一
木马简介
1、木马的定义
木马和病毒都是一种人为的程序
,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术.
"木马
"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏账号,股票账号,甚至网上银行账户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
2、木马的种类
现在的木马越来越变化多端
,加密自身,规避杀毒软件甚至是令防病毒软件失效,隐藏自身等.
下面
,就说说我遇上的几种
第一种,李鬼装李奎式这种木马最常见,例如网银大盗,它把自己的名字写成svch0st.exe,你不是十分仔细去看的话,跟svchost.exe是不是非常像呀,常见的名字还有kernel32.exe,sysexpr.exe,registry.exe等有一次还遇到个更鬼的,名字叫smss .exe ,你一看,是WNIDOWS系统文件呀,结果,就放跑了他有几次,遇到一个名字为smss.exe的,名字跟WINDOWS系统进程SMSS.EXE完全一致,在进程管理器中想杀掉它的时候,发现无法杀掉,提示是系统关键进程,两个SMSS.EXE进程都杀不掉,竟然利用跟关键进程相同的名字来达到保护自己的目的
第二种
,百变金刚形,这种木马最讨厌,采用人海战术,他一感染的话,立即复制自身N个拷贝,结果是,你杀完一个文件,又感染,再杀,重启,还不干净,直到你找到所有文件,杀完,才OK,这种处理起来十分费时费力
第三种,钩子型,有些木马把自己的关键DLL钩在WINDOWS的某个应用上,例如IE上,像我上次查到的曾道人特码就是,一开始百思不得其解,该杀的都杀了,咋打开IE,还会出现"曾道人特码"这几个字呢,而且无法选中,看起来像是图片,但是,网址却是ABOUT:BLANK,开始怀疑是IE的默认页ABOUT:BLANK的DLL文件被替换了(ABOUTBLANK在其中),于是找到该文件,替换,打开了,还是有.思考了一下,打开IE主目录,发现有一个陌生的DLL文件,看签名,不是MS的,不明来历,想删,却删不掉.于是凭名字在注册表中找到其键,将其干掉,然后再进入安全模式删掉,重启,终于将其彻底干掉了 第四种,同归于尽型,这种木马,首先一般会将自己与某种类型的文件相关联,比如常见的EXE文件,或者TXT,或者干脆跟FOLDER文件类型关联,让你只要打开文件夹,就有机会运行它.更不妙的是,这种木马,千万别轻易将其干掉,得先杀进程,清理注删表,最后,再删掉其真身.如果你一杀掉进程,立即去删木马文件,那你再重启的时候,轻则提示EXE文件打不开,重则,连进入WINDOWS界面都不行
第五种,多头多身型 ,这种木马,一般不是单个文件,其次,会同时运行木马的不同名的多个副本,然后,它们还会监视注册表,防止你通过修改注册表切断其生存的机会,通常遇上这种木马,你结束了一个进程,修改一下注册表,以为完事了.可是,你重启,发现它又出来了.那就说明,它不光有一个真身,它可能有N个真身,互相照应,你光杀一个进程不行,得全部进程一起杀,然后再去改注册表,它就OVER了
第六种,反向联络型,一般我们想到木马,总是想到远程控制,总是想到种木马的人在某个角落用鼠标打开你的电脑,查找对他有价值的资料,或者对你的电脑进行破坏.我们总认为种木马的人会主动来找马.
但是,你错了.这种方式的木马,生命力极其脆弱,因为对于自外部连入的连接,防火墙可以轻而易举的拦掉,而且,防火墙只要阻塞掉外部种马人想要连接的端口就行了.对于那些通过NAT方式接入的用户来说,种马人连接的是路由器的IP,而路由器的大部分端口是关闭的,所以,是根本行不通的
但是,木马不一定非要等种马人跟他联络呀,有一部分木马,在种入的时候,允许种马人通过参数化的形式,设置外部种马人的联络方式(如EMAIL)或者设置外部接收服务器的联系方式.这种,木马就可以主动发起向外的连接,多数的防火墙对于向外的连接是宽松的,因此,被窃取的信息,就可以通过木马源源不断的发送到种马人指定的邮箱,FTP或其他位置.
其实,这个原理,跟TFTP一样,我们一般用FTP,FTP服务器的IP和端口是固定的,而客户机是不固定的,但是TFTP恰恰相板,服务器不需要固定IP和端口,只要客户机端口固定,它就可以以上载的形式,把客户端的内容上传到TFTP上来
这种反其道而行之的手法,往往出乎人的意料,杀伤力很大
但是,你错了.这种方式的木马,生命力极其脆弱,因为对于自外部连入的连接,防火墙可以轻而易举的拦掉,而且,防火墙只要阻塞掉外部种马人想要连接的端口就行了.对于那些通过NAT方式接入的用户来说,种马人连接的是路由器的IP,而路由器的大部分端口是关闭的,所以,是根本行不通的
但是,木马不一定非要等种马人跟他联络呀,有一部分木马,在种入的时候,允许种马人通过参数化的形式,设置外部种马人的联络方式(如EMAIL)或者设置外部接收服务器的联系方式.这种,木马就可以主动发起向外的连接,多数的防火墙对于向外的连接是宽松的,因此,被窃取的信息,就可以通过木马源源不断的发送到种马人指定的邮箱,FTP或其他位置.
其实,这个原理,跟TFTP一样,我们一般用FTP,FTP服务器的IP和端口是固定的,而客户机是不固定的,但是TFTP恰恰相板,服务器不需要固定IP和端口,只要客户机端口固定,它就可以以上载的形式,把客户端的内容上传到TFTP上来
这种反其道而行之的手法,往往出乎人的意料,杀伤力很大
第七种
,
透明型
有些木马是透明的
,
透明的意思是
,
你看不到木马文件
,
找不到木马的启动方式
,
看不到木马进程
,
甚至你连木马的端口也看不到
,
这个就可怕了吧
,
抓间谍也要有特性吧
,
这种木马非常少见
,
但威力惊人
像 Hacker Defender 就是一例 , 不信的话 , 你可以下载一个试试 , 你运行一次 , 然后自己去清理他 很难
这种木马首先会隐掉自己的真身 , 但是 , 它不是通过修改文件属性来实现的 , 因此 , 假如你妄想通过打开隐藏文件及系统文件查看的方式来看到它 , 你将会一无所获 , 如果用 ATTRIB 来看它的文件属性 , 它的属性为空 , 也就是说 , 没有 AHSR 中的任何一种属性
第二 , 它隐藏掉注册表中与自己相关的键 , 这样 , 当你搜索注册表 , 查看启动组时 , 你也是一无所获
第三 , 假如作为 WINDOWS 服务运行 , 它会隐藏自己在 WINDOWS 服务列表中的身影 , 防止你通过服务管理器来干掉它
第四 , 它可以隐藏掉指定的任务 , 包含自己本身 , 所以 , 无论你是用 WINDOWS 自身的 TASKMANAGR 也好 , 还是用 NORTON 的 PROCESSVIEW, 都休息找到它的身影
第五 , 它可以隐藏掉自己守候的端口 , 有些木马甚至不需要用特殊端口 , 它们利用一种叫作 Redirec 的技术来管道式处理请求 , 例如 , 它们将自己贴在 WEBSERVER 守候的端口上 , 当来自 80 端口的请求进入时 , 它查找特定特征 , 例如 , 连续 256 个字节内容相同之类的 , 如果找不到 , 就转发请求给 IIS, 如果找到 , 就自行处理请求 . 这样一来 , 好比自来水龙头上加装了过滤装置 , 对于一般用户来说 , 它们请求 80 端口看到了网页 , 对于种马人来说 , 它们通过 80 端口则监听了远程主机 . 是不是十分可怕 ?
以为我在说科幻故事 ?NO! 本人遭遇过 , 就在最近 !
这种木马 , 说实话 , 十分创意 , 不过 , 却也十分祸害 .
假如种马人是位高手的话 , 它可以耐心的等待 , 慢慢的潜伏 , 收集他想要的东西而不露痕迹 , 另外 , 他愿意的话 , 再在其上打开代理 , 再利用受害主机攻击下一目标 , 都是十分容易的事
像 Hacker Defender, 如果有经验的攻击者 , 完全可以将其伪装到完全透明
他可以更改掉其服务名 , 更改成一个长的 , 类似 WINDOWS 服务的名称 , 为其写上看似正规的说明 , 只要不用默认的服务名启动 , 那么 , 你不知道其服务名 , 就无法停止其服务 , 就算你启动到急救模式 , 用 LISTSVC 来列表服务 , 可是 , 它完全可以通过其冠冕堂皇的名称将你骗过
像 Hacker Defender 就是一例 , 不信的话 , 你可以下载一个试试 , 你运行一次 , 然后自己去清理他 很难
这种木马首先会隐掉自己的真身 , 但是 , 它不是通过修改文件属性来实现的 , 因此 , 假如你妄想通过打开隐藏文件及系统文件查看的方式来看到它 , 你将会一无所获 , 如果用 ATTRIB 来看它的文件属性 , 它的属性为空 , 也就是说 , 没有 AHSR 中的任何一种属性
第二 , 它隐藏掉注册表中与自己相关的键 , 这样 , 当你搜索注册表 , 查看启动组时 , 你也是一无所获
第三 , 假如作为 WINDOWS 服务运行 , 它会隐藏自己在 WINDOWS 服务列表中的身影 , 防止你通过服务管理器来干掉它
第四 , 它可以隐藏掉指定的任务 , 包含自己本身 , 所以 , 无论你是用 WINDOWS 自身的 TASKMANAGR 也好 , 还是用 NORTON 的 PROCESSVIEW, 都休息找到它的身影
第五 , 它可以隐藏掉自己守候的端口 , 有些木马甚至不需要用特殊端口 , 它们利用一种叫作 Redirec 的技术来管道式处理请求 , 例如 , 它们将自己贴在 WEBSERVER 守候的端口上 , 当来自 80 端口的请求进入时 , 它查找特定特征 , 例如 , 连续 256 个字节内容相同之类的 , 如果找不到 , 就转发请求给 IIS, 如果找到 , 就自行处理请求 . 这样一来 , 好比自来水龙头上加装了过滤装置 , 对于一般用户来说 , 它们请求 80 端口看到了网页 , 对于种马人来说 , 它们通过 80 端口则监听了远程主机 . 是不是十分可怕 ?
以为我在说科幻故事 ?NO! 本人遭遇过 , 就在最近 !
这种木马 , 说实话 , 十分创意 , 不过 , 却也十分祸害 .
假如种马人是位高手的话 , 它可以耐心的等待 , 慢慢的潜伏 , 收集他想要的东西而不露痕迹 , 另外 , 他愿意的话 , 再在其上打开代理 , 再利用受害主机攻击下一目标 , 都是十分容易的事
像 Hacker Defender, 如果有经验的攻击者 , 完全可以将其伪装到完全透明
他可以更改掉其服务名 , 更改成一个长的 , 类似 WINDOWS 服务的名称 , 为其写上看似正规的说明 , 只要不用默认的服务名启动 , 那么 , 你不知道其服务名 , 就无法停止其服务 , 就算你启动到急救模式 , 用 LISTSVC 来列表服务 , 可是 , 它完全可以通过其冠冕堂皇的名称将你骗过
3、木马的功能
1、自动搜索已中木马的计算机
2、对对方资源进行管理。复制文件,删除文件,查看文件内容,上传文件。下载文件等。
3、远程运行程序。
4、监视对方屏幕
5、直接屏幕鼠标控制。键盘输入控制。
6、监视对方任务且可以中止对方任务
7、锁定鼠标、键盘和屏幕。
8、远程重新启动计算机、关机。
9、记录、监视按键顺序、系统信息等一切操作。
10、随意修改注册表。
11、共享被控制端的硬盘
12、进行乱屏等要弄入的操作。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
