|
 | 作者: CyberSpy [cyberspy]
 论坛用户 |
登录 |
| (一)特洛伊木马的功能 木马无非就是为了控制对方的电脑,只有取得了控制权,你才可以干你所想干的事情。 木马的基本功能是什么? 一个木马必须要具备读和写的 功能,才算是一个真正的木马。 读的功能,就是可以将目标电脑上的文件下载,可以分析目标电脑系统,进而选择攻击方法。 写的功能,就是上传文件到目标电脑上,当然可以将软件传到目标上。 为什么没有运行程序的功能,其实已经有了呀。举例说明,你先上传一个多功能的木马到目标电脑上(写的功能),然后下载c:\windows\win.ini或者c:\windows\system.ini(读的功能),把这两个文件修改好以后再上传(写的功能),目标电脑下一次启动,不是运行了你新上传的木马吗? 这就是为什么读写功能是木马的基本要求,同时它也为进一步扩大攻击奠定基础。 说个题外话,windows操作系统也是一个大木马,当目标电脑有共享目录的时候,139端口开放,外部的电脑就可以对目标电脑进行读写了,当然最好是windows系统目录是完全共享。 比较完善的木马应该具备什么功能呢? 木马既要最大程度上控制目标电脑,又要防止目标电脑对黑客的反攻击。 运行程序:这一点是比较重要的,你上传的软件可以直接运行,攻击的效率不知道高了多少呢; 查看及终止目标电脑进程:有了这项功能,就可以知道目标电脑在做什么事情,如果发现是追踪你或者设法反攻击你,你就可以及时关闭攻击程序。 以上两项功能就达到了控制目标电脑的目的。因为控制了内存,也就等于控制了电脑。 辅助的功能有,查看目标电脑屏幕,这比看进程直观多了。 我在前面所列出的木马中,绝大部分可以运行程序,小部分具有查看屏幕的功能,能控制进程的少之又少。 高级木马该具备的功能呢? 需要能编辑注册表,能捆绑到其他软件上,能改变安装地点及启动方式,能改变端口,上网自动通知。 只有SUB7的高级版本和冰河木马及BO木马基本上达到了这个要求。 冰河木马的缺点在于不能改变端口,BO木马性能上没说的,不过中国有句古话,叫“枪打出头鸟”,好象所有的杀毒软件都能杀BO的。 所以,SUB7应该说是我所搜集的木马中功能最强的了。 (二)特洛伊木马的生存能力 木马的生存能力是一项很重要的能力,如果木马可以能容易地发现并删除,那么不仅不能完成黑客所交给地任务,而且,目标电脑的主人可以监视端口,反而让黑客暴露自己,要是遇上高手,说不定黑客自己成了攻击的目标了。 木马的生存能力包括隐蔽性能、顽固性、潜伏能力。 木马有其不为人知的目的,所以,必须要具有隐蔽的性能,我们所见到的大部分木马多少都采用了一些隐蔽的办法。 顽固性是指难以删除,比如安装以后,会和操作系统合为一体等。 木马的潜伏能力也相当重要,如果木马能象特务一样,潜伏在某个位置,当暴露的木马被删除以后,备用的木马能启动继续打开端口,让黑客进入,那么,木马的生存能力将提高许多倍。 1.木马隐蔽性 木马隐蔽性包含八方面: 木马的启动方式 木马在硬盘上的位置 木马的文件名 木马的文件属性 木马的图标 木马开放的端口 木马运行时的隐蔽 木马在内存中的隐蔽 木马的启动方式: 木马最容易下手的地方是三个,注册表、win.ini、system.ini,电脑启动的时候,需要装载这三个文件,大部分木马是使用这三种方式启动的。 比较特殊的例子有木马schoolbus1.60版本,这是采用替换windows启动程序装载的,这种启动办法比较隐蔽,而且不容易排除木马。 另外也有捆绑方式启动的,木马phAse1.0版本和NetBus1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上。 如果捆绑到一般的程序上,启动是不确定的,这要看目标电脑主人了,如果他不运行,木马就不会进入内存。 捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马。 非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马由很强的隐蔽性。 从这点来说,phAse1.0等木马的生存能力比较强。 木马在硬盘上的位置: 一般位置是在c:\windows和c:\windows\system中,为什么要在这两个目录下,因为windows的一些系统文件在这两个位置,如果你误删了文件,你的电脑可能崩溃,你不得不重新安装系统。 另外,系统目录下的文件最多,很难发现的哦。如果新建目录存放木马,嘿嘿,傻子也会问怎么无缘无故多出文件来了。 木马的文件名: 木马的文件名更是一种学问,木马的文件名尽量和windows的系统文件接近,这样你就会弄糊涂了,比如木马SubSeven1.7版本的服务器文件名是c:\windows\KERNEL16.DL,而windows由一个系统文件是c:\windows\KERNEL32.DLL,他们之查一点点,但是删错了的话,结果可大不相同的哦,删除KERNEL32.DLL会让你死翘翘的哦。 再比如,木马phAse1.0版本,生成的木马是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系统文件C:\WINDOWS\System\Msgsrv32.exe一模一样,只是图标有点两样,你可不要删错了哦。 上面两个是假扮系统文件的类型,我们再来看看无中生有的类型,木马SubSeven1.5版本服务器文件名是c:\windows\window.exe,看清楚了哦,少一个s的哦,如果不告诉你这是木马,你有胆子删吗? 木马的文件属性: windows的资源管理器中可以看到硬盘上的文件,默认方式下隐含文件和DLL等系统文件是不显示的,部分木马就采用这种办法,让你在硬盘上看不到,虽然办法是简单了点,但是,如果你不注意的话,还是会漏掉的哦。比如木马schoolbus2.0版本的木马是一个隐含文件。 木马的图标: 呵呵,我挺喜欢木马的图标,有时候真给我哟中赏心悦目的感觉,不过,不是服务器的图标,而是控制器的图标“看上去很美”哦。 服务器的图标必须给目标电脑的主人误会,当他以为这是电脑的系统文件,不能删除,(此处涉及几处图标,转载时删除――苑主说明)看上去都象是系统文件似的,你有把握删吗? 这里还有一个特殊的例子,就是BO,它的图标是透明的,文件名没有,后缀名是EXE,WINDOWS默认方式下不显示后缀名的,所以,你在资源管理器中是看不到这个文件的。 木马开放的端口: 黑客要进入你的电脑,必须要有通往你电脑的途径,也就是说,木马必须打开某个端口,大家叫这个端口为“后门”,木马也叫“后门工具”。 这个不得不打开的后门是很难隐蔽的,只能采取混淆的办法,很多木马的端口是固定的,让人一眼就能看出是什么样的木马造成的。所以,端口号可以改变,是一种混淆的办法。 我们知道7306是木马netspy造成的,木马SUB7可以改变端口号,SUB7默认的端口是1243,如果没有改变,那么目标电脑的主人马上就可以使用删除SUB7的办法删除它,但是如果把1243端口改成了7306呢,呵呵,一定会把目标电脑的主人弄混淆了。 有些网友会问,要是这个端口会自动改变那该多好呀,每次上网端口号自动改变,呵呵,真聪明,可惜聪明过头了。比如,真有这样的木马装在我的电脑上,每次上网的端口均会改变,你是黑客,你打算怎么进入我的电脑呢?你知道这个木马现在开放的端口号是多少吗?想扫描我的电脑?端口一共有6万多个,你什么时候扫描完毕?半个小时,呵呵,我早发现了,早把你炸死了。即使我是菜鸟一个,你这样高速度扫描我的电脑,也会导致我的电脑通讯阻塞,谁会在网速非常慢的情况下在网络上待半个小时? 所以,这基本上是不太可能的事情。 木马运行时的隐蔽: 木马在运行的时候肯定是隐蔽的啦,如果木马在目标电脑上打开一个窗口,告诉用户,什么什么人在你的电脑中干什么,这还叫什么木马。从这个意义上说,FTPServ-U2.3b真的不算是木马。 木马在内存中的隐蔽: 一般情况下,如果某个程序出现异常,用正常的手段不能退出的时候,采取的办法时按“Ctrl+Alt+Del”键,跳出一个窗口,找到需要终止的程序,然后关闭它。 早期的木马会在按“Ctrl+Alt+Del”显露出来,现在大多数木马已经看不到了。 所以只能采用内存工具来看内存中时候存在木马。 前面所说的木马的文件名也帮助木马在内存中的隐蔽,一般用户是不会终止那些看上去很象系统文件的程序,因为终止错了可能导致死机。 2.木马的顽固性 即使木马被发现存在于电脑中,但是,很难删除,这就是一个顽固的木马。 比如木马schoolbus1.60版本和2.0版本,启动位置是在c:\windows\system\runonce.exe中,你很难修改这个文件,只有重新安装这个文件才可以排除木马。 再比如木马YAI07.291999版本,大面积的程序染上木马,导致你不得不格式化硬盘,你想手动删除?呵呵,不怕删不干净吗? 我总感觉,这类木马死皮赖脸地想赖在硬盘上不肯走,幸好这样的木马少之又少。如果你喜欢玩木马,对于这样的木马还是少碰为好,除非你知道如何能彻底删除这种木马。 删除这种类型的木马,还是交给杀毒软件去吧。 3.木马的潜伏能力 有的木马具有潜伏的能力,表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来。 这种条件主要是目标电脑主人的操作造成的。 我们先来看一个典型的例子:木马Glacier(冰河1.2正式版) 这个木马有两个服务器程序,C:\WINDOWS\SYSTEM\Kernel32.exe挂在注册表的启动组中,当电脑启动的时候,会装入内存,这是表面上的木马。 另一个是C:\WINDOWS\SYSTEM\Sysexplr.exe,也在注册表中,它修改了文本文件的关联,当你点击文本文件的时候,它就启动了,它会检查Kernel32.exe是不是存在,如果存在的话,什么事情也不做。 当表面上的木马Kernel32.exe被发现并删除以后,目标电脑的主人可能会觉得自己已经删除木马了,应该是安全的了。 如果目标电脑的主人在以后的日子中点击了文本文件,那么这个文件文件照样运行,而Sysexplr.exe被启动了。 Sysexplr.exe会发现表面上的木马Kernel32.exe已经被删除,就会再生成一个Kernel32.exe,于是,目标电脑以后每次启动电脑木马又被装上了。 这是一个典型的具有潜伏能力的木马,另外具有潜伏能力的还有木马BirdSPY(鸟人),只不过比冰河差远了。 (三)控制器操作傻瓜化 现在的软件都在傻瓜化,特洛伊木马也不例外,于是越来越多的菜鸟也会使用特洛伊木马了。 想拦是拦不住了,如果真想学习特洛伊木马,也算是好事,只能正确引导吧。 如果控制器上还需要输入什么命令的话,那就不算是什么好的控制器,要是控制器是中文的,当然是最好了。 最适合中国菜鸟的木马是netspy,奇奇就是从它这里玩起的。 如果你想有所提高,可以使用SUB71.90配上中文的控制器,要是还闲其中的英文麻烦的话,就使用冰河木马。在使用这两种木马的时候注意了,他们可以对注册表编辑,不要操作错误哦,会导致对方的电脑崩溃的哦。 |
| 地主 发表时间: 11/05 22:43 |
 | 回复: evangelion [evangelion]  论坛用户 |
登录 |
|
老大,从哪抄的,这篇文章我读过! |
| B1层 发表时间: 11/05 23:43 |
| 回复: CyberSpy [cyberspy] 论坛用户 |
登录 |
|
这是从统一网是转的~! 我没有说过是我写的啊,我没有时间写,所以就粘点基础的东西给大家,我看这里许多的网友都需要看一下的,所以…… 谢谢你~ |
| B2层 发表时间: 11/06 23:02 |
 | 回复: nothing [eson]  论坛用户 |
登录 |
|
可以啊. |
| B3层 发表时间: 11/14 08:50 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 与特洛伊木马过招(二)