最新黑客攻防实战从入门到精通2版(武新华,孙振辉编著)思维导图

第七章木马的伪装与防杀木马的出现在计算机安全领域中具有里程碑的意义，利用木马控制电脑可以无所不能。

当然，接踵而来的杀毒软件也对木马进行了全面封杀，使得木马无处藏身。

面对杀毒软件的“镇压”，木马也并非是待宰鱼肉，通过各种伪装木马与杀毒软件玩起了猫捉老鼠的游戏。

黑客攻防大师(第二版木马是如何被植入的木马有功能强大、操作简单，一旦安装清除困难等特点。

但是由于种植木马比较困难，不容易让远程主机执行，这就大大地限制木马的危害。

然而，入侵者还是能够通过一些巧妙的方法使远程电脑执行木马，让管理员防不胜防。

下面就来了解一下入侵者都使用的什么样的方法让远程电脑安装木马服务端。

修改图标为了更好地伪装木马，入侵者常常将木马服务端的图标修改成文本文档或者 JPG 图片的图标，来迷惑远程主机的管理员。

这里来介绍几款修改图标的工具。

● IconFinder：提取图标工具。

● IconChager：更换文件图标工具。

● Relco：更换冰河服务端图标工具。

● IconCool Editor：编辑图标工具。

● IconLIB：图标库，收录了很多漂亮的图标。

文件合并当管理员执行木马服务端程序后，或是弹出错误对话框或是毫无反应，容易引起管理员的怀疑。

为了不引起管理员的怀疑，入侵者可以把木马和正常文件捆成一个文件作为伪装，当远程主机的管理员打开文件的同时会自动执行木马和正常文件。

管理员看来，他们打开的只是那个正常的程序，却不知已经被种植了木马。

大家总感觉莫名其妙地被种了木马，可能就是这样被“中招”的。

下面我们就以常用的工具WinRAR 为例，介绍木马是如何被捆绑的。

使用WinRAR捆绑木马在这个示例中，目的是将一个 Flash 动画（1.swf）和木马服务端文件（1.exe）捆绑在一起，做成自释放文件，如果你运行该文件，在显示 Flash 动画的同时就会中木马！步骤 1 把这两个文件放在同一个目录下，按住【Ctrl】键的同时用鼠标选中“1.swf”和“1.exe”，然后单击鼠标右键，在弹出菜单中选择“添加到档案文件”，会出现一个标题为“档案文件名字和参数”的对话框，在该对话框的“档案文件名”栏中输入任意一个文件名，比方说“暴笑三国.exe”，如图所示。

《⿊客攻防技术宝典web实战篇》第⼆版----全部答案第2章：核⼼防御机制1. 为什么说应⽤程序处理⽤户访问的机制是所有机制中最薄弱的机制？典型的应⽤程序使⽤三重机制（⾝份验证、会话管理和访问控制）来处理访问。

这些组件之间⾼度相互依赖，其中任何⼀个组件存在缺陷都会降低整个访问控制机制的效率。

例如，攻击者可以利⽤⾝份验证机制中的漏洞以任何⽤户⾝份登录，并因此获得未授权访问权限。

如果能够预测令牌，攻击者就可以假冒成任何已登录⽤户并访问他们的数据。

如果访问控制不完善，则任何⽤户都可以直接使⽤应该受到保护的功能。

2. 会话与会话令牌有何不同？会话是服务器上保存的⼀组数据结构，⽤于追踪⽤户与应⽤程序交互的状态。

会话令牌是应⽤程序为会话分配的⼀个特殊字符串，⽤户需要在连接提出请求的过程中提交该字符串，以重新确认⾃⼰的⾝份。

3. 为何不可能始终使⽤基于⽩名单的⽅法进⾏输⼊确认？许多时候，应⽤程序可能会被迫接受与已知为“良性”输⼊的列表或模式不匹配的待处理数据。

例如，许多⽤户的姓名包含可⽤在各种攻击中的字符。

如果应⽤程序希望允许⽤户以真实姓名注册，就需要接受可能的恶意输⼊，并确保安全处理这些输⼊。

4. 攻击者正在攻击⼀个执⾏管理功能的应⽤程序，并且不具有使⽤这项功能的任何有效证书。

为何他仍然应当密切关注这项功能呢？攻击者可以利⽤任何访问控制核⼼机制中的缺陷未授权访问管理功能。

此外，攻击者以低权限⽤户⾝份提交的数据最终将向管理⽤户显⽰，因此，攻击者可以提交⼀些恶意数据，⽤于在管理⽤户查看这些数据时攻破他们的会话，从⽽对管理⽤户实施攻击。

5. 旨在阻⽌跨站点脚本攻击的输⼊确认机制按以下顺序处理⼀个输⼊：(1) 删除任何出现的<script>表达式；(2) 将输⼊截短为50个字符；(3) 删除输⼊中的引号；(4) 对输⼊进⾏URL解码；(5) 如果任何输⼊项被删除，返回步骤(1)。

是否能够避开上述确认机制，让以下数据通过确认？“><script>alert(“foo”)</script>是。