[psac]

木馬採用的偽裝方法

　　 1.修改圖示

　　木馬服務端所用的圖示也是有講究的，木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖示，這樣很容易誘惑你把它開啟。看看，木馬是不是很狡猾?

　　2.元件服務文件

　　這種偽裝手段是將木馬元件服務到一個安裝程序上，當安裝程序執行時，木馬在用戶毫無察覺的情況下，偷偷地進入了系統。被元件服務的文件一般是可執行文件 (即EXE、COM一類的文件)。

　　3.出現錯誤顯示

　　有一定木馬知識的人部知道，如果開啟一個文件，沒有任何反應，這很可能就是個木馬程序。木馬的設計者也意識到了這個缺陷，所以已經有木馬提供了一個叫做出現錯誤顯示的功能。


當服務端用戶開啟木馬程序時，會彈出一個錯誤提示項 (這當然是假的)，錯誤內容可自由定義，大多會設定成一些諸如 "文件已破壞，無法開啟!"之類的訊息，當服務端用戶信以為真時，木馬卻悄悄侵人了系統。

　　4.自我銷毀

　　這項功能是為了彌補木馬的一個缺陷。我們知道，當服務端用戶開啟含有木馬的文件後，木馬會將自己拷貝到Windows的系統檔案夾中(C;\wmdows或C:\windows\system目錄下),一般來說，源木馬文件和系統檔案夾中的木馬文件的大小是一樣的 (元件服務文件的木馬除外)，那麼，中了木馬的朋友只要在近來收到的郵件和下載的軟體中找到源木馬文件，然後根據源木馬的大小去系統檔案夾找相同大小的文件，判斷一下哪個是木馬就行了。


而木馬的自我銷毀功能是指安裝完木馬後，源木馬文件自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具說明 下。就很難移除木馬了。

　　5.木馬更名

　　木馬服務端程序的命名也有很大的學問。


如果不做任何修改，就使用原來的名字，誰不知道這是個木馬程序呢?所以木馬的命名也是千奇百怪，不過大多是改為和系統檔案名差不多的名字，如果你對系統檔案不夠瞭解，那可就危險了。例如有的木馬把名字改為window.exe，如果不告訴你這是木馬的話，你敢移除嗎?還有的就是更改一些後面名，比如把dll改為dl等，不仔細看的，你會發現嗎?




木馬的種類

　　1、破壞型

　　惟一的功能就是破壞並且移除文件，可以自動的移除電腦上的DLL、INI、EXE文件。

　　2、密碼傳送型

　　可以找到隱藏密碼並把它們傳送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在電腦中，認為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。


許多黑客軟體可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟體長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。

　　在這裡提醒一下，不要認為自己在我的文件中加了密碼而把重要的保密文件存在公用電腦中，那你就大錯特錯了。


別有用心的人完全可以用窮舉法暴力破譯你的密碼。利用WINDOWS API函數EnumWindows和EnumChildWindows對當前執行的所有程式的所有視窗（包括控件）進行遍歷，通過視窗標題搜尋密碼輸入和出驗證重新輸入視窗，通過按鈕標題搜尋我們應該按下的按鈕，通過ES_PASSWORD搜尋我們需要按鍵輸入的密碼視窗。



向密碼輸入視窗傳送WM_SETTEXT消息模擬輸入密碼，向按鈕視窗傳送WM_COMMAND消息模擬按下。在破解程序中，把密碼儲存在一個文件中，以便在下一個序列的密碼再次進行窮舉或多部機器同時進行分工窮舉，直到找到密碼為止。



此類程序在黑客網站上唾手可得，精通程序設計的人，完全可以自編一個。

　　3、遠端訪問型

　　最廣泛的是特洛伊馬，只需有人執行了服務端程序，如果客戶知道了服務端的IP位址，就可以實現遠端控制。以下的程序可以實現觀察"受害者"正在幹什麼，當然這個程序完全可以用在正道上的，比如監視學生機的操作。

　　程序中用的UDP（User Datagram Protocol，用戶報文傳輸協定）是英特網上廣泛採用的通信傳輸協定之一。與TCP傳輸協定不同，它是一種非連接的傳輸傳輸協定，沒有驗證機制，可靠性不如TCP，但它的效率卻比TCP高，用於遠端螢幕監視還是比較適合的。


它不區分伺服器端和客戶端，只區分傳送端和接收端，編程上較為簡單，故選用了UDP傳輸協定。本程序中用了DELPHI提供的TNMUDP控件。

　　4.鍵盤記錄木馬

　　這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊並且在LOG文件裡搜尋密碼。據筆者經驗，這種特洛伊木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項，顧名思義，它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。