A. 怎麼樣才能讓木馬與文件夾捆綁,而且不易被破壞.
別干壞事~~~
下載一個exe捆綁機,使用及其簡單!
用IExpress製作免殺木馬實戰教程
--------------------------------------------------------------------------------
摘自: 2005-07-24 00:54:43 hackbase.com
工具介紹:
名稱:IExpress
功能:專用於製作各種 CAB 壓縮與自解壓縮包的工具。
實際操作
在這一部分,筆者將以實例的形式為大家詳細講解捆綁木馬的整個過程。
第一步
在「運行」對話框中輸入IExpress就可啟動程序(圖1)。
在開始的時候會有兩個選項供你選擇,一個是創建新的自解壓文件(Create new Self Extraction Directive file),另一個是打開已經保存的自解壓模板「.sed」文件(Open existing Self Extraction Directive file)。我們應該選擇第一項,然後點擊「下一步」按鈕。[!--empirenews.page--]
第二步
接下來選擇製作木馬自解壓包的三種打包方式(圖2),它們分別是建立自解壓並自動安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。
因為我們要製作的是木馬解壓包,所以應該選擇第一項。在輸入壓縮包標題後點擊「下一步」按鈕。
第三步
在「確認提示」(Confirmation prompt)這一環節,軟體會詢問在木馬程序解包前是否提示用戶進行確認,由於我們是在製作木馬程序的解壓包,當然越隱蔽越好,選擇第一項「不提示」(No prompt),這么做的目的是讓中招人毫無防備。點擊「下一步」按鈕,在接下來的添加「用戶允許協議」(License agreement)中添加一個偽裝的用戶協議迷惑中招者,選擇「顯示用戶允許協議」(Display a license),點擊「Browse」選擇一份編輯好的TXT文檔,此文檔可以用微軟公司的名義來編輯,設置完畢後點擊「下一步」。這一步的目的是迷惑對手並隱藏木馬安裝的過程。
第四步
現在,我們就進入了文件列表窗口(Packaged files)。點擊該窗口中的「Add」按鈕添加木馬和將要與木馬程序捆綁在一起的合法程序。根據剛才編輯的協議文件的內容添加合法程序。例如,你製作的協議和IE補丁包相關,那麼你就可將木馬和一個正常的IE補丁包添加進來。
隨後進入安裝程序選擇窗口,指定解壓縮包開始運行的文件(Install Program)和安裝結束後運行的程序(post install command)。例如,在Install Program內設置正常的IE補丁包先運行,此時木馬並未運行,在中招者看來的確是一個IE補丁包。在post install command內設置木馬程序,這樣在IE補丁包安裝完畢時,木馬程序將會在後台執行,我們的目的也就達到了。
第五步
接下來選擇軟體在安裝過程中的顯示模式(Show window)。由於我們的木馬是和合法程序捆綁在一起的,所以選擇「默認」(Default)即可。接下來進行提示語句(Finished message)的顯示設置,由於我們做的是木馬捆綁安裝程序,當然應該選擇「No message」。
第六步
上述設置完成後,接著設置自解壓程序的保存位置和名稱。在這里要選擇「Hide File Extracting Progress Animation from User」,以便隱藏解壓縮過程,有助於隱藏某些木馬程序啟動時彈出的命令提示框。最後,設置在軟體安裝完成後是否重新啟動(Configure reboot),可以根據實際需要來選擇。如果你所用的木馬是「即插即用」的,那麼就選擇「No reboot」;如果所採用的木馬用於開啟終端服務,那麼可選擇「Always reboot」,同時選擇「重新啟動前不提示用戶」(Do not prompt user before reboot)。[!--empirenews.page--]
在保存剛才所做的設置後點擊「下一步」按鈕,即可開始製作木馬自解壓程序。
整個製作過程是在DOS下進行的,在完成度達到100%後會彈出提示窗口,點擊「完成」,木馬程序與合法程序的捆綁工作就完成了(格式為EXE),直接雙擊即可運行。你再用殺毒軟體查一查。怎麼樣?已經完全不會被查出來了吧。
現在還等什麼?趕快利用「木馬屠城」介紹過的網頁木馬傳播技術或木馬電子書技術發布你的木馬去吧。當然,你也可以把它作為IE的重要補丁發送給別人。
不用第三方工具,無需過多的加殼偽裝,讓「Windows」來為我們服務,為我們捆綁木馬,豈不快哉。
第二步
接下來選擇製作木馬自解壓包的三種打包方式(圖2),它們分別是建立自解壓並自動安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。
因為我們要製作的是木馬解壓包,所以應該選擇第一項。在輸入壓縮包標題後點擊「下一步」按鈕。
第三步
在「確認提示」(Confirmation prompt)這一環節,軟體會詢問在木馬程序解包前是否提示用戶進行確認,由於我們是在製作木馬程序的解壓包,當然越隱蔽越好,選擇第一項「不提示」(No prompt),這么做的目的是讓中招人毫無防備。點擊「下一步」按鈕,在接下來的添加「用戶允許協議」(License agreement)中添加一個偽裝的用戶協議迷惑中招者,選擇「顯示用戶允許協議」(Display a license),點擊「Browse」選擇一份編輯好的TXT文檔,此文檔可以用微軟公司的名義來編輯,設置完畢後點擊「下一步」。這一步的目的是迷惑對手並隱藏木馬安裝的過程。
第四步
現在,我們就進入了文件列表窗口(Packaged files)。點擊該窗口中的「Add」按鈕添加木馬和將要與木馬程序捆綁在一起的合法程序。根據剛才編輯的協議文件的內容添加合法程序。例如,你製作的協議和IE補丁包相關,那麼你就可將木馬和一個正常的IE補丁包添加進來。[!--empirenews.page--]
隨後進入安裝程序選擇窗口,指定解壓縮包開始運行的文件(Install Program)和安裝結束後運行的程序(post install command)。例如,在Install Program內設置正常的IE補丁包先運行,此時木馬並未運行,在中招者看來的確是一個IE補丁包。在post install command內設置木馬程序,這樣在IE補丁包安裝完畢時,木馬程序將會在後台執行,我們的目的也就達到了。
第五步
接下來選擇軟體在安裝過程中的顯示模式(Show window)。由於我們的木馬是和合法程序捆綁在一起的,所以選擇「默認」(Default)即可。接下來進行提示語句(Finished message)的顯示設置,由於我們做的是木馬捆綁安裝程序,當然應該選擇「No message」。
第六步
上述設置完成後,接著設置自解壓程序的保存位置和名稱。在這里要選擇「Hide File Extracting Progress Animation from User」,以便隱藏解壓縮過程,有助於隱藏某些木馬程序啟動時彈出的命令提示框。最後,設置在軟體安裝完成後是否重新啟動(Configure reboot),可以根據實際需要來選擇。如果你所用的木馬是「即插即用」的,那麼就選擇「No reboot」;如果所採用的木馬用於開啟終端服務,那麼可選擇「Always reboot」,同時選擇「重新啟動前不提示用戶」(Do not prompt user before reboot)。
在保存剛才所做的設置後點擊「下一步」按鈕,即可開始製作木馬自解壓程序。
整個製作過程是在DOS下進行的,在完成度達到100%後會彈出提示窗口,點擊「完成」,木馬程序與合法程序的捆綁工作就完成了(格式為EXE),直接雙擊即可運行。你再用殺毒軟體查一查。怎麼樣?已經完全不會被查出來了吧。
現在還等什麼?趕快利用「木馬屠城」介紹過的網頁木馬傳播技術或木馬電子書技術發布你的木馬去吧。當然,你也可以把它作為IE的重要補丁發送給別人。
不用第三方工具,無需過多的加殼偽裝,讓「Windows」來為我們服務,為我們捆綁木馬,豈不快哉
參考資料:http://www.juntuan.net/e/DoPrint/?newsid=6496
B. 怎麼樣在文件上綁上木馬(病毒)
找一個加殼工具
鄭重提醒:製作傳播病毒木馬是違反了計算機網路安全法的
C. 請問什麼方法可以在硬碟上某個文件夾下建立一個免殺區,用來存放木馬病毒。
很簡單,加入白名單即可,。,。去凡窩電腦技術論壇看看吧,那裡的技術教程很多的,涉及很多方面的網路技術,有機會多去那看看教程吧
D. 木馬如何使用和下載
什麼是木馬?
特洛伊木馬(以下簡稱木馬),英文叫做「Trojan house」,其名稱取自希臘神話的特洛伊木馬記。
它是一種基於遠程式控制制的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會採用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往只能望「馬」興嘆。
所謂非授權性是指一旦控制端與服務端連接後,控制端將享有服務端的大部分操作許可權,包括修改文件,修改注冊表,控制滑鼠,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網路還處於以UNIX平台為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到系統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。
鑒於木馬的巨大危害性,我們將分原理篇,防禦與反擊篇,資料篇三部分來詳細介紹木馬,希望大家對特洛伊木馬這種攻擊手段有一個透徹的了解。
原 理 篇
基礎知識
在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。
一個完整的木馬系統由硬體部分,軟體部分和具體連接部分組成。
(1)硬體部分:建立木馬連接所必須的硬體實體。 控制端:對服務端進行遠程式控制制的一方。 服務端:被控制端遠程式控制制的一方。 INTERNET:控制端對服務端進行遠程式控制制,數據傳輸的網路載體。
(2)軟體部分:實現遠程式控制制所必須的軟體程序。 控制端程序:控制端用以遠程式控制制服務端的程序。 木馬程序:潛入服務端內部,獲取其操作許可權的程序。 木馬配置程序:設置木馬程序的埠號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。
(3)具體連接部分:通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP,服務端IP:即控制端,服務端的網路地址,也是木馬進行數據傳輸的目的地。 控制端埠,木馬埠:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或木馬 程序。
木馬原理
用木馬這種黑客工具進行網路入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能:
(1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會採用多種偽裝手段,如修改圖標 ,捆綁文件,定製埠,自我銷毀等,我們將在「傳播木馬」這一節中詳細介紹。
(2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,IRC號 ,ICO號等等,具體的我們將在「信息反饋」這一節中詳細介紹。
二.傳播木馬
(1)傳播方式:
木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人只要打開附件系統就會感染木馬;另一種是軟體下載,一些非正規的網站以提供軟體下載為 名義, 將木馬捆綁在軟體安裝程序上,下載後,只要一運行這些程序,木馬就會自動安裝。
(2)偽裝方式:
鑒於木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑製作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目 的。
(一)修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴你,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提 心吊膽,疑神疑鬼的。
(二)捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的 情況下 ,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。
(三)出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的 設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務 端用戶打開木 馬程序時,會彈出一個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如「文件已破壞,無法打開的!」之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了 系統。
(四)定製埠
很多老式的木馬埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 埠就 知道感染了什麼木馬,所以現在很多新式的木馬都加入了定製埠的功能,控制端用戶可 以在1024---65535之間任選一個埠作為木馬埠(一般不選1024以下的埠),這樣就給判斷 所感染木馬類型帶 來了麻煩。
(五)自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後,木馬 會將自己拷貝到WINDOWS的系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),一般來說 原木馬文件 和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬 的朋友只要在近來 收到的信件和下載的軟體中找到原木馬文件,然後根據原木馬的大小去系統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬後,原木馬文件將自動銷毀,這 樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。
(六)木馬更名
安裝到系統文件夾中的木馬的文件名一般是固定的,那麼只要根據一些查殺木馬的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以現在有很多木馬都允許控 制端用戶自由定製安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。
三.運行木馬
服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然後在注冊表,啟動組,非啟動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啟動木馬了,具體過程見下圖:
(1)由觸發條件激活木馬
觸發條件是指啟動木馬的條件,大致出現在下面八個地方:
1.注冊表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。
2.WIN.INI:C:\WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在[windows]欄位中有啟動 命令 load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:\WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動命令。
4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都 需要控制端用戶與服務端建立連接後,將已添加木馬啟動命令的同名 文件上傳 到服務端覆蓋這兩個文件才行。
5.*.INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬 啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。
6.注冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個例子,國產 木馬「冰河」就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將「C :\WINDOWS \NOTEPAD.EXE %1」該為「C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1」,這時你雙 擊一個TXT文件 後,原本應用NOTEPAD打開文件的,現在卻變成啟動木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬 ,不同之處只在於「文件類型」這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找一下。
7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然後控制端用戶用工具 軟體將木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。
8.啟動菜單:在「開始---程序---啟動」選項下也可能有木馬的觸發條件。
(2)木馬運行過程
木馬被激活後,進入內存,並開啟事先定義的木馬埠,准備與控制端建立連接。這時服務端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看埠狀態,一般個人電腦在離線狀態下是不會有埠 開放的,如果有埠開放,你就要注意是否感染木馬了。下面是電腦感染木馬後,用NETSTAT命令查 看埠的兩個實例:
其中①是服務端與控制端建立連接時的顯示狀態,②是服務端與控制端還未建立連接時的顯示狀態。
在上網過程中要下載軟體,發送信件,網上聊天等必然打開一些埠,下面是一些常用的埠:
(1)1---1024之間的埠:這些埠叫保留埠,是專給一些對外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木馬會用保留埠作為木馬埠 的。
(2)1025以上的連續埠:在上網瀏覽網站時,瀏覽器會打開多個連續的埠下載文字,圖片到本地 硬碟上,這些埠都是1025以上的連續埠。
(3)4000埠:這是OICQ的通訊埠。
(4)6667埠:這是IRC的通訊埠。 除上述的埠基本可以排除在外,如發現還有其它埠打開,尤其是數值比較大的埠,那就要懷疑 是否感染了木馬,當然如果木馬有定製埠的功能,那任何埠都有可能是木馬埠。
四.信息泄露:
一般來說,設計成熟的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集 一些服務端的軟硬體信息,並通過E-MAIL,IRC或ICO的方式告知控制端用戶。下圖是一個典型的信息反 饋郵件。
從這封郵件中我們可以知道服務端的一些軟硬體信息,包括使用的操作系統,系統目錄,硬碟分區況, 系統口令等,在這些信息中,最重要的是服務端IP,因為只有得到這個參數,控制端才能與服務端建立 連接,具體的連接方法我們會在下一節中講解。
五.建立連接:
這一節我們講解一下木馬連接是怎樣建立的 。一個木馬連接的建立首先必須滿足兩個條件:一是 服務端已安裝了木馬程序;二是控制端,服務端都要在線 。在此基礎上控制端可以通過木馬埠與服 務端建立連接。為了便於說明我們採用圖示的形式來講解。
如上圖所示A機為控制端,B機為服務端,對於A機來說要與B機建立連接必須知道B機的木馬埠和IP地 址,由於木馬埠是A機事先設定的,為已知項,所以最重要的是如何獲得B機的IP地址。獲得B機的IP 地址的方法主要有兩種:信息反饋和IP掃描。對於前一種已在上一節中已經介紹過了,不再贅述,我們 重點來介紹IP掃描,因為B機裝有木馬程序,所以它的木馬埠7626是處於開放狀態的,所以現在A機只 要掃描IP地址段中7626埠開放的主機就行了,例如圖中B機的IP地址是202.102.47.56,當A機掃描到 這個IP時發現它的7626埠是開放的,那麼這個IP就會被添加到列表中,這時A機就可以通過木馬的控 制端程序向B機發出連接信號,B機中的木馬程序收到信號後立即作出響應,當A機收到響應的信號後, 開啟一個隨即埠1031與B機的木馬埠7626建立連接,到這時一個木馬連接才算真正建立。值得一提 的要掃描整個IP地址段顯然費時費力,一般來說控制端都是先通過信息反饋獲得服務端的IP地址,由於 撥號上網的IP是動態的,即用戶每次上網的IP都是不同的,但是這個IP是在一定范圍內變動的,如圖中 B機的IP是202.102.47.56,那麼B機上網IP的變動范圍是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索這個IP地址段就可以找到B機了。
六.遠程式控制制:
木馬連接建立後,控制端埠和木馬埠之間將會出現一條通道,見下圖
控制端上的控制端程序可藉這條通道與服務端上的木馬程序取得聯系,並通過木馬程序對服務端進行遠 程式控制制。下面我們就介紹一下控制端具體能享有哪些控制許可權,這遠比你想像的要大。
(1)竊取密碼:一切以明文的形式,*形式或緩存在CACHE中的密碼都能被木馬偵測到,此外很多木馬還 提供有擊鍵記錄功能,它將會記錄服務端每次敲擊鍵盤的動作,所以一旦有木馬入侵, 密碼將很容易被竊取。
(2)文件操作:控制端可藉由遠程式控制制對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬 性等一系列操作,基本涵蓋了WINDOWS平台上所有的文件操作功能。
(3)修改注冊表:控制端可任意修改服務端注冊表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這 項功能控制端就可以禁止服務端軟碟機,光碟機的使用,鎖住服務端的注冊表,將服務端 上木馬的觸發條件設置得更隱蔽的一系列高級操作。
(4)系統操作:這項內容包括重啟或關閉服務端操作系統,斷開服務端網路連接,控制服務端的滑鼠, 鍵盤,監視服務端桌面操作,查看服務端進程等,控制端甚至可以隨時給服務端發送信 息,想像一下,當服務端的桌面上突然跳出一段話,不嚇人一跳才怪
E. 怎麼把木馬放在一個文件里
好像是木馬的典型防殺方法!
(一般來說木馬在壓縮文件不會查殺的)
也有可能是新的木馬:
將真正的文件放進壓縮文件,再建一個一模一樣的病毒文件
如:abc.txt放進壓縮文件里
再建一個abc.exe的病毒文件,這個病毒的圖標就是記事本的圖標!
看起來abc.exe與abc.txt一模一樣!
雙擊abc.exe後病毒會打開壓縮文件里的abc.txt!
對於桌面的快捷方式也是一樣的,快捷方式擴展名是 .lnk
是一個文本文件.
木馬建立一個新的.lnk文件,圖標與原來 一模一樣
如果是新的木馬,最近才出來的,可能殺毒軟體不會查殺!
你可能要等一兩天,再用專用殺木馬工具來殺.
F. 誰能教我如何把壓縮文件注入木馬
其實在壓縮包裡面注入木馬根本就不可能。要是能的話就在文本文檔裡面添加木馬了。創建自解壓壓縮程序。然後把木馬放進去。在備注裡面添加steup=*{*就是你的木馬名}
G. 如何在PE系統下安裝木馬
病毒名稱是Trojan.Spy.SCKeyLog.cf
⒈利用系統漏洞入侵
眾所周知,Windows系統的漏洞非常多,黑客可以使用網路掃描程序來掃描某一IP段的電腦,查找出哪些電腦存在漏洞,
然後再通過系統漏洞進入電腦並安裝上木馬伺服器程序。如果對方疏於防範,沒有及時打上各種補丁和安裝防火牆時,那黑客種植木馬伺服器程序的成功率可以說高達百分之百。」
⒉利用文件下載
事先把木馬伺服器程序捆綁或偽裝成一個熱門的程序或文件,然後發布到下載網站或論壇中,對方一旦下載使用,被捆綁木馬伺服器程序的程序或文件可以正常運行,但同時木馬伺服器程序也跟著悄悄運行了,這起到了很好的迷惑作用。由於網站和論壇的每日瀏覽量和下載量巨大,所以中招的人也非常多,差不多能達到50%以上。
⒊利用郵件群發
利用郵件傳播木馬伺服器程序是黑客最常用也是最簡單的手段之一,而且傳播范圍非常廣。黑客只需利用一款具有群發功能的郵件客戶端程序,然後將木馬伺服器程序偽裝成附件,再起一個讓大家感興趣的標題,比如「一個精彩的FLASH動畫」等等,最後將郵件隨機發送出去。當收件人忍不住打開附件查看時,他的系統就被偷偷種植了木馬伺服器程序。此種手段與利用文件下載一樣,都採用海選的方式,所以中招者會非常多,也在50%以上。
⒋利用P2P下載傳播
現在使用P2P軟體下載文件的人越來越多,所以P2P也成了新的木馬伺服器程序的寄生地。比如將已損壞的電影文件和一個偽裝成插件的木馬伺服器程序同時共享出去,並提示下載者只有安裝插件才能觀看影片來誘騙對方運行木馬伺服器程序。或是對電影文件本身做手腳,利用Real和WindowsMediaPlayer播放器的漏洞,在製作電影文件時插入一個命令,當播放該電影時,就會提示下載某個插件,使用者點擊同意後下載的其實是木馬伺服器程序等等。不過該方法對於使用第三方播放器,如「暴風影音」等就無效了,所以成功率不是很高,大概在30%左右。
⒌利用即時通訊軟體
利用QQ、MSN等即時通訊軟體傳播木馬伺服器程序現在已經司空見慣了,群眾的警惕性也很高了,很少人會輕易點擊消息中的網址和接收自運行程序了,特別是最新的QQ2005Bate3已經增添了拒絕接收EXE格式文件的功能。但這並不表明就沒有漏洞可鑽,黑客只需把木馬伺服器程序捆綁到或偽裝成非EXE格式文件即可,比如偽裝成圖片文件,只要打開該圖片就會觸發木馬伺服器程序的下載。或是將其捆綁到WORD文檔中,將木馬伺服器程序接在一個DOC格式文件的末尾,使別人察覺不出木馬的存在,當別人點擊這個所謂的Word文檔時就會中招。所以利用人們的馬虎大意在QQ等即時通訊軟體中種植木馬是最方便和最見效的,成功率高達80%以上。
⒍利用網頁傳播
將木馬伺服器程序內嵌到網頁中,當別人在瀏覽該網頁時就會被悄悄地植入木馬伺服器程序。比如前一段非常有名的網路「圖片木馬」,把木馬伺服器程序轉化成為BMP圖片,BMP文件的文件頭有54個位元組,包括長寬、位數、文件大小、數據區長度。黑客只要在木馬伺服器程序的文件頭上加上這54位元組,瀏覽器就會把它當成BMP文件下載到臨時文件夾中,再用一個VBS文件在注冊表添加啟動項,利用那個VBS找到BMP,調用debug來還原木馬伺服器程序,最後運行程序完成木馬植入。下一次啟動時木馬就運行了,無聲無息非常隱蔽。網頁木馬這種方式非常隱蔽,讓人防不勝防,所以成功率也相對較高,中招者在50%以上。
老大一口氣講完這些,二毛早已聽得入了神。老大口乾舌燥卻見二毛仍一臉渴望的眼神望著他欲待下文,「暈,不要老想著一口氣吃個大胖子,先把這些消化了再說吧。」二毛不好意思地摸摸頭,笑了:「是,老大,你說的我全記住了,下次我就不會再『不中彩票中木馬』了,呵呵。」
H. 如何下載木馬
操作步驟:
一、種植木馬
現在網路上流行的木馬基本上都採用的是C/S 結構(客戶端/服務端)。你要使用木馬控制對方的電腦,首先需要在對方的的電腦中種植並運行服務端程序,然後運行本地電腦中的客戶端程序對對方電腦進行連接進而控制對方電腦。
二、使用木馬
成功的給別人植入木馬服務端後,就需要耐心等待服務端上線。由於黑洞2004採用了反連接技術,所以服務端上線後會自動和客戶端進行連接,這時,我們就可以操控客戶端對服務端進行遠程式控制制。在黑洞2004下面的列表中,隨便選擇一台已經上線的電腦,然後通過上面的命令按鈕就可以對這台電腦進行控制。下面就簡單的介紹一下這些命令的意義。
文件管理:服務端上線以後,你可以通過「文件管理」命令對服務端電腦中的文件進行下載、新建、重命名、刪除等操作。可以通過滑鼠直接把文件或文件夾拖放到目標文件夾,並且支持斷點傳輸。簡單吧?
進程管理:查看、刷新、關閉對方的進程,如果發現有殺毒軟體或者防火牆,就可以關閉相應的進程,達到保護伺服器端程序的目的。
窗口管理:管理服務端電腦的程序窗口,你可以使對方窗口中的程序最大化、最小化、正常關閉等操作,這樣就比進程管理更靈活。你可以搞很多惡作劇,比如讓對方的某個窗口不停的最大化和最小化。
視頻監控和語音監聽:如果遠程服務端電腦安裝有USB攝像頭,那麼可以通過它來獲取圖像,並可直接保存為Media Play可以直接播放的Mpeg文件;需要對方有麥克風的話,還可以聽到他們的談話,恐怖吧?
除了上面介紹的這些功能以外,還包括鍵盤記錄、重啟關機、遠程卸載、抓屏查看密碼等功能,操作都非常簡單,明白了吧?做駭客其實很容易。
3 隱藏
隨著殺毒軟體病毒庫的升級,木馬會很快被殺毒軟體查殺,所以為了使木馬服務端避開殺毒軟體的查殺,長時間的隱藏在別人的電腦中,在木馬為黑客提供幾種可行的辦法。
1.木馬的自身保護
就像前面提到的,黑洞2004在生成服務端的時候,用戶可以更換圖標,並使用軟體UPX對服務端自動進行壓縮隱藏。
2.捆綁服務端
用戶通過使用文件捆綁器把木馬服務端和正常的文件捆綁在一起,達到欺騙對方的目的。文件捆綁器有廣外文件捆綁器2002、萬能文件捆綁器、exeBinder、Exe Bundle等。
3.製做自己的服務端
上面提到的這些方法雖然能一時瞞過殺毒軟體,但最終還是不能逃脫殺毒軟體的查殺,所以若能對現有的木馬進行偽裝,讓殺毒軟體無法辨別,則是個治本的方法。可以通過使用壓縮EXE和DLL文件的壓縮軟體對服務端進行加殼保護。例如1中的UPX就是這樣一款壓縮軟體,但默認該軟體是按照自身的設置對服務端壓縮的,因此得出的結果都相同,很難長時間躲過殺毒軟體;而自己對服務端進行壓縮,就可以選擇不同的選項,壓縮出與眾不同的服務端來,使殺毒軟體很難判斷。下面我就以冰河為例,為大家簡單的講解一下脫殼(解壓)、加殼(壓縮)的過程。
如果我們用殺毒軟體對冰河進行查殺,一定會發現2個病毒,一個是冰河的客戶端,另一個是服務端。使用軟體「PEiD」查看軟體的服務端是否已經被作者加殼,可以看到服務端已經使用UPX進行了壓縮。
現在,我們就需要對軟體進行脫殼,也就是一種解壓的過程。這里我使用了「UPXUnpack」,選擇需要的文件後,點擊「解壓縮」就開始執行脫殼。
脫殼完成後,我們需要為服務端加一個新殼,加殼的軟體很多,比如:ASPack、ASProtect、UPXShell、Petite等。這里以「ASPack」為例,點擊「打開」按鈕,選擇剛剛脫殼的服務端程序,選擇完成後ASPack會自動為服務端進行加殼。再次用殺毒軟體對這個服務端進行查殺,發現其已經不能識別判斷了。如果你的殺毒軟體依舊可以查殺,你還可以使用多個軟體對服務端進行多次加殼。筆者在使用Petite和ASPack對服務端進行2次加殼後,試用了多種殺毒軟體都沒有掃描出來。現在網路中流行的很多XX版冰河,就是網友通過對服務端進行修改並重新加殼後製做出來的。
為了避免不熟悉木馬的用戶誤運行服務端,現在流行的木馬都沒有提供單獨的服務端程序,而是通過用戶自己設置來生成服務端,黑洞2004也是這樣。首先運行黑洞2004,點擊「功能/生成服務端」命令,彈出「服務端配置」界面。由於黑洞2004採用了反彈技術(請參加小知識),首先單擊旁邊的「查看」按鈕,在彈出的窗口中設置新的域名,輸入你事先申請空間的域名和密碼,單擊「域名注冊」,在下面的窗口中會反映出注冊的情況。域名注冊成功以後,返回「服務端配置」界面,填入剛剛申請的域名,以及「上線顯示名稱」、「注冊表啟動名稱」等項目。為了迷惑他人,可以點「更改服務端圖標」按鈕為服務端選擇一個圖標。所有的設置都完成後,點擊「生成EXE型服務端」就生成了一個服務端。在生成服務端的同時,軟體會自動使用UPX為服務端進行壓縮,對服務端起到隱藏保護的作用。
服務端生成以後,下一步要做的是將服務端植入別人的電腦?常見的方法有,通過系統或者軟體的漏洞入侵別人的電腦把木馬的服務端植入其的電腦;或者通過Email夾帶,把服務端作為附件寄給對方;以及把服務端進行偽裝後放到自己的共享文件夾,通過P2P軟體(比如PP點點通、百寶等),讓網友在毫無防範中下載並運行服務端程序。
由於本文主要面對普通的網路愛好者,所以就使用較為簡單的Email夾帶,為大家進行講解。我們使用大家經常會看到的Flash動畫為例,建立一個文件夾命名為「好看的動畫」,在該文件夾里邊再建立文件夾「動畫.files」,將木馬服務端軟體放到該文件夾中假設名稱為「abc.exe」,再在該文件夾內建立flash文件,在flash文件的第1幀輸入文字「您的播放插件不全,單擊下邊的按鈕,再單擊打開按鈕安裝插件」,新建一個按鈕組件,將其拖到舞台中,打開動作面板,在里邊輸入「on (press) {getURL("動畫.files/abc.exe");}」,表示當單擊該按鈕時執行abc這個文件。在文件夾「好看的動畫」中新建一個網頁文件命名為「動畫.htm」,將剛才製作的動畫放到該網頁中。看出門道了嗎?平常你下載的網站通常就是一個.html文件和一個結尾為.files的文件夾,我們這么構造的原因也是用來迷惑打開者,畢竟沒有幾個人會去翻.files文件夾。現在我們就可以撰寫一封新郵件了,將文件夾「好看的動畫」壓縮成一個文件,放到郵件的附件中,再編寫一個誘人的主題。只要對方深信不疑的運行它,並重新啟動系統,服務端就種植成功了。
是否可以解決您的問題?
I. 如何製造木馬
特洛伊木馬(以下簡稱木馬),英文叫做「Trojan house」,其名稱取自希臘神話的特洛伊木馬記。
它是一種基於遠程式控制制的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會採用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往只能望「馬」興嘆。
所謂非授權性是指一旦控制端與服務端連接後,控制端將享有服務端的大部分操作許可權,包括修改文件,修改注冊表,控制滑鼠,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網路還處於以UNIX平台為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到系統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。
鑒於木馬的巨大危害性,我們將分原理篇,防禦與反擊篇,資料篇三部分來詳細介紹木馬,希望大家對特洛伊木馬這種攻擊手段有一個透徹的了解。
原 理 篇
基礎知識
在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。
一個完整的木馬系統由硬體部分,軟體部分和具體連接部分組成。
(1)硬體部分:建立木馬連接所必須的硬體實體。 控制端:對服務端進行遠程式控制制的一方。 服務端:被控制端遠程式控制制的一方。 INTERNET:控制端對服務端進行遠程式控制制,數據傳輸的網路載體。
(2)軟體部分:實現遠程式控制制所必須的軟體程序。 控制端程序:控制端用以遠程式控制制服務端的程序。 木馬程序:潛入服務端內部,獲取其操作許可權的程序。 木馬配置程序:設置木馬程序的埠號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。
(3)具體連接部分:通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP,服務端IP:即控制端,服務端的網路地址,也是木馬進行數據傳輸的目的地。 控制端埠,木馬埠:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或木馬 程序。
木馬原理
用木馬這種黑客工具進行網路入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能:
(1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會採用多種偽裝手段,如修改圖標 ,捆綁文件,定製埠,自我銷毀等,我們將在「傳播木馬」這一節中詳細介紹。
(2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,IRC號 ,ICO號等等,具體的我們將在「信息反饋」這一節中詳細介紹。
二.傳播木馬
(1)傳播方式:
木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人只要打開附件系統就會感染木馬;另一種是軟體下載,一些非正規的網站以提供軟體下載為 名義, 將木馬捆綁在軟體安裝程序上,下載後,只要一運行這些程序,木馬就會自動安裝。
(2)偽裝方式:
鑒於木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑製作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目 的。
(一)修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴你,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提 心吊膽,疑神疑鬼的。
(二)捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的 情況下 ,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。
(三)出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的 設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務 端用戶打開木 馬程序時,會彈出一個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如「文件已破壞,無法打開的!」之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了 系統。
(四)定製埠
很多老式的木馬埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 埠就 知道感染了什麼木馬,所以現在很多新式的木馬都加入了定製埠的功能,控制端用戶可 以在1024---65535之間任選一個埠作為木馬埠(一般不選1024以下的埠),這樣就給判斷 所感染木馬類型帶 來了麻煩。
(五)自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後,木馬 會將自己拷貝到WINDOWS的系統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來說 原木馬文件 和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬 的朋友只要在近來 收到的信件和下載的軟體中找到原木馬文件,然後根據原木馬的大小去系統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬後,原木馬文件將自動銷毀,這 樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。
(六)木馬更名
安裝到系統文件夾中的木馬的文件名一般是固定的,那麼只要根據一些查殺木馬的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以現在有很多木馬都允許控 制端用戶自由定製安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。
三.運行木馬
服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然後在注冊表,啟動組,非啟動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啟動木馬了,具體過程見下圖:
(1)由觸發條件激活木馬
觸發條件是指啟動木馬的條件,大致出現在下面八個地方:
1.注冊表:打開HKEY_LOCAL_下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。
2.WIN.INI:C:WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在[windows]欄位中有啟動 命令 load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動命令。
4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都 需要控制端用戶與服務端建立連接後,將已添加木馬啟動命令的同名 文件上傳 到服務端覆蓋這兩個文件才行。
5.*.INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬 啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。
6.注冊表:打開HKEY_CLASSES_ROOT文件類型\shellopencommand主鍵,查看其鍵值。舉個例子,國產 木馬「冰河」就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的鍵值,將「C :WINDOWS NOTEPAD.EXE %1」該為「C:WINDOWSSYSTEMSYXXXPLR.EXE %1」,這時你雙 擊一個TXT文件 後,原本應用NOTEPAD打開文件的,現在卻變成啟動木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬 ,不同之處只在於「文件類型」這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找一下。
7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然後控制端用戶用工具 軟體將木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。
8.啟動菜單:在「開始---程序---啟動」選項下也可能有木馬的觸發條件。
(2)木馬運行過程
木馬被激活後,進入內存,並開啟事先定義的木馬埠,准備與控制端建立連接。這時服務端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看埠狀態,一般個人電腦在離線狀態下是不會有埠 開放的,如果有埠開放,你就要注意是否感染木馬了。下面是電腦感染木馬後,用NETSTAT命令查 看埠的兩個實例:
其中①是服務端與控制端建立連接時的顯示狀態,②是服務端與控制端還未建立連接時的顯示狀態。
在上網過程中要下載軟體,發送信件,網上聊天等必然打開一些埠,下面是一些常用的埠:
(1)1---1024之間的埠:這些埠叫保留埠,是專給一些對外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木馬會用保留埠作為木馬埠 的。
(2)1025以上的連續埠:在上網瀏覽網站時,瀏覽器會打開多個連續的埠下載文字,圖片到本地 硬碟上,這些埠都是1025以上的連續埠。
(3)4000埠:這是OICQ的通訊埠。
(4)6667埠:這是IRC的通訊埠。 除上述的埠基本可以排除在外,如發現還有其它埠打開,尤其是數值比較大的埠,那就要懷疑 是否感染了木馬,當然如果木馬有定製埠的功能,那任何埠都有可能是木馬埠。
四.信息泄露:
一般來說,設計成熟的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集 一些服務端的軟硬體信息,並通過E-MAIL,IRC或ICO的方式告知控制端用戶。下圖是一個典型的信息反 饋郵件。
從這封郵件中我們可以知道服務端的一些軟硬體信息,包括使用的操作系統,系統目錄,硬碟分區況, 系統口令等,在這些信息中,最重要的是服務端IP,因為只有得到這個參數,控制端才能與服務端建立 連接,具體的連接方法我們會在下一節中講解。
五.建立連接:
這一節我們講解一下木馬連接是怎樣建立的 。一個木馬連接的建立首先必須滿足兩個條件:一是 服務端已安裝了木馬程序;二是控制端,服務端都要在線 。在此基礎上控制端可以通過木馬埠與服 務端建立連接。為了便於說明我們採用圖示的形式來講解。
如上圖所示A機為控制端,B機為服務端,對於A機來說要與B機建立連接必須知道B機的木馬埠和IP地 址,由於木馬埠是A機事先設定的,為已知項,所以最重要的是如何獲得B機的IP地址。獲得B機的IP 地址的方法主要有兩種:信息反饋和IP掃描。對於前一種已在上一節中已經介紹過了,不再贅述,我們 重點來介紹IP掃描,因為B機裝有木馬程序,所以它的木馬埠7626是處於開放狀態的,所以現在A機只 要掃描IP地址段中7626埠開放的主機就行了,例如圖中B機的IP地址是202.102.47.56,當A機掃描到 這個IP時發現它的7626埠是開放的,那麼這個IP就會被添加到列表中,這時A機就可以通過木馬的控 制端程序向B機發出連接信號,B機中的木馬程序收到信號後立即作出響應,當A機收到響應的信號後, 開啟一個隨即埠1031與B機的木馬埠7626建立連接,到這時一個木馬連接才算真正建立。值得一提 的要掃描整個IP地址段顯然費時費力,一般來說控制端都是先通過信息反饋獲得服務端的IP地址,由於 撥號上網的IP是動態的,即用戶每次上網的IP都是不同的,但是這個IP是在一定范圍內變動的,如圖中 B機的IP是202.102.47.56,那麼B機上網IP的變動范圍是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索這個IP地址段就可以找到B機了。
六.遠程式控制制:
木馬連接建立後,控制端埠和木馬埠之間將會出現一條通道,見下圖
控制端上的控制端程序可藉這條通道與服務端上的木馬程序取得聯系,並通過木馬程序對服務端進行遠 程式控制制。下面我們就介紹一下控制端具體能享有哪些控制許可權,這遠比你想像的要大。
(1)竊取密碼:一切以明文的形式,*形式或緩存在CACHE中的密碼都能被木馬偵測到,此外很多木馬還 提供有擊鍵記錄功能,它將會記錄服務端每次敲擊鍵盤的動作,所以一旦有木馬入侵, 密碼將很容易被竊取。
(2)文件操作:控制端可藉由遠程式控制制對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬 性等一系列操作,基本涵蓋了WINDOWS平台上所有的文件操作功能。
(3)修改注冊表:控制端可任意修改服務端注冊表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這 項功能控制端就可以禁止服務端軟碟機,光碟機的使用,鎖住服務端的注冊表,將服務端 上木馬的觸發條件設置得更隱蔽的一系列高級操作。
(4)系統操作:這項內容包括重啟或關閉服務端操作系統,斷開服務端網路連接,控制服務端的滑鼠, 鍵盤,監視服務端桌面操作,查看服務端進程等,控制端甚至可以隨時給服務端發送信 息,想像一下,當服務端的桌面上突然跳出一段話,不嚇人一跳才怪
木馬和病毒都是一種人為的程序,都屬於電腦病毒,為什麼木馬要單獨提出來說內?大家都知道以前的電腦病毒的作用,其實完全就是為了搞破壞,破壞電腦里的資料數據,除了破壞之外其它無非就是有些病毒製造者為了達到某些目的而進行的威懾和敲詐勒索的作用,或為了炫耀自己的技術. "木馬"不一樣,木馬的作用是赤裸裸的偷偷監視別人和盜竊別人密碼,數據等,如盜竊管理員密碼-子網密碼搞破壞,或者好玩,偷竊上網密碼用於它用,游戲帳號,股票帳號,甚至網上銀行帳戶等.達到偷窺別人隱私和得到經濟利益的目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達到使用者的目的!導致許多別有用心的程序開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程序,這就是目前網上大量木馬泛濫成災的原因.鑒於木馬的這些巨大危害性和它與早期病毒的作用性質不一樣,所以木馬雖然屬於病毒中的一類,但是要單獨的從病毒類型中間剝離出來.獨立的稱之為"木馬"程序.
一般來說一種殺毒軟體程序,它的木馬專殺程序能夠查殺某某木馬的話,那麼它自己的普通殺毒程序也當然能夠殺掉這種木馬,因為在木馬泛濫的今天,為木馬單獨設計一個專門的木馬查殺工具,那是能提高該殺毒軟體的產品檔次的,對其聲譽也大大的有益,實際上一般的普通殺毒軟體里都包含了對木馬的查殺功能.如果現在大家說某某殺毒軟體沒有木馬專殺的程序,那這家殺毒軟體廠商自己也好象有點過意不去,即使它的普通殺毒軟體里當然的有殺除木馬的功能.
還有一點就是,把查殺木馬程序單獨剝離出來,可以提高查殺效率,現在很多殺毒軟體里的木馬專殺程序只對木馬進行查殺,不去檢查普通病毒庫里的病毒代碼,也就是說當用戶運行木馬專殺程序的時候,程序只調用木馬代碼庫里的數據,而不調用病毒代碼庫里的數據,大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因為現在有太多太多的病毒.每個文件要經過幾萬條木馬代碼的檢驗,然後再加上已知的差不多有近10萬個病毒代碼的檢驗,那速度豈不是很慢了.省去普通病毒代碼檢驗,是不是就提高了效率,提高了速度內? 也就是說現在好多殺毒軟體自帶的木馬專殺程序只查殺木馬而一般不去查殺病毒,但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬!