史萊姆論壇 - 查看單個文章

psac · 2005-12-30, 12:40 AM

註冊為系統工作不僅僅能在工作列中看到，而且可以直接在Services中直接控制停止。

執行(太搞笑了，木馬被客戶端控制)。使用隱藏表單或控制台的方法也不能欺騙無所不見的Admlin大人(要知道，在NT下，Administrator是可以看見所有工作的)。在研究了其他軟體的長處之後，木馬發現，Windows下的中文漢化軟體採用的陷阱技術非常適合木馬的使用。

　　這是一種更新、更隱蔽的方法。通過修改虛擬設備驅動程式(VXD)或修改動態遵掇庫 (DLL)來載入木馬。

這種方法與一般方法不同，它基本上擺脫了原有的木馬模式---監聽連接阜，而採用替代系統功能的方法(改寫vxd或DLL文件)，木馬會將修改後的DLL取代系統已知的DLL，並對所有的函數使用進行過濾。

對於常用的使用，使用函數轉發器直接轉發給被取代的系統DLL，對於一些相應的操作。實際上。

這樣的事先約定好的特種情況，DLL會執行一般只是使用DLL進行監聽，一旦發現控制端的請求就啟動自身，綁在一個工作上進行正常的木馬操作。這樣做的好處是沒有增加新的文件，不需要開啟新的連接阜，沒有新的工作，使用一般的方法監測不到它。

在往常執行時，木馬幾乎沒有任何癱狀，且木馬的控制端向被控制端發出特定的訊息後，隱藏的程序就立即開始運作。

特洛伊木馬具有的特性

　　1.包含干正常程序中，當用戶執行正常程序時，啟動自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性

　　由於木馬所從事的是 "地下工作"，因此它必須隱藏起來，它會想盡一切辦法不讓你發現它。

很多人對木馬和遠端控制軟體有點分不清，還是讓我們舉個例子來說吧。我們進行區域網路間通訊的常用軟體PCanywhere大家一定不陌生吧?我們都知道它是一款遠端控制軟體。

PCanywhere比在伺服器端執行時，客戶端與伺服器端連接成功後，客戶端機上會出現很醒目的提示標誌;而木馬類的軟體的伺服器端在執行的時候套用各種手段隱藏自己，不可能出現任何明顯的標誌。木馬開發者早就想到了可能暴露木馬蹤跡的問題，把它們隱藏起來了。

例如大家所熟悉木馬修改註冊表和而文件以便機器在下一次啟動後仍能載入木馬程式，它不是自己產生一個啟動程序，而是依附在其他程序之中。

有些木馬把伺服器端和正常程序綁定成一個程序的軟體，叫做exe-binder綁定程序，可以讓人在使用綁定的程序時，木馬也入侵了系統。甚至有個別木馬程序能把它自身的exe文件和服務端的圖片文件綁定，在你看圖片的時候，木馬便侵人了你的系統。它的隱蔽性主要體現在以下兩個方面:

　　(1)不產生圖示

　　木馬雖然在你系統啟動時會自動執行，但它不會在 "工作列"中產生一個圖示，這是容易理解的，不然的話，你看到工作列中出現一個來歷不明的圖示，你不起疑心才怪呢!

　　(2)木馬程序自動在工作管理器中隱藏，並以"系統服務"的方式欺騙操作系統。

　　2.具有自動執行性。

　　木馬為了控制服務端。它必須在系統啟動時即跟隨啟動，所以它必須潛人在你的啟動組態文件中，如win.ini、system.ini、winstart.bat以及啟動組等文件之中。

　　3.包含具有未公開並且可能產生危險後果的功能的程序。

　　4.具備自動恢復功能。

　　現在很多的木馬程序中的功能模組巴不再由單一的文件組成，而是具有多重制作備份，可以相互恢復。當你移除了其中的一個，以為萬事大吉又執行了其他程序的時候，誰知它又悄然出現。像幽靈一樣，防不勝防。

　　5.能自動開啟特別的連接阜。

　　木馬程序潛人你的電腦之中的目的主要不是為了破壞你的系統，而是為了獲取你的系統中有用的訊息，當你上網時能與遠端客戶進行通訊，這樣木馬程序就會用伺服器客戶端的通訊手段把訊息告訴黑客們，以便黑客們控制你的機器，或實施進一步的人侵企圖。

你知道你的電腦有多少個連接阜?
不知道吧?告訴你別嚇著:根據TCP/IP傳輸協定，每台電腦可以有256乘以256個連接阜，也即從0到65535號 "門"，但我們常用的只有少數幾個，木馬經常利用我們不大用的這些連接阜進行連接，大開方便之 "門"。

　　6、功能的特殊性。

　　通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜尋cache中的密碼、設定密碼、掃瞄目標機器人的IP位址、進行鍵盤記錄、遠端註冊表的操作以及鎖定滑鼠等功能。

上面所講的遠端控制軟體當然不會有這些功能，畢竟遠端控制軟體是用來控制遠端機器，方便自己操作而已，而不是用來黑對方的機器的。

木馬採用的偽裝方法

　　 1.修改圖示

　　木馬服務端所用的圖示也是有講究的，木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖示，這樣很容易誘惑你把它開啟。看看，木馬是不是很狡猾?

　　2.元件服務文件

　　這種偽裝手段是將木馬元件服務到一個安裝程序上，當安裝程序執行時，木馬在用戶毫無察覺的情況下，偷偷地進入了系統。被元件服務的文件一般是可執行文件 (即EXE、COM一類的文件)。

　　3.出現錯誤顯示

　　有一定木馬知識的人部知道，如果開啟一個文件，沒有任何反應，這很可能就是個木馬程序。木馬的設計者也意識到了這個缺陷，所以已經有木馬提供了一個叫做出現錯誤顯示的功能。

當服務端用戶開啟木馬程序時，會彈出一個錯誤提示項 (這當然是假的)，錯誤內容可自由定義，大多會設定成一些諸如 "文件已破壞，無法開啟!"之類的訊息，當服務端用戶信以為真時，木馬卻悄悄侵人了系統。

　　4.自我銷毀

　　這項功能是為了彌補木馬的一個缺陷。我們知道，當服務端用戶開啟含有木馬的文件後，木馬會將自己拷貝到Windows的系統檔案夾中(C;\wmdows或C:\windows\system目錄下),一般來說，源木馬文件和系統檔案夾中的木馬文件的大小是一樣的 (元件服務文件的木馬除外)，那麼，中了木馬的朋友只要在近來收到的郵件和下載的軟體中找到源木馬文件，然後根據源木馬的大小去系統檔案夾找相同大小的文件，判斷一下哪個是木馬就行了。

而木馬的自我銷毀功能是指安裝完木馬後，源木馬文件自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具說明下。就很難移除木馬了。

　　

2005-12-30, 12:40 AM	#3 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	註冊為系統工作不僅僅能在工作列中看到，而且可以直接在Services中直接控制停止。執行(太搞笑了，木馬被客戶端控制)。使用隱藏表單或控制台的方法也不能欺騙無所不見的Admlin大人(要知道，在NT下，Administrator是可以看見所有工作的)。在研究了其他軟體的長處之後，木馬發現，Windows下的中文漢化軟體採用的陷阱技術非常適合木馬的使用。　　這是一種更新、更隱蔽的方法。通過修改虛擬設備驅動程式(VXD)或修改動態遵掇庫 (DLL)來載入木馬。這種方法與一般方法不同，它基本上擺脫了原有的木馬模式---監聽連接阜，而採用替代系統功能的方法(改寫vxd或DLL文件)，木馬會將修改後的DLL取代系統已知的DLL，並對所有的函數使用進行過濾。對於常用的使用，使用函數轉發器直接轉發給被取代的系統DLL，對於一些相應的操作。實際上。這樣的事先約定好的特種情況，DLL會執行一般只是使用DLL進行監聽，一旦發現控制端的請求就啟動自身，綁在一個工作上進行正常的木馬操作。這樣做的好處是沒有增加新的文件，不需要開啟新的連接阜，沒有新的工作，使用一般的方法監測不到它。在往常執行時，木馬幾乎沒有任何癱狀，且木馬的控制端向被控制端發出特定的訊息後，隱藏的程序就立即開始運作。特洛伊木馬具有的特性　　1.包含干正常程序中，當用戶執行正常程序時，啟動自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性　　由於木馬所從事的是 "地下工作"，因此它必須隱藏起來，它會想盡一切辦法不讓你發現它。很多人對木馬和遠端控制軟體有點分不清，還是讓我們舉個例子來說吧。我們進行區域網路間通訊的常用軟體PCanywhere大家一定不陌生吧?我們都知道它是一款遠端控制軟體。 PCanywhere比在伺服器端執行時，客戶端與伺服器端連接成功後，客戶端機上會出現很醒目的提示標誌;而木馬類的軟體的伺服器端在執行的時候套用各種手段隱藏自己，不可能出現任何明顯的標誌。木馬開發者早就想到了可能暴露木馬蹤跡的問題，把它們隱藏起來了。例如大家所熟悉木馬修改註冊表和而文件以便機器在下一次啟動後仍能載入木馬程式，它不是自己產生一個啟動程序，而是依附在其他程序之中。有些木馬把伺服器端和正常程序綁定成一個程序的軟體，叫做exe-binder綁定程序，可以讓人在使用綁定的程序時，木馬也入侵了系統。甚至有個別木馬程序能把它自身的exe文件和服務端的圖片文件綁定，在你看圖片的時候，木馬便侵人了你的系統。它的隱蔽性主要體現在以下兩個方面: 　　(1)不產生圖示　　木馬雖然在你系統啟動時會自動執行，但它不會在 "工作列"中產生一個圖示，這是容易理解的，不然的話，你看到工作列中出現一個來歷不明的圖示，你不起疑心才怪呢! 　　(2)木馬程序自動在工作管理器中隱藏，並以"系統服務"的方式欺騙操作系統。　　2.具有自動執行性。　　木馬為了控制服務端。它必須在系統啟動時即跟隨啟動，所以它必須潛人在你的啟動組態文件中，如win.ini、system.ini、winstart.bat以及啟動組等文件之中。　　3.包含具有未公開並且可能產生危險後果的功能的程序。　　4.具備自動恢復功能。　　現在很多的木馬程序中的功能模組巴不再由單一的文件組成，而是具有多重制作備份，可以相互恢復。當你移除了其中的一個，以為萬事大吉又執行了其他程序的時候，誰知它又悄然出現。像幽靈一樣，防不勝防。　　5.能自動開啟特別的連接阜。　　木馬程序潛人你的電腦之中的目的主要不是為了破壞你的系統，而是為了獲取你的系統中有用的訊息，當你上網時能與遠端客戶進行通訊，這樣木馬程序就會用伺服器客戶端的通訊手段把訊息告訴黑客們，以便黑客們控制你的機器，或實施進一步的人侵企圖。你知道你的電腦有多少個連接阜? 不知道吧?告訴你別嚇著:根據TCP/IP傳輸協定，每台電腦可以有256乘以256個連接阜，也即從0到65535號 "門"，但我們常用的只有少數幾個，木馬經常利用我們不大用的這些連接阜進行連接，大開方便之 "門"。　　6、功能的特殊性。　　通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜尋cache中的密碼、設定密碼、掃瞄目標機器人的IP位址、進行鍵盤記錄、遠端註冊表的操作以及鎖定滑鼠等功能。上面所講的遠端控制軟體當然不會有這些功能，畢竟遠端控制軟體是用來控制遠端機器，方便自己操作而已，而不是用來黑對方的機器的。木馬採用的偽裝方法　　 1.修改圖示　　木馬服務端所用的圖示也是有講究的，木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖示，這樣很容易誘惑你把它開啟。看看，木馬是不是很狡猾? 　　2.元件服務文件　　這種偽裝手段是將木馬元件服務到一個安裝程序上，當安裝程序執行時，木馬在用戶毫無察覺的情況下，偷偷地進入了系統。被元件服務的文件一般是可執行文件 (即EXE、COM一類的文件)。　　3.出現錯誤顯示　　有一定木馬知識的人部知道，如果開啟一個文件，沒有任何反應，這很可能就是個木馬程序。木馬的設計者也意識到了這個缺陷，所以已經有木馬提供了一個叫做出現錯誤顯示的功能。當服務端用戶開啟木馬程序時，會彈出一個錯誤提示項 (這當然是假的)，錯誤內容可自由定義，大多會設定成一些諸如 "文件已破壞，無法開啟!"之類的訊息，當服務端用戶信以為真時，木馬卻悄悄侵人了系統。　　4.自我銷毀　　這項功能是為了彌補木馬的一個缺陷。我們知道，當服務端用戶開啟含有木馬的文件後，木馬會將自己拷貝到Windows的系統檔案夾中(C;\wmdows或C:\windows\system目錄下),一般來說，源木馬文件和系統檔案夾中的木馬文件的大小是一樣的 (元件服務文件的木馬除外)，那麼，中了木馬的朋友只要在近來收到的郵件和下載的軟體中找到源木馬文件，然後根據源木馬的大小去系統檔案夾找相同大小的文件，判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後，源木馬文件自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具說明下。就很難移除木馬了。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次