史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-01-03, 07:30 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 曝光網路黑客欺騙執行木馬的方法

曝光網路黑客欺騙執行木馬的方法

如今大多數上網的朋友警惕性都很高,想騙取他們執行木馬是件很困難的事,因為木馬出現這麼久,木馬兩個字聽得人們耳朵都長出了老繭,可說是談「馬」色變,即使不是電腦高手都知道,一見到是exe 文件便不會輕易「招惹」它,因而中標的機會也就 相對減少了。


對於此,黑客們是不會甘於寂寞的,在黑客的世界裡挑戰與刺激才是他們趨之若婺的。

    1、冒充為圖像文件

    首先,黑客最常使用騙別人執行木馬的方法,就是將特洛伊木馬說成為圖像文件,比如說是照片等,應該說這是一個最不合邏輯的方法,但卻是最多人中招的方法,有效而又實用 。

    只要入侵者扮成美眉及更改伺服器程序的檔案名(例如 sam.exe )為「類似」圖像文件的名稱 ,再假裝傳送照片給受害者,受害者就會立刻執行它。為甚麼說這是一個不合邏輯的方法呢?
圖像文件的副檔名根本就不可能是 exe,而木馬程序的副檔名基本上又必定是 exe ,明眼人一看就會知道有問題,多數人在接收時一看見是exe文件,便不會接收了,那有什麼方法呢?
其實方法很簡單,他只要把檔案名改變,例如把「sam.exe」 更改為「sam.jpg」 ,那麼在傳送時,對方只會看見sam.jpg 了,而到達對方電腦時,因為windows 預設值是不顯示副檔名的,所以很多人都不會注意到副檔名這個問題,而恰好你的電腦又是設定為隱藏副檔名的話,那麼你看到的只是sam.jpg 了,受騙也就在所難免了!

    還有一個問題就是,木馬本身是沒有圖示的,而在電腦中它會顯示一個windows 預設的圖示,別人一看便會知道了!但入侵者還是有辦法的,這就是給文件換個「馬甲」,即修改文件圖示。

    修改文件圖示的方法如下:

    (1)比如到http://www.onlinedown.net/soft/2997.htm 下載一個名為IconForge 的軟體,再進去行安裝。

    (2)執行程序,按下File > Open

    (3)在File Type 選項exe 類

    (4)在File > Open 中載入預先製作好的圖示( 可以用繪圖軟體或專門製作icon 的軟體製作,也可以在網上找找) 。

    (5)然後按下File > Save 便可以了。

    如此這般最後得出的,便是看似jpg 或其他圖片格式的木馬了,很多人就會不經意間執行了它。

   2、合併程序欺騙

    通常有經驗的用戶,是不會將圖像文件和可執行文件混淆的,所以很多入侵者一不做二不休,乾脆將木馬程序說成是應用程式:反正都是以 exe 作為副檔名的。



然後再變著花樣欺騙受害者,例如說成是新出爐的遊戲,無所不能的黑客程序等等,目地是讓受害者立刻執行它。而木馬程序執行後一般是沒有任何反應的,於是在悄無聲息中,很多受害者便以為是傳送時文件損壞了而不再理會它。

    如果有更小心的用戶,上面的方法有可能會使他們的產生壞疑,所以就衍生了一些合拼程序。合拼程序是可以將兩個或以上的可執行文件(exe文件) 結合為一個文件,以後 o需執行這個合拼文件,兩個可執行文件就會同時執行。



如果入侵者將一個正常的可執行文件(一些小遊戲如 wrap.exe) 和一個木馬程序合拼,由於執行合拼文件時 wrap.exe會正常執行,受害者在不知情中,背地裡木馬程序也同時執行了。


而這其中最常用到的軟體就是joiner,由於它具有更大的欺騙性,使得安裝特洛伊木馬的一舉一動了無痕跡,是一件相當危險的黑客工具。讓我們來看一下它是如何運作的:

    以往有不少可以把兩個程序合拼的軟體為黑客所使用,但其中大多都已被各大防毒軟體列作病毒了,而且它們有兩個突出的問題存在,這問題就是:

    (1)合拼後的文件體積過大

    (2)只能合拼兩個執行文件

    正因為如此,黑客們紛紛棄之轉而使用一個更簡單而功能更強的軟體,那就是Joiner 了。此軟體不但把軟體合拼後的體積減少,而且可以待使用者執行後立刻就能收到一個icq 的訊息,告訴你對方已中招及對方的IP ,更重要的是這個軟體可以把圖像文件、音瀕文件與可執行文件合拼,用起來相當方便。

    首先把Joiner 解壓,然後執行Joiner ,在程序的畫面裡,有「First executable : 」及「 Second File : 」兩項,這兩行的右方都有一個資料夾圖示,分別各自選項想合拼的文件。

    下面還有一個Enable ICQ notification 的空格,如果選取後,當對方執行了文件時,便會收到對方的一個ICQ Web Messgaer ,裡面會有對方的ip ,當然要在下面的ICQ number 填上欲收取訊息的icq 號碼。但開啟這個功能後,合拼後的文件會比較大。

    最後便按下「Join」 ,在Joiner 的資料夾裡,便會出現一個Result.exe 的文件,文件可更改名稱,因而這種「混合體」的隱蔽性是不言而喻的。

   3、以Z-file 偽裝加密程序

    Z-file 偽裝加密檔案是台灣華順科技的產品,其經過將文件壓縮加密之後,再以 bmp圖像文件格式顯示出來(副檔名是 bmp,執行後是一幅普通的圖像)。



當初設計這個軟體的本意只是用來加密資料,用以就算電腦被入侵或被非法使使用時,也不容易洩漏你的機密資料所在。不過如果到了黑客手中,卻可以變成一個入侵他人的幫兇。


使用者會將木馬程序和小遊戲合拼,再用 Z-file 加密及將 此「混合體」發給受害者,由於看上去是圖像文件,受害者往往都不以為然,開啟後又只是一般的圖片,最可怕的地方還在於就連殺毒軟體也檢測不出它內藏特洛伊木馬,甚至病毒!當打消了受害者警惕性後,再讓他用WinZip 解壓縮及執行 「偽裝體 (比方說還有一份小禮物要送給他),這樣就可以成功地安裝了木馬程序。


如果入侵者有機會能使用受害者的電腦(比如上門維修電腦),只要事先已經發出了「混合體,則可以直接用 Winzip 對其進行解壓及安裝。



由於上門維修是赤著手使用其電腦,受害者根本不會懷疑有什麼植入他的電腦中,而且時間並不長,30秒時間已經足夠。就算是「明晃晃」地在受害者面前操作,他也不見得會看出這一雙黑手正在幹什麼。特別值得一提的是,由於 「混合體」 可以躲過反病毒程序的檢測,如果其中內含的是一觸即發的病毒,那麼一經結開壓縮,後果將是不堪設想。

    4、偽裝成應用程式增強元件

    此類屬於最難識別的特洛伊木馬。黑客們通常將木馬程序寫成為任何檔案類型的文件 (例如 dll、ocx等) 然後掛在一個十分出名的軟體中,例如 OICQ 。由於OICQ本身已有一定的知名度,沒有人會懷疑它的安全性,更不會有人檢查它的文件多是否多了。而當受害者開啟OICQ時,這個有問題的文件即會同時執行。



此種方式相比起用合拼程序有一個更大的好處,那就是不用更改被入侵者的登入文件,以後每當其開啟OICQ時木馬程序就會同步執行 ,相較一般特洛伊木馬可說是「踏雪無痕」。更要命的是,此類入侵者大多也是特洛伊木馬編寫者,只要稍加改動,就會派生出一支新木馬來,所以即使殺是毒軟體也拿它沒有絲毫辦法。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 02:58 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1