广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 1820 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 关于木马作业原理和盗取帐号过程分析
关于木马作业原理和盗取帐号过程分析
 

 
如何工作
一般的木马程式都包括用户端和服务端两个程式,其中用户端是用于攻击者远端控制植入木马的机器,伺服器端程式即是木马程式。攻击者要通过木马攻击你的系统,程式植入到您的电脑里面。
主要入侵途径:邮件附件、下载软体、网页流览、系统漏洞等。

当服务端程式在被感染的机器上成功运行以后,攻击者就可以使用用户端与服务端建立连接,并进一步控制被感染的机器。


隐藏方式
• 任务栏中藏身
这是最基本的隐藏方式。如果在 windows 的任务栏里出现一个莫名其妙的图示。我们以 VB 为例。在 VB 中,只要把 from 的 Visible 属性设置为 False,ShowInTaskBar 设为 False 程式就不会出现在任务栏里了。

• 隐藏于任务管理器

将自身设为"系统服务"则可以轻松地骗过用户。因此,希望通过按 Ctrl+Alt+Del 发现木马不大现实的。

• 埠

一台机器有 65536 个埠,因此木马利用您无法注意众多埠而占用他们,大多数木马使用的埠在 1024 以上,当然也有占用 1024 以下埠的木马,但这些常用埠一旦被占用,很容易造成系统不正常,这样,则很容易暴露自身。

• 隐藏通讯

任何木马运行后都要和攻击者进行通讯连接,或者通知及时连接,如攻击者通过用户端直接接人被植人木马的主机 ; 或者通过间接通讯。如通过电子邮件的方式,木马把侵入主机的敏感资讯送给攻击者。

• 隐藏载入方式

木马载入的方式可以说千奇百怪,无奇不有。随着网站互动化避程的不断进步,越来越多的东西可以成为木马的传播介质,Java SCript 、VBSCript、ACtiveX、XLM.... 几乎 WWW 每一个新功能部会导致木马的快速进化。

• 最新隐身技术

在 Win9x 时代,简单地注册为系统进程就可以从任务栏中消失,可是在 Windows2000 盛行的今天,这种方法遭到了惨败。注册为系统进程不仅仅能在任务栏中看到,而且可以直接在 Services 中直接控制停止、运行。使用隐藏表单或控制台的方法也不能欺骗无所不见的 Admin。在研究了其他软体的长处之后,木马发现, Windows 下的中文汉化软体采用的陷阱技术非常适合木马的使用。

这是一种更新、更隐蔽的方法,通过修改虚拟设备驱动程式 (VXD) 或修改动态遵掇库 (DLL) 来载入木马。这种方法基本上摆脱了原有的木马模式 --- 监听埠,而采用替代系统功能的方法 ( 改写 vxd 或 DLL 档 ) ,木马会将修改后的 DLL 替换系统已知的 DLL ,并对所有的函数调用进行过滤。这样做的好处是没有增加新的档,不需要打开新的埠,没有新的进程,使用常规的方法监测不到它,且木马的控制端向被控制端发出特定的资讯后,隐藏的程式就立即开始运作。

具有的特性
• 具有高隐蔽性
• a 不产生图示

• b 伪装成“系统服务”隐藏于“任务管理器”

• 能自动运行

• 包含危险性功能程式

• 具备自恢复功能

• 潜入特别埠

• 功能特殊性

• 通常的木马功能都是十分特殊的,除了普通的档操作以外,还有些木马具有搜索 CaChe 中的口令、设置口令、扫描目标机器人的 IP 位址、进行键盘记录、远端注册表的操作以及锁定滑鼠等功能。


木马如何启动
• 在 Win.ini 启动
• 在 System.ini 启动

• 利用注册表载入运行

• 在 AutoexeC.bat 和 Config.sys 中载入运行

• 在 Winstart.bat 中启动

• 启动组

• 修改档关联

• 捆绑文件

• 反弹埠型木马的主动连接方式


木马的种类
• 破坏型
• 密码发送型

• 远端存取型

• 键盘记录木马

• DoS 攻击木马

• 代理木马

• FTP 木马

• 程式杀手木马

• 反弹埠型木马



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-12-15 21:01 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.064359 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言