史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-03-15, 07:00 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 隱藏於「文本我的文件」中的陰謀

隱藏於「文本我的文件」中的陰謀

如今的網路,幾乎已經成了木馬的網路。遊戲、軟體裡面有木馬,網頁中有病毒,視瀕裡面也夾著些危險的東西,幾乎沒有任何安全感可言。在某些用戶的眼中,也許只有文本文件才是比較安全的,當看到一個「文本」圖示的文件,都會毫不猶豫的雙按開啟它。但是,所謂的「文本文件」真的就這麼安全嗎?也許在這些「文本文件」中隱藏著更大的陷阱,讓你的電腦陷入萬劫不復之地!

  一、別被「文本」圖示欺騙了你

  幾乎所有的木馬病毒都懂得更改文件圖示,欺騙用戶執行中招,所以在面對一個文本圖示的文件時,別被文件的圖示所欺騙。

  假設黑客製作了一個木馬程序「Server.exe」,他會將程序圖示更改為文本圖示,用以欺騙一些粗心大意的用戶。

  修改木馬圖示非常簡單,一般可使用專門的圖示修改工具,如"Executable File Icon Changer"、"Program Icon Changer"等。以Executable File Icon Changer為例,這個工具支持取代Exe、Dll、Ocx、Scr等文件的圖示,被改文件即使移動到其它電腦上,也能顯示更改後的文件圖示。

  執行Executable File Icon Changer程序後,點擊介面中的「圖示源」按鈕,瀏覽選項本機硬碟中「C:\windows\system32\shell32.dll」文件 ,即可看到所有Winodws系統中一般的圖示了。移到捲軸選項其中第509號[48,48,True]大小的文本文件圖示。然後點擊"欲更改文件"按鈕,瀏覽選項"Server.exe"文件。此時在介面下方會顯示"新圖示"和"原圖示",點擊兩個圖示中間的"Replace"按鈕,就可以更換後門程序的圖示了。



http://soft.yesky.com/imagelist/06/03/8n4j40k68076.jpg
可以看到,新產生的程序圖示與真正的文本文件混在一起,是很不容易被發現的。尤其是在檔案總管的「資料夾選項」中將預設文件後面名隱藏的用戶,很可能無意中就會將這個文件成文本文件開啟執行了。


http://soft.yesky.com/imagelist/06/03/jbw4xffw8ba4.jpg
二、雙後面文件,真假難辨



  在顯示文件後面的主機上,上面的「文本木馬」還是比較容易被看出破綻的。黑客們可能還會對檔案名動一番手腳,讓它更具迷惑性。

  首先可為檔案名加上雙後面,將上面的木馬檔案名改為「******.txt.exe",在一些隱藏了文件後面名的電腦上,這個文件會顯示文件為「******.txt」,這樣就迷惑了很多用戶,以後檔案名綴就是.txt的文本文件。

  黑客還可能使用更絕的一個招數,在兩個後面名間加上一些空格,例如將文件改名為「******.txt   .exe」。由於文件現在是雙後面,並且檔案名足夠的長,我們在檔案名中增加了足夠的空格,以至於在檔案名中只顯示「.txt」後面,而表示真正檔案類型的「.exe」後面卻隱藏起來了

這樣的文件是不是很具迷惑性?不是細心看,根本看不出來文件後面中那幾個小小的省略號,電腦用戶十有八九會被其欺騙!即使用戶在檔案總管中開啟了顯示文件後面名的選項,也依然會在很大程度上被矇騙過去!


http://soft.yesky.com/imagelist/06/03/8fd93mrw00i5.jpg

  三、深度隱藏,不會顯示的檔案名


  大家知道,木馬攻擊早已從簡單的程序木馬,演變成了網頁木馬、圖片木馬等多種分類。有沒想這,也許你開啟的一個貌似文本的文件,實際上卻執行了一個網頁木馬呢?

  黑客首先會製作一個後面為「.html」的網頁木馬,這類木馬製作很簡單,例如利用IE的Iframe漏洞就可以方便的製作一個溢位HTML網頁,只要有人開啟些網頁,就會造成IE溢位,系統開啟連接阜供黑客遠端連接控制。製作的具體方法在這裡就不多說了,假設網頁文件檔案名為「test.html」,黑客可能將它改成「test.txt.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}」。這樣該檔案在檔案總管中即使採用了顯示後面名的方式,也只顯示為後面名為.txt的文本文件,一般人根本看不出任何的異樣。但是因為{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}實際上就是html的註冊表文件關聯,雙按時卻會使用IE開啟文件以HTML格式執行,造成IE溢位系統開啟遠端控制連接阜。

  四、系統崩潰,毀於「碎片」

  很多朋友聽說過Windows中的碎片對像文件(.shs文件),但是對於這種文件所帶來的威脅,卻不是很重視。不過當你執行了一個貌似文本文件的文件碎片時,也許才知道不起眼的碎片,原來有如此大的破壞力!

  註譯:什麼是文件碎片

  碎片對像文件(.shs)的預設圖示與文本文件圖示相同,很容易會被誤認為是一些文本我的文件,因此用戶對這種文件也不會太注意防範。「.shs」是一個無條件隱藏副檔名的文件,即使將檔案總管的「資料夾選項」設定為顯示所有文件後面名,「.shs」文件也仍然是隱藏的!並且用任何殺毒軟體檢查此文件,都絕對找不到任何病毒,用碎片文件來偽裝文本文件進行攻擊是最合適不過的了。

  黑客會新增一個碎片對像文件,點擊「開始→執行」,輸入「packager.exe」後Enter鍵,執行「對像包裝」程序。然後點擊功能表「文件→匯入」,彈出一個文件對話視窗,任意選項一個文件。

  點擊功能表「編輯→指令行」,在彈出的指令行輸入對話視窗中輸入指令「cmd.exe /c del c:\*.*」,確定後此指令將顯示在程序右邊視窗中。


http://soft.yesky.com/imagelist/06/03/s1ncs79h53mo.jpg
點擊功能表「編輯→複製資料包」指令,回到Windows桌面上,點擊滑鼠右鍵,在彈出功能表中選項「貼上」,可以看到,桌面新增了一個名為「片段」的碎片對像文件。接下來,再將文件改名為「片段.txt」。

  一旦有人雙按執行了這個「文本」文件,桌面上閃過一個指令視窗之後,C碟根目錄下的所有文件都被移除了,重啟後無法正常進入系統。黑客基至可以在指令行視窗中輸入破壞性更強的指令,例如格式化硬碟「cmd.exe /c format c:\」等。

  五、精心構造的「文本陷阱」



  如果說將木馬偽裝成文本的方法有些複雜,那麼「文本陷阱」這個文本利用工具就是一個現成的文件木馬,足以讓大家體會到在「文本」偽裝下的木馬攻擊威力!

  下載這個文本利用工具並解壓,可以看到在資料夾中有兩個名為「admin」的「文本文件」,當顯示檔案名後面後,可以得知這兩個文件的真實檔案名分別為「admin.txt」和「admin.exe」。其中「admin.exe」是真正的利用程序,由於採用了文本文件的圖示,所以在隱藏文件副檔名時,很容易被誤認為這是一個文本文件。

  「admin.exe」文件其實是一個偽裝成文本的入侵程序。它的功能非常強大,可以實現在被攻擊主機上增加管理用戶;開啟磁牒自動執行功能以執行特殊木馬;開啟Windows XP/2003的遠端終端等等。接下來我們在本地機上執行這個木馬,以便讀者朋友可以更清楚的認識到它的危害。

  當我們在電腦上執行這個程序後,進入命令提示字元視窗,輸入「net user」指令,即可顯示電腦上的所有用戶帳號(如圖5)。可以看到,在用戶列表中有一個名為「IWAM-IUSR」的用戶名,這個用戶就是剛才執行文本陷阱後增加用戶。「IWAM-IUSR」的預設密碼為「gxgl.com2004」。這個用戶名現系統中預設的用戶名非常相似,一些沒有經驗的管理員很難察覺出來。

http://soft.yesky.com/imagelist/06/03/8dfvk3m489ae.jpg


此時右擊「我的電腦→內容」,開啟「系統內容」視窗,在「遠端」標籤中可以看到「遠端桌面」中的「允許用戶遠端連線到此電腦」項已經被開啟。這就是剛才執行文本陷阱執行,自動為黑客入侵開啟的後門。由於剛才增加了一個管理員用戶,而管理員用戶預設是被許可進行遠端連接的,因此黑客可以用剛增加的用戶名和密碼,通過3389遠端終端連接執行了文本陷阱的主機,輕鬆的完成入侵。而當黑客在被入侵電腦上增加了一個管理員帳號後,其可以完成很多的入侵操作,例如遠端連接、開啟服務和連接阜等等。這方面的內容在此前的「黑客防線」中已經介紹過很多,在這裡就不再詳細說明了。

  六、應對自如,輕鬆化解「文本」危機

  看過前面的內容,相信大家一定會發出「木馬和黑客攻擊無孔不入」的硬要感慨,看似安全的文本文件,原來也暗藏了這麼多的危險。如何才能防範各種木馬病毒借助文本文件進行攻擊呢?

  對於在文件圖示和文件後面上作手腳的文件,只要提高警慎性,看清楚文件的真實名稱再執行,一般是不會中招的。

  對於文件碎片之類的文本文件,就需要對系統進行一下簡單的設定了。開啟註冊表編輯器,找到「HKEY_CLASSES_ROOT\.shs」鍵,將的「ShellScrap」移除。此後,雙按「.shs」文件時就不會自動執行,而是彈出一個提示對話視窗,詢問是否進行操作。這樣就可以在很大程度上防範「.shs」文件的攻擊了。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:49 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1