总觉得它很神秘、很高难但事实上随着木马软件Software
智能化很多骇客都能轻松达到攻击目
今天笔者就以最新
款木马——黑洞2004从种植、使用、隐藏、防范 4个方面来为网络爱好者介绍下木马特性需要提醒大家是在使用木马时候请先关闭系统中病毒防火墙
杀毒软件Software会把木马作为病毒种进行查杀 操作步骤:
、种植木马 现在网络上流行
木马基本上都采用是C/S 结构(客户端/服务端)你要使用木马控制对方电脑首先需要在对方电脑中种植并运行服务端然后运行本地电脑中客户端对对方电脑进行连接进而控制对方电脑 为了避免不熟悉木马
用户误运行服务端现在流行木马都没有提供单独服务端而是通过用户自己设置来生成服务端黑洞2004也是这样首先运行黑洞2004点击“功能/生成服务端”命令弹出“服务端配置”界面由于黑洞2004采用了反弹技术(请参加小知识)首先单击旁边“查看”按钮在弹出窗口中设置新域名输入你事先申请空间域名和密码单击“域名注册”在下面窗口中会反映出注册情况域名注册成功以后返回“服务端配置”界面填入刚刚申请域名以及“上线显示名称”、“注册表启动名称”等项目为了迷惑他人可以点“更改服务端图标”按钮为服务端选择个图标所有设置都完成后点击“生成EXE型服务端”就生成了个服务端在生成服务端同时软件Software会自动使用UPX为服务端进行压缩对服务端起到隐藏保护作用 服务端生成以后
下步要做是将服务端植入别人电脑?常见思路方法有通过系统或者软件Software漏洞入侵别人电脑把木马服务端植入其电脑;或者通过Email夹带把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己共享文件夹通过P2P软件Software(比如PP点点通、百宝等)让网友在毫无防范中下载并运行服务端 由于本文主要面对普通
网络爱好者所以就使用较为简单Email夹带为大家进行讲解我们使用大家经常会看到Flash动画为例建立个文件夹命名为“好看动画”在该文件夹里边再建立文件夹“动画.files”将木马服务端软件Software放到该文件夹中假设名称为“abc.exe”再在该文件夹内建立flash文件在flash文件第1帧输入文字“您播放插件不全单击下边按钮再单击打开按钮安装插件”新建个按钮组件将其拖到舞台中打开动作面板在里边输入“on (press) {getURL("动画.files/abc.exe");}”表示当单击该按钮时执行abc这个文件在文件夹“好看动画”中新建个网页文件命名为“动画.htm”将刚才制作动画放到该网页中看出门道了吗?平常你下载网站WebSite通常就是个.html文件和个结尾为.files文件夹我们这么构造原因也是用来迷惑打开者毕竟没有几个人会去翻.files文件夹现在我们就可以撰写封新邮件了将文件夹“好看动画”压缩成个文件放到邮件附件中再编写个诱人主题只要对方深信不疑运行它并重新启动系统服务端就种植成功了 2、使用木马
成功
给别人植入木马服务端后就需要耐心等待服务端上线由于黑洞2004采用了反连接技术所以服务端上线后会自动和客户端进行连接这时我们就可以操控客户端对服务端进行远程控制在黑洞2004下面列表中随便选择台已经上线电脑然后通过上面命令按钮就可以对这台电脑进行控制下面就简单介绍下这些命令意义 文件管理:服务端上线以后
你可以通过“文件管理”命令对服务端电脑中文件进行下载、新建、重命名、删除等操作可以通过鼠标直接把文件或文件夹拖放到目标文件夹并且支持断点传输简单吧? 进程管理:查看、刷新、关闭对方
进程如果发现有杀毒软件Software或者防火墙就可以关闭相应进程达到保护服务器端目 窗口管理:管理服务端电脑
窗口你可以使对方窗口中最大化、最小化、正常关闭等操作这样就比进程管理更灵活你可以搞很多恶作剧比如让对方某个窗口不停最大化和最小化 视频监控和语音监听:如果远程服务端电脑安装有USB摄像头
那么可以通过它来获取图像并可直接保存为Media Play可以直接播放Mpeg文件;需要对方有麦克风话还可以听到他们谈话恐怖吧? 除了上面介绍
这些功能以外还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能操作都非常简单明白了吧?做骇客其实很容易 3、隐藏
随着杀毒软件Software病毒库
升级木马会很快被杀毒软件Software查杀所以为了使木马服务端辟开杀毒软件Software查杀长时间隐藏在别人电脑中在木马为黑客提供几种可行办法 1.木马
自身保护 就像前面提到
黑洞2004在生成服务端时候用户可以更换图标并使用软件SoftwareUPX对服务端自动进行压缩隐藏 2.捆绑服务端
用户通过使用文件捆绑器把木马服务端和正常
文件捆绑在起达到欺骗对方目文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等 3.制做自己
服务端 上面提到
这些思路方法虽然能时瞒过杀毒软件Software但最终还是不能逃脱杀毒软件Software查杀所以若能对现有木马进行伪装让杀毒软件Software无法辨别则是个治本思路方法可以通过使用压缩EXE和DLL文件压缩软件Software对服务端进行加壳保护例如Step1中UPX就是这样款压缩软件Software但默认该软件Software是按照自身设置对服务端压缩因此得出结果都相同很难长时间躲过杀毒软件Software;而自己对服务端进行压缩就可以选择区别选项压缩出和众区别服务端来使杀毒软件Software很难判断下面我就以冰河为例为大家简单讲解下脱壳(解压)、加壳(压缩)过程 如果我们用杀毒软件Software对冰河进行查杀
定会发现2个病毒个是冰河客户端另个是服务端使用软件Software“PEiD”查看软件Software服务端是否已经被作者加壳 现在
我们就需要对软件Software进行脱壳也就是种解压过程这里我使用了“UPXUnpack”选择需要文件后点击“解压缩”就开始执行脱壳 脱壳完成后
我们需要为服务端加个新壳加壳软件Software很多比如:ASPack、ASProtect、UPXShell、Petite等这里以“ASPack”为例点击“打开”按钮选择刚刚脱壳服务端选择完成后ASPack会自动为服务端进行加壳再次用杀毒软件Software对这个服务端进行查杀发现其已经不能识别判断了如果你杀毒软件Software依旧可以查杀你还可以使用多个软件Software对服务端进行多次加壳笔者在使用Petite和ASPack对服务端进行2次加壳后试用了多种杀毒软件Software都没有扫描出来现在网络中流行很多XX版冰河就是网友通过对服务端进行修改并重新加壳后制做出来 4、防范
防范重于治疗
在我们电脑还没有中木马前我们需要做很多必要工作比如:安装杀毒软件Software和网络防火墙;及时更新病毒库以及系统安全补丁;定时备份硬盘上文件;不要运行来路不明软件Software和打开来路不明邮件 最后笔者要特别提醒大家
木马除了拥有强大远程控制功能外还包括极强破坏性我们学习它只是为了了解它技术和思路方法而不是用于盗窃密码等破坏行为希望大家好自为的 小知识:反弹技术
该技术解决了传统远程控制软件Software不能访问装有防火墙和控制局域网内部远程计算机难题反弹端口型软件Software原理是客户端首先登录到FTP服务器编辑在木马软件Software中预先设置主页空间上面个文件并打开端口监听等待服务端连接服务端定期用HTTP协议读取这个文件内容当发现是客户端让自己开始连接时就主动连接如此就可完成连接工作因此在互联网上可以访问到局域网里通过 NAT (透明代理)代理上网电脑并且可以穿过防火墙和传统远程控制软件Software相反反弹端口型软件Software服务端会主动连接客户端客户端监听端口般开为80(即用于网页浏览端口)这样即使用户在命令提示符下使用“netstat -a”命令检查自己端口发现也是类似“TCPUserIP:3015ControllerIP:httpESTABLISHED”情况稍微疏忽点你就会以为是自己在浏览网页而防火墙也会同样这么认为于是和般软件Software相反反弹端口型软件Software服务端主动连接客户端这样就可以轻易突破防火墙限制 篇文章: 黑客知识 巧妙配合asp木马取得管理权限篇文章: 变态传文件法(比tftpftpiget.vbe都爽)
最新评论