理论教育 木马的隐藏与伪装方式,一览无余!

木马的隐藏与伪装方式,一览无余!

时间:2023-10-28 理论教育 版权反馈
【摘要】:因为木马是非法进入系统的,必须隐藏在系统之中,所以木马设计者会想尽一切办法不让使用者发现该程序。木马类的软件的服务器端在运行时,不可能出现提示,而是应用各种手段隐藏自己。(二)木马文件的隐藏与伪装1.文件的位置木马的服务器程序文件的一般位置是在“CAWINNT”和“CAWINNT\system32”中。(三)木马运行中的隐藏与伪装1.在任务栏里隐藏这是最基本的隐藏方式,也是所有木马的特征。

木马的隐藏与伪装方式,一览无余!

(一)木马与远程控制软件的区别

木马的目的就是窃取他人的信息,因此隐蔽性是其首要的特征。因为木马是非法进入系统的,必须隐藏在系统之中,所以木马设计者会想尽一切办法不让使用者发现该程序。这也是木马和远程控.制软件的区别。

木马和远程控制的原理是一样的,都是通过远程控制功能控制目标机器,基本的功能也差不多,但是远程控制软件的服务器端不隐藏,运行时有很明显的标志。例如,常用的远程控制软件PC anywhere等在服务器端运行时,客户端与服务器端连接成功后,服务器端的任务栏上会出现很醒目的提示标志。木马类的软件的服务器端在运行时,不可能出现提示,而是应用各种手段隐藏自己。

(二)木马文件的隐藏与伪装

1.文件的位置

木马的服务器程序文件的一般位置是在“CAWINNT”和“CAWINNT\system32”中。因为Windows的一些系统文件在这两个位置,所以许多人不敢随意删除这里的文件。如果误删了文件,计算机可能崩溃。

2.文件的属性

把文件的属性设置为隐藏,这是最简单、最初级的隐藏方法。

3.文件的捆绑

这种伪装手段是将某个可执行程序和木马捆绑成一个程序,而且会自动更改图标,使捆绑后的程序和捆绑前的程序图标一样,做到天衣无缝。执行捆绑后的程序就等于同时执行了两个程序。被捆绑的文件一般是可执行文件(即EXE、COM之类的文件),网上有各种各样的文件捆绑工具。

4.文件的名字

有些木马是独立的文件,经常使用的是常见的文件名或扩展名,或者仿制一些不易被人区别的文件名。例如,冰河木马的文件名是“kernl32.exe”,而Windows系统本身正常的文件名就有“kernel32.dU”。木马SubSeven1.5版本服务器的文件名是“C:\WINNT\window.exe”,只比正常的文件名少一个字母“s”。“WAY无赖小子”的服务端进程名称为“msgsvc.exe”,与系统基本进程“msgsrv32.exe”类似。例如,字母“o”与数字“0”,如果不仔细留意是很难被人发现的。

5.文件的扩展名

把可执行文件伪装成图片或文本文件,把文件名改为“*.jpg.exe”,由于Windows的默认设置是“不显示已知的文件后缀名”,文件将会显示为“*.jpg”,一旦执行这个文件就会中木马。在程序中把图标改成Windows的默认图片图标,伪装得就更像了。(www.daowen.com)

6.文件的图标

现在已经有些木马可以将木马服务器端程序的图标改成HTML、TXT、ZIP、JPG等各种文件的图标。

(三)木马运行中的隐藏与伪装

1.在任务栏里隐藏

这是最基本的隐藏方式,也是所有木马的特征。在任务栏中隐藏是很谷易实现的,以VB为例,只要把from的Visible属性设置为“False”,ShowInTaskBar设为“False”,程序就不会出现在任务栏中。

2.进程隐藏

按【Ctrl+Alt+Del】组合键打开任务管理器,查看正在运行的进程,可以发现木马的进程,所以木马需要隐藏进程。

(1)系统服务:木马把自己设为“系统服务”就不会出现在任务管理器里。现在添加系统服务的工具很多,最典型的就是net service,还可以手动添加系统服务。

(2)DLL木马:DLL(Dynamic Link Library)是Windows系统的另外一种可执行文件,由多个功能函数构成,不能独立运行,必须由其他进程加载并调用,也就是说“*.dll”运行时是直接挂在调用程序的进程里,并不会另外产生进程。如果木马是一个文件,在任务管理器中就看不到了。

(3)CPL木马:每一个CPL文件都对应【控制面板】中的一个选项,由于CPL文件的特殊性,需要使用RunDll32.exe来启动该文件,如desk.cpl对应【桌面属性】。例如,选择【开始】→【运行】执行后,输入“RunDll32 shell32.dll,Control_RunDLL desk.cpl,,0”(注意是两个逗号),按【回车】键后,将打开【显示属性】对话框的【背景】窗口。CPL文件可以像“*.dll”文件那样被其他进程加载并调用,如果木马是一个“*.cpl”文件,在任务管理器中可以看到RunDll32.exe进程,而RunDll32.exe进程又是常见的进程,看不出木马痕迹。

3.隐藏端口

利用端口反弹木马,如前面讲到的灰鸽子木马。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈