史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-03, 08:06 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 巧妙識破用WinRAR元件服務的木馬

巧妙識破用WinRAR元件服務的木馬

隨著人們安全意識的提高,木馬的生存越來越成為問題,木馬種植者當然不甘心木馬就這樣被人所發覺,於是他們想出許多辦法來偽裝隱藏自己的行為,利用WinRAR元件服務木馬就是其中的手段之一。那麼我們怎麼才能識別出其中藏有木馬呢?本文講述的正是這個問題。

  攻擊者可以把木馬和其他可執行文件,比方說Flash動畫放在同一個資料夾下,然後將這兩個文件增加到檔案文件中,並將文件製作為exe格式的自解壓縮文件,這樣,當你雙按這個自解壓縮文件時,就會在啟動Flash動畫等文件的同時悄悄地執行木馬文件!

這樣就達到了木馬種植者的目的,即執行木馬服務端程序。而這一招效果又非常好,令對方很難察覺到,因為並沒有明顯的徵兆存在,所以目前使用這種方法來執行木馬非常普遍。為戳穿這種偽裝,瞭解其製作程序,做到知己知彼,下面我們來看一個實例。

  下面我們以一個實例來瞭解這種元件服務木馬的方法。目標是將一個Flash動畫(1.swf)和木馬服務端文件(1.exe)元件服務在一起,做成自解壓縮文件,如果你執行該檔案,在顯示Flash動畫的同時就會中木馬!具體方法是:把這兩個文件放在同一個目錄下,按住Ctrl鍵的同時用滑鼠選1.swf和1.exe,然後點擊滑鼠右鍵,在彈出表單中選項「增加到檔案文件」,會出現一個標題為「檔案檔案名字和參數」的對話視窗,在該對話視窗的「檔案檔案名」欄中輸入任意一個檔案名,比方說暴笑三國.exe(只要容易吸引別人點擊就可以)。注意,文件副檔名一定得是.exe(也就是將「新增自解壓縮格式檔案文件」勾選上),而預設情況下為.rar,要改過來才行,否則無法進行下一步的工作。
 接下來點擊「進階」選擇項,然後按下「SFX選項」按鈕,會出現「進階自解壓縮選項」對話視窗,在該對話視窗的「解壓縮路徑」欄中輸入C:Windows emp,其實「解壓縮路徑」可以隨便填,就算你設定的資料夾不存在也沒有關係,因為在自解壓時會自動新增該目錄。在「解壓縮後執行」中輸入1.exe,也就是填入攻擊者打算隱蔽執行的木馬文件的名字。
下一步,請點擊「模式」選擇項,在該選擇項中把「全部隱藏」和「覆蓋所有文件」選上,這樣不僅安全,而且隱蔽,不易為人所發現。如果你願意的話,還可以改變這個自解壓縮文件的視窗標題和圖示,點擊「文字和圖示」,在該選擇項的「自釋文件視窗標題」和「顯示用於自釋文件視窗的文本」中輸入你想顯示的內容即可,這樣更具備欺騙性,更容易使人上當。最後,點擊「確定」按鈕返回到「檔案檔案名字和參數」對話視窗。 下面請你點擊「註釋」選擇項,你會看到如圖所顯示的內容,這是WinRAR根據你前面的設定自動加入的內容,其實就是自解壓縮指令碼指令。其中,C:Windows emp代表自解壓路徑,Setup=1.exe表示解壓縮後執行1.exe文件即木馬服務端文件。而Silent和Overwrite分別代表是否隱藏和覆蓋文件,賦值為1則代表「全部隱藏」和「覆蓋所有文件」。一般說來,給你下木馬的人為了隱蔽起見,會修改上面的自解壓縮指令碼指令,比如他們會把指令碼改為如下內容:  Path=c:windows emp

  Setup=1.exe

  Setup=explorer.exe 1.swf

  Silent=1

  Overwrite=1

  仔細看,其實就是加上了Setup=explorer.exe 1.swf這一行,點擊「確定」按鈕後就會產生一個名為暴笑三國.exe的自解壓文件,現在只要有人雙按該檔案,就會開啟1.swf這個動畫文件,而當人們津津有味的欣賞漂亮的Flash動畫時,木馬程序1.exe已經悄悄地執行了!

更可怕的是,還可以在WinRAR中就可以把自解壓文件的預設圖示換掉,如果換成你熟悉的軟體的圖示,對大家來說是不是更危險?

  利用WinRAR製作的自解壓文件,不僅可以用來載入隱蔽的木馬服務端程序,還可以用來修改對方的註冊表。比方說,攻擊者可以編寫一個名為change.reg的文件。接下來用「實例」中的辦法將這個文件製作成自解壓文件,儲存為del.exe文件即可。



注意在製作程序中要在「註釋」中寫上如下內容:

  Path=c:Windows

  Setup=regedit /s change.reg

  Silent=1

  Overwrite=1
完成後按「確定」按扭,就會建立出一個名為del.exe的Winrar自解壓程序,雙按執行這個文件,將不會有匯入註冊表時的提示訊息(這就是給regedit加上「/s」參數的原因)就修改了註冊表鍵值,並把change.reg拷貝到C:Windows資料夾下。



此時你的註冊表已經被修改了!不僅如此,攻擊者還可以把這個自解壓文件del.exe和木馬服務端程序或硬碟炸彈等用WinRAR元件服務在一起,然後製作成自解壓文件,那樣對大家的威脅將更大!因為它不僅能破壞註冊表,還會破壞大家的硬碟資料,想想看是不是很可怕?


從上面的實例中不難看出,WinRAR的自解壓功能真的是太強大了,它能使得不會編程的人也能在短時間內製作出非常狠毒的惡意程序。而且對於含有木馬或惡意程序的自解壓文件,目前許多流行的殺毒軟體和木馬查殺毒軟體件竟無法查出其中有問題存在!


不信的話,大家可以做個試驗,就知道結果了。 那麼該怎樣識別用WinRAR元件服務過的木馬呢?


只要能發現自解壓縮文件裡面隱藏有多個文件,特別是多個可執行文件,就可以判定其中含有木馬!那麼怎樣才能知道自解壓縮文件中含有幾個文件,是哪些文件呢?


一個簡單的識別的方法是:用滑鼠右擊WinRAR自解壓縮文件,在彈出表單中選項「內容」,在「內容」對話視窗中你會發現較之普通的EXE文件多出兩個標籤,分別是:
「檔案文件」和「註釋」,按下「註釋」標籤,看其中的註釋內容,你就會發現裡面含有哪些文件了,這樣就可以做到心中有數,這是識別用WinRAR元件服務木馬文件的最好方法。


最後再告訴大家一個防範方法,遇到自解壓程序不要直接執行,而是選項右鍵表單中的「用WinRAR開啟」,這樣你就會發現該檔案中到底有什麼了。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-05-03, 09:57 AM   #2 (permalink)
長老會員
 
K22514 的頭像
榮譽勳章
UID - 53122
在線等級: 級別:68 | 在線時長:4911小時 | 升級還需:126小時級別:68 | 在線時長:4911小時 | 升級還需:126小時級別:68 | 在線時長:4911小時 | 升級還需:126小時級別:68 | 在線時長:4911小時 | 升級還需:126小時級別:68 | 在線時長:4911小時 | 升級還需:126小時級別:68 | 在線時長:4911小時 | 升級還需:126小時級別:68 | 在線時長:4911小時 | 升級還需:126小時級別:68 | 在線時長:4911小時 | 升級還需:126小時
註冊日期: 2003-03-29
住址: 台中
文章: 11296
精華: 0
現金: 887793 金幣
資產: 35672319 金幣
預設

感謝 Psac大 的分享 以後要更小心了 !
K22514 目前離線  
送花文章: 97189, 收花文章: 9908 篇, 收花: 53954 次
舊 2006-05-03, 10:09 AM   #3 (permalink)
長老會員
榮譽勳章
UID - 9489
在線等級: 級別:52 | 在線時長:3002小時 | 升級還需:19小時級別:52 | 在線時長:3002小時 | 升級還需:19小時級別:52 | 在線時長:3002小時 | 升級還需:19小時級別:52 | 在線時長:3002小時 | 升級還需:19小時級別:52 | 在線時長:3002小時 | 升級還需:19小時級別:52 | 在線時長:3002小時 | 升級還需:19小時級別:52 | 在線時長:3002小時 | 升級還需:19小時
註冊日期: 2002-12-11
住址: 高雄
文章: 13440
精華: 0
現金: 1669001 金幣
資產: 1838820 金幣
預設

現在碰到.rar和自解壓縮檔是要小心了
感謝提供教學分享
k2hungss 目前離線  
送花文章: 4557, 收花文章: 1116 篇, 收花: 1460 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:47 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1