实验13 木马捆绑与隐藏

木马捆绑与隐藏

12.2.1背景描述

木马并不是合法的网络服务程序，如果单纯以本来面目出现，很容易被网络用户识别。为了不被别人发现，木马制造者必须想方设法改换面貌；为了诱使网络用户下载并执行它，黑客将木马程序混合在合法的程序里面，潜入用户主机。在受害主机里，为了逃避杀毒软件的查杀，木马也会将自己“乔装打扮”；为了防止用户将其从系统里揪出来，木马则采取一切可能的手法进行隐藏自己。总之，现在的木马制造者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过网页、QQ、Email或MSN等将这些文件传送给受害者，而用户一旦不慎打开这些文件，木马就自动执行了，主机就中木马了。

12.2.2工作原理

1．木马捆绑

木马捆绑即是文件捆绑，黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。这是一种最简单也是最可行和最常用的一种方法，当受害者下载并运行捆绑了木马等恶意程序的文件时，其中的木马等恶意程序就会被激活。

木马捆绑的手段归纳起来共有四种：

（1）利用捆绑机软件和文件合并软件捆绑木马；

（2）利用WINRAR、WINZIP等软件制作自解压捆绑木马；

（3）利用软件打包软件制作捆绑木马；

（4）利用多媒体影音文件传播。

2．木马隐藏

隐藏是一切恶意程序生存之本。以下是木马的几种隐藏手段：

（1）进程隐蔽：伪隐藏，就是指程序的进程仍然存在，只不过是让它消失在进程列表里。真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作，做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。

（2）伪装成图像文件：即将木马图标修改成图像文件图标。

（3）伪装成应用程序扩展组件：将木马程序写成任何类型的文件（如dll,ocx等），然后挂在十分出名的软件中。因为人们一般不怀疑这些软件。

（4）错觉欺骗：利用人的错觉，例如故意混淆文件名中的1（数字）与l（L的小写）、0（数字）与o（字母）或O（字母）。

（5）合并程序欺骗：合并程序就是将两个或多个可执行文件结合为一个文件，使这些可执行文件能同时执行。木马的合并欺骗就是将木马绑定到应用程序中。

3．木马捆绑的过程分析

入侵者可以把木马和正常文件捆绑成一个文件作为伪装，当远程主机的管理员打开文件的同时会自动执行木马和正常文件。在管理员看来，他们打开的只是那个正常的程序，却不知已经被种植了木马。大家总感觉自己莫名其妙地被种了木马，可能入侵者也是通过这个方法得逞的。下面来了解一下入侵者是如何通过文件合并工具制作木马捆绑的。

（1）文件合并工具之Deception Binder2.1。它是国外的一个文件合并器，小巧而功能强大。能够捆绑任意格式(包括test、jpg)文件;能够设置打开文件是否隐蔽运行;能够设置打开文件是否加入注册表启动项;能够设置打开文件时是否显示错误信息以迷惑对方。

（2）文件合并工具之IExpress。IExpress是微软为压缩CAB文件及制作安装程序所开发的小工具，其实应该算是MAKECAB的一个Shell。虽一直藏身于微软的产品中，却从未对它说明过，但不能否认是一款不错的免费软件。

（3）文件合并攻击之灰鸽子。灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。

4.防御策略

首先应当在系统里安装防毒杀毒软件，将木马挡在系统的大门之外。而针对一些顽固的木马，则可以采用一些技术手段来应对。如针对捆绑在文件中的木马可以采用如下策略：（1）使用MT捆绑克星识别捆绑的木马

文件中只要捆绑了木马，那么其文件头特征码一定会表现出一定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来判断的。程序运行后，我们只要单击“浏览”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析。此时，我们只要查看分析结果中可执行的头部数，如果有两个或更多的可执行文件头部，那么说明此文件一定是被捆绑过的!

（2）使用无忧文档探测器（Fearless BoundFileDetector）清除捆绑在程序中的木马光检测出了文件中捆绑了木马，然后利用清除工具将木马清除掉。如“无忧文档探测器“就是一款清除捆绑文件中的木马的工具。使用时，程序运行后会首先要求选择需要检测的程序或文件，然后单击主界面中的“Process”按钮，分析完毕再单击“CleanFile”按钮，在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马即可。

（3）针对隐藏在系统中的木马，如下是一些策略建议：

①打开win.ini文件，在[WINDOWS]下面，查看“run=”程序和“load=”程序，里面是否包含了木马程序；

②打开system.ini文件，在[BOOT]下面查看“shell=”文件是否含有木马；

③在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下查找“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序。

④有的木马程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的木马键值删除就行了，因为有的木马如BladeRunner木马，如果直接删除它，木马会立即自动加上，需要先记下“木马”的名字与目录，然后退回到MS-DOS下，找到此木马文件并删除掉。重新启动计算机，然后再到注册表中将所有木马文件的键值删除。

最后，用户应养成良好的上网习惯，不随便访问来历不明的网站，不使用来历不明的软件等。

12.2.3实验列表

实验序号实验名称

实验一木马捆绑实验

【实验一】木马捆绑实验

【实验分析】

实验目的：

掌握木马捆绑的基本内容、学会利用灰鸽子对文件进行简单的木马捆绑。