便之 "門"。　　6、功能的特殊性。　　通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜尋cache中的密碼、設定密碼、掃瞄目標機器人的IP位址、進行鍵盤記錄、遠端註冊表的操作以及鎖定滑鼠等功能。上面所講的遠端控制軟體當然不會有這些功能，畢竟遠端控制軟體是用來控制遠端機器，方便自己操作而已，而不是用來黑對方的機器的。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次