1.隐藏方式
(1)隐藏在任务栏中
在任务栏中隐藏文件图标是***隐藏自身的基本方式,在编程时很容易实现。以VB为例,只要把form(窗体)的Visible属性设置为False并把ShowInTaskBar设置为False,程序就不会出现在任务栏中,如图3-9所示。
图3-9 在VB中设置属性
(2)隐藏在任务管理器中
(2)隐藏在任务管理器中
如把***设置为“系统服务”骗过任务管理器。
(3)隐藏通信端口
通常一台计算机有65 536个端口,如果***占用1 024以下的端口,很可能造成端口冲突,从而暴露。目前有很多***提供了端口修改功能,可以随时修改端口号,以避免被发现。
(4)隐藏加载方式
***加载的目的就是让目标主机运行它。如果***不做任何伪装,用户不会去运行它,所以如何让用户运行服务端是基于******的一个难题。而随着网站互动化的不断进步,越来越多的新技术可以成为***的传播媒介,如Java Script、VBScript及ActiveX等。
(5)最新隐身技术
***设计者们发现Windows下的中文汉化软件采用的陷阱技术非常适合***使用,这是一种更新且更隐蔽的方法。通过修改虚拟设备驱动程序(VXD)或动态链接库(DLL)来加载***,基本摆脱了原有的监听端口模式,***会将修改后的DLL替换系统已知的DLL并过滤所有的函数调用。被替换的DLL文件监听网络,一旦发现控制端的请求就激活自身并绑在一个进程上执行相关的***操作。这样做的好处是没有增加新的文件,不需要打开新的端口,也没有新的进程,使用常规的方法监测不到。并且经过测试,***没有出现任何瘫痪现象,***的控制端向被控制端发出特定的信息后隐藏的程序将立即开始运行。
2.启动方式
***的启动功能是必不可少的,自启动可以保证其不会因为用户的一次关机操作而彻底失去作用。一个典型的例子就是把***加入到用户经常执行的程序(例如explorer.exe)中,当用户执行该程序时***就自动执行并运行。当然更普遍的方法是通过修改Windows系统文件和注册表达到目的,现在经常使用的方法主要有以下几种。
(1)在Win.ini中启动
在Win.ini的[windows]字段中有启动命令load=和run=,=后默认为空,可以把开机加载程序的路径写在其中:
run=c:\windows\sample.exe
load=c:\windows\sample.exe
load=c:\windows\sample.exe
(2)在System.ini中启动
System.ini位于Windows的安装目录下,其中[boot]字段的shell=Explorer.exe是***通常用来隐藏加载之处。通常的做法是将该项变为shell=Explorer.exe sample.exe,这里的sample.exe即***服务端程序。
System.ini中的[386Enh]字段中的"driver=路径\程序名"也可以用来实现自启动,此外System.ini中的[mic]、[drivers]和[drivers32]也是***经常用来加载程序之处。
(3)通过启动组实现自启动
如图3-10所示的启动组用来实现应用程序自启动,文件夹的位置为“C:\Documents and Settings\Administrator\Start Menu\Programs\Startup”,其中Administrator为主机的用户名。如将QQ作为系统启动组中的一项,每次系统启动后都会自动运行它。
图3-10 系统启动组
也可以从注册表中的启动组添加***程序启动项,例如:“HKEY_CURRENT_USER\Software\MICROSOFT\Windows\CurrentVersion\Explorer\ShellFolders”,在右面的属性栏中可以找到Startup属性,***可以通过该属性更改启动组路径,如图3-11所示。
也可以从注册表中的启动组添加***程序启动项,例如:“HKEY_CURRENT_USER\Software\MICROSOFT\Windows\CurrentVersion\Explorer\ShellFolders”,在右面的属性栏中可以找到Startup属性,***可以通过该属性更改启动组路径,如图3-11所示。
图3-11 在注册表中更改启动组路径
(4)*.INI
(4)*.INI
后缀为ini的文件是系统中应用程序的启动配置文件,***程序利用这些文件能够自启动应用程序的特点将制作的带有***服务端程序自启动命令的文件上传到目标主机中,这样可以达到启动***的目的。
(5)修改文件关联
修改文件关联是***常用手段,例如在正常情况下使用Notepad.exe文件打开txt文件。但一旦被文件关联***感染,则txt文件就会被修改为用***程序打开,如著名的国产***冰河就是这样。
冰河***将“HKEY_CLASSES_ROOT\ txtfile\shell\open\command”下的键值“%SystemRoot%\system32\NOTEPAD.exe %1”修改为“C:\WINDOWS\SYSTEM\
Virus.exe%l”,如图3-12所示。
Virus.exe%l”,如图3-12所示。
图3-12 修改文件关联
只要用户双击一个txt文件,则由C:\WINDOWS\SYSTEM32目录下的Virus.exe这个***程序打开。不仅仅是txt文件,htm、exe及zip等也都是***的目标。
只要用户双击一个txt文件,则由C:\WINDOWS\SYSTEM32目录下的Virus.exe这个***程序打开。不仅仅是txt文件,htm、exe及zip等也都是***的目标。
(6)捆绑文件
如著名的Deception Binder捆绑文件后会将捆绑文件放到网站、FTP及BT等资源下载场所,用户下载并执行捆绑文件的同时就启动了***的服务端程序。
本文节选自电子工业出版社2009年6月出版的 《******实战编程》一书。
本文节选自电子工业出版社2009年6月出版的 《******实战编程》一书。
转载于:https://blog.51cto.com/broadviewsec/195091
扫一扫
1034
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
