荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: huaxuanbm (~~~~), 信区: Security
标  题: 木马的隐藏方法
发信站: 荔园晨风BBS站 (Mon Oct 27 15:40:00 2003), 站内信件

看木马常用的激活方式。

  在Win.ini中启动


  在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况

下“=”后面是空白的,如果后面跟着程序,比如:

  run=c:windows ile.exe

  load=c:windows ile.exe

  这个file.exe很可能就是木马程序!

  修改文件关联

  修改文件关联是木马们常用手段(主要是国产木马,老外的木马大都没有这个

功能),比方说正常情况下TXT文件的打开方式为Notepad.exe文件,但一旦中了文

件关联木马,则TXT文件打开方式就会被修改为用木马程序打开,如著名的国产木

马冰河。“冰河”就是通过修改HKEY_CLASSES_ROOT xtfileshellopenmmand下的
键值,将“C:WINDOWSNOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE
%1
”,这样当你双击一个TXT文件,原本应用Notepad打开该文件的,现在却变成启动

木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、
ZIP、COM等都是木马的目标,要小心喽。对付这类木马,只能经常检查
HKEY_CLASSES_ROOT文件类型shellopenmmand主键,查看其键值是否正常。

  捆绑文件

  实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用

户用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件,

这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了

。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动

木马。

  在System.ini中启动

  System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.
exe
是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:
shell=Explorer.exe file.exe,注意这里的file.exe就是木马服务端程序!

  另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路

径程序名”,这里也有可能被木马所利用。

  再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们

起到加载驱动程序的作用,但也是添加木马程序的好场所。

  利用注册表加载运行

  如下所示的注册表位置都是木马喜好的藏身之处,赶快检查一下,有什么程序

在其下:

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“
run”开头的键值;

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“
run”开头的键值;

  HKEY_USERS.DefaultSoftware

  MicrosoftWindowsCurrentVersion下所有以“run”开头的键值。

  在Autoexec.bat和Config.sys中加载运行

  请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式

一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上

传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所

以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以

轻心。

  在Winstart.bat中启动

  Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,它也是一

个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成

,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按
[F8]键再选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以

由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行



  “反弹端口”型木马的主动连接方式

  什么叫“反弹端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的

防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机发

出的连接却疏于防范(当然有的防火墙两方面都很严格)。于是,与一般的木马相反

,“反弹端口”型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被

动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连

接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐

蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自

己的端口,发现的也是类似“TCP 服务端的IP地址:1026,客户端的IP地址:80
ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会

如此认为,大概没有哪个防火墙会不给用户向外连接80端口吧。这类木马的典型代

表就是“网络神偷”。由于这类木马仍然要在注册表中建立键值,因此只要留意注

册表的变化就不难查到它们。

  尽管木马很狡猾,善于伪装和隐藏自己,达到其不可告人的目的。但是,只要

我们摸清规律,掌握一定的方法,还是能够防范的。消除对木马的恐惧感和神秘感

。其实,只要你能加倍小心,加强防范,相信木马将会离你远去!

  (责任编辑 Jacky)

--
现在开始,我只疼你一个,宠你,不会骗你,答应你的每一件事情我都会做到,对
你讲的每一句话都是真话,不欺负你,不骂你,相信你,有人欺负你,我会第一时
间出来帮你,你开心的时候我会陪着你开心,你不开心,我也会哄的你开心,永远
觉得你最漂亮,做梦都会梦见你。

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.6]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店