史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-04-01, 10:07 PM   #1
mancool 帥哥
長老會員
 
mancool 的頭像
榮譽勳章
UID - 2396
在線等級: 級別:11 | 在線時長:167小時 | 升級還需:25小時級別:11 | 在線時長:167小時 | 升級還需:25小時級別:11 | 在線時長:167小時 | 升級還需:25小時級別:11 | 在線時長:167小時 | 升級還需:25小時級別:11 | 在線時長:167小時 | 升級還需:25小時級別:11 | 在線時長:167小時 | 升級還需:25小時
註冊日期: 2002-12-06
住址: 姆大陸
文章: 1356
現金: 776 金幣
資產: 39984 金幣
Smile 特洛伊木馬病毒窩藏在何處

木馬,又名特洛伊木馬,其名稱取自古希臘神話的特洛伊木馬記,它是一種基于遠程控制的黑客工具,具有很強的隱蔽性和危害性。為了達到控制服務端主機的目的,木馬往往要采用各種手段達到激活自己、加載運行的目的。讓我們一起來看看木馬常用的激活方式。

在Win.ini中啟動
在Win.ini的[windows]字段中有啟動命令“load=”和“run=”,在一般情況下“=”后面是空白的,如果后面跟著程序,比如:

run=c:\windows\file.exe
load=c:\windows\file.exe

這個file.exe很可能就是木馬程序!

修改文件關聯
修改文件關聯是木馬們常用手段(主要是國產木馬,老外的木馬大都沒有這個功能),比方說正常情況下TXT文件的打開方式為Notepad.exe文件,但一旦中了文件關聯木馬,則TXT文件打開方式就會被修改為用木馬程序打開,如著名的國產木馬冰河。“冰河”就是通過修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將“C:\WINDOWS\NOTEPAD.EXE %1”改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”,這樣當你雙擊一個TXT文件,原本應用Notepad打開該文件的,現在卻變成啟動木馬程序了,好狠毒哦!請大家注意,不僅僅是TXT文件,其他諸如HTM、EXE、ZIP、COM等都是木馬的目標,要小心嘍。對付這類木馬,只能經常檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值是否正常。

捆綁文件
實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然后控制端用戶用工具軟件將木馬文件和某一應用程序捆綁在一起,上傳到服務端覆蓋原文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。綁定到某一應用程序中,如綁定到系統文件,那么每一次Windows啟動均會啟動木馬。

在System.ini中啟動
System.ini位于Windows的安裝目錄下,其[boot]字段的shell=Explorer.exe是木馬喜歡的隱蔽加載之所,木馬通常的做法是將該句變為這樣:shell=Explorer.exe file.exe,注意這里的file.exe就是木馬服務端程序!

另外,在System.ini中的[386Enh]字段,要注意檢查在此段內的“driver=路徑\程序名”,這里也有可能被木馬所利用。

再有,在System.ini中的[mic]、[drivers]、[drivers32]這三個字段,它們起到加載驅動程序的作用,但也是添加木馬程序的好場所。

利用注冊表加載運行
如下所示的注冊表位置都是木馬喜好的藏身之處,趕快檢查一下,有什么程序在其下:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值﹔
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值﹔
HKEY_USERS\.Default\Software\
Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。

在Autoexec.bat和Config.sys中加載運行
請大家注意,在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務端建立連接后,將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行,而且采用這種方式不是很隱蔽,容易被發現。所以在Autoexec.bat和Config.sys中加載木馬程序的并不多見,但也不能因此而掉以輕心。

在Winstart.bat中啟動
Winstart.bat是一個特殊性絲毫不亞于Autoexec.bat的批處理文件,它也是一個能自動被Windows加載運行的文件。它多數情況下為應用程序及Windows自動生成,在執行了Win.com并加載了多數驅動程序之后開始執行(這一點可通過啟動時按[F8]鍵再選擇逐步跟蹤啟動過程的啟動方式得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被加載運行。

“反彈端口”型木馬的主動連接方式
什么叫“反彈端口”型木馬呢?作者經過分析防火牆的特性后發現:大多數的防火牆對于由外面連入本機的連接往往會進行非常嚴格的過濾,但是對于由本機發出的連接卻疏于防范(當然有的防火牆兩方面都很嚴格)。于是,與一般的木馬相反,“反彈端口”型木馬的服務端(被控制端)使用主動端口,客戶端(控制端)使用被動端口,當要建立連接時,由客戶端通過FTP主頁空間告訴服務端:“現在開始連接我吧!”,并進入監聽狀態,服務端收到通知后,就會開始連接客戶端。為了隱蔽起見,客戶端的監聽端口一般開在80,這樣,即使用戶使用端口掃描軟件檢查自己的端口,發現的也是類似“TCP 服務端的IP地址:1026,客戶端的IP地址:80 ESTABLISHED”的情況,稍微疏忽一點你就會以為是自己在瀏覽網頁。防火牆也會如此認為,大概沒有哪個防火牆會不給用戶向外連接80端口吧。這類木馬的典型代表就是“網絡神偷”。由于這類木馬仍然要在注冊表中建立鍵值,因此只要留意注冊表的變化就不難查到它們。

盡管木馬很狡猾,善于偽裝和隱藏自己,達到其不可告人的目的。但是,只要我們摸清規律,掌握一定的方法,還是能夠防范的。消除對木馬的恐懼感和神祕感。其實,只要你能加倍小心,加強防范,相信木馬將會離你遠去!
__________________
提供下載之附件為測試及學術用途! 必須24小時內刪除,不能轉讓或出售!
http://img.photobucket.com/albums/v478/mancool/Photo/normal_100_0095.jpg
請支持購買正版,尊重智識產權!
mancool 目前離線  
送花文章: 1, 收花文章: 69 篇, 收花: 155 次
舊 2003-04-19, 12:02 AM   #2 (permalink)
no1power
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

多謝賜教
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-04-19, 01:52 AM   #3 (permalink)
草蟀
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

3Q啦~
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-05, 04:41 PM   #4 (permalink)
vincen
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

其中的win.ini及system.ini不知道是啥麼意思 不知道該如何使用
請教學一下吧
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-10, 01:34 AM   #5 (permalink)
無聊阿傑
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

感謝賜教,,,又多學了些知識............
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-11, 01:17 AM   #6 (permalink)
Atober
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

感謝大大的教導
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-22, 04:32 PM   #7 (permalink)
1122
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

謝謝分享!
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-30, 09:35 PM   #8 (permalink)
長老會員
 
羅迪 的頭像
榮譽勳章
UID - 2782
在線等級: 級別:64 | 在線時長:4452小時 | 升級還需:33小時級別:64 | 在線時長:4452小時 | 升級還需:33小時級別:64 | 在線時長:4452小時 | 升級還需:33小時級別:64 | 在線時長:4452小時 | 升級還需:33小時級別:64 | 在線時長:4452小時 | 升級還需:33小時級別:64 | 在線時長:4452小時 | 升級還需:33小時級別:64 | 在線時長:4452小時 | 升級還需:33小時級別:64 | 在線時長:4452小時 | 升級還需:33小時級別:64 | 在線時長:4452小時 | 升級還需:33小時
註冊日期: 2002-12-06
住址: 香港
文章: 1022
精華: 0
現金: 9229 金幣
資產: 365927 金幣
預設

多謝指教!
__________________
羅迪 目前離線  
送花文章: 2188, 收花文章: 423 篇, 收花: 1789 次
舊 2003-05-31, 01:02 AM   #9 (permalink)
註冊會員
 
andyjohn 的頭像
榮譽勳章

勳章總數
UID - 68991
在線等級: 級別:0 | 在線時長:0小時 | 升級還需:5小時
註冊日期: 2003-05-16
VIP期限: 2005-12
住址: 藍色星球
文章: 335
精華: 0
現金: -9 金幣
資產: -9 金幣
預設

剛才中了木馬~幸好已殺死它
~~~現在來了解一下~~~感謝大大指導
~~~~~~~大大加油ㄛ
andyjohn 目前離線  
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-31, 01:28 AM   #10 (permalink)
uqdo
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

感謝!已檢查中…
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-31, 03:06 PM   #11 (permalink)
applyon
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

因為有大家的幫忙,世界更美好.
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-31, 04:56 PM   #12 (permalink)
casiobaba
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

感謝大大又讓我上了一課!!
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-31, 05:09 PM   #13 (permalink)
註冊會員
榮譽勳章
UID - 2859
在線等級: 級別:8 | 在線時長:104小時 | 升級還需:13小時級別:8 | 在線時長:104小時 | 升級還需:13小時級別:8 | 在線時長:104小時 | 升級還需:13小時
註冊日期: 2002-12-06
VIP期限: 2007-03
文章: 27
精華: 0
現金: 41 金幣
資產: 41 金幣
預設

感謝又上了一課
jen5008 目前離線  
送花文章: 1, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-31, 07:39 PM   #14 (permalink)
z60911
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

非常感謝,又增加了知識
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-05-31, 09:04 PM   #15 (permalink)
jon8862
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

感謝又上了一課
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 01:42 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1