8木马伪装植入的方法
木马的常用伪装手段
木马的常用伪装手段在网络安全领域,木马是一种恶意软件,可以在不被用户察觉的情况下悄悄地进入计算机系统,实现盗取用户信息、破坏系统的行为。
因此,木马程序的伪装手段非常重要,可以使其更容易地潜入计算机系统。
以下是一些常用的木马伪装手段:1. 伪装成正常程序许多木马程序被设计成伪装成常见的软件或系统组件,例如浏览器插件、媒体播放器、下载器等,以此混淆用户的视觉,避免受到用户的怀疑,从而更容易渗透进入用户的系统。
2. 终端木马伪装终端木马常被伪装成程序源码、编译工具或其它网络安全工具来骗取用户信任,而终端木马常常伴随着对受害者机器的远程控制,拥有非常广泛的攻击能力。
3. 使用非常规的文件扩展名很多木马程序使用并不常见的文件扩展名,比如".txt"、".jpg"、".pdf"等,以绕过一些计算机安全防护软件的检测。
在实际应用过程中,我们应该避免打开不熟悉的文件。
4. 嵌入宏或脚本很多木马程序将自己嵌入到宏或脚本中,然后利用漏洞自动执行,从而绕过了常规的安全检测。
例如,利用办公软件(Word、Excel等)中的宏病毒的攻击方式。
5. 嵌入加密模块有些木马程序会嵌入加密模块,使得其内容在传输过程中无法被轻易识别和拦截,从而达到对计算机系统的“偷窃”。
综上所述,木马程序有很多伪装手段,其中有些是非常难以被发现的。
因此,我们需要时刻保持警惕,使用网络安全软件来防范这些木马程序的攻击,同时也需要提高自己的网络安全意识,确保个人计算机和重要信息的安全。
除了上述常用的木马伪装手段,还有一些更高级的木马伪装手段。
这些高级伪装手段越来越普遍,它们可以更好地欺骗人们的眼睛和虚拟机器的安全防御。
以下是一些高级木马伪装技术:1. 避免反病毒软件现在的反病毒软件具有越来越高的检测能力,它们能够及时发现木马程序并抵御攻击。
因此,一些高级的木马程序会通过加密自己来避免反病毒软件的检测与抵抗。
木马的常用伪装手段
木马的常用伪装手段
1木马程序更名:为增强木马程序的欺骗性,木马的设计者通常会给木马取一个极具迷
惑性的名称(一般与系统文件名相似,如svchOsto Exe等)或者允许控制端用户自由设定安装后的木马文件名。
这就使得用户很难判断所感染的木马类型。
2扩展名欺骗:这是黑客惯用的一-种手法,其主要是将木马伪装成图片、文本、Word
文档等文件,以掩饰自己真实的文件类型,例如将木马程序的名称为“文件名.exe"的文件改为“文件名txtexe”。
此时,用户只需把该文件的扩展名显示出来,就可以轻
松识别出此文件的类型。
3修改程序图标:木马服务端所用的图标有一定的规律可循,木马经常故意伪装成常用
图标的形式(例如文本文件的图标),等待用户因为疏忽而将其认为是应用程序图标而
双击启动。
4捆绑文件:这种方式是将木马捆绑到- -个安装程序中,当用户双击启动程序时,木
马就会随之启动,并运行于计算机系统中。
被捆绑的文件一般是可执行文件,例如后
缀名为“.Exe”,“.COM”之类的文件。
5定制端口:老式木马的端口都是固定的,这位用户判断电脑是否带有木马带来了方便
o现在很多木马都加入了定制端口的功能,控制端用户可以在“1024-6535”之间任意
选择一个端口作为木马端口,这样大大提高了用户判断电脑感染木马类型的难度。
6自我复制:是为了弥补木马的一个缺陷而设计的当服务端用户打开含有木马的文件后,木马会将自己复制到系统目录中(C:WINDOWS System或C:WINDOWS\System32目录)。
木马常用植入方法大曝光
接着把DOC和EXE合并:copy/banyname.doc+anyname.exeanyname.doc。打开这个DOC文档,隐藏在其中的木马就会自动运行。不过还需要满足一个条件HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security中的Level值必须是1或者0。
DLL文件的特点决定了这种实现形式的木马的可行性和隐蔽性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机中的级别未经授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。
[AutoRun]//这是AutoRun部分开始,必须输入
Icon=E:\sex.ico//用sexual.ico文件给E盘设置一个个性化的盘符图标
Open=E:\sexual.exe//指定要运行程序的路径和名称,在此为E盘下的sexual.exe。如果sexual.exe文件是木马或恶意程序,那我们的电脑就危险了。
5伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马,也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程,继续进入休眠状况。
八种硬件木马设计和实现
八种硬件木马设计和实现硬件木马是指通过在计算机硬件上植入恶意代码,实现对目标计算机的操控和攻击的一种恶意软件。
与软件木马相比,硬件木马更加隐蔽,很难被检测和清除。
下面将介绍八种常见的硬件木马设计和实现方法。
1.主板固件植入:通过对计算机主板固件进行修改,将恶意代码写入主板的固件中。
这样在计算机启动时,恶意代码会自动加载并运行,从而实现对目标计算机的控制。
2.硬盘固件植入:恶意代码可以被植入到硬盘的固件中,当计算机启动时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以读取硬盘上的数据,或者在计算机运行中篡改数据。
3.网卡固件植入:恶意代码可以被植入到网卡的固件中,当计算机连接到网络时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以监听和窃取网络通信数据,或者篡改传输数据。
4.显示器固件植入:恶意代码可以被植入到显示器的固件中,当计算机连接到显示器时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以监控和截获显示器的显示内容,包括屏幕上的敏感信息。
5.键盘固件植入:恶意代码可以被植入到键盘的固件中,当用户使用键盘输入时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以记录用户的敏感输入信息,如密码、信用卡号等。
6.鼠标固件植入:恶意代码可以被植入到鼠标的固件中,当用户使用鼠标时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以控制鼠标的移动和点击,实现对目标计算机的操控。
B设备植入:恶意代码可以被植入到USB设备的固件中,当用户将USB设备连接到计算机时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以利用USB设备传输恶意代码,实现对目标计算机的攻击。
8.CPU植入:恶意代码可以被植入到CPU中的控制电路中,当计算机启动时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以直接控制和操控CPU的功能,实现对目标计算机的远程控制。
以上是八种常见的硬件木马设计和实现方法。
由于硬件木马具有隐蔽性高、难以被检测和清除等特点,对于用户来说,保持计算机硬件的安全是至关重要的。
8木马伪装植入的方法
木马伪装植入的方法如果我们要想把自己的木马植入到别人的计算机上,首先就要伪装好自己。
一般来讲,木马主要有两种隐藏手段:①把自己伪装成一般的软件很多用户可能都遇到过这样的情况,在网站上得到一个自称是很好玩或是很有用的小程序,拿下来执行,但系统报告了内部错误,程序退出了。
一般人都会认为是程序没有开发好,不会疑心到运行了木马程序这上面。
等到运行自己的QQ等程序时,被告知密码不对,自己熟得不能再熟的密码怎么也进不去,这时才会想起检查自己的机器是否被人安装了木马这回事情。
提示:这种程序伪装成正常程序,实质是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。
②把自己绑定在正常的程序上面对于那些老到的黑客来说,他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件,然后用户在安装该正版程序时,就神不知鬼不觉地被种上木马了。
伪装之后,木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了,或者是放在网站上供人下载。
黑客还会为它们加上一些动人的话语来诱惑别人,像“最新火辣辣小电影!”、“CuteFTP5.0完全解密版!!!”等。
一点不骗人,在安装了这个CuteFTP之后,你的机器就被“完全解密”了,那些喜欢免费盗版的朋友们也要小心了!下面介绍几种常见的伪装植入木马的方法:修改木马图标将木马服务端程序更改图标,如设为图片图标,并将其扩展名设置为***.jpg.exe格式,直接发给对方,由于Windows的默认设置是隐藏已知文件的扩展名,所以对方收到后就会轻易相信这就是一幅图片。
对方运行后,结果毫无反应(运行木马后的典型表现),对方说:“怎么打不开呀!”,回答:“哎呀,不会程序是坏了吧?”,或者说:“对不起,我发错了!”,然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。
虽然有些木马制作工具中带有修改图标的功能,但是黑客还常常使用其他辅助工具来修改图标。
木马种植的方法是什么
木马种植的方法是什么相信很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。
下面是店铺精心为你整理的木马种植的方法,一起来看看。
木马种植的方法现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。
你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。
为了避免不熟悉木马的用户误运行服务端,现在流行的木马都没有提供单独的服务端程序,而是通过用户自己设置来生成服务端,黑洞2004也是这样。
首先运行黑洞2004,点击“功能/生成服务端”命令,弹出“服务端配置”界面。
由于黑洞2004采用了反弹技术(请参加小知识),首先单击旁边的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反映出注册的情况。
域名注册成功以后,返回“服务端配置”界面,填入刚刚申请的域名,以及“上线显示名称”、“注册表启动名称”等项目。
为了迷惑他人,可以点“更改服务端图标”按钮为服务端选择一个图标。
所有的设置都完成后,点击“生成EXE型服务端”就生成了一个服务端。
在生成服务端的同时,软件会自动使用UPX为服务端进行压缩,对服务端起到隐藏保护的作用。
服务端生成以后,下一步要做的是将服务端植入别人的电脑?常见的方法有,通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带,把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹,通过P2P软件(比如PP 点点通、百宝等),让网友在毫无防范中下载并运行服务端程序。
由于本文主要面对普通的网络爱好者,所以就使用较为简单的Email夹带,为大家进行讲解。
我们使用大家经常会看到的Flash动画为例,建立一个文件夹命名为“好看的动画”,在该文件夹里边再建立文件夹“动画.files”,将木马服务端软件放到该文件夹中假设名称为“abc.exe”,再在该文件夹内建立flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击打开按钮安装插件”,新建一个按钮组件,将其拖到舞台中,打开动作面板,在里边输入“on (press) {getURL("动画.files/abc.exe");}”,表示当单击该按钮时执行abc这个文件。
深度剖析木马的植入与攻击
深度剖析木马的植入与攻击安全问题2010-09-18 13:57:43 阅读54 评论0 字号:大中小订阅为了学习转的:第3章深度剖析木马的植入与攻击●木马是如何实施攻击的●木马的植入与隐藏●木马信息反馈●常用木马例说●木马的清除和防范木马,也称特伊洛木马,英文名称为Trojan。
其本身就是为了入侵个人电脑而开发的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。
Windows本身没有监视网络的软件,所以不借助其它工具软件,许多时候是很难知道木马的存在和黑客的入侵的。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该如何清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现自己是否中“木马”了。
3-1 木马是如何实施攻击的木马是黑客最常用的攻击方法,因此,在本章中将使用较大篇幅来介绍木马的攻防技术。
木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,甚至可以远程监控这台计算机上的所有操作。
尽管资深的黑客是不屑于使用木马的,但在对网络安全事件的分析统计里,却发现有相当部分的网络入侵是通过木马来进行的,包括2002年微软被黑一案,据说就是通过一种普通的蠕虫木马侵入微软的系统,并且窃取了微软部分产品源代码的。
3-1-1 木马是如何侵入系统的小博士,你好!可以给我讲一下木马是如何侵入系统的吗?没问题,一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控制植入木马的计算机,服务器端程序就是通常所说的木马程序。
攻击者要通过木马攻击计算机系统,他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
木马植入与清除
5.邮件冒名欺骗
该类木马植入的前提是,用匿名邮件工具冒充好友或大型网站、机构、单位向别人发木马附件,别人下载附件并运行的话就中木马了。如冒充单位的系统管理员,向各个客户端发送系统补丁或是其它安装程序。
6.QQ冒名欺骗
该类木马植入的前提是,必须先拥有一个不属于自己的QQ号。然后使用这个QQ号码给好友们发去木马程序,由于信任被盗号码的主人,好友们会毫不犹豫地运行木马程序,结果就中招了。
第六章,木马的植入与清除2010-03-14 12:15我们知道:一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控
制植入木马的计算机,服务器端程序就是我们通常所说的木马程序。攻击者要通过木马攻击计算机系统,所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
提示
① 将魔道终结者拷贝到QQ的目录下,然后单击魔道终结者1.4的主程序 (qqmdover14.exe)后,出现它的主界面窗口。
② 点击主界面中的按钮选择QQ的执行文件,然后单击“运行”按钮,出现QQ登录对话框。不用输入密码,直接单击其中的 “登录”按钮。
③ 单击“OK”按钮,程序将弹出“请再次输入登录密码”的对话框。
④ 这时候我们不用管这个要求再次输入登录密码的对话框 (最小化它,既不 要点击“确定”,因为会继续让你输入密码,也不要点击“取消”,取消之后会关闭程序,托盘里的QQ图标也就没有了),直接双击右下角托盘里的QQ的图标 (因没有登录,显示灰色),则会弹出QQ的主界面窗口,因没有上线所有好友都呈灰色。
这一种方式关键的一点,就是如何让对方打开附件。一般情况可在邮件主题写一些吸引人的、易引起人好奇的内容,促使对方毫无知觉地自动种上木马,被你控制。
② 通过软件下载,一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
木马伪装植入的方法
如果我们要想把自己的木马植入到别人的计算机上,首先就要伪装好自己。
一般来讲,木马主要有两种隐藏手段:
①把自己伪装成一般的软件
很多用户可能都遇到过这样的情况,在网站上得到一个自称是很好玩或是很有用的小程序,拿下来执行,但系统报告了内部错误,程序退出了。
一般人都会认为是程序没有开发好,不会疑心到运行了木马程序这上面。
等到运行自己的QQ等程序时,被告知密码不对,自己熟得不能再熟的密码怎么也进不去,这时才会想起检查自己的机器是否被人安装了木马这回事情。
提示:
这种程序伪装成正常程序,实质是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。
②把自己绑定在正常的程序上面
对于那些老到的黑客来说,他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件,然后用户在安装该正版程序时,就神不知鬼不觉地被种上木马了。
伪装之后,木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了,或者是放在网站上供人下载。
黑客还会为它们加上一些动人的话语来诱惑别人,像“最新火辣辣小电影!”、“CuteFTP5.0完全解密版!!!”等。
一点不骗人,在安装了这个CuteFTP之后,你的机器就被“完全解密”了,那些喜欢免费盗版的朋友们也要小心了!
下面介绍几种常见的伪装植入木马的方法:
修改木马图标
将木马服务端程序更改图标,如设为图片图标,并将其扩展名设置为***.jpg.exe格式,直接发给对方,由于Windows的默认设置是隐藏已知文件的扩展名,所以对方收到后就会轻易相信这就是一幅图片。
对方运行后,结果毫无反应(运行木马后的典型表现),对方说:“怎么打不开呀!”,回答:“哎呀,不会程序是坏了吧?”,或者说:“对不起,我发错了!”,然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。
虽然有些木马制作工具中带有修改图标的功能,但是黑客还常常使用其他辅助工具来修改图标。
如IconChanger,就是一个更换文件图标工具,其运行界面如图1所示。
图1:更换图标工具
在“Search icons in”里选择不同的盘符,程序就会自动搜索该盘符下的所有程序图标列在下部的列表中。
然后选择“File”|“Choose file to change its icon”命令,在打开的对话框中选择待更换图标的木马程序,选出的程序会出现在界面左上部。
接下来在程序的图标列表中选择一个中意的图标,拉到右下侧列表中,最后选中一个最满意的,点击工具栏的“Set”按钮,左上部的程序的图标就会变成黑客想要设置的图标,如图2所示。
图2:更改图标后的效果
捆绑欺骗
把木马服务端和某个游戏或工具捆绑成一个文件在QQ或邮件中发给别人,别人运行后它们往往躲藏在Windows的系统目录下,图标伪装成一个文本文件或者网页文件,通过端口与外界进行联系。
然后把自己和一些EXE文件捆绑在一起,或者采用改变文件关联方式的方法来达到自启动的目的。
而且,即使以后系统重装了,如果该程序还是保存着的话,还是有可能再次中招的。
捆绑欺骗大多采用捆绑软件如Deception Binder进行以下几种方式的捆绑:
将一款小游戏和木马服务端捆绑成一个文件;
把一个txt文件和木马服务端捆绑成一个文件;
把一个JPG图片和木马服务端捆绑成一个文件。
Deception Binder的程序运行界面如图3所示。
图3:Deception Binder的程序运行界面
Deception Binder程序一个外国的小巧的文件合并器,虽然小巧,功能却不错,可以设置捆绑的程序打开文件是否隐蔽运行,设置打开文件是否加入注册表启动项,设置打开文件时是否显示错误信息以迷惑对方。
最后将捆绑后的文件找一个相应的理由发送给对方,让对方在不知不觉中被种植木马。
文件夹惯性点击
把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹木马时,也会收不住鼠标点下去,这样木马就成功运行了。
比方说著名的木马黑洞2001的服务端程序用的就是文件夹的图标,如果您以为它是文件夹而去点击那您就错了,它是个不折不扣的EXE文件!
当然,如果对方使用的IE5.0及以下的版本,还可以利用Windows中的文件夹支持HTML 和JavaScript定义的一些“动作”原理,通过JavaScript,让文件夹自动执行程序,做成
一个真正“文件夹木马”,让对方不受骗都难。
危险下载点
攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载,这样以后每增加一次下载次数,就等于多了一台中木马的计算机。
或者把木马免杀处理后捆绑到其他软件上,然后“正大光明”地发布到各大软件下载网站,它们也不查毒,就算查也查不出一些新木马,或是进行过免杀处理的木马。
邮件冒名欺骗
该类木马植入的前提是,用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件,别人下载附件并运行的话就中木马了。
如冒充单位的系统管理员,向各个客户端发送系统补丁或是其它安装程序(因为这些程序都是可执行文件)。
QQ冒名欺骗
该类木马植入的前提是,必须先获取一个不属于自己的QQ号。
然后使用这个QQ号码给好友们发去木马程序,由于信任被盗号码的主人,好友们会毫不犹豫地运行木马程序,结果就中招了。
ZIP伪装
将一个木马和一个损坏的ZIP包(可自制)捆绑在一起,然后指定捆绑后的文件为ZIP 图标,这样一来,除非别人看了他的后缀,否则点下去将和一般损坏的ZIP没什么两样,根本不知道其实已经有木马在悄悄运行了。
ZIP伪装的常见做法如下:
首先创建一个文本文档,输入任意个字节(其实一个就行,最小),将它的后缀txt直接改名为zip即可,然后把它和木马程序捆在一起,修改捆绑后的文件图标为zip图标就成了。
论坛上发链接
在可以上传附件的论坛上传捆绑好的木马(如将木马捆绑在图片上传),然后把链接发给想要攻击的目标肉机的主人,诱惑他点击那个链接。
网页木马法
在黑客自己的网页上捆绑木马,再在QQ上邀请想要攻击的目标网友去访问,轻松给他种上黑客配置的木马。
伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马。
黑客们通常将木马程序写成为任何类型的文件(例如
dll、ocx等),然后挂在一个十分出名的软件中,例如QQ。
由于QQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件是否多了。
而当受害者打开QQ时,这个有问题的文件即会同时执行。
此种方式相比起用捆绑程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开QQ时木马程序就会同步运行,相对一般特洛伊木马可说是“踏雪无痕”。
更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一个新木马来,所以即使安装有杀毒软件也拿它没有丝毫办法。