木马工作原理

木马工作原理木马的工作原理一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里，利用的途径有邮件附件、下载软件中等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这个木马执行文件，是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件非常小，大部分都是几K到几十K，如果把木马捆绑到其他正常文件上，你很难发现，所以，有一些网站提供的软件下载往往是捆绑了木马文件的，你执行这些下载的文件，也同时运行了木马。木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入，由于微软的浏览器在执行Senipt脚本存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制CGI程序在攻击主机上执行木马目录。此外，木马还可以利用系统的一些漏洞进行植人，如微软著名的US服务器溢出漏洞，通过一个IISHACK攻击程序即可使IIS服务器崩溃，并且同时攻击服务器，执行远程木马执行文件。当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的机器。在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现;同时监听某个特定的端口，等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。木马是如何启动的作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探索新的自启动技术，并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序（例如explorer.exeM，用户执行该程序时，则木马自动发生作用。当然，更加普遍的方法是通过修改Windows系统文件和注册表达到目的，现经常用的方法主要有以下几种:在Win.ini中启动在Win.ini的［windows］字段中有启动命令”load="和"run=”，在一般情况下”=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exeload=c:\windows\file.exe要小心了，这个file.exe很可能是木马哦。在System.ini中启动System.ini位于Windows的安装目录下，其［boot］字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样：shelBExplorer.exefile.exe。注意这里的file.exe就是木马服务端程序！另外，在System.中的［386Enh］字段，要注意检查在此段内的"driver=路径\程序名”这里也有可能被木马所利用。再有，在System.ini中的［mic］、［drivers］＞［drivers32］这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。利用注册表加载运行如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下，睁大眼睛他细看看，别放过木马哦。如果你想让每执行一次EXE文件，都能自动执行木马，那么可以设置如下位置的键值⑴ICQ自启动[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]当ICQ检测到网络连接时，会自动执行这个键下的程序。（2）ActiveX部件这些都是木马编写者们经常使用的方法。在Autoexec.bat和Config.sys中加载运行请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心哦。在Winstart.bat中启动Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了W并加截了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。启动组木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\startmenu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shellFoldersStartup="c:\windows\startmenu\programs\startup”。要注意经常检查启动组哦！*.INI即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中（用于安装较多）。修改文件关联修改文件关联是木马们常用手段（主要是国产木马，老外的木马大都没有这个功能），比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的”冰河”就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开，如著名的国产HKEY一CLASSESROOT\txt闹e\shell\open\commandT的键值，将"C:\WINDOWS\NOTEPAD.EXE%l"改^"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l”,这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP.COM等都是木马的目标，要小心搂。对付这类木马，只能经常检查HKEY_CLASSES_ROOT\文件类^\shell\open\command主键，查看其键值是否正常。捆绑文件实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。反弹端口型木马的主动连接方式反弹端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端（被控制端）主动与客户端（控制端）建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷'，目前最新版本为V2.5。由于这类木马仍然要在注册表中建立键值（如我们在第三点中所讲的那样），因此只要留意注册表的变化就不难查到它们。同时，最新的天网防火墙也可在网络神偷服务端进行主动连接时发现它。加密木马的新思路首先我给大家介绍今天的主角.一个名叫”秘密行动”的新工具，这个工具把常用的几个小程序集合于一身，功能十分强大，可以完成捆绑程序，修改特征码，十六进制编辑及分割合并文件等.这次主要是利用这个新工具中集成的几个最新木马伪装技术,完成我们的木要马加密过程.下面就跟着我来一步一步将木马改造成超级无敌木马吧！步骤一:增加字节法我们都知道，杀毒软件是通过程序中某个位置的病毒特征码，来对文件进行识别判断是否是木马病毒的，改变了木马程序文件夹病毒特征码,就可以有效的躲过杀毒软件的查杀，更改木马的病毒特征码有几种方法，比如直接用特殊的工具进行修改，或者进行加壳等,但是由于杀毒软件的病毒识别技术在不断的提高，杀毒软件往往都通过同时对几处病毒特征码进行识别，因此普照通的特征码修改方法已经失效了，这里要为大家介绍的是一种新方法-----增加字节法.每个程序文件中都存在一些剩余空间,木马程序也不例外,我们可以向木马程序文件中增另一些空字节，从而改变文件的整个代码结构，但是并不影响程序的执行，由于程序的代码结构已经发生了变化,相应的病毒特征码位置也发生了改变，因此杀毒软件也无法对木马程序进行查杀了.点击秘密行动程序界面中的"AddBytes"（增加字节）按钮,在增加字节页面中输入要增加的字节数.默认的增加字节数是1000字节,但是过多的字节数会增加木马程序的体积，因此可以先增加一个比较小的字节数目击者.如果增加字节后,用杀毒软件检测能查出木马，那么再逐渐加大字节数.直到无法查出病毒为止.其实有时只需增加23个字节，就足以改变特征码让木马程序躲过杀毒软件了.设置了合理的字节数后，点击”选择文件”旁的浏览按钮，浏览选择要进行增加字节处理的木马程序，然后点击"AddBytes"按钮,即可在木马程序中增加指定的字节数了，这里我们和坂的是Pcshare生成的木马服务端程序,通过两次增加23个字节数后,用杀毒软件进行查杀，提示没有检测到病毒.步骤二:EXE文件巧变VBS在windows系统中，默认情况下都安装了Wscript,因此可以执行VBS文件，如果我们将木马程序转化为VBS文件后，由于许多杀毒软件不对硬盘中的VBS文件检测.因此木马程序就可以躲过病毒防火墙的眼睛，同时，将木马程序转化为VBS文件还有一个非常有利的地方，比如在获得一个溢出的shell窗口后，发现被溢出主机上安装了防火墙，无法上传木马时，可以通过直接将VBS代码贴入shell窗口,在远程主机中写入一个VBS文件，达到上传木马的目标.躲过杀毒软件点击秘密行动程序界面中的"CreateVBS"按钮，在VBS文件生成页面中点击”选择文件”，指定木马程序文件后,将自动显示输入VBS文件名.点击"Makescript"按钮,程序就会自动将EXE文件转化为VBS文件了.转化成功以后出现成功提示,并显示了源EXE文件体积和新生成VBS文件的大小，可以看出经过转换后木马程序体积并没有增大多少.虽然在我的电脑上启用了杀毒软件的即时监控功能，但是在运行生成的VBS文件时，杀毒软件并没有发出病毒警报，可见生成的VBS成功地躲过了杀毒软件查杀.上传木马当我们获得一个远程溢出窗口时,如果远程主机上安装了防火墙和杀毒软件，无法上传木马时,可以用秘密行动软件将木马程序按上面的方法转化成为VBS文件.然后用记事本打开生成的VBS文件，将所有程序代码复制到剪切板中.再返回溢出的shell窗口.输入命令"copyconmuma.vbs";回车后,在shell窗口中点击鼠标右键，选择”粘贴”命令，将所有VBS代码贴入shell窗口中，代码贴入后，按下+Z组合键，屏幕上会看到AZ的提示.这个时候再敲一次回画.系统会提示”已复制一个文件”，这就表示文件创建成功了,在远程主机上生成一个名为"muma.vbs"的文件，在shell窗口运行"muma.vbs",木马服务端程序就已经悄悄在远程主机上运行了.步骤三:压缩/打乱头文件我们通常会通过压缩程序文件的方法，达到更改木马程序特征码，以躲过杀毒软件的查杀，但是现在的杀毒软件反病毒能力也越来越高.普照通的加壳已经失效了.因此必须想出新的木马伪装方法.其实在压缩过的森马程序上再加上一道工序.打乱加壳文件的头文件.就可以躲过病毒防火墙的眼睛.加壳运行秘密行动程序,点击界面中的'pack/scramble"按钮,打开加壳与打乱头文件界面，首先浏览指定某个木马服务端程序，然后点击"pack"按钮,对木马程序进行加壳.程序使用的是UPX壳,一方面可以减小程序的体积，另外一方面可以初步更改木马特征码.打乱头文件.已经将木马程序用UPX加壳过了,现在要将加的UPX壳头文件打乱，让文件无法再用UPX脱壳工具来脱壳.点击程序界面中的"scramble"按钮，打开UPX-scrambler对话窗口，点击"target"旁的浏览按钮，浏览选择刚才加过壳的木马程序，勾选"keepbackup"项，在打乱头文件前，先对程序文件进行备份.小提示:在使用打乱头文件时，一定要选择经过UPX加壳的程序,未加壳或使用其它加壳工具加壳的程序，在打乱头文件后，很可能会造成文件被破坏而无法正常运行.设置完毕后,点击'scramble"按钮，即可对木马程序的头文件进行重组修改，打乱原有的头文件结构.打乱头文件的操作过程可能需要的时候会相对长一些，而且会重复进行多次,稍微耐心一点，很快就会生成一个新的木马程序了.新的木马程序用查壳软件无法查出使用了什么壳，用杀毒软件也无法进行查杀.除了上面介绍的几个功能外，在秘密行动中还集成了几个常用的木马伪装功能，比如捆绑程序,修改特征码等，使用起来非常简单，在一般的情况下也足以满足大家的需要了.木马如何盗取QQ密码一、剖析木马的使用设置常言道“知己知彼，百战不殆”，要防范GOP的攻击，首先就要了解它的运作机理。最新版的GOP下载解压缩之后是3个可执行文件加一个说明文档，还有一个附带的图标。其中gop.exe是服务端（千万不要在自己的电脑里面运行它！），editgop.exe是服务端编辑器，gopslit.exe是个整理发送记录的工具。GOP的配置分为四个部分。一般设置复制到定义目录：下拉菜单中可以选择目录、目录、目录和源目录四种之一。这就是木马的藏身之地。运行后删除源文件：画蛇添足的行为，连作者自己都推荐不要选上。（谁不知道运行后莫名其妙就消失的东东是木马，要是有这种情况发生，嘿嘿，小心啊！）服务文件名：就是木马的名字，可以改任何一个名字，不容易被发现。定义注册表键名：木马一旦被运行过，就会在注册表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键之下添加木马的键，以便今后每次开机时木马都能够自动运行。当记录数超过XX个时开始清理：当GOP记录文件中的记录数达到这个XX值的时候自动对记录进行清零。邮件设置SMTP:设置邮件发送服务器。知道这是干什么用的吗？当你上网的时候，GOP就会通过这个邮件服务器把你的OICQ密码发送到网上！发送邮箱：这是黑客用来发送邮件的信箱帐号。国内的免费信箱的提供商大都对SMTP服务器进行了限制，所以需要设置一个合法的邮件账号来发送信件。接收信箱：接收GOP发送的密码记录文档的信箱，受害者密码的最终目的地。检查间隔（秒）：设定GOP检查记录文档的时间间隔。如果检查时记录已经更新并且在线，就马上发送记录。欺骗窗口（笔者认为该木马很厉害之处）可以选择是否在第一次运行GOP的时候弹出一个欺骗窗口。比方说，定义一个标题为“警告”，内容为“内存不足!”，图标为“叹号”的欺骗窗口。这样在别人第一次运行这个木马的时候就会弹出定义的那个窗口，于是在神不知鬼不觉之中木马已经被植入电脑了。文件捆绑该木马自带文件捆绑工具，真是很恐怖。以下是它的重要选项：宿主文件：黑客可以在网上随便找一个小动画或者小程序，把它作为“寄生”的目标。文件图标：如果黑客找一个和系统工具一样的图标，一般的人是不敢删除的。这样，及时知道有木马也无法及时清除。下面开始讲如何对付这个木马。因为它很新，不要随便打开别人发过来的东西。这是一种非常冒险的行为，这绝不是危言耸听！二、 木马的检查该木马运行的时候在Windows的任务窗口中是看不到的。不要相信Windows的任务窗口--这是笔者的第二个忠告。点任务条上的“开始”、“运行”、“msinfo32”(就是Windows自带的系统信息，在“附件”中)。看其中的软件环境一正在运行的任务。这才是Windows现在全部运行的任务。当你在运行了什么东西之后觉得有问题的时候就看看这里。如果有一个项目有程序名和路径，而没有版本、厂商和说明，你就应该紧张一下了。先关掉你的猫:断网)，然后脱机重新登录一次你的OICQ,查找电脑中是否有record.dat文件(这是GOP记录OICQ密码的文档，如果你的OICQ密码被监控到了就一定会有。当然，即使你中了木马，在你还没有用OICQ的时候是不会有这个文件的。反正现在不在网上，不用担心密码被发甫。如果有的话，那么“恭喜”你了，100%中了木马。不信？用记事本打开那个record.dat，看看有没有你的宝贝OICQ的号码和密码。三、 木马的清除庆幸的是，至今为止绝大部分的木马都是在注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键下添加一个键值来让木马自动运行，该木马也不例外。运行regedit，进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键，记住那个在系统信息中查到的那个文件(在“剖析木马的设置”中，我们