简单木马植入过程

计算机病毒计算机病毒的定义、分类计算机病毒是一些能够自我复制的代码段，它能附着在应用程序或系统的其他可执行部分。

在宿主程序执行的某些阶段，它能够获得执行控制权。

广义上讲，计算机病毒可以指所有对系统有干扰或破坏作用的代码。

计算机病毒按寄生的方式不同，可分为系统引导型病毒、文件型病毒和复合型病毒三种；按其破坏、危害程度可分为良性病毒和恶性病毒；按传染途径可分为驻留内存型病毒和非驻留型病毒。

病毒的潜伏和激活大多数病毒在感染后不留下它们存在的外部特征，被感染的程序保持原功能不变，有时可以没有任何感染特征地运行数月，甚至数年，在此期间病毒只是静静地进行自身复制，处于潜伏状态；病毒内部有基于某种算法的激活条件，当满足这一条件时，病毒激活(发作)，这时将引起各种明显的系统混乱或破坏。

计算机病毒的传播被动传播方式通过计算机存储介质、通信网络等传播介质。

主动传播方式完全替换宿主附着于宿主外部附着插入计算机病毒的运行机制通常，病毒在刚开始进人计算机的过程中，要进行自身定位、置某些标志的初值等一系列动作。

以后，它还要经常判断其传染或表现的条件是否成熟，从而相应地进行传染及表现活动，因此病毒代码可以分成初始化、控制、传染及表现四个部分。

计算机病毒具有以下特点：修改了载体程序驻留内存修改中断传统计算机病毒惯用特性分析攻击对象趋于混合型对可执行文件和系统引导区同时感染，在病毒源码的编制、反跟踪调试、程序加密、隐秘性、攻击能力等方面的设计都呈现了许多不同一般的变新。

采用反动态跟踪技术为反这种动态跟踪，目前的病毒程序中一般都嵌人一些破坏单步中断int 1h和中断点设置中断int 3h的中断向量的代码，从而使动态跟踪难以完成。

DONG病毒驻留内存后，巧妙地覆盖了的int 1h中断向量，使单步中断后，系统自检重新启动。

还有的病毒通过对键盘进行封锁，以禁止单步跟踪，主要通过两种方式实现：使用键盘封锁指令屏蔽键盘中断int 9h降低代码可阅读性(1) 改写返回地址如新世纪病毒中有段程序：CS：0B9A PUSH AX ；此前已将代码段始址赋给AXCS：0B9B MOV AX，0BA0CS：9B9E PUSH AXCS：0B9F RETF ；返下条指令继续执行CS：0BA0 XOR AX，AXCS：0BA2 INT 13(2) 修改程序段从中截断执行有些病毒将类似功能都调用一个子程序完成，但对实现各功能，其相应的子程序的指令略有不同，为解决公用的目的，病毒将建立一个公用子程序原型，然后在具体调用时，针对不同的调用，动态修改该子程序的几字节指令码以实现相应功能。

木马伪装植入的方法如果我们要想把自己的木马植入到别人的计算机上，首先就要伪装好自己。

一般来讲，木马主要有两种隐藏手段：①把自己伪装成一般的软件很多用户可能都遇到过这样的情况，在网站上得到一个自称是很好玩或是很有用的小程序，拿下来执行，但系统报告了内部错误，程序退出了。

一般人都会认为是程序没有开发好，不会疑心到运行了木马程序这上面。

等到运行自己的QQ等程序时，被告知密码不对，自己熟得不能再熟的密码怎么也进不去，这时才会想起检查自己的机器是否被人安装了木马这回事情。

提示：这种程序伪装成正常程序，实质是个木马伪装成的，在木马代码的前段会完成自我安装与隐藏的过程，最后显示一个错误信息，骗过用户。

②把自己绑定在正常的程序上面对于那些老到的黑客来说，他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件，然后用户在安装该正版程序时，就神不知鬼不觉地被种上木马了。

伪装之后，木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了，或者是放在网站上供人下载。

黑客还会为它们加上一些动人的话语来诱惑别人，像“最新火辣辣小电影！”、“CuteFTP5.0完全解密版！！！”等。

一点不骗人，在安装了这个CuteFTP之后，你的机器就被“完全解密”了，那些喜欢免费盗版的朋友们也要小心了！下面介绍几种常见的伪装植入木马的方法：修改木马图标将木马服务端程序更改图标，如设为图片图标，并将其扩展名设置为***.jpg.exe格式，直接发给对方，由于Windows的默认设置是隐藏已知文件的扩展名，所以对方收到后就会轻易相信这就是一幅图片。

对方运行后，结果毫无反应（运行木马后的典型表现），对方说：“怎么打不开呀!”，回答：“哎呀，不会程序是坏了吧?”，或者说：“对不起，我发错了!”，然后把正确的东西（正常游戏、图片等）发给对方，他收到后只顾高兴就不想刚才为什么会出现那种情况了。

虽然有些木马制作工具中带有修改图标的功能，但是黑客还常常使用其他辅助工具来修改图标。

木马种植的方法是什么相信很多朋友都听说过木马程序，总觉得它很神秘、很高难，但事实上随着木马软件的智能化，很多骇客都能轻松达到攻击的目的。

下面是店铺精心为你整理的木马种植的方法，一起来看看。

木马种植的方法现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。

你要使用木马控制对方的电脑，首先需要在对方的的电脑中种植并运行服务端程序，然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。

为了避免不熟悉木马的用户误运行服务端，现在流行的木马都没有提供单独的服务端程序，而是通过用户自己设置来生成服务端，黑洞2004也是这样。

首先运行黑洞2004，点击“功能/生成服务端”命令，弹出“服务端配置”界面。

由于黑洞2004采用了反弹技术(请参加小知识)，首先单击旁边的“查看”按钮，在弹出的窗口中设置新的域名，输入你事先申请空间的域名和密码，单击“域名注册”，在下面的窗口中会反映出注册的情况。

域名注册成功以后，返回“服务端配置”界面，填入刚刚申请的域名，以及“上线显示名称”、“注册表启动名称”等项目。

为了迷惑他人，可以点“更改服务端图标”按钮为服务端选择一个图标。

所有的设置都完成后，点击“生成EXE型服务端”就生成了一个服务端。

在生成服务端的同时，软件会自动使用UPX为服务端进行压缩，对服务端起到隐藏保护的作用。

服务端生成以后，下一步要做的是将服务端植入别人的电脑?常见的方法有，通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带，把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹，通过P2P软件(比如PP 点点通、百宝等)，让网友在毫无防范中下载并运行服务端程序。

由于本文主要面对普通的网络爱好者，所以就使用较为简单的Email夹带，为大家进行讲解。

我们使用大家经常会看到的Flash动画为例，建立一个文件夹命名为“好看的动画”，在该文件夹里边再建立文件夹“动画.files”，将木马服务端软件放到该文件夹中假设名称为“abc.exe”，再在该文件夹内建立flash文件，在flash文件的第1帧输入文字“您的播放插件不全，单击下边的按钮，再单击打开按钮安装插件”，新建一个按钮组件，将其拖到舞台中，打开动作面板，在里边输入“on (press) {getURL("动画.files/abc.exe");}”，表示当单击该按钮时执行abc这个文件。

深度剖析木马的植入与攻击安全问题2010-09-18 13:57:43 阅读54 评论0 字号：大中小订阅为了学习转的：第3章深度剖析木马的植入与攻击●木马是如何实施攻击的●木马的植入与隐藏●木马信息反馈●常用木马例说●木马的清除和防范木马，也称特伊洛木马，英文名称为Trojan。

其本身就是为了入侵个人电脑而开发的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。

Windows本身没有监视网络的软件，所以不借助其它工具软件，许多时候是很难知道木马的存在和黑客的入侵的。

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该如何清除。

虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现自己是否中“木马”了。

3-1 木马是如何实施攻击的木马是黑客最常用的攻击方法，因此，在本章中将使用较大篇幅来介绍木马的攻防技术。

木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等，一台计算机一旦被一个功能强大的木马植入，攻击者就可以像操作自己的计算机一样控制这台计算机，甚至可以远程监控这台计算机上的所有操作。

尽管资深的黑客是不屑于使用木马的，但在对网络安全事件的分析统计里，却发现有相当部分的网络入侵是通过木马来进行的，包括2002年微软被黑一案，据说就是通过一种普通的蠕虫木马侵入微软的系统，并且窃取了微软部分产品源代码的。

3-1-1 木马是如何侵入系统的小博士，你好！可以给我讲一下木马是如何侵入系统的吗？没问题，一般的木马都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控制植入木马的计算机，服务器端程序就是通常所说的木马程序。

攻击者要通过木马攻击计算机系统，他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。

黑客是如何骗取你执行木马的如今大多数上网的朋友警惕性都很高，想骗取他们执行木马是件很困难的事，因为木马出现这么久，木马两个字听得人们耳朵都长出了老茧，可说是谈"马"色变，即使不是电脑高手都知道，一见到是exe 文件便不会轻易"招惹"它，因而中标的机会也就相对减少了。

对于此，黑客们是不会甘于寂寞的，在黑客的世界里挑战与刺激才是他们趋之若婺的。

1、冒充为图像文件首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用。

只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为"类似"图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。

为甚么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是exe，而木马程序的扩展名基本上又必定是exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把"sam.exe" 更改为"sam.jpg" ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了!还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个"马甲"，即修改文件图标。

修改文件图标的方法如下:1 . 比如到 下载一个名为IconForge 的软件，再进行安装。

2 . 执行程序，按下File > Open3 . 在File Type 选择exe 类4 . 在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。