黑客技术5.3.3.1

9
Windows下的钩子(hook)概念
2014-3-1
ห้องสมุดไป่ตู้子是一个处理消息的程序段，当特定的消息产
生时，在没有到达目的窗口(程序)前，钩子程序 就先捕获该消息并处理该消息。 获并处理发给其他应用程序的消息，钩子是 WINDOWS留给我们的“后门”。
钩子(hook)是Windows中重要的接口，可以截 每个Hook都有一个指针列表，称之为钩子链表，
由系统来维护。这个列表的指针指向的回调函数， 即钩子的各个处理子程序。 钩子子程序处理系统 或某一特定类型的事件。
10
DLL木马技术
西安交通大学
动态链接库(DLL)：是在程序运行时根据需要动
态加入库,程序的体积小.但是运行可执行程序时需 要同时运行动态链接库.
所有的Windows API函数都是在DLL中实现的。
文件关联 以系统服务或驱动程序形式启动
调用Win32 API函数CreateService 创建一个 服务或者替换注册表中的ImagePath或 ServiceDll键值
7
木马隐身技术
西安交通大学
隐身是指木马为了保护自己和隐藏木马文件及行
为，使主机用户无法发现木马的技术。 木马隐身技术包括：
网页木马的防范策略
即时安装安全补丁 改名或卸载（反注册）最不安全的
2014-3-1
ActiveXObject（IE插件） 提高IE的安全级别，禁用脚本和ActiveX控件
21
其他类型木马
2014-3-1
反弹端口型木马：传统木马是由服务器开监听端口
等待客户端连接。而反弹端口木马是由客户端开一个 监听端口，服务器对客户端进行主动连接。好处是防 火墙对输出的数据限制较少，更加隐蔽。
22
木马免杀技术
2014-3-1
木马免杀技术是指通过修改文件或进程的特征使

查杀木马软件的检测特征码失效.常见的免杀技术 包括:
文件免杀 1.加花技术: 通过向木马程序中添加空指令改变特征码, 让杀毒软件检测不到特征码,关键要确定杀毒软件定义 的特征码. 2.修改文件特征码 3.加壳: 4.修改加壳后的文件 内存免杀 修改特征码 行为免杀



木马程序的隐身 服务端进程的隐身 网络连接的隐身
常规隐身技术



设置文件属性：系统或隐藏(attrib +R +H +S) 用难以区分的名字命名文件 将文件放到隐蔽的目录中 以DLL方式加载
8
Windows进程隐藏技术
有多种技术方法获取活动进程信息：

2014-3-1

杀毒软件和木马软件都可以利用上述技术显示或
17


挂马技术
框架嵌入式挂马

2014-3-1


网页木马被攻击者利用iframe语句，加载到任意网页 中都可执行的挂马形式，是最早也是最有效的的一种网 络挂马技术。通常的挂马代码如下： <iframe src=/muma.html width=0 height=0></iframe> 在打开插入该句代码的网页后，就也就打开了 /muma.html页面，但是由于 它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。
15
网页木（挂）马
2014-3-1
网页挂马就是攻击者通过在正常的页面中(通常是网站的

主页)插入一段代码。浏览者在打开该页面的时候，这段 代码被执行，然后下载并运行某木马的服务器端程序，进 而控制浏览者的主机。 自动下载功能的代码 <SCRIPT LANGUAGE="icyfoxlovelace" src="/1.exe"></SCRIPT> 代码中“src”的属性为程序的网络地址，本例中 “/1.exe”为木马程序。这段 代码能让网页下载该程序到浏览它的电脑上。 自动运行程序功能的代码 <SCRIPT LANGUAGE="javascript" type="text/javascript"> var shell=new ActiveXObject("shell.application"); space("c:\\Windows\\").items().item(" Notepad.exe").invokeverb(); </SCRIPT>
18
挂马技术2
js调用型网页挂马

2014-3-1


黑客先制作一个.js文件，然后利用js代码调用 挂马的网页。通常代码如下： <script language=javascript src=/gm.js></scrip t> /gm.js就是一个js脚本 文件，通过它调用和执行木马的服务端。这些 js文件可以通过工具生成，攻击者只需输入相 关的选项就可以了。
16
网页木马生成器
2014-3-1
网页木马生成器是可视化的程序，利用IE的各种
漏洞，实现将木马程序生成一个网页，即网页木 马。然后将网页木马上传到Web服务器或免费主 页空间上挂马。 挂马: 将一个网页木马放到一个网站上，当用户访 问该网站时就会中木马。 浮动帧标签<iframe>: 浮动帧标签实现将一个 HTML网页嵌入到另一个网页里, 实现“画中画” 的效果。将网页木马的宽、高、边框设置为了 “0”，那么网页木马没有显示，但实际上嵌入的 网页木马已经打开了。Iframe是实现网页木马挂 马的最常用方式。
13
通过Rundll32.exe启动的DLL木马
2014-3-1
Rundll32.exe 可以调用其他32位dll. 比如


“3721“的自启动就是在注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Micr osoft\Windows\CurrentVersion\Run]下，新 添了一个“CnsMin”的键值， 启动命令是“Rundll32.exe E:\WINDOWS\DOWNLO~1\CnsMin.dll,Run dll32”。这样每次启动系统后“CnsMin.dll”都会 被Rundll32.exe调用，而在进程列表出现的则是 Rundl32.exe。 查杀方法: 首先将“rundll32.exe”进程终止，查 找注册表启动键值，从启动命令的路径中找到相 应的DLL文件并删除即可。

隐藏活动进程。 隐藏进程方式：用户层和内核层
PSAPI (Process Status API): 建立一个系统钩子， 拦截PSAPI的EnumProcessModules 等函数, 监视对 进程和服务的遍历调用操作，当检测到进程ID（PID） 为木马程序的服务器端进程的时直接跳过，这样就实现 了进程的隐藏。金山词霸使用这种技术，通过拦截了 TextOutA,TextOutW函数来截获屏幕输出，屏幕取词 翻译的。 PDH（Performance Data Helper） ToolHelp API
3
木马主要功能

收集密码或密码文件(qq,网游账号密码) 收集系统关键信息 远程文件操作 远程进程控制 修改注册表 击键记录 其它的特殊功能
2014-3-1
4
木马攻击的关键技术
传播方式

2014-3-1
木马的传播和安装方式
启动方式

自启动方式
木马程序的文件, 进程, 启动隐藏 与远程的木马客户控制端的通信, 发送信息,执行命令等. 通常采用tcp，udp，icmp网络协议，或是采用加密技 术。
14
木马网络通讯技术
2014-3-1
常规方式




绑定端口，后门作为服务端运行，等待连接。 反向连接，后门作为客户端运行，主动连接外 网的client。 端口复用：重绑定合法端口，绕过防火墙。 传输的数据加密 传输的数据通过HTTP,SOAP等协议封装 利用FTP协议打开通路 加密木马的命令和数据。
19
挂马技术3
图片伪装挂马

2014-3-1
攻击者将木马代码植入到test.gif图片文件中， 实例代码如： <iframe src="/test.htm" height=0 width=0></iframe> <img src=/test.jpg> 当用户打开/test.htm 是，显示给用户的是 /test.jpg，而 /test.htm网页代码也 随之运行。 20
DLL是可执行的但不能向应用程序那样独立运行， 必须由其他进程调用加载到内存中执行。
DLL木马就像是一个寄生虫，木马以DLL文件的形
式存在，寄宿在某个重要的系统进程中。通过宿 主来调用DLL文件，实现远程控制的功能。
11
特洛伊式DLL木马
2014-3-1
木马化DLL将系统DLL重新命名, 将自己命名为
23


加壳/脱壳
2014-3-1
加壳技术:利用特定的算法对EXE、DLL文件里的资源进
行压缩并在原程序加上一段保护程序(壳)，壳具有保护、 压缩和加密功能. 运行时壳首先获得运行控制权, 再运行 真实文件，从而起到保护作用。常见的加壳工具: Aspack 2.11，UPX, Pecompact v1.82, UPX 1.20
隐藏方式

通讯方式

5
木马传播方式
2014-3-1
web网页（挂马）: 将木马程序嵌入到网页中。
通常采用web脚本语言(JavaScript),ActiveX控 件，hta网页文件。 下载文件 邮件传播：附件，网页链接 系统漏洞 网络共享访问 文件捆绑:使用专门的捆绑软件(如zbind) 文件伪装
输出shell木马：该木马将接受的数据重定向

到命令解释器(shell如cmd.exe or bash) 在shell和socket之间传递数据，相对于建立 了一个telnet会话。 ICMP木马： ICMP木马利用特定格式的 ICMP_ECHOREPLY（Ping的响应数据包）实 现与木马客户端通信。
windows系统利用数字签名技术保护这些关键文
12
动态嵌入DLL木马技术
2014-3-1
动态嵌入技术: 将代码嵌入到正在运行的其他进程中的技
术。目前有多种动态嵌入技术如 Hook、挂接API、远程 线程 . 远程线程技术（RemoteThread）就是把当前进程中部分 代码注入到另一个进程作为线程执行。 动态嵌入式DLL木马启动方式: DLL不能直接运行, 需要一 个可执行文件使用动态嵌入技术将该DLL木马注入到其他 正常进程中，让被嵌入的进程调用这个DLL的DllMain函 数，激发木马运行，最后启动木马的程序结束运行，木马 启动完毕。启动DLL木马的EXE非常重要，它被称为加载 器（Loader）。
黑客技术
木马技术（Trojan）
西安交通大学
1
outline

木马 后门 rootkit 拒绝服务攻击 网络扫描
西安交通大学
2
木马程序（Trojan ）
2014-3-1
木马（Trojan）是指添加到应用程序中的恶意代码。在
用户不知情的情况下, 偷偷执行非法活动如窃取密码, 记 录键盘信息，安装后门程序等。 木马特点： 隐蔽性 非授权 客户端/服务器模式： Server:被控制端(被植入木马主机) Client:控制端(控制木马的黑客主机)
系统DLL名, 这样木马化DLL可以接收消息并通过 函数转发器将正常的调用转发给原DLL，而截获 并处理特定的木马控制消息。
木马化DLL技术也存在问题,比如当修复安装、安
装补丁、升级系统、检查数字签名等操作时都有 可能导致木马化DLL失效。 件不被恶意篡改. 系统可以自动从dllcache中恢 复被篡改的文件。
6
Windows下木马启动技术
修改系统配置 注册表自启动键值

西安交通大学

[HKEY_LOCAL_MACHINE/HKEY_CURRENT_U SER\Software\Microsoft\Windows\CurrentVersi on\Run] RUNONCE, RUNSERVICE等键值