木马程序设计
八种硬件木马设计和实现
八种硬件木马设计和实现硬件木马是指通过在计算机硬件上植入恶意代码,实现对目标计算机的操控和攻击的一种恶意软件。
与软件木马相比,硬件木马更加隐蔽,很难被检测和清除。
下面将介绍八种常见的硬件木马设计和实现方法。
1.主板固件植入:通过对计算机主板固件进行修改,将恶意代码写入主板的固件中。
这样在计算机启动时,恶意代码会自动加载并运行,从而实现对目标计算机的控制。
2.硬盘固件植入:恶意代码可以被植入到硬盘的固件中,当计算机启动时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以读取硬盘上的数据,或者在计算机运行中篡改数据。
3.网卡固件植入:恶意代码可以被植入到网卡的固件中,当计算机连接到网络时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以监听和窃取网络通信数据,或者篡改传输数据。
4.显示器固件植入:恶意代码可以被植入到显示器的固件中,当计算机连接到显示器时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以监控和截获显示器的显示内容,包括屏幕上的敏感信息。
5.键盘固件植入:恶意代码可以被植入到键盘的固件中,当用户使用键盘输入时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以记录用户的敏感输入信息,如密码、信用卡号等。
6.鼠标固件植入:恶意代码可以被植入到鼠标的固件中,当用户使用鼠标时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以控制鼠标的移动和点击,实现对目标计算机的操控。
B设备植入:恶意代码可以被植入到USB设备的固件中,当用户将USB设备连接到计算机时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以利用USB设备传输恶意代码,实现对目标计算机的攻击。
8.CPU植入:恶意代码可以被植入到CPU中的控制电路中,当计算机启动时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以直接控制和操控CPU的功能,实现对目标计算机的远程控制。
以上是八种常见的硬件木马设计和实现方法。
由于硬件木马具有隐蔽性高、难以被检测和清除等特点,对于用户来说,保持计算机硬件的安全是至关重要的。
木马程序设计(两篇)2024
引言:木马程序是一种恶意软件,它通过在目标系统中植入并隐藏自身,实现对目标系统的控制或信息窃取。
本文是《木马程序设计(二)》的续篇,将继续深入探讨关于木马程序的设计和相关技术。
概述:本文旨在介绍如何设计和开发具有高度隐蔽性和攻击能力的木马程序。
通过深入了解木马程序的原理和开发过程,有助于安全专家和网络管理员更好地了解和对抗木马程序,以保护系统和用户的安全。
正文内容:1.攻击向量和传播方式1.1社交工程1.2漏洞利用1.3传输层安全协议绕过1.4僵尸网络攻击1.5欺骗用户2.木马程序的免疫和检测2.1超早期威胁检测2.2行为监测和模式识别2.3特征码识别和病毒库更新2.4网络流量分析2.5操作系统层面的防御3.植入与控制技术3.1进程注入技术3.2Rootkit技术3.3驱动程序植入3.4远程命令执行3.5定时任务和触发器4.木马通信与隐藏通道4.1隐蔽通信协议4.2随机化通信端口4.3数据加密和解密4.4数据压缩和分段传输4.5反向连接和动态DNS5.对抗与防治策略5.1安全软件与防火墙5.2漏洞修补和补丁管理5.3用户教育与安全意识培训5.4减少攻击面的措施5.5安全审计和日志分析总结:木马程序作为一种隐蔽且具有破坏性的攻击方式,对网络和系统的安全造成了严重威胁。
本文通过深入分析木马程序的设计和相关技术,希望能够帮助读者更好地了解木马程序的工作原理,以便有效对抗和防治木马程序的攻击。
同时,也强调了用户教育、安全软件、漏洞修补等方面的重要性,以建立更加安全和可靠的网络环境。
只有不断学习和加强防护,才能提高网络和系统的安全性。
引言:随着互联网的迅速发展,木马程序成为了网络安全领域中的一个重要话题。
木马程序是一种能够在用户不知情的情况下获取或控制目标系统的恶意软件。
它们能够隐藏在正常的应用程序或文件中,以欺骗用户下载和安装。
本文将深入探讨木马程序设计的背景、原理、类型以及防御方法。
概述:木马程序设计是指创建和开发恶意软件,以实现对目标系统的非法访问和控制。
基于VC的一种木马的设计
r sa t g a d c o i gwi e c n r l d c mp tr t i d n a d o e et s b ec n r l dc mp tr o e d n e t r n n lsn t t o t l o u e , oh d e n p n t k a t t o tol o u e rs n i g i h h oe h a r oh e f
o t i h u ci n fb sc if r t n o e r moe c n r l d c mp tra o k d i u e a d k y o r , a el d b an t ef n to so a i n o mai ft e t o to l o u e nd lc e t mo s e b a d c nc le o h e s n
和服务端通信如图 1 所示 。
发起连接 端 口监 听
在文本框 中如图 2 所示 。 当 Cin 接收到 Sre 返 回的系统信息 和进程信 息以后 , l t e evr 单击 C et 面 的清 除信息 按钮 就可 以清除掉 文本 框 中的信 ln上 i 息 。本功能不需要要 Sre 和 C et e r v i l n 进行通信 ,l n 通过调用 c et i
h g s e ,nw ih te r a n e ak r o t e iey sd icu e e t ra t ntokscry u e l i hc ,h o ni oeot c e’t lo d l ue ,t a sdag a t eto e r ui . aw l T j s fh h So b w r h w e t
成员 函数 C l n l:O Cen ( f Ci t g : n l eD a )l中的 函数 C l nDg : n Ci tl:O — e Cen )就 可以实现 。 l (f a l 注销 、重启和关机这 三个 功能都是调用 E i n o s x xWidw E 函 t
计算机网络课程设计-木马程序设计与实现
长沙理工大学《计算机网络技术》课程设计报告学 院专 业 班 级 学 号 学生姓名 指导教师 课程成绩 完成日期课程设计成绩评定学院专业班级学号学生姓名指导教师完成日期指导教师对学生在课程设计中的评价指导教师对课程设计的评定意见课程设计任务书城南学院通信工程专业木马程序的设计与实现学生姓名:指导老师:摘要本文在研究著名木马BO2K技术的基础上设计了一款远程控制木马。
该木马程序能够通过客户端对远程主机进行控制和监视,服务端可以自动连接客户端.另外该木马程序还包括远程文件操作(文件复制、拷贝、删除、下载、上传等),远程系统控制(重启、屏幕锁定、启动项管理),网络连接控制,远程进程管理和键盘监控等功能。
最后本文实现了这一款木马程序,并对其进行了测试.测试结果显示该木马程序实现了所有的功能,能够对远程主机进行控制.关键字客户端/服务端;BO2K;远程控制1 引言随着互联网技术的迅猛发展,网络给人们带来了很多便利,日益发达的网络产品越来越多。
伴随这样的发展,随之而来的是越来越多的帐号与密码,而这些帐号与密码背后伴随的是很多的经济价值.在这种状况下,很多人想尽一切办法的去找取配套的密码与帐号,所以为了使帐号与密码更加安全,有必要去研究木马的工作原理.1.1 课程设计目的(1)掌握木马编程的相关理论,理解木马工作的基本原理,学会运用C++进行编程实现.(2)加深对课本知识的理解,并运用所学理论和方法进行一次综合性的设计训练,同时掌握工程设计的具体步骤和方法,从而培养独立分析问题和解决问题的能力,提高实际应用水平。
(3)以所学知识为基础,针对具体设计问题,充分发挥自己的主观能动性,独立地完成课程设计分配的各项任务,并通过课程设计培养严谨的科学态度和认真的工作作风.1.2 课程设计内容(1)查找木马程序主要技术及相应软件;(2)比较他们的技术及优缺点;(3)实现一个简单的木马程序;(4)提交文档;1.3 课程设计要求(1)按要求编写课程设计报告书,能正确阐述设计结果。
一个简单木马程序的设计与开发.
一个简单木马程序的设计与开发1 前言 1.1 课题背景随着互联网技术的迅猛发展,网络给人们带来了很多便利,但是也带来了许多麻烦。
各种网页木马,后门,下载者,病毒,利用各种系统漏洞,网站漏洞,程序漏洞,邮箱漏洞,U 盘及社会工程学等在网上横行,给广大用户带来了重要资料丢失,机密文件提前泄密,邮箱帐号,游戏帐号,各类照片被人恶意修改后传播到网上,系统被格盘,系统被监视,摄像头被人暗中开启并录像传播等非常严重的后果。
使得许多朋友,闻木马,就变色。
为了使更多朋友了解木马病毒,通过编写一个简单的木马,来分析它及其的变形,提出相应的防范措施。
1.2 国内外研究现状从有关的资料看,国内外的windows系统下的木马,功能已经从简单发展到全面,大致包括以下功能:上传下载文件,删除文件,复制文件,粘贴文件,文件编辑,文件重命名,文件剪切,新建文件,修改文件,修改文件的创建时间等;获得目标主机名,IP地址,以及目标主机地理位置,系统打了多少补丁,安装了些什么软件,MAC地址,安装了几个处理器,内存多大,网速多快,系统启动时间,系统目录,系统版本等;取得目标主机的CMD权限,添加系统管理员,对目标主机进行注册表操作,开启目标主机3389端口,软件自动更新,使目标主机成为HTTP,SOCK5代理服务器,对目标主机的服务进行操作,对目标主机的开机自启动项进行操作,目标主机主动向控制端发起连接,也可主动向目标主机发起连接等,暗中打开用户摄像头,监控,录制用户隐私生活,对用户进行屏幕监控等。
木马的隐蔽性更强了,从原来的单纯隐藏在某个目录中,发展到了替换系统文件,修改文件修改时间等。
木马从EXE文件靠注册表启动,发展到了DLL文件远程线程插入,替换修改系统DLL文件,靠驱动文件等高级水准,更有写入系统核心中的。
木马深藏在系统中,甚至在许多杀毒软件启动前启动,或者是绑定到杀毒软件上,或者修改杀毒软件规则,使得杀毒软件误以为它是合法文件,或者是将木马DLL文件插入到WINLOGON.EXE 中,以至于在安全模式下也无法删除。
用C#实现木马程序
用C#实现木马程序本文是探讨木马程序,所以在介绍之前有一些木马构成的基本知识事先说明。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
这里主要对软件部分介绍,它主要有控制端程序、木马程序(后台服务程序)、木马配制程序组成。
控制端用以远程控制服务端的程序;木马程序是潜入服务端内部,获取其操作权限的程序;木马配制程序是设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏的更隐蔽的程序。
使用的技术:控制端程序发送控制码控制服务器,服务器后台运行,修改注册表达到控制的目的。
技术不是很难的,主要体现C#的网络编程和注册表的修改。
控制端开发:控制端向服务器发出一段控制码,服务端(木马程序)收到控制码后,根据控制的要求,完成指定的要求,如果服务器完成工作,返回成功的信息。
控制端的开发:控制码的设定你可以自已设定,不需要详解,主要有以下几个难点。
1、连接请求使用了.NET类中的.Sockets.TcpClient类,TcpClient(string hostname,int port)Hostname 是要控制的主机名称,当然你也可以用IP地址。
Port是端口。
// System.EventArgs包含事件数据类的基类private void button7_Click(object sender, System.EventArgs e){//记录操作,在richTextBox控件中增加操作信息richTextBox1.AppendText("请求连接" +textBox1.Text +"\r");int port =6678;try{//初始化TcpClient 类的新实例并连接到指定主机上的指定端口client = new TcpClient(textBox1.Text,port);}catch{MessageBox.Show("服务器不在线!确定是否输入主机名称.");richTextBox1.AppendText("服务器不在线!确定是否输入主机名称.");}}//private void buttion2、测试是否与被控制机连接上。
编写自己简单木马程序(vb)
木马程序已经并不是十分高明的技术了,它们不外乎也就是基于TCP/IP协议的客户端/服务端程序。
工作原理:普通的客户端/服务端软件一样,只不过它们隐藏得比较好,不容易发现而已。
首先对你怀有野心的人利用现成的操作系统或是某些软件本身的漏洞想方设法的把服务端程序加到你的本机上运行,然后通过客户端向你本机中的服务端程序发出一些请求,最后对你本机进行操作,完成他们想要达到的目的。
步骤:首先,新建一工程,名为Server,新建一个窗体,Name为frmServer,在窗体中加入一个winsock控件,Name设为sckServer,协议设为默认的TCP/IP协议。
接下来我们回来frmServer窗体模块中,添加如下代码:Private Sub FORM_Load()With Me.sckServer.LocalPort = 4000‘本地端口.sckServer.Listen ‘开始监听End WithEnd Sub‘接受客户端的连接请求。
Private Sub sckServer_ConnectionRequest(ByVal requestID As Long)With MeIf .sckServer.State <>sckClosed Then .sckServer.Close.sckServer.Accept (requestID)End WithEnd Sub下面我们来建立客户端程序:新建一个工程,名为Client,把窗体名为frmClient,在上面加入一个winsock控件,名为sckClient,协议为TCP/IP协议。
再加一个按钮cmdConnect在窗体模块中加入代码:Private Sub FORM_Load()With Me.sckClient.RemoteHost = "127.0.0.1"‘设置远程IP,本例设为本机。
.sckClient.RemotePort = 4000 ‘远程端口,就为server中的设置一样.End WithEnd SubPrivate sub cmdConnect_Click()SckClient.ConnectEnd sub至此,单击Connect按钮我们的两个工程已经可以进行通信了,但看不见,你可以在Client中的sckClient_Connect事件中加入代码:debug.print “Connetion successful!”来查看。
WINDOWS系统下木马程序的设计与实现
WINDOWS系统下木马程序的设计与实现近年来,黑客攻击层出不穷,对网络安全构成了极大的威胁。
木马是黑客的主要攻击手段之一,它通过渗透进入对方主机系统,从而实现对目标主机的远程操作,破坏力相当之大。
到目前为止,木马的发展已经历了五代:第一代木马只是实现简单的密码窃取、发送等,在隐藏和通信方面均无特别之处。
第二代木马的典型代表是冰河,它以文件关联方式启动,通过电子邮件传送信息,在木马技术发展史上开辟了新的篇章。
第三代木马的信息传输方式有所突破,采用ICMP协议,增加了查杀的难度。
第四代木马在进程隐藏方面获得了重大突破,采用插入内核的嵌入方式、利用远程插入线程技术、嵌入DLL线程、或挂接PSAPI等,实现木马程序的隐藏,利用反弹端口技术突破防火墙限制,在Windows NT/2000下取得了良好的隐藏效果。
第五代木马与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必象以前的木马那样需要欺骗用户主动激活,例如最近新出现的类似冲击波病毒的木马—噩梦II。
木马的关键技术木马基于C/S模式,服务器端程序运行于被控制的主机上,客户端完成控制功能。
设计木马时,需考虑几个关键因素:首先要具有深度的隐蔽性,保证木马的隐蔽运行和启动,其次要能顺利实现客户端与服务器端的通信,最后还要根据需要实现其他功能。
一、木马的隐藏有两种方法可以隐藏木马:一种是DLL 木马,它让木马消失在进程列表里,但程序的进程仍然存在;另一种方法则是线程注入式木马,它让程序彻底消失,不以进程或服务方式工作。
1、DLL木马只要把木马服务器端的程序注册为一个服务,系统就不会再把它当作进程,程序便会从任务列表中消失,按下Ctrl+Alt+Delete后,也就看不到该程序。
此方法首先要装载Kernel32.dll,然后在该DLL中确定函数RegisterServiceProcess()的地址进行调用,但只适用于Windows9x/Me的系统,Windows NT/2000通过服务管理器依然能够发现在系统中注册过的服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
木马程序设计摘要:在计算机日益普及的时代,信息在网络上的传播已经凸显出不可或缺的重要地位。
在感受网络带来的信息交流与资源共享的益处的同时,各种病毒也在危害着计算机用户,木马程序是其中最为猖獗的一类。
本文通过利用C#编程等方法分析与设计一个简单的木马程序,让人们更进一步了解木马的功能、原理、植入方法以及如何防护与处理木马。
关键词:木马技术;远程控制; .NET类;1 引言1.1 课题背景随着信息技术的飞速发展,计算机和计算机通信网络己经成为当今社会不可缺少的基本组成部分,依托互联网技术的全球信息化浪潮冲击和深刻影响着人类政治、经济、社会的方方面面,对经济发展、国家安全、国民教育和现代管理都起着重要的作用。
随着网络技术和信息化应用范围的不断扩大,网络信息应用领域开始从传统的、小型业务系统逐渐向大型、关键业务系统扩展,如政府部门业务系统、金融业务系统、教育科研系统等等。
但随着网络应用的增加,以计算机信息系统为犯罪对象和犯罪工具的各类新型犯罪活动不断出现。
网络安全风险也不断暴露出来,网络信息安全问题已经成为制约各类网络信息系统实用化和进一步发展的不可忽视因素,对一些关系国民经济的重要信息系统和关系国家安全的网络信息系统,己经到了非解决不可的地步。
其中,利用木马技术入侵、控制和破坏网络信息系统,是造成网络信息安全问题的典型表现之一。
木马是一种基于C/S模式的远程控制技术,能在被监控对象毫无察觉的情况下渗透到对方系统并隐藏在合法程序中的计算机程序。
一旦植入和触发成功,控制端与被控制端之间就能遵照TCP/IP协议进行数据通信,从而使得控制者获取被控制者的相关信息。
它们通常以欺骗为手段,在用户不知情的情况下进行安装,并暗中把所获的机密信息发送给第三者,威胁用户电脑中的数据安全并侵犯个人隐私,严重影响了人们正常工作和生活。
2008年1月至10月,瑞星公司共截获新病毒样本930余万个,其中绝大部分(776万)是盗号木马、后门程序,专门窃取网游账号、网银账号等虚拟财产,具有极其明显的经济利益特征。
时隔两年,不断有新的木马病毒被发现,社会上己经掀起一个木马研究的热潮。
正是在这样的背景下,我的课题主要设计一个简单的木马程序,进一步地了解木马程序的结构和实现原理,加深对相关知识的了解,进而提高对木马的防范水平。
1.2 课程设计目的本课程设计的目的主要有以下几个:(1)加深对socket套接字在编程中的应用理解;(2)加深对服务器端以及客户端编程的应用;(3)掌握.NET类库中的命令空间;(4)进一步熟悉Visual Studio 2008开发工具,掌握相关控件的使用方法。
(5)进一步了解木马的设计原理,提高对木马的防范水平。
(6)通过本次课程设计,提高利用C#编程的能力。
2 程序设计平台2.1开发工具本课程设计使用了Microsoft Visual Studio 2008作为开发工具,使用C#作为开发语言。
Visual Studio 2008 提供了高级开发工具、调试功能、数据库功能和创新功能,帮助在各种平台上快速创建当前最先进的应用程序。
Visual Studio 2008 包括各种增强功能,例如可视化设计器(使用 .NET Framework 3.5 加速开发)、对 Web 开发工具的大量改进,以及能够加速开发和处理所有类型数据的语言增强功能。
Visual Studio 2008 为开发人员提供了所有相关的工具和框架支持,帮助创建引人注目的、令人印象深刻并支持 AJAX 的Web 应用程序。
开发人员能够利用这些丰富的客户端和服务器端框架轻松构建以客户为中心的 Web 应用程序,这些应用程序可以集成任何后端数据提供程序、在任何当前浏览器内运行并完全访问 应用程序服务和 Microsoft 平台。
2.2开发语言设计使用C#语言。
C# 与C++很相似,还借鉴了Java的许多特点。
但是C# 比C++更安全、比Java更高效,特别适合于Windows环境下的.NET编程。
C# 是一种面向对象的程序设计语言,最初是作为.NET的一部分而开发的。
换句话说,.NET是围绕C# 而开发的。
C# 的面向过程和对象的语法,是基于C++的,但也包含了另外几种程序设计语言的特征(其中最显著的是Delphi、Visual Basic 和Java ),C# 特别强调简易性(如所需符号比C++的少、所需修饰比Java 的少)。
用C# 进行托管代码编程,具有如下优点:完全面向对象的设计、非常强的类型安全、很好地融合了VB 和C++的强大功能、垃圾内存回收、类似于C++的语法和关键字、用委托取代函数指针增强了类型安全、为程序员提供版本处理技术可解决老版本的程序不能在新DLL 下运行的“动态链接库地狱”(DLL hell )问题。
[1]3 主要原理3.1 木马工作原理木马是一类特殊的计算机程序,其作用是在一台计算机上监控被植入木马的计算机的情况。
所以木马的结构是一种典型的客户端/服务器 (C/S)模式。
木马程序一般分为客户端(Clinet)和服务器端(Server),服务器端程序是控制者传到目标计算机的部分,骗取用户执行后,便植入计算机,作为响应程序。
客户端是用来控制目标主机的部分,安装在控制者的计算机,它的作用是连接木马服务器端程序,监视或控制远程计算机。
典型的木马工作原理是:当服务器端在目标计算机上被执行后,木马打开一个默认的端口进行监听,当客户机向服务器端提出连接请求,服务器上的相应程序就会自动运行来应答客户机的请求,服务器端程序与客户端建立连接后,由客户端发出指令,服务器在计算机中执行这些指令,并将数据传送到客户端,以达到控制主机的目的。
(如图3.1)图3.1木马服务器端与客户端的通信 木马客户端 木马服务端指令 结果 TCP/IP 连接这是木马程序的基本工作原理,其中还包括木马的种植,隐藏,通信等。
下面分别就相关技术原理展开论述。
3.2木马种植原理特洛伊木马大都采用客户机/服务器模式:客户端程序是在你自己的PC机上运行.服务器端程序是安装在目标主机上运行。
如果你不能把服务器端程序植入目标主机,那么你的特洛伊木马程序功能再完善,也没有办法启动木马的功能。
通常特洛伊木马的植入技术有以下几种:[2]⑴通过网上邻居(即共享入侵)要求:对方打开139端口且有共享的可写目录.用法:直接将木马放入即可.⑵通过IPC$要求:双方均需打开IPC$且需要有对方的一个普通用户的帐号(具有写权限)用法:先用NET命令连上对方电脑 net use \\IP\IPC$ "密码" /user:用户名再用COPY命令将木马复制到对方电脑net copy本地木马路径远程木马路径+木马名字⑶通过网页植入要求:对方IE需要是IE未打补丁版本用法1:利用IE的IFRAME漏洞入侵.用法2:利用IE的DEBUG代码入侵.用法3:通过JS,VBS代码入侵用法4:通过ActiveX或Java程序入侵.⑷通过OE入侵.要求:对方OE未打补丁.用法:与③中的用法1,3,4相同.⑸通过WORD/EXCEL/ACCESS入侵要求:对方未对宏的运行做限制.用法1:编写恶意的宏,夹杂木马,运行office文档便植入主机中.用法2:通过OFFICE的帮助文件漏洞入侵.⑹通过Unicode漏洞入侵要求:对方有Unicode漏洞用法(举例):_blank>http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe? +COPY+本地木马路径+远程路径+木马名⑺通过FTP入侵要求:对方的FTP可以匿名登陆而且可写入用法:直接将木马传上去即可.⑻通过TELNET入侵要求:具有对方的一个具有写权限的账号用法:用TELNET命令将木马传上去.⑼ EXE合并木马要求:无(但用于合并木马的EXE文件体积应该尽量小,而且应该是比较熟悉的程序.)用法:用EXE文件合并器将两个EXE合并即可.⑽ winrar木马入侵要求:对方安装了Winrar用法:将压缩包设置为自解压格式,并设置自动运行的选项,再将RAR图标更改.⑾文件夹惯性点击法要求:无用法:将一个木马伪装成文件夹的图标,再将其放于几层目录中.3.3木马隐藏原理(1)木马的启动隐藏方式①本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。
木马病毒将可执行文件伪装成图片或文本---在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。
由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG,不注意的人点击这个图标就在无意间启动了木马程序。
②通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。
像Autoexec.bat和Config.sys。
特别是系统配置文件MSCONFIG.SY中的系统启动项---system.ini,window.ini是众多木马的隐藏地。
Windows安装目录下的system.ini的[boot]字段中,正常情况下为boot=“Explorer.exe”,如果后面有其他的程序,如这样的内容,boot=“Explorer.exe file.exe”,这里的file.exe,可能就是木马服务端程序。
另外,在System.ini中的[386enh]字段,要注意检查在此段内的driver=路径\程序名。
这里也有可能被木马所利用。
再有System.ini中的[drivers],[drivers32],[mci]这3个字段,也是起到加载驱动程序的作用,因此也是增添木马程序的好场所。
[2](2)进程隐藏进程隐藏有两种情况,一种隐藏是木马程序的进程仍然存在,只是不在进程列表里;采用APIHOOK技术拦截有关系统函数的调用实现运行时的隐藏,替换系统服务等方法导致无法发现木马的运行痕迹。
另外一种方法是木马不以一个进程或者服务的方式工作。
将木马核心代码以线程或DLL的方式插入到远程进程中,由于远程进程是合法的用户程序,用户又很难发现被插入的线程或DLL,从而达到木马隐藏的目的。
在Windows系统中常见的真隐藏方式有:注册表DLL插入、特洛伊DLL、动态嵌入技术、CreateProcess插入和调试程序插入等。
3.4木马通信原理如图3.2所示,对于客户端来说要与服务器端建立连接必须知道服务器端的端口IP地址,由于客户端端口是人事先设定的,为己知项,所以最重要的是如何获得服务器端的IP地址。
获得服务器端的IP地址的方法丰要有两种:信息反馈和IP扫描。
所谓信息反馈是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC 或ICQ 的方式告知控制端用户。