槎溪镇之窗   洋溪槎溪交友社区   洋溪槎溪信息资讯   腾飞槎溪论坛   风景特色   槎溪校友录   个性小屋   本站留言
★ 喜报:金山杀毒瑞星杀毒 永久免费啦! 系统老坏吗?影子系统百毒不侵!打造不死系统!
返回列表 发帖
槎溪校友录

[转贴]木马各种隐藏技术全方位大披露

[转帖]木马各种隐藏技术全方位大披露
以前,我曾认为只要不随便运行网友发来的文件就不会中病毒或木马,但后来出现了利用漏洞传播的冲击波、震荡波;以前,我曾认为不上小网站就不会中网页木马,但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。从此,我知道:安全,从来没有绝对的。

  虽然没有绝对的安全,但如果能知已知彼,了解木马的隐藏手段,对于木马即使不能百战百胜,也能做到及时发现,使损失最小化。那么,木马究竟是如何躲在我们的系统中的呢?


  最基本的隐藏:不可见窗体+隐藏文件


  木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Windows下常见的程序有两种:


  1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。


  2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。


  其中,Win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马(见图1),于是便出现了下面要介绍的“进程隐藏”技术。<IMG onmousewheel="return bbimg(this)" src="http://it.rising.com.cn/image/021/safety050708001.jpg" onload="javascript:if(this.width>screen.width-500)this.style.width=screen.width-500;" border=0>

图1


  第一代进程隐藏技术:Windows 98的后门


  在Windows 98中,微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为RegisterServiceProcess。只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程在Windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。


  要对付这种隐藏的木马还算简单,只需使用其他第三方进程管理工具即可找到其所在,并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术,就没有这么简单对付了。


  第二代进程隐藏技术:进程插入


  在Windows中,每个进程都有自己的私有内存地址空间,当使用指针(一种访问内存的机制)访问内存时,一个进程无法访问另一个进程的内存地址空间,就好比在未经邻居同意的情况下,你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据,而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性,如果你的进程存在一个错误,改写了一个随机地址上的内存,这个错误不会影响另一个进程使用的内存。


  你知道吗——进程(Process)是什么


  对应用程序来说,进程就像一个大容器。在应用程序被运行后,就相当于将应用程序装进容器里了,你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等),当应用程序被运行两次时,容器里的东西并不会被倒掉,系统会找一个新的进程容器来容纳它。


  一个进程可以包含若干线程(Thread),线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件,另一个则接收用户的按键操作并及时做出反应,互相不干扰),在程序被运行后中,系统首先要做的就是为该程序进程建立一个默认线程,然后程序可以根据需要自行添加或删除相关的线程(见图2 进程关系图)。<IMG onmousewheel="return bbimg(this)" src="http://it.rising.com.cn/image/021/safety050708002.jpg" onload="javascript:if(this.width>screen.width-500)this.style.width=screen.width-500;" border=0>

图2


  1.进程插入是什么


  独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说,系统更容易捕获随意的内存读取和写入操作。对于用户来说,操作系统将变得更加健壮,因为一个应用程序无法破坏另一个进程或操作系统的运行。当然,操作系统的这个健壮特性是要付出代价的,因为要编写能够与其他进程进行通信,或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限,访问另一个进程的地址空间,那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,比如下文要介绍的盗QQ密码。


  2.木马是如何盗走QQ密码的


  普通情况下,一个应用程序所接收的键盘、鼠标操作,别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了,真是“家贼难防”啊!
  (插入图06zcxtrojan0a.tif)


  3.如何插入进程


  (1)使用注册表插入DLL


  早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。


  (2)使用挂钩(Hook)插入DLL


  比较高级和隐蔽的方式,通过系统的挂钩机制(即“Hook”,类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”),需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高,程序调试困难,这种木马的制作者必须具有相当的Win32编程水平。


  你知道吗——什么是API


  Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface,即“应用程序编程接口”),如一些程序需要对磁盘上的文件进行读写,就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求,然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能,最后将调用结果(如写入文件成功,或读取文件失败等)返回给程序(见图3 应用程序、Win32 API、系统的关系图)。


<IMG onmousewheel="return bbimg(this)" src="http://it.rising.com.cn/image/021/safety050708003.jpg" onload="javascript:if(this.width>screen.width-500)this.style.width=screen.width-500;" border=0>

图3


  (3)使用远程线程函数(CreateRemoteThread)插入DLL


  在Windows 2000及以上的系统中提供了这个“远程进程”机制,可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显,仅支持Windows 2000及以上系统,在国内仍有相当多用户在使用Windows 98,所以采用这种进程插入方式的木马缺乏平台通用性。


  木马将自身作为DLL插入别的进程空间后,用查看进程的方式就无法找出木马的踪迹了,你能看到的仅仅是一些正常程序的进程,但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看),木马的DLL模块就会现形了。


  不要相信自己的眼睛:恐怖的进程“蒸发”


  严格地来讲,这应该算是第2.5代的进程隐藏技术了,可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中,而可以直接消失!


  它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控,“任务管理器”之所以能够显示出系统中所有的进程,也是因为其调用了EnumProcesses等进程相关的API函数,进程信息都包含在该函数的返回结果中,由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。


  而木马由于事先对该API函数进行了Hook,所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色),木马便得到了通知,并且在函数将结果(列出所有进程)返回给程序前,就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目,却有人不知不觉中将电视接上了DVD,你在不知不觉中就被欺骗了。


  所以无论是“任务管理器”还是杀毒软件,想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段,只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除,这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题,所以没有被广泛采用。


  你知道吗——什么是Hook


  Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制,中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后,一旦发生已Hook的事件,对该事件进行Hook的程序(如:木马)就会收到系统的通知,这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。


  毫无踪迹:全方位立体隐藏


  利用刚才介绍的Hook隐藏进程的手段,木马可以轻而易举地实现文件的隐藏,只需将Hook技术应用在文件相关的API函数上即可,这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是,现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。


  跟杀毒软件对着干:反杀毒软件外壳


  木马再狡猾,可是一旦被杀毒软件定义了特征码,在运行前就被拦截了。要躲过杀毒软件的追杀,很多木马就被加了壳,相当于给木马穿了件衣服,这样杀毒软件就认不出来了,但有部分杀毒软件会尝试对常用壳进行脱壳,然后再查杀(小样,别以为穿上件马夹我就不认识你了)。除了被动的隐藏外,最近还发现了能够主动和杀毒软件对着干的壳,木马在加了这种壳之后,一旦运行,则外壳先得到程序控制权,由其通过各种手段对系统中安装的杀毒软件进行破坏,最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。


  你知道吗——什么是壳


  顾名思义,你可以很轻易地猜到,这是一种包在外面的东西。没错,壳能够将文件(比如EXE)包住,然后在文件被运行时,首先由壳获得控制权,然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密,这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”,如果发现某文件中含有这个特征,就认为该文件是木马,而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”,加密后变成了“54321”,这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除,恢复文件没有加壳前的状态。

论坛发布以后如何经营、管理也是非常重要的问题。下面简单地从几个大方面谈一谈:
1、人气
这是很多论坛不成功的一个重要障碍。论坛做得再好,没人来也是枉然。宣传很重要,但这里应该注意宣传的方法。切忌到另一个论坛去宣传自己的论坛,到处张贴自己论坛的地址,那样的话结果很可能适得其反,轻则被痛斥一顿,重则论坛被黑。因为去别的论坛宣传,会给对方造成威胁,认为你是来“挖人”的,橇人买卖的下场可想而知。可以换一种方式,交换友情连接,或者含蓄委婉的自我推销。当然最好的宣传还是要到各个大的网站上登陆,一旦你的论坛在搜狐、新浪上可以搜索查询到了,你的人气自然会从四面八方冒出来。佛山社区就是通过网上的人际关系、QQ群发以及拉朋友的朋友的朋友,这些方法都可以提高人气。
2、鲜活
一个论坛要做到长葆青春就要不停给自己给氧,翻新。一成不变的论坛是难以生存下去的。内容很重要,每天的新贴不一定要达到什么数量,但一定要达到质量,让会员有可看的东西。论坛不比聊天室,一天两天没人在线,或许第三天就爆满;可是论坛一天两天没人来,就不大可能再有人来了。只有找不到会员的论坛,没有找不到论坛的会员。同样,只有会员抛弃论坛的时候,没有论坛抛弃会员的时候。千万不要因你的倦殆被大家抛弃。
3、斑竹
斑竹是一个论坛的顶梁柱,他们拥有的不是权利,而是责任。所谓任人唯贤,要独具慧眼,挑选那些有管理才能的人做斑竹,拒绝那些为了任意编辑和删除他人帖子,耀武扬威才申请斑竹的人。这里容易犯几个错误:一是把斑竹的位置都留给和自己关系好的网友,要知道‘举贤不避亲’不是用在这里的;二是一旦任命了斑竹便一做到底,无论他以后的表现如何,总觉得把人家从斑竹的位子上拉下来有些不仗义;三是习惯让写手做文学斑竹,看起来似乎合情合理,但这里面却有一个很大的失误,通常写手做斑竹有两个通病,一是自己的文章只发在自己的版块里,不管内容合适与否,二是爱写的人都不爱看,他们很少仔细审核自己版内别人的文章,往往是得过且过。
4、管理
别以为大功告成就可以撒手不管了,论坛运营中的管理远比初始阶段困难的多,而前台的管理也远比后台的维护复杂的多。管理员就是一位舵手,他操控着论坛发展的方向,把持着度,永远让它走在正确的航线上,不火的时候让它火起来,火太旺了也要懂得及时降温。一个论坛的发展总要经过几个阶段佛山论坛就是一个参考:萧条有秩序—火暴无秩序—火暴有秩序。要达到最高的层次不是一朝一夕的事情,要不断总结经验,制订出适合自己论坛发展的方案,遵循规律生存,才能生存的更好。
总而言之,只要用心就能把论坛做好。
你们的支持,我们的动力!!

TOP

我电脑遭毒最厉害了~就是搞不懂什么原因,补丁都打了,瑞星随时升级~

可还是三天两天中毒 一个月基本上装2-3次系统

TOP

现在的木马是越来越嚣张呀~~~不过它有也有嚣张的理由~~~

呵呵~~~用不同的加壳软件对一个木马进行加壳多弄几次~~可能杀毒软件就识不出来喽~~只是木马的服务端的体积会加大喽~~杀毒软件嘛~~江民我个人观点是最讨厌 的~~~卡巴还好点~~现在用的是金山~~感觉嘛差不多

TOP

听说,新版的瑞星软件,可以找出系统的漏洞,并可打上补丁。

打上这些补丁,再换成金山毒霸更好不过了。

TOP

来个正版金山毒霸三,在线升级,我用很久了,都没什么事

TOP

大伙现在用那WIN98的最安全了,因为现在的病毒和木马可以说是90%的都是钟对WINNT的。不过现在的WINXP比较安全,漏洞比较少,现在最不安全就是WIN2000。大多数病毒都是钟对它的。不过每个系统把它的补丁装好就行了。再加上平时增强些安全意识就不用那样的麻烦了。

TOP

去正规、有影响力的网站去下载呀。相信他们不会使用软件带病毒。

TOP

看要什么软件啊,有的软件是骗人的,里面带的都是病毒!!!

TOP

有人说去网站下载的软件不可靠,他那些软件本身就附带的木马和病毒

是不是真的呀

TOP

返回列表
友情链接 本站GOOGLE 友情链接,联系我们:tyucom@qq.com 要求PR≥3 本站全站链接 百度天天快照更新 !★各站必需做好我站链接后,与我们联系!

世界排名>>>  腾飞槎溪  企业名录  网站收录  图文软件下载  网站信息查询  网址查询收录  推广网站  网站推广网站  虚位以待