温柔网

 找回密码
 注册

查看: 2233|回复: 13

Hacker的入侵手法(之木马系列篇)

[复制链接]
发表于 2006-3-4 03:59:42 | 显示全部楼层 |阅读模式
计算机木马的名称来源于古希腊的特洛伊木马的故事,希腊人围攻特洛伊城,很多年不能得手后想出了木马的计策,他们把士兵藏匿于巨大的木马中。在敌人将其作为战利品拖入城内后,木马内的士兵爬出来,与城外的部队里应外合而攻下了特洛伊城。

    计算机木马的设计者套用了同样的思路,把木马程序插入正常的软件、邮件等宿主中。在受害者执行这些软件的时候,木马就可以悄悄地进入系统,向黑客开放进入计算机的途径。

    如果你的机器有时死机,有时又重新启动;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用任务管理器调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这时你就应该查一查你的系统,是不是有木马在你的计算机里安家落户了。

    木马的产生与发展

    与病毒一样,木马也是从Unix平台上产生出来,在Windows操作系统上“发扬光大”的。最早的Unix木马与现在流行的BO、冰河等有很大的不同,它是运行在服务器后台的一个小程序,伪装成Unix的login登录过程。那时候计算机还属于很珍贵的宝物,不是个人能够买得起的,某个大学、研究机构可能会有一台计算机,大家都从终端上用自己的帐号来登录连接到它上面。那么我们就可以看一下,用户向一台中了木马的计算机上登录时会发生什么事情:用户登录的时候,木马劫持登录过程,向用户提供一个与正常登录界面一样的输入窗口,骗用户输入。在得到用户名和口令之后,木马就会把它存放起来,然后把真正的登录进程调出来。这时用户看到登录界面第二次出现了,这与通常的密码错误的现象是一样的,于是用户再次输入信息而进入系统。整个过程没有人发觉,而密码已经保存在硬盘的某个小角落里了,黑客隔一段时间就可以访问一下服务器,看看有多少收获。

    随着木马开发者们孜孜不倦的努力,随后又出现了ftp型、破坏型、信息发送型等等的接班人。ftp型打开所在计算机的端口,使他人可以跳过密码上传或下载;信息发送型木马找到系统中的重要信息如密码等,用e-mail发送到指定的信箱中;破坏型可以删除文件甚至格式化硬盘(真是损人不利已)。不过现在最流行的还是远程控制型的,我们要在这里详细介绍。下面咱们掀起她的盖头来,分析一下这木马的行动原理。

    远程控制型木马的运行原理

    这是目前最受广大黑帽子欢迎的一类木马。以冰河为例,在一台中了招的机器上,除了正常的服务(如FTP等)之外,冰河的服务器端,就是安装在受害机器上的木马,会秘密地开放出一个默认的TCP 7626端口,让黑客连接实现远程控制。这与正规的PC-Anywhere、Terminal Service等商业远程管理软件的效果是一样的。同样可以进行远程桌面的直接控制,冰河服务器端的大小是260多K,而商业软件是一、二十兆。这种黑客软件做得也真是够精巧的了。当然这也是木马成功进入他人系统的必要条件,太大的木马很容易被别人发觉。

    木马是怎样植入计算机的?

    木马首先要伪装自己。一般有两种隐藏手段,第一种是把自己伪装成一般的软件。我在做安全工程的时候就碰到一个程序员中了木马,他在论坛上得到一个小程序,拿下来执行了一下,但系统报告了内部错误,程序退出了。他认为是程序没有开发好,就没有在意。谁知有一天自己的QQ密码怎么也进不去,他才觉得不对了。我们后来检查那个程序,果然是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。

     第二种是把自己绑定在正常的程序上面。老到的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件,它即可以一边进行winzip程序的正常安装,一边神不知鬼不觉地把木马种下去。这种木马有可能被细心的用户发觉,因为这个winzip程序在绑定了木马之后尺寸就会变大。

    伪装之后,木马就可以通过邮件发给被攻击者了,或者是放在网站上供人下载。黑客还会为它们加上一些动人的话语来诱惑别人,象“最新笑笑小电影!”、“cuteFTP4.0完全解密版!!!”(一点不骗人,安装了这个cuteFTP之后,你的机器就被“完全解密”了)。那些喜欢免费盗版的朋友们也要小心了。(写到这里突然想起一句名言:这世上没有比免费更贵的了......)

    怎样预防与清除木马

    预防其实很简单,就是不要执行任何来历不明的软件或程序,不管是邮件中还是Internet上下载到的。在下载软件时,一定要从正规的网站上下载。同特洛伊城的人们一样,计算机中了马的人都是自己把马牵回家的,真是“引马入室”。觉得可疑时一定要先检查,再使用。上网的计算机必备防毒软件,一个好的杀毒软件同样也可以查到绝大多数木马程序,但一定要记得时时更新代码。

    清除木马很复杂了,限于篇幅就不一一列举了。每一种木马有自己的隐藏甚至是恢复的方式,相应地就有一种清除方式。如冰河木马在安装之后就会把原来的文件删除,让别人看不到异常的文件,同时把安装好的程序伪装成Windows系统内部程序。在被发现而删除之后,它还会通过注册表的设置在用户打开任何一个文本文件时恢复,不知道的人很难清除干净。曾经见到国外一本专门描述200多个木马程序的书,说明它们的运行方法与清除方法,厚厚的一大本。所以建议碰到木马的时候请专家来处理。如果你本身就是一个熟练的操作者,那你就需要可靠的参考资料,就象上面提到的那一本书。对付木马还是以预防为主......。(蓝键工作室)  
发表于 2007-2-2 17:56:16 | 显示全部楼层
喂,,feel兄弟你有下载木马了网站吗
发表于 2007-2-4 19:03:13 | 显示全部楼层
呵呵!
发表于 2007-4-1 20:14:15 | 显示全部楼层

Re:Hacker的入侵手法(之木马系列篇)

我要学黑客
发表于 2007-4-1 21:25:23 | 显示全部楼层

Re:Hacker的入侵手法(之木马系列篇)

学了"黑客"干什么呀?
发表于 2007-4-3 00:28:24 | 显示全部楼层

Re:Hacker的入侵手法(之木马系列篇)

反黑客啊
发表于 2007-4-3 01:43:34 | 显示全部楼层

Re:Hacker的入侵手法(之木马系列篇)

[emm20]
发表于 2007-4-3 04:01:24 | 显示全部楼层

Re:Hacker的入侵手法(之木马系列篇)

[emc10][emc10][emc10]
发表于 2007-4-3 23:25:22 | 显示全部楼层

Re:Hacker的入侵手法(之木马系列篇)

反黑客,没有那么容易地!!
发表于 2007-4-3 23:42:52 | 显示全部楼层

Re:Hacker的入侵手法(之木马系列篇)

学啊
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|温柔网 ( 浙ICP备13033583号-8 )

GMT+8, 2024-12-4 01:09 , Processed in 0.043354 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表