史萊姆論壇 - 查看單個文章

psac · 2005-12-30, 12:38 AM

5.在Winstart.bat中啟動

　　Winstart.bat是一個特殊性絲毫不亞於Autoexec.bat的批次處理文件，也是一個能自動被Windows載入執行的文件。它多數情況下為應用程式及Windows自動產生，在執行了Windows自動產生，在執行了Win.com並加截了多數驅動程式之後

　　開始執行 (這一點可通過啟動時按F8鍵再選項逐步跟蹤啟動程序的啟動方式可得知)。由於Autoexec.bat的功能可以由Witart.bat替代完成，因此木馬完全可以像在Autoexec.bat中那樣被載入執行，危險由此而來。

　　6.啟動組

　　木馬們如果隱藏在啟動組雖然不是十分隱蔽，但這裡的確是自動載入執行的好場所，因此還是有木馬喜歡在這裡駐停留的。啟動組對應的資料夾為C:\Windows\start menu\programs\startup,在註冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell

　　Folders Startup="c:\windows\start menu\programs\startup"。要注意經常檢查啟動組哦!

　　7.*.INI

　　即應用程式的啟動組態文件，控制端利用這些文件能啟動程序的特點，將製作好的帶有木馬啟動指令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。

只啟動一次的方式:在winint.ini.中(用於安裝較多)。

　　8.修改文件關聯

　　修改文件關聯是木馬們常用手段 (主要是大陸木馬，老外的木馬大都沒有這個功能)，比方說正常情況下TXT文件的開啟方式為Notepad.EXE文件，但一旦中了文件關聯木馬，則txt文件開啟方式就會被修改為用木馬程序開啟，如著名的大陸木馬冰河就是這樣幹的. "冰河"就是通過修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的鍵值，將「C:\WINDOWS\NOTEPAD.EXE本套用Notepad開啟，如著名的大陸HKEY一CLASSES一ROOT\txt鬧e\shell\open\commandT的鍵值，將 "C:\WINDOWS\NOTEPAD.EXE%l"改為 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，這樣，一旦你雙按一個TXT文件，原本套用Notepad開啟該檔案，現在卻變成啟動木馬程序了，好狠毒哦!請大家注意，不僅僅是TXT文件，其他諸如HTM、EXE、ZIP.COM等都是木馬的目標，要小心摟。

　　對付這類木馬，只能經常檢查HKEY_C\shell\open\command主鍵，檢視其鍵值是否正常。

　　9.元件服務文件

　　實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然後控制端用戶用工具軟體將木馬文件和某一應用程式元件服務在一起，然後上傳到服務端覆蓋源文件，這樣即使木馬被移除了，只要執行元件服務了木馬的應用程式，木馬義會安裝上去。

綁定到某一應用程式中，如綁定到系統檔案，那麼每一次Windows啟動均會啟動木馬。

　　10.反彈連接阜型木馬的主動連接方式

　　反彈連接阜型木馬我們已經在前面說過了，由於它與一般的木馬相反，其服務端 (被控制端)主動與客戶端 (控制端)建立連接，並且監聽連接阜一般開在80，所以如果沒有合適的工具、豐富的經驗真的很難防範。

這類木馬的典型代表就是網路神偷"。由於這類木馬仍然要在註冊表中建立鍵值註冊表的變化就不難查到它們。同時，最新的天網防火牆(如我們在第三點中所講的那樣)，因此只要留意也可在網路神偷服務端進行主動連接時發現它。

木馬的隱藏方式

　　1.在工作列裡隱藏

　　這是最基本的隱藏方式。

如果在windows的工作列裡出現一個莫名其妙的圖示，傻子都會明白是怎麼回事。要實現在工作列中隱藏在編程時是很容易實現的。我們以VB為例。在VB中，只要把from的Visible內容設定為False,ShowInTaskBar設為False程序就不會出現在工作列裡了。

　　2.在工作管理器裡隱藏

　　檢視正在執行的工作最簡單的方法就是按下Ctrl+Alt+Del時出現的工作管理器。如果你按下Ctrl+Alt+Del後可以看見一個木馬程序在執行，那麼這肯定不是什麼好木馬。所以，木馬會千方百計地偽裝自己，使自己不出現在工作管理器裡。木馬發現把自己設為 "系統服務「就可以輕鬆地騙過去。

　　因此，希望通過按Ctrl+Alt+Del發現木馬是不大現實的。

　　3.連接阜

　　一台機器有65536個連接阜，你會注意這麼多連接阜麼?而木馬就很注意你的連接阜。如果你稍微留意一下，不難發現，大多數木馬使用的連接阜在1024以上，而且呈越來越大的趨勢;當然也有佔用1024以下連接阜的木馬，但這些連接阜是常用連接阜，佔用這些連接阜可能會造成系統不正常，這樣的話，木馬就會很容易暴露。也許你知道一些木馬佔用的連接阜，你或許會經常掃瞄這些連接阜，但現在的木馬都提供連接阜修改功能，你有時間掃瞄65536個連接阜麼?

　　4.隱藏通訊

　　隱藏通訊也是木馬經常採用的手段之一。

任何木馬執行後都要和攻擊者進行通訊連接，或者通過即時連接，如攻擊者通過客戶端直接接人被植人木馬的主機;或者通過間接通訊。

如通過電子郵件的方式，木馬把侵入主機的敏感訊息送給攻擊者。現在大部分木馬一般在佔領主機後會在1024以上不易發現的高連接阜上駐停留;有一些木馬會選項一些常用的連接阜，如80、23,有一種非常先進的木馬還可以做到在佔領80HTTP連接阜後，收到正常的HTTP請求仍然把它交與Web伺服器處理，只有收到一些特殊約定的資料包後，才使用木馬程序。

　　5.隱藏隱載入方式

　　木馬載入的方式可以說千奇百怪，無奇不有。但殊途同歸，都為了達到一個共同的目的，那就是使你執行木馬的服務端程序。如果木馬不做任何偽裝，就告訴你這是木馬，你會執行它才怪呢。

而隨著網站互動化避程的不斷進步，越來越多的東西可以成為木馬的傳播介質，Java Script、VBScript、ActiveX.XLM....幾乎WWW每一個新功能部會導致木馬的快速進化。

　　6.最新隱身技術

　　在Win9x時代，簡單地註冊為系統工作就可以從工作列中消失，可是在Windows2000盛行的今天。這種方法遭到了慘敗。

2005-12-30, 12:38 AM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	5.在Winstart.bat中啟動　　Winstart.bat是一個特殊性絲毫不亞於Autoexec.bat的批次處理文件，也是一個能自動被Windows載入執行的文件。它多數情況下為應用程式及Windows自動產生，在執行了Windows自動產生，在執行了Win.com並加截了多數驅動程式之後　　開始執行 (這一點可通過啟動時按F8鍵再選項逐步跟蹤啟動程序的啟動方式可得知)。由於Autoexec.bat的功能可以由Witart.bat替代完成，因此木馬完全可以像在Autoexec.bat中那樣被載入執行，危險由此而來。　　6.啟動組　　木馬們如果隱藏在啟動組雖然不是十分隱蔽，但這裡的確是自動載入執行的好場所，因此還是有木馬喜歡在這裡駐停留的。啟動組對應的資料夾為C:\Windows\start menu\programs\startup,在註冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell 　　Folders Startup="c:\windows\start menu\programs\startup"。要注意經常檢查啟動組哦! 　　7.*.INI 　　即應用程式的啟動組態文件，控制端利用這些文件能啟動程序的特點，將製作好的帶有木馬啟動指令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。只啟動一次的方式:在winint.ini.中(用於安裝較多)。　　8.修改文件關聯　　修改文件關聯是木馬們常用手段 (主要是大陸木馬，老外的木馬大都沒有這個功能)，比方說正常情況下TXT文件的開啟方式為Notepad.EXE文件，但一旦中了文件關聯木馬，則txt文件開啟方式就會被修改為用木馬程序開啟，如著名的大陸木馬冰河就是這樣幹的. "冰河"就是通過修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的鍵值，將「C:\WINDOWS\NOTEPAD.EXE本套用Notepad開啟，如著名的大陸HKEY一CLASSES一ROOT\txt鬧e\shell\open\commandT的鍵值，將 "C:\WINDOWS\NOTEPAD.EXE%l"改為 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，這樣，一旦你雙按一個TXT文件，原本套用Notepad開啟該檔案，現在卻變成啟動木馬程序了，好狠毒哦!請大家注意，不僅僅是TXT文件，其他諸如HTM、EXE、ZIP.COM等都是木馬的目標，要小心摟。　　對付這類木馬，只能經常檢查HKEY_C\shell\open\command主鍵，檢視其鍵值是否正常。　　9.元件服務文件　　實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然後控制端用戶用工具軟體將木馬文件和某一應用程式元件服務在一起，然後上傳到服務端覆蓋源文件，這樣即使木馬被移除了，只要執行元件服務了木馬的應用程式，木馬義會安裝上去。綁定到某一應用程式中，如綁定到系統檔案，那麼每一次Windows啟動均會啟動木馬。　　10.反彈連接阜型木馬的主動連接方式　　反彈連接阜型木馬我們已經在前面說過了，由於它與一般的木馬相反，其服務端 (被控制端)主動與客戶端 (控制端)建立連接，並且監聽連接阜一般開在80，所以如果沒有合適的工具、豐富的經驗真的很難防範。這類木馬的典型代表就是網路神偷"。由於這類木馬仍然要在註冊表中建立鍵值註冊表的變化就不難查到它們。同時，最新的天網防火牆(如我們在第三點中所講的那樣)，因此只要留意也可在網路神偷服務端進行主動連接時發現它。木馬的隱藏方式　　1.在工作列裡隱藏　　這是最基本的隱藏方式。如果在windows的工作列裡出現一個莫名其妙的圖示，傻子都會明白是怎麼回事。要實現在工作列中隱藏在編程時是很容易實現的。我們以VB為例。在VB中，只要把from的Visible內容設定為False,ShowInTaskBar設為False程序就不會出現在工作列裡了。　　2.在工作管理器裡隱藏　　檢視正在執行的工作最簡單的方法就是按下Ctrl+Alt+Del時出現的工作管理器。如果你按下Ctrl+Alt+Del後可以看見一個木馬程序在執行，那麼這肯定不是什麼好木馬。所以，木馬會千方百計地偽裝自己，使自己不出現在工作管理器裡。木馬發現把自己設為 "系統服務「就可以輕鬆地騙過去。　　因此，希望通過按Ctrl+Alt+Del發現木馬是不大現實的。　　3.連接阜　　一台機器有65536個連接阜，你會注意這麼多連接阜麼?而木馬就很注意你的連接阜。如果你稍微留意一下，不難發現，大多數木馬使用的連接阜在1024以上，而且呈越來越大的趨勢;當然也有佔用1024以下連接阜的木馬，但這些連接阜是常用連接阜，佔用這些連接阜可能會造成系統不正常，這樣的話，木馬就會很容易暴露。也許你知道一些木馬佔用的連接阜，你或許會經常掃瞄這些連接阜，但現在的木馬都提供連接阜修改功能，你有時間掃瞄65536個連接阜麼? 　　4.隱藏通訊　　隱藏通訊也是木馬經常採用的手段之一。任何木馬執行後都要和攻擊者進行通訊連接，或者通過即時連接，如攻擊者通過客戶端直接接人被植人木馬的主機;或者通過間接通訊。如通過電子郵件的方式，木馬把侵入主機的敏感訊息送給攻擊者。現在大部分木馬一般在佔領主機後會在1024以上不易發現的高連接阜上駐停留;有一些木馬會選項一些常用的連接阜，如80、23,有一種非常先進的木馬還可以做到在佔領80HTTP連接阜後，收到正常的HTTP請求仍然把它交與Web伺服器處理，只有收到一些特殊約定的資料包後，才使用木馬程序。　　5.隱藏隱載入方式　　木馬載入的方式可以說千奇百怪，無奇不有。但殊途同歸，都為了達到一個共同的目的，那就是使你執行木馬的服務端程序。如果木馬不做任何偽裝，就告訴你這是木馬，你會執行它才怪呢。而隨著網站互動化避程的不斷進步，越來越多的東西可以成為木馬的傳播介質，Java Script、VBScript、ActiveX.XLM....幾乎WWW每一個新功能部會導致木馬的快速進化。　　6.最新隱身技術　　在Win9x時代，簡單地註冊為系統工作就可以從工作列中消失，可是在Windows2000盛行的今天。這種方法遭到了慘敗。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次