这次我给大家讲讲木马的常见伪装,我想大家如果想学黑那这些就必需要有所了解,就算不为将来自己写木马,也可以自己查杀嘛,呵呵。。
我想木马大家应该不会没有不知道的吧,对于木马的功能,分类,攻击方式我就不多说了,如果真有谁不知道的就联系我我告诉你,或者更简单的方式就是到网上找去,网上一堆一堆的,呵呵。。
讲伪装之前,我先给大家讲讲木马的藏身处吧,木马编写者为了达到控制服务端主机的目的会采用各种手段达到激活木马、加载运行的。
具我所了解的,就有下面几种藏身方式,我也不知道全不全面,有高手知道还有其它方式的就跟贴告诉我吧,我给奖励,呵呵。。。
1。Config.sys和Autoexec.bat加载运行。这两个文件是在
系统安装盘的根目录下(呵呵,我作教程没找到这两个文件,可能是无意当中让我给删了??呵呵。。。),通过这两个文件可以启动木马,但是这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端。
2。在Win.ini中启动。这个文件在C:\windows目录下,文件中的windows字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果后面跟着类似于“load=c:\windows\muma.exe”或者“run=c:\windows\muma.exe”,那你可就要看清这个可执行文件是不是木马程序了。。。
3。在System.ini中启动。同样也在c:\windows目录下,在boot字段中的“shell=Explorer.exe”也经常被木马利用隐藏,通常会把这句话改为“shell=Explorer.exe muma.exe”,这样木马程应当就会启动了。
另外,在System.ini中的386Enh,mic,drivers,drivers32这四个字段中也要注意检查,这几个都起到了加载驱动的作用,也都是添加木马程序的好地方。
4。注册表。这个就是通过注册表中添加子项、键值来加载。具我知道的就是Run,RunServices,RunOnce等些子项来加载启动。
哎。。。这个要打的东西实在是太多了。。。受不了。。。
(1)Run键
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
(2)文件关联键
有些木马是修改键值来加载程序的。
[HKEY_CLASSES_ROOT\exefile\shell\open\commend]子键中默认值:““%1” %*”
[HKEY_CLASSES_ROOT\comfile\shell\open\command]子键中默认值:““%1” %*”
[HKEY_CLASSES_ROOT\batfile\shell\open\command]子键中默认值:““%1” %*”
[HKEY_CLASSES_ROOT\htafile\shell\open\command]子键中默认值:““%1” %*”
[HKEY_CLASSES_ROOT\piffile\shell\open\command]子键中默认值:““%1” %*”
[HKEY_LOCAL_MACHINE\software\classes\batfile\shell\open\command]子键中默认值:““%1” %*”
[HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command]子键中默认值:““%1” %*”
[HKEY_LOCAL_MACHINE\software\classes\comfile\shell\open\command]子键中默认值:““%1” %*”
[HKEY_LOCAL_MACHINE\software\classes\htafile\shell\open\command]子键中默认值:““%1” %*”
[HKEY_LOCAL_MACHINE\software\classes\piffile\shell\open\command]子键中默认值:““%1” %*”
基本上都是把键值“%1%*”这个默认值改成了“muma.exe %1%*”,这样木马就会被启动了。
(3)Dll键
打开键值HKEY_LOCAL_MAXHINE\software\microsoft\Windows NT\Current Version\Windows分支,右窗口找到“AppInit_Dlls”,把它设置为后门程序的绝对路径就行了(如backdoor.dll),然后准备一个backdoor.dll,再加上这个键值,系统启后动就会加载这个模块。因为backdoor.dll没有进程,所以用户在进程中是看不见木马程序的。
5。这种方法是最顽固的,就是木马编写者把木马集成到了程序里,一旦用户启动程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。如果绑定到了系统文件上,那么系统每一次启动都会伴随着木马的启动。
呵呵,这种木马我前几天刚中过。。气死本人了。。
6。启动组启动。这可是个木马起动的好地方,启动组对应的文件夹为:c:\windows\start menu\programs\startup,在注册表中的位置是HKEY_CURRENT_USER\software\microsoft\windows\currentVersion\explorer\shell folders startup="C:\windows\start menu\programs\start up"
7。winstart.bat批处理文件。这个文件也是被windows自动加载的文件,它在多数情况下是系统或者应用程序自动生成,在执行win.com加载了多数驱动程序之后开始执行。由于autoexec.bat的功能可以由winstart.bat代替完成,所以木马完全可以像在autoexec.bat中那样被加载运行。
哎。。。打了这么多字好累啊,这些也不是我能记下来的,大部分是以前看书时记录下来的笔记。呵呵。
好了,木马隐藏之处我就先讲这些了,下节就开始正试讲如何伪装木马了。我讲的可能有些不全,不全的大家给补一下。。
IP卡
狗仔卡
发表于 2009-4-8 22:14:22
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
