8木马伪装植入的方法
详述木马的类型与伪装及应急办法

木与采用 鸯伪装方映
1修 改 圈 标 .
个 文件中 。以便在 下一个序 列的密码 再
木马服务端程 序的命 名也有很 大的学 次 进 行 穷 举 或 多 部 机 器 同 时 进 行 分 工 穷
直 木 马 服 务 端 所 用 的 图 标 也 是 有 讲 究 问 。如 果 不做 任 何 修 改 ,就 使 用 原 来 的 名 举 , 到 找 到 密 码 为 止 。此 类程 序在 黑客 网
CoM 一 类 的文 件 ) 。 3出错 显 示 .
这 个 程 序 完 全 可 以 用 在 正 道 上 的 ,比 如 监
木鸯 种彝 埒
l破 坏 型 _
视学 生机 的操作 。
程 序 中 用 的 UDP ( e Us Da ga r tr a m
是 惟 一 的 功 能 就 是 破 坏 并 且 删 除 文 件 。 Poo o, 户 报 文 协 议 ) 因特 网 上 广 泛 采 rtcl用
在没有查杀木马 的工具帮助下 。就 码 。 盘 上 稀 里 糊 涂 得 多 出 来 一 大堆 乱 七 八 糟 的 的来源 , 向按钮窗 口发送 WM_ COMMA ND 消
文件 , 多重 要 的数 据也 可 能被 黑 客 窃取 。 很
很难删除木马 了。
5木 马 更 名 .
息模拟单击 。在破解过程 中, 密码保存在 把
马是 不是 很 狡 猾 ?
2捆 绑 文 件 . 3远 程 访 问 型 .
文件不够了解 , 那可就危险 了。例如 有木
最广 泛的是特洛伊 马 ,只 需有人运行
马把名 字改为 w n o e e id w、 ,如 果不 告诉 你 了服务端程序 ,如 果客户知道 了服务端 的 x
木马的常用伪装手段

木马的常用伪装手段
1木马程序更名:为增强木马程序的欺骗性,木马的设计者通常会给木马取一个极具迷
惑性的名称(一般与系统文件名相似,如svchOsto Exe等)或者允许控制端用户自由设定安装后的木马文件名。
这就使得用户很难判断所感染的木马类型。
2扩展名欺骗:这是黑客惯用的一-种手法,其主要是将木马伪装成图片、文本、Word
文档等文件,以掩饰自己真实的文件类型,例如将木马程序的名称为“文件名.exe"的文件改为“文件名txtexe”。
此时,用户只需把该文件的扩展名显示出来,就可以轻
松识别出此文件的类型。
3修改程序图标:木马服务端所用的图标有一定的规律可循,木马经常故意伪装成常用
图标的形式(例如文本文件的图标),等待用户因为疏忽而将其认为是应用程序图标而
双击启动。
4捆绑文件:这种方式是将木马捆绑到- -个安装程序中,当用户双击启动程序时,木
马就会随之启动,并运行于计算机系统中。
被捆绑的文件一般是可执行文件,例如后
缀名为“.Exe”,“.COM”之类的文件。
5定制端口:老式木马的端口都是固定的,这位用户判断电脑是否带有木马带来了方便
o现在很多木马都加入了定制端口的功能,控制端用户可以在“1024-6535”之间任意
选择一个端口作为木马端口,这样大大提高了用户判断电脑感染木马类型的难度。
6自我复制:是为了弥补木马的一个缺陷而设计的当服务端用户打开含有木马的文件后,木马会将自己复制到系统目录中(C:WINDOWS System或C:WINDOWS\System32目录)。
木马常用植入方法大曝光

接着把DOC和EXE合并:copy/banyname.doc+anyname.exeanyname.doc。打开这个DOC文档,隐藏在其中的木马就会自动运行。不过还需要满足一个条件HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security中的Level值必须是1或者0。
DLL文件的特点决定了这种实现形式的木马的可行性和隐蔽性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机中的级别未经授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。
[AutoRun]//这是AutoRun部分开始,必须输入
Icon=E:\sex.ico//用sexual.ico文件给E盘设置一个个性化的盘符图标
Open=E:\sexual.exe//指定要运行程序的路径和名称,在此为E盘下的sexual.exe。如果sexual.exe文件是木马或恶意程序,那我们的电脑就危险了。
5伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马,也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程,继续进入休眠状况。
八种硬件木马设计和实现

八种硬件木马设计和实现硬件木马是指通过在计算机硬件上植入恶意代码,实现对目标计算机的操控和攻击的一种恶意软件。
与软件木马相比,硬件木马更加隐蔽,很难被检测和清除。
下面将介绍八种常见的硬件木马设计和实现方法。
1.主板固件植入:通过对计算机主板固件进行修改,将恶意代码写入主板的固件中。
这样在计算机启动时,恶意代码会自动加载并运行,从而实现对目标计算机的控制。
2.硬盘固件植入:恶意代码可以被植入到硬盘的固件中,当计算机启动时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以读取硬盘上的数据,或者在计算机运行中篡改数据。
3.网卡固件植入:恶意代码可以被植入到网卡的固件中,当计算机连接到网络时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以监听和窃取网络通信数据,或者篡改传输数据。
4.显示器固件植入:恶意代码可以被植入到显示器的固件中,当计算机连接到显示器时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以监控和截获显示器的显示内容,包括屏幕上的敏感信息。
5.键盘固件植入:恶意代码可以被植入到键盘的固件中,当用户使用键盘输入时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以记录用户的敏感输入信息,如密码、信用卡号等。
6.鼠标固件植入:恶意代码可以被植入到鼠标的固件中,当用户使用鼠标时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以控制鼠标的移动和点击,实现对目标计算机的操控。
B设备植入:恶意代码可以被植入到USB设备的固件中,当用户将USB设备连接到计算机时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以利用USB设备传输恶意代码,实现对目标计算机的攻击。
8.CPU植入:恶意代码可以被植入到CPU中的控制电路中,当计算机启动时,恶意代码会自动加载并运行。
通过这种方式,攻击者可以直接控制和操控CPU的功能,实现对目标计算机的远程控制。
以上是八种常见的硬件木马设计和实现方法。
由于硬件木马具有隐蔽性高、难以被检测和清除等特点,对于用户来说,保持计算机硬件的安全是至关重要的。
深度剖析木马的植入与攻击

深度剖析木马的植入与攻击安全问题2010-09-18 13:57:43 阅读54 评论0 字号:大中小订阅为了学习转的:第3章深度剖析木马的植入与攻击●木马是如何实施攻击的●木马的植入与隐藏●木马信息反馈●常用木马例说●木马的清除和防范木马,也称特伊洛木马,英文名称为Trojan。
其本身就是为了入侵个人电脑而开发的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。
Windows本身没有监视网络的软件,所以不借助其它工具软件,许多时候是很难知道木马的存在和黑客的入侵的。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该如何清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现自己是否中“木马”了。
3-1 木马是如何实施攻击的木马是黑客最常用的攻击方法,因此,在本章中将使用较大篇幅来介绍木马的攻防技术。
木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,甚至可以远程监控这台计算机上的所有操作。
尽管资深的黑客是不屑于使用木马的,但在对网络安全事件的分析统计里,却发现有相当部分的网络入侵是通过木马来进行的,包括2002年微软被黑一案,据说就是通过一种普通的蠕虫木马侵入微软的系统,并且窃取了微软部分产品源代码的。
3-1-1 木马是如何侵入系统的小博士,你好!可以给我讲一下木马是如何侵入系统的吗?没问题,一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控制植入木马的计算机,服务器端程序就是通常所说的木马程序。
攻击者要通过木马攻击计算机系统,他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
木马常见植入方法大曝光

对于给你下木马的人来说,一般不会改变硬盘的盘符图标,但他会修改Autorun.inf文件的属性,将该文件隐藏起来。
然后按F5键刷新,这样,当有人双击这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人最有效。
识别这种伪装植入方式的方法是,双击盘符后木马程序会运行,并且我们不能进入盘符。
4把木马文件转换为图片格式这是一种相对比较新颖的方式,把EXE转化成为BMP图片来欺骗大家。
原理:BMP文件的文件头有54个字节,包括长宽、位数、文件大小、数据区长度。
我们只要在EXE的文件头上加上这54字节,IE就会把它当成BMP文件下载下来。
改过的图片是花的,会被人看出破绽,用<imgscr=″xxx.bmp″higth=″0″width=″0″>,把这样的标签加到网页里,就看不见图片了,也就无法发现“图片”不对劲。
IE 把图片下载到临时目录,我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件,并在注册表添加启动项,利用那个VBS找到BMP,调用debug来还原EXE,最后,运行程序完成木马植入。
下一次启动时木马就运行了,无声无息非常隐蔽。
5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马,也是骗术最高的木马。
特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。
对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。
一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。
实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。
操作结束后关掉进程,继续进入休眠状况。
举个具体的例子,黑客们将写好的文件(例如DLL、OCX等)挂在一个十分出名的软件中,例如QQ中。
当受害者打开QQ时,这个有问题的文件即会同时执行。
木马最新植入五方法揭密

木马最新植入五种方法揭密木马是大家网上安全的一大隐患,说是大家心中永远的痛也不为过。
对于木马采用敬而远之的态度并不是最好的方法,我们必须更多地了解其“习性”和特点,只有这样才能做到“知己知彼,百战不殆”!随着时间的推移,木马的植入方式也悄悄地发生了一定的变化,较之以往更加的隐蔽,对大家的威胁也更大,以下是笔者总结的五种最新的木马植入方式,以便大家及时防范。
方法一:利用共享和Autorun文件为了学习和工作方便,有许多学校或公司的局域网中会将硬盘共享出来。
更有甚者,竟将某些硬盘共享设为可写!这样非常危险,别人可以借此给您下木马!利用木马程序结合Autorun.inf文件就可以了。
方法是把Autorun.inf和配置好的木马服务端一起复制到对方D盘的根目录下,这样不需对方运行木马服务端程序,只需他双击共享的磁盘图标就会使木马运行!这样作对下木马的人来说的好处显而易见,那就是大大增加了木马运行的主动性!许多人在别人给他发来可执行文件时会非常警惕,不熟悉的文件他们轻易不会运行,而这种方法就很难防范了。
下面我们简单说一下原理。
大家知道,将光盘插入光驱会自动运行,这是因为在光盘根目录下有个Autorun.inf文件,该文件可以决定是否自动运行其中的程序。
同样,如果硬盘的根目录下存在该文件,硬盘也就具有了AutoRun功能,即自动运行Autorun.inf文件中的内容。
把木马文件.exe文件以及Autorun.inf放在磁盘根目录(这里假设对方的D盘共享出来且可写),对于给您下木马的人来说,他还会修改Autorun.inf文件的属性,将该文件隐藏起来。
这样,当有人双击这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人威胁最大。
更进一步,利用一个.REG文件和Autorun.inf结合,还可以让你所有的硬盘都共享出去!方法二:把木马文件转换为BMP格式这是一种相对比较新颖的方式,把EXE转化成为BMP来欺骗大家。
木马的伪装欺骗方法详解

木马的伪装欺骗方法详解如今大多数上网的朋友警惕性都很高,想骗他们执行木马是件很困难的事。
即使电脑菜鸟都知道一见到exe 文件便不会轻易“招惹”它,因而中标的机会也就相对减少了。
但黑客们是不会甘于寂寞的,所以就出现了很多更容易让人上当的木马伪装手段。
本文介绍一些常见的木马伪装手段,希望对大家有所帮助。
1、将木马包装为图像文件首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用。
只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为“类似”图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它。
为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是exe,而木马程序的扩展名基本上又必定是exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了!还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个“马甲”,即用IconForge等图标文件修改文件图标,这样木马就被包装成jpg 或其他图片格式的木马了,很多人会不经意间执行了它。
2、合并程序欺骗通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵者一不做二不休,干脆将木马程序说成是应用程序:反正都是以exe 作为扩展名的。
然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程序等等,目地是让受害者立刻执行它。
木马入侵常见手法及其防范

木马入侵常见手法及其防范木马入侵常见手法及其防范作者:夏成效吕占广袁艺发布时间: 2009年01月09日据有关部门公布的资料显示,2008年新增木马数量将突破100万,预计2010年木马数量更有可能呈几何级数增长,达到千万以上。
而据某一反病毒厂商公布的统计结果分析,当前用户最为关注的木马和病毒排行榜前十名中,有九个是木马,一个是集黑客、蠕虫、木马于一身的混合型病毒。
由于木马威胁日趋严重,业已取代传统病毒成为网络安全的头号大敌,加之木马和病毒也呈现出一体化的趋势,因此反病毒厂商对木马和病毒已经不作严格区分,而是按统一规则命名,并给以更高的关注程度。
由于木马工作机制的隐蔽性和窃取信息的便利性,使其成为黑客手中天然的“间谍工具”,在近几年发生的一些网络失泄密案件中,木马是窃密者的重要作案工具之一。
因此,了解木马的基本原理和掌握其防治措施,已经成为信息时代每一名保密工作者的一项紧迫任务。
木马的原理木马通常由一个隐秘运行在目标计算机中的服务端程序和一个运行在黑客计算机中的控制端程序组成,是一种特殊的远程控制软件。
远程控制软件本来是网络管理员为便于管理分散于不同地域计算机而经常采用的一种远程管理工具,木马除具有此种工具的所有功能外,它还具有“不死术”(驻留技术),木马进入目标计算机后,会自动修改注册表或系统配置文件,在系统每次启动时,都会自动加载自身运行。
它具有“隐身术”(隐藏技术),将自身文件伪装成系统文件或取一个类似系统文件的名字安身于系统文件夹中,其运行时在任务栏和任务管理器中都毫无踪迹,处于完全隐形状态。
它具有“遥控术”(远程控制技术),木马运行后会打开一个特殊的端口,与控制端发生联系,并接受控制端的指令,远程遥控目标计算机。
当黑客要利用木马进行网络入侵时,一般都需完成“向目标计算机传播木马”->“启动和隐藏木马”->“服务端(目标计算机)和控制端建立连接”->“进行远程控制”等几个步骤。
木马采用的伪装方法

木马采用的伪装方法1. 修改图标木马服务端所用的图标也是有讲究的,木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标,这样很容易诱惑你把它打开。
看看,木马是不是很狡猾?2. 捆绑文件这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。
被捆绑的文件一般是可执行文件(即EXE COM一类的文件)。
3. 出错显示有一定木马知识的人部知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序。
木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。
当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如" 文件已破坏,无法打开!" 之类的信息,当服务端用户信以为真时,木马却悄悄侵人了系统。
4. 自我销毁这项功能是为了弥补木马的一个缺陷。
我们知道,当服务端用户打开含有木马的文件后,木马会将自己拷贝到Windows的系统文件夹中(C;\wmdows或C:\windows'system 目录下),一般来说,源木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么,中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件,然后根据源木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。
而木马的自我销毁功能是指安装完木马后,源木马文件自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下。
就很难删除木马了。
5. 木马更名木马服务端程序的命名也有很大的学问。
如果不做任何修改,就使用原来的名字,谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪,不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。
例如有的木马把名字改为window.exe ,如果不告诉你这是木马的话,你敢删除吗?还有的就是更改一些后缀名,比如把dll 改为dl 等,不仔细看的,你会发现吗?木马的种类1 、破坏型惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL INI、EXE文件。
木马采用的伪装方法

木马采用的伪装方法1.修改图标木马服务端所用的图标也是有讲究的,木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标,这样很容易诱惑你把它打开。
看看,木马是不是很狡猾?2.捆绑文件这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。
被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。
3.出错显示有一定木马知识的人部知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序。
木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。
当服务端用户打开木马程序时,会弹出一个错误提示框 (这当然是假的),错误内容可自由定义,大多会定制成一些诸如 "文件已破坏,无法打开!"之类的信息,当服务端用户信以为真时,木马却悄悄侵人了系统。
4.自我销毁这项功能是为了弥补木马的一个缺陷。
我们知道,当服务端用户打开含有木马的文件后,木马会将自己拷贝到Windows的系统文件夹中(C;\wmdows或C:\windows\system目录下),一般来说,源木马文件和系统文件夹中的木马文件的大小是一样的 (捆绑文件的木马除外),那么,中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件,然后根据源木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。
而木马的自我销毁功能是指安装完木马后,源木马文件自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下。
就很难删除木马了。
5.木马更名木马服务端程序的命名也有很大的学问。
如果不做任何修改,就使用原来的名字,谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪,不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。
例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除吗?还有的就是更改一些后缀名,比如把dll改为dl等,不仔细看的,你会发现吗?木马的种类1、破坏型惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件。
浅析木马捆绑伪装的多种方式

浅析木马捆绑伪装的多种方式作者:于海雯来源:《电脑知识与技术》2012年第30期摘要:介绍了木马捆绑伪装的几种方式,并分析了各种方式的原理及其优劣。
关键词:文件捆绑;常规捆绑;压缩捆绑;插入捆绑;克隆捆绑中图分类号:TP39 文献标识码:A 文章编号:1009-3044(2012)30-7214-02木马之所以狡猾,是因为它除了能躲避杀毒软件的查杀外,还能诱骗用户运行。
木马伪装,以捆绑方式最为常见,将恶意程序和正常的文件进行捆绑,是黑客最常用、最可行、最简单的方式,当受害者运行这些捆绑了恶意程序的文件后,电脑就在不知不觉中中招了!而且,几乎所有格式的文件,都能捆绑上木马,包括很多人认为不会带病毒的文件,比如:电影文件.rm、图片格式文件.jpg、等,都无一幸免!其中电影文件.rmvb一般是捆绑了弹窗广告,而大多数广告链接网站都有毒!所以去除广告链接,就安全了。
如果我们能对木马的捆绑伪装方式有充分地了解,知己知彼,那么就可以更好地保护我们的计算机系统不受侵害。
1 文件捆绑文件捆绑,当然需要捆绑器软件,捆绑器的使用一般分为以下几个步骤:1)添加捆绑文件,包括要捆绑的恶意程序和被捆绑的正常文件,比如:各种图片、迷你小游戏、FLASH动画文件,等;2)设置捆绑的属性并选择捆绑后的文件图标;3)合并生成相应的文件。
读者可以上网随意下个捆绑机软件,比如“EXE捆绑机”软件,可以将两个可执行文件(.exe文件)捆绑成一个文件,运行捆绑后的文件等于同时运行了两个文件;它会自动更改图标,使捆绑后的文件与捆绑前的文件图标一样。
文件捆绑,具体来讲,又分为常规捆绑、压缩捆绑、插入捆绑、克隆捆绑,等多种方式。
下面,本文将分析目前常见的几种木马捆绑伪装方式,从而让大家更好地了解木马运行的整个流程。
2 常规捆绑常规捆绑比较简单,比如,“南城剑盟捆绑器”,功能非常专业强大,具有对捆绑文件修改属性、日期时间,图标提取、修改图标、释放路径配置等功能。
木马常见植入方法大曝光

木马常见植入方法大曝光对于给你下木马的人来说,一般不会改变硬盘的盘符图标,但他会修改Autorun.inf文件的属性,将该文件隐藏起来。
然后按F5键刷新,这样,当有人双击这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人最有效。
识别这种伪装植入方式的方法是,双击盘符后木马程序会运行,并且我们不能进入盘符。
4把木马文件转换为图片格式这是一种相对比较新颖的方式,把EXE转化成为BMP图片来欺骗大家。
原理:BMP文件的文件头有54个字节,包括长宽、位数、文件大小、数据区长度。
我们只要在EXE的文件头上加上这54字节,IE就会把它当成BMP文件下载下来。
改过的图片是花的,会被人看出破绽,用<imgscr=″xxx.bmp″higth=″0″width=″0″>,把这样的标签加到网页里,就看不见图片了,也就无法发现“图片”不对劲。
IE 把图片下载到临时目录,我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件,并在注册表添加启动项,利用那个VBS找到BMP,调用debug来还原EXE,最后,运行程序完成木马植入。
下一次启动时木马就运行了,无声无息非常隐蔽。
5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马,也是骗术最高的木马。
特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤。
对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作。
一个比较简单的方法是启动一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度。
实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。
操作结束后关掉进程,继续进入休眠状况。
举个具体的例子,黑客们将写好的文件(例如DLL、OCX等)挂在一个十分出名的软件中,例如QQ中。
木马的常用伪装手段

木马的常用伪装手段在网络安全领域,木马是一种恶意软件,可以在不被用户察觉的情况下悄悄地进入计算机系统,实现盗取用户信息、破坏系统的行为。
因此,木马程序的伪装手段非常重要,可以使其更容易地潜入计算机系统。
以下是一些常用的木马伪装手段:1. 伪装成正常程序许多木马程序被设计成伪装成常见的软件或系统组件,例如浏览器插件、媒体播放器、下载器等,以此混淆用户的视觉,避免受到用户的怀疑,从而更容易渗透进入用户的系统。
2. 终端木马伪装终端木马常被伪装成程序源码、编译工具或其它网络安全工具来骗取用户信任,而终端木马常常伴随着对受害者机器的远程控制,拥有非常广泛的攻击能力。
3. 使用非常规的文件扩展名很多木马程序使用并不常见的文件扩展名,比如".txt"、".jpg"、".pdf"等,以绕过一些计算机安全防护软件的检测。
在实际应用过程中,我们应该避免打开不熟悉的文件。
4. 嵌入宏或脚本很多木马程序将自己嵌入到宏或脚本中,然后利用漏洞自动执行,从而绕过了常规的安全检测。
例如,利用办公软件(Word、Excel等)中的宏病毒的攻击方式。
5. 嵌入加密模块有些木马程序会嵌入加密模块,使得其内容在传输过程中无法被轻易识别和拦截,从而达到对计算机系统的“偷窃”。
综上所述,木马程序有很多伪装手段,其中有些是非常难以被发现的。
因此,我们需要时刻保持警惕,使用网络安全软件来防范这些木马程序的攻击,同时也需要提高自己的网络安全意识,确保个人计算机和重要信息的安全。
除了上述常用的木马伪装手段,还有一些更高级的木马伪装手段。
这些高级伪装手段越来越普遍,它们可以更好地欺骗人们的眼睛和虚拟机器的安全防御。
以下是一些高级木马伪装技术:1. 避免反病毒软件现在的反病毒软件具有越来越高的检测能力,它们能够及时发现木马程序并抵御攻击。
因此,一些高级的木马程序会通过加密自己来避免反病毒软件的检测与抵抗。
木马病毒的植入

木马病毒的植入木马病毒大家应该并不陌生,但往往最容易遇到的问题就是木马怎么植入,这里为大家详解一下,希望大家对症用药,保证自己计算机的安全。
(1)通过网上邻居(即共享入侵)要求:对方打开139端口并有可写的共享目录。
用法:直接将木马病毒上传即可。
(2)通过IPC$要求:双方均须打开IPC$,且我方有对方一个普通用户账号(具有写权限)。
用法:先用net use\\IP\IPC$"密码"/user:用户名”命令连接到对方电脑,再用“copy 本地木马路径远程木马路径、木马名字”将木马病毒复制到目标机。
(3)通过网页植入要求:对方IE未打补丁用法1:利用IE的IFRAME漏洞入侵。
用法2:利用IE的DEBUG代码入侵。
用法3:通过JS.VBS代码入侵。
用法4:通过AstiveX或Java程序入侵。
(4)通过OE入侵要求:对方OE未打补丁。
用法:与(3)中的1.3.4用法相同。
(5)通过Word.Excel.Access入侵要求:对方未对宏进行限制。
用法1:编写恶意的宏夹杂木马,一旦运行Office文档编植入主机中。
用法2:通过Office的帮助文件漏洞入侵。
(6)通过Unicode漏洞入侵要求:对方有Unicode漏洞。
用法:“http://x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?+COPY+本地木马路径+远程路径+木马名”。
(7)通过FIP入侵要求:对方的FIP可以无名登陆而且可以写入。
用法:直接将木马上传即可。
(8)通过TELNET入侵要求:具有对方一个具有写权限的账号。
用法:用TELNET命令将木马传上去。
(9)EXE合并木马要求:无。
用法:用EXE文件合并器将两个EXE文件合并即可。
(10)WinRAR木马入侵要求:对方安装了WinRAR。
用法:将压缩包设为自解压格式,并设置自动运行的选项,将RAR图标更改。
(11)文件夹惯性点击法要求:无。
木马实施网络入侵的步骤

木马实施网络入侵的步骤引言网络入侵是指通过非法手段获取未授权的访问权限,进而获取或修改目标系统的信息的行为。
木马是一种常见的网络入侵工具,其功能强大,可以在目标计算机中运行,记录敏感信息,获取远程控制权限等。
本文将介绍木马实施网络入侵的步骤。
步骤一:侦查目标为了成功实施网络入侵,攻击者首先需要了解目标系统的信息。
这包括目标计算机的IP地址、操作系统类型、运行的服务和开放的端口等。
攻击者可以通过扫描目标系统,使用网络工具如Nmap来获取这些信息。
•使用Nmap进行扫描目标系统•分析扫描结果,获取目标系统信息•确定目标系统的漏洞和弱点步骤二:利用漏洞在了解目标系统的信息后,攻击者需要查找并利用系统中存在的漏洞。
漏洞可以是软件的安全漏洞、配置错误或人为疏忽等。
攻击者可以使用已知的漏洞利用工具或自己编写程序来执行攻击。
•查找目标系统存在的漏洞•选择适当的漏洞利用工具•执行漏洞利用,获取系统访问权限步骤三:安装木马一旦攻击者获取了系统访问权限,他们就可以在目标计算机中安装木马程序。
木马可以隐藏在系统进程中,运行于后台,而不被用户察觉。
攻击者可以使用现成的木马软件,也可以自己编写木马程序。
•选择合适的木马程序•安装木马到目标系统•配置木马参数,设置远程控制选项步骤四:远程控制安装好木马后,攻击者可以通过远程控制木马来执行进一步的入侵活动。
他们可以通过控制木马发送命令,执行文件操作,拷贝、删除或修改目标系统的文件。
•使用远程控制工具连接至木马•通过发送命令控制木马的行为•执行文件操作,获取或修改目标系统中的文件步骤五:收集信息木马不仅可以进行文件操作,还可以在目标计算机中记录敏感信息。
攻击者可以使用木马收集目标系统中的登录凭证、密码文件、浏览器历史记录等。
•利用木马收集目标系统中的敏感信息•对收集到的信息进行分析和筛选•导出并保存有用的信息步骤六:横向扩展一旦成功入侵一个系统,攻击者可以进一步利用木马和收集到的信息,在网络中横向扩展,攻击其他系统。
木马种植的方法是什么

木马种植的方法是什么相信很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。
下面是店铺精心为你整理的木马种植的方法,一起来看看。
木马种植的方法现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。
你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。
为了避免不熟悉木马的用户误运行服务端,现在流行的木马都没有提供单独的服务端程序,而是通过用户自己设置来生成服务端,黑洞2004也是这样。
首先运行黑洞2004,点击“功能/生成服务端”命令,弹出“服务端配置”界面。
由于黑洞2004采用了反弹技术(请参加小知识),首先单击旁边的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反映出注册的情况。
域名注册成功以后,返回“服务端配置”界面,填入刚刚申请的域名,以及“上线显示名称”、“注册表启动名称”等项目。
为了迷惑他人,可以点“更改服务端图标”按钮为服务端选择一个图标。
所有的设置都完成后,点击“生成EXE型服务端”就生成了一个服务端。
在生成服务端的同时,软件会自动使用UPX为服务端进行压缩,对服务端起到隐藏保护的作用。
服务端生成以后,下一步要做的是将服务端植入别人的电脑?常见的方法有,通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带,把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹,通过P2P软件(比如PP 点点通、百宝等),让网友在毫无防范中下载并运行服务端程序。
由于本文主要面对普通的网络爱好者,所以就使用较为简单的Email夹带,为大家进行讲解。
我们使用大家经常会看到的Flash动画为例,建立一个文件夹命名为“好看的动画”,在该文件夹里边再建立文件夹“动画.files”,将木马服务端软件放到该文件夹中假设名称为“abc.exe”,再在该文件夹内建立flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击打开按钮安装插件”,新建一个按钮组件,将其拖到舞台中,打开动作面板,在里边输入“on (press) {getURL("动画.files/abc.exe");}”,表示当单击该按钮时执行abc这个文件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
木马伪装植入的方法
如果我们要想把自己的木马植入到别人的计算机上,首先就要伪装好自己。
一般来讲,木马主要有两种隐藏手段:
①把自己伪装成一般的软件
很多用户可能都遇到过这样的情况,在网站上得到一个自称是很好玩或是很有用的小程序,拿下来执行,但系统报告了内部错误,程序退出了。
一般人都会认为是程序没有开发好,不会疑心到运行了木马程序这上面。
等到运行自己的QQ等程序时,被告知密码不对,自己熟得不能再熟的密码怎么也进不去,这时才会想起检查自己的机器是否被人安装了木马这回事情。
提示:
这种程序伪装成正常程序,实质是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。
②把自己绑定在正常的程序上面
对于那些老到的黑客来说,他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件,然后用户在安装该正版程序时,就神不知鬼不觉地被种上木马了。
伪装之后,木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了,或者是放在网站上供人下载。
黑客还会为它们加上一些动人的话语来诱惑别人,像“最新火辣辣小电影!”、“CuteFTP5.0完全解密版!!!”等。
一点不骗人,在安装了这个CuteFTP之后,你的机器就被“完全解密”了,那些喜欢免费盗版的朋友们也要小心了!
下面介绍几种常见的伪装植入木马的方法:
修改木马图标
将木马服务端程序更改图标,如设为图片图标,并将其扩展名设置为***.jpg.exe格式,直接发给对方,由于Windows的默认设置是隐藏已知文件的扩展名,所以对方收到后就会轻易相信这就是一幅图片。
对方运行后,结果毫无反应(运行木马后的典型表现),对方说:“怎么打不开呀!”,回答:“哎呀,不会程序是坏了吧?”,或者说:“对不起,我发错了!”,然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。
虽然有些木马制作工具中带有修改图标的功能,但是黑客还常常使用其他辅助工具来修改图标。
如IconChanger,就是一个更换文件图标工具,其运行界面如图1所示。
图1:更换图标工具
在“Search icons in”里选择不同的盘符,程序就会自动搜索该盘符下的所有程序图标列在下部的列表中。
然后选择“File”|“Choose file to change its icon”命令,在打开的对话框中选择待更换图标的木马程序,选出的程序会出现在界面左上部。
接下来在程序的图标列表中选择一个中意的图标,拉到右下侧列表中,最后选中一个最满意的,点击工具栏的“Set”按钮,左上部的程序的图标就会变成黑客想要设置的图标,如图2所示。
图2:更改图标后的效果
捆绑欺骗
把木马服务端和某个游戏或工具捆绑成一个文件在QQ或邮件中发给别人,别人运行后它们往往躲藏在Windows的系统目录下,图标伪装成一个文本文件或者网页文件,通过端口与外界进行联系。
然后把自己和一些EXE文件捆绑在一起,或者采用改变文件关联方式的方法来达到自启动的目的。
而且,即使以后系统重装了,如果该程序还是保存着的话,还是有可能再次中招的。
捆绑欺骗大多采用捆绑软件如Deception Binder进行以下几种方式的捆绑:
将一款小游戏和木马服务端捆绑成一个文件;
把一个txt文件和木马服务端捆绑成一个文件;
把一个JPG图片和木马服务端捆绑成一个文件。
Deception Binder的程序运行界面如图3所示。
图3:Deception Binder的程序运行界面
Deception Binder程序一个外国的小巧的文件合并器,虽然小巧,功能却不错,可以设置捆绑的程序打开文件是否隐蔽运行,设置打开文件是否加入注册表启动项,设置打开文件时是否显示错误信息以迷惑对方。
最后将捆绑后的文件找一个相应的理由发送给对方,让对方在不知不觉中被种植木马。
文件夹惯性点击
把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹木马时,也会收不住鼠标点下去,这样木马就成功运行了。
比方说著名的木马黑洞2001的服务端程序用的就是文件夹的图标,如果您以为它是文件夹而去点击那您就错了,它是个不折不扣的EXE文件!
当然,如果对方使用的IE 5.0及以下的版本,还可以利用Windows中的文件夹支持HTML 和JavaScript定义的一些“动作”原理,通过JavaScript,让文件夹自动执行程序,做成
一个真正“文件夹木马”,让对方不受骗都难。
危险下载点
攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载,这样以后每增加一次下载次数,就等于多了一台中木马的计算机。
或者把木马免杀处理后捆绑到其他软件上,然后“正大光明”地发布到各大软件下载网站,它们也不查毒,就算查也查不出一些新木马,或是进行过免杀处理的木马。
邮件冒名欺骗
该类木马植入的前提是,用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件,别人下载附件并运行的话就中木马了。
如冒充单位的系统管理员,向各个客户端发送系统补丁或是其它安装程序(因为这些程序都是可执行文件)。
QQ冒名欺骗
该类木马植入的前提是,必须先获取一个不属于自己的QQ号。
然后使用这个QQ号码给好友们发去木马程序,由于信任被盗号码的主人,好友们会毫不犹豫地运行木马程序,结果就中招了。
ZIP伪装
将一个木马和一个损坏的ZIP包(可自制)捆绑在一起,然后指定捆绑后的文件为ZIP 图标,这样一来,除非别人看了他的后缀,否则点下去将和一般损坏的ZIP没什么两样,根本不知道其实已经有木马在悄悄运行了。
ZIP伪装的常见做法如下:
首先创建一个文本文档,输入任意个字节(其实一个就行,最小),将它的后缀txt 直接改名为zip即可,然后把它和木马程序捆在一起,修改捆绑后的文件图标为zip图标就成了。
论坛上发链接
在可以上传附件的论坛上传捆绑好的木马(如将木马捆绑在图片上传),然后把链接发给想要攻击的目标肉机的主人,诱惑他点击那个链接。
网页木马法
在黑客自己的网页上捆绑木马,再在QQ上邀请想要攻击的目标网友去访问,轻松给他种上黑客配置的木马。
伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马。
黑客们通常将木马程序写成为任何类型的文件 (例
如 dll、ocx等),然后挂在一个十分出名的软件中,例如 QQ 。
由于QQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件是否多了。
而当受害者打开QQ 时,这个有问题的文件即会同时执行。
此种方式相比起用捆绑程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开QQ时木马程序就会同步运行,相对一般特洛伊木马可说是“踏雪无痕”。
更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一个新木马来,所以即使安装有杀毒软件也拿它没有丝毫办法。