史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   Hacker/Cracker 及加解密技術文件 (http://forum.slime.com.tw/f132.html)
-   -   病毒、木馬入侵招數逐個曝光 (http://forum.slime.com.tw/thread125889.html)

psac 2004-09-20 11:59 AM

病毒、木馬入侵招數逐個曝光
 
病毒、木馬入侵招數逐個曝光

 1.修改批次處理
  很古老的方法,但仍有人使用。一般通過修改下列三個文件來作案:
  Autoexec.bat(自動批次處理,在啟始系統時執行)
  Winstart.bat(在啟動GUI圖形界面環境時執行)
  Dosstart.bat(在進入MS-DOS方式時執行)
  例如:編輯C:windowsDosstart.bat,加入:start Notepad,當你進入「MS-DOS方式」時,就可以看到記事本被啟動了。

  2.修改系統組態
  常使用的方法,通過修改系統組態文件System.ini、Win.ini來達到自動執行的目的,涉及範圍有:
  在Win.ini文件中:
  [windows]
  load=程序名
  run=程序名

  在System.ini文件中:

  [boot]

  shell=Explorer.exe

  其中修改System.ini中Shell值的情況要多一些,病毒木馬通過修改這裡使自己成為Shell,然後載入Explorer.exe,從而達到控制用戶電腦的目的。

  3.借助自動執行功能

  這是黑客最新研發成果,之前該方法不過被發燒的朋友用來修改硬碟的圖示而已,如今它被賦予了新的意義,黑客甚至聲稱這是Windows的新BUG。

  Windows的自動執行功能確實很爛,早年許多朋友因為自動執行的光碟中帶有CIH病毒而中招,現在不少軟體可以方便地禁止光碟的自動執行,但硬碟呢?其實硬碟也支持自動執行,你可嘗試在D碟根目錄下新增一個Autorun.inf,用記事本開啟它,輸入如下內容:

  [autorun]

  open=Notepad.exe

  儲存後進入「我的電腦」,按F5鍵重新整理一下,然後雙按D碟磁碟代號,怎麼樣?記事本開啟了,而D碟卻沒有開啟。

  當然,以上只是一個簡單的實例,黑客做得要精密很多,他們會把程序改名為「 .exe」(不是空格,而是中文的全形空格,這樣在Autorun.inf中只會看到「open= 」而被忽略,此種行徑在修改系統組態時也常使用,如「run= 」為了更好地隱藏自己,其程序執行後,還會替你開啟硬碟,讓你難以查覺。

  由此可以推想,如果你開啟了D碟的共享,黑客就可以將木馬和一個Autorun.inf存入該分區,當Windows自動重新整理時,你也就「中獎」了,因此,大家千萬不要共享任何根目錄,當然更不能共享系統分區(一般為C:)。

  4.通過註冊表中的Run來啟動

  很老套的方法,但80%的黑客仍在使用,通過在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中增加鍵值,可以比較容易地實現程序的載入,黑客尤其方便在帶」Once」的主鍵中作手腳,因此帶「Once」的主鍵中的鍵值,在程序執行後將被移除,因此當用戶使用註冊表修改程序檢視時,不會發現異樣。

另外,還有這樣的程序:在啟動時移除Run中的鍵值,而在結束時(或關閉系統時)又增加鍵值,達到隱蔽自己的目的。(這種方法的缺點是:害怕惡意關機或停電,呵呵!)

  5.通過文件關聯啟動

  很受黑客喜愛的方式,通過EXE文件的關聯(主鍵為:exefile),讓系統在執行任何程序之前都執行木馬,真的好毒!通常修改的還有txtfile(文本文件的關聯,誰不用用記事本呢?)、regfile(註冊表文件關聯,一般用來防止用戶恢復註冊表,例如讓用戶雙按.reg文件就電腦關機)、unkown(未知文件關聯)。為了防止用戶恢復註冊表,用此法的黑客通常還連帶謀殺scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序,阻礙用戶修復。

  6.通過API HOOK啟動

  這種方法較為進階,通過取代系統的DLL文件,讓系統啟動指定的程序。例如:撥號上網的用戶必須使用Rasapi32.dll中的API函數來進行連接,那麼黑客就會取代這個DLL,當用戶的應用程式使用這個API函數,黑客的程序就會先啟動,然後使用真正的函數完成這個功能(特別提示:木馬可不一定是EXE,還可以是DLL、VXD),這樣既方便又隱蔽(不上網時根本不執行)。中此絕毒的蟲子,只有兩種選項:Ghost或重裝系統,幸好此毒廖廖無幾,實屬萬蟲之幸!

  API的英文全稱為:Application Programming Interface,也就是應用程式編程接頭。在Windows程序設計領域發展初期,Windows程序員所能使用的編程工具唯有API函數,這些函數是Windows提供給應用程式與操作系統的接頭,他們猶如「積木塊」一樣,可以搭建出各種界面豐富,功能靈活的應用程式。


所以可以認為API函數是構築整個Windows框架的基石,在它的下面是Windows的操作系統核心,而它的上面則是所有華麗的Windows應用程式。

  7.通過VXD啟動

  此法也是高手專用版,通過把木馬寫成VXD形式載入,直接控制系統底層,極為罕見。它們一般在註冊表[HKEY_ LOCAL_MACHINESystemCurrentControlSetServicesVxD]主鍵中啟動,很難發覺,解決方法最好也是用Ghost恢復或重新乾淨安裝。

  8.通過瀏覽網頁啟動

  通過此種途徑有兩種方法:

  利用MIME漏洞:這是2001年黑客中最流行的手法,因為它簡單有效,加上寬瀕網的流行,令用戶防不勝防,想一想,僅僅是滑鼠變一下「沙漏」,木馬就安裝妥當,Internet真是太「方便」了!不過今年有所減少,一方面許多人都改用IE6.0;另一方面,大部分個人主頁空間都不允許上傳.eml文件了。

  MIME被稱為多用途Internet郵件增強(Multipurpose Internet Mail Extensions),是一種技術規範,原用於電子郵件,現在也可以用於瀏覽器。


MIME對郵件系統的增強是巨大的,在它出現前,郵件內容如果包含聲音和動畫,就必須把它變為ASCII碼或把二進制的資訊變成可以傳送的編碼標準,而接收方必須經過解碼才可以獲得聲音和圖畫資訊。

MIME提供了一種可以在郵件中附加多種不同編碼文件的方法,這與原來的郵件是大大不同的。而現在MIME已經成為了HTTP傳輸協定標準的一個部分。

  9.利用Java applet

  劃時代的Java更高效、更方便——不過是悄悄地修改你的註冊表,讓你千百次地訪問黃(黑)色網站,讓你關不了機,讓你……,還可以讓你中木馬。這種方法其實很簡單,先利用HTML把木馬下載到你的快取中,然後修改註冊表,指向其程序。

  10.利用系統自動執行的程序

  這一條主要利用用戶的麻痺大意和系統的執行機制進行,命中率很高。

在系統執行程序中,有許多程序是自動執行的,比如:磁牒空間滿時,系統自動執行「清理磁碟」程序(cleanmgr.exe);啟動檔案總管失敗時,雙按桌面將自動執行「工作管理器」程序(Taskman.exe);格式化磁牒完成後,系統將提示使用「磁牒掃瞄」程序(scandskw.exe);點擊說明 或按F1時,系統將執行Winhelp.exe或Hh.exe開啟求助文件;啟動時,系統將自動啟動「系統欄」程序(SysTray.exe)、「輸入法」程序(internat.exe)、「註冊表檢查」 程序(scanregw.exe)、「計劃工作」程序(Mstask.exe)、「電源管理」程序等。

  這為惡意程序提供了機會,通過覆蓋這些文件,不必修改任何設定系統就會自動執行它們!而用戶在檢查註冊表和系統組態時不會引起任何懷疑,例如「註冊表檢查」 程序的作用是啟動時檢查和制作備份註冊表,正常情況不會有任何提示,那麼它被覆蓋後真可謂是「神不知、鬼不覺」。當然,這也許會被「系統檔案檢查器」檢查(但勤快的人不多)出來。

  黑客還有一高招「偷天換日」!不覆蓋程序也可達到這個目的,方法是:利用System目錄比Windows目錄優先的特點,以相同的檔案名,將程序放到System目錄中。

你可以試試,將Notepad.exe(記事本)複製到System目錄中,並改名為Regedit.exe(註冊表編輯器),然後從「開始」→「執行」中,輸入「Regedit」Enter鍵,你會發現執行的竟然是那個假冒的Notepad.exe!同樣,如果黑客將程序放到System中,然後在執行時使用真正的Regedit,誰知道呢?
(這種方法由於大部分目標程序不是經常被系統使用,因此常被黑客用來作為被移除後的恢復方法,如果某個東東被移除了又出現,不妨檢查檢查這些文件。)

   11.還有什麼「高招」

  黑客還常常使用名字欺騙技術和執行假象與之配合。名字欺騙技術如上述的全形空格主檔案名「 .exe」就是一例,另外一般的有在修改文件關聯時,使用「 」(ASCII值255,輸入時先按下Alt鍵,然後在小鍵碟上輸入255)作為檔案名,當這個字串出現在註冊表中時,人們往往很難發現它的存在。此外還有利用字串相似性的,
如:「Systray.exe」和「5ystray」(5與大寫S相似);長度相似性的,如:「Explorer.exe」和「Explore.exe」(後者比前者少一個字母,心理學實驗證明,人的第一感覺只識別前四個字母,並對長度不敏感);執行假象則是指執行某些木馬時,程序指出一個虛假的提示來欺騙用戶。


一個執行後什麼都沒有的程序,地球人都知道不是什麼好東西;但對於一個提示「記憶體不足的程序,恐怕還在埋怨自己的P4太差哩

psac 2004-09-20 12:02 PM

系統自動啟動程序之十大藏身之所
Windows啟動時通常會有一大堆程序自動啟動。不要以為管好了「開始→程序→啟動」表單就萬事大吉,實際上,在Windows XP/2K中,讓Windows自動啟動程序的辦法很多,下文告訴你最重要的兩個資料夾和八個註冊鍵。

  一、當前用戶專有的啟動檔案夾

  這是許多應用軟體自動啟動的常用位置,Windows自動啟動放入該檔案夾的所有建立捷逕。用戶啟動檔案夾一般在:@Documents and Settings@<用戶名字>@「開始」表單@程序@啟動,其中「<用戶名字>」是當前登入的用戶帳戶名稱。

  二、對所有用戶有效的啟動檔案夾

  這是尋找自動啟動程序的第二個重要位置,不管用戶用什麼身份登入系統,放入該檔案夾的建立捷逕總是自動啟動——這是它與用戶專有的啟動檔案夾的區別所在。

該檔案夾一般在:@Documents and Settings@All Users@「開始」表單@程序@啟動。

  三、Load註冊鍵

  介紹該註冊鍵的資料不多,實際上它也能夠自動啟動程序。位置:HKEY_CURRENT_USER@Software@Microsoft@WindowsNT@CurrentVersion@Windows@load。

  四、Userinit註冊鍵

  位置:HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@WindowsNT@CurrentVersion@Winlogon@Userinit。這裡也能夠使系統啟動時自動啟始化程序。

通常該註冊鍵下面有一個userinit.exe,如圖一,但這個鍵允許指定用逗號分隔的多個程序,例如「userinit.exe,OSA.exe」(不含引號)。


五、Explorer@Run註冊鍵

  和load、Userinit不同,Explorer@Run鍵在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具體位置是:HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@Policies@Explorer@Run,和HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@Policies@Explorer@Run。

  六、RunServicesOnce註冊鍵

  RunServicesOnce註冊鍵用來啟動服務程序,啟動時間在用戶登入之前,而且先於其他通過註冊鍵啟動的程序。


RunServicesOnce註冊鍵的位置是:HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@RunServicesOnce,和HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@RunServicesOnce。

  七、RunServices註冊鍵

  RunServices註冊鍵指定的程序緊接RunServicesOnce指定的程序之後執行,但兩者都在用戶登入之前。

RunServices的位置是:HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@RunServices,和HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@RunServices。

  八、RunOnce@Setup註冊鍵

  RunOnce@Setup指定了用戶登入之後執行的程序,它的位置是:HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@RunOnce@Setup,和HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@RunOnce@Setup。

  九、RunOnce註冊鍵

  安裝程序通常用RunOnce鍵自動執行程序,它的位置在HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@RunOnce和HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@RunOnce。


HKEY_LOCAL_MACHINE下面的RunOnce鍵會在用戶登入之後立即執行程序,執行時機在其他Run鍵指定的程序之前。

HKEY_CURRENT_USER下面的RunOnce鍵在操作系統處理其他Run鍵以及「啟動」資料夾的內容之後執行。如果是XP,你還需要檢查一下HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@RunOnceEx。

  十、Run註冊鍵

  Run是自動執行程序最常用的註冊鍵,位置在:HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@Run,和HKEY_LOCAL_MACHINE@SOFTWARE@Microsoft@Windows@CurrentVersion@Run。HKEY_CURRENT_USER下面的Run鍵緊接HKEY_LOCAL_MACHINE下面的Run鍵執行,但兩者都在處理「啟動」資料夾之前。

joexyz 2004-09-20 02:54 PM

嗯,又學到東西了


所有時間均為台北時間。現在的時間是 06:28 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1