设为首页收藏本站

网络分析论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 42401|回复: 128

[工具软件] 木马工作的原理与检测及删除~

[复制链接]
anrui 发表于 2006-4-27 11:28 | 显示全部楼层 |阅读模式
Sample Text

一、木马工作的原理

  在Windows系统中,木马一般作为一个网络服务程序在种了木马的机器后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。当该木马相应的客户端程序在此端口上请求连接时,它会与客户程序建立一TCP连接,从而被客户端远程控制。

  既然是木马,当然不会那么容易让你看出破绽,对于程序设计人员来说,要隐藏自己所设计的窗口程序,主要途径有:在任务栏中将窗口隐藏,这个只要把Form的Visible属性调整为False,ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身,只要将程序调整为系统服务程序就可以了。

  好了,现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行,那么它就要乘计算机刚开机的时候得到运行,进而常驻内存中。想一想,Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢?你可能会想到“开始->程序->启动”中的项目!没错,这是Windows启动时要运行的东西,但要是木马服务器程序明显地放在这就不叫木马了。

  木马基本上采用了Windows系统启动时自动加载应用程序的方法,包括有win.ini、system.ini和注册表等。

  在win.ini文件中,[WINDOWS]下面,“run=”和“load=”行是Windows启动时要自动加载运行的程序项目,木马可能会在这现出原形。必须要仔细观察它们,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目,那么你的计算机就可能中上木马了。当然你也得看清楚,因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan,它把自身伪装成command.exe文件,如果不注意可能不会发现它,而误认它为正常的系统启动文件项。

  在system.ini文件中,[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe,而是“shell=
Explorer.exe 程序名”,那么后面跟着的那个程序就是木马程序,明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件,这样的话,这里看起来还是正常的,无法瞧出破绽。

  隐蔽性强的木马都在注册表中作文章,因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

  上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT,那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西,通过regedit等注册表编辑工具查看SAM主键,里面下应该是空的。

  木马驻留计算机以后,还得要有客户端程序来控制才可以进行相应的“黑箱”*作。要客户端要与木马服务器端进行通信就必须得建立一连接(一般为TCP连接),通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测,在下面有详细介绍。
 楼主| anrui 发表于 2006-4-27 11:30 | 显示全部楼层
二、检测木马的存在

  知道木马启动运行、工作的原理,我们就可以着手来看看自己的计算机有没有木马存在了。

  首先,查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。

  1、查看system.ini文件

  选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”,如果不是这样,就可能中了木马了。下图所示为正常时的情况:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:14 | 显示全部楼层

2、查看win.ini文件

  选中win.ini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空,如下图所示:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:16 | 显示全部楼层

3、查看启动组

  再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词,极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都屏蔽掉了。如下图,只是选中了与注册表检查、音量控制、输入法和能源保护相关的启动栏。到时要是有木马出现,自是一目了然。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:17 | 显示全部楼层

4、查看注册表

  由“开始->运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下加入
Explorer=“C:\WINDOWS\expiorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:17 | 显示全部楼层
通过类似的方法对下列各个主键下面的键值进行检查:
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce


  如果*作系统是Windows NT,还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。

  当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。

  如果有留意,注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。
 楼主| anrui 发表于 2006-4-27 13:18 | 显示全部楼层

5、其它方法

  上网过程中,在进行一些计算机正常使用*作时,发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。

  如果怀疑你现在正在被木马控制,那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话,最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法:

  由“开始->运行”,输入command,确定,开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:19 | 显示全部楼层
显示出来的结果表示为四列,其意思分别为Proto:协议,Local Address:本地地址,Foreign Address:远程地址,State:状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常(比如大于5000),而Foreign Address中的地址又不为正常网络浏览的地址,那么可以判断你的机器正被Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非法连接你计算机的木马客户端。

  当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat命令将看不到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口。对于Windows98来说,正常情况下,会出现如下的一些处于监听状态的端口(安装有NETBEUI协议):

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:20 | 显示全部楼层
 如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络服务*作,那么在监听该端口的就是特洛伊木马了!如下图所示的23456和23457端口都处于监听状态,很明显是木马造成的。

  注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)没有运行任何网络冲浪软件,也没有进行过任何网络*作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:22 | 显示全部楼层
反木马软件
    这里列出的是全世界最知名的反木马软件的介绍和它们的网站,我强烈建议大家去这些网站看看,从中选择出一套最适合你自己的反木马软件。

    1.木马克星
    木马克星是国人开发的一款查杀木马软件,可以查杀5021种国际木马,112种电子邮件木马,保证查杀冰河类文件关联木马,QQ类寄生木马,ICMP类幽灵木马,网络神偷类反弹木马。内置木马防火墙,任何黑客试图与本机建立连接,都需要木马克星确认。不仅可以查杀木马,更可以查黑客。该软件是动态监视网络与静态特征字扫描的完美结合,可以查杀的木马种类非常多,尤为难得的是对国产木马的查杀效果非常好,对新木马的反映速度非常快,并且占用系统资源也不多,强烈推荐下载地址!http://gt.onlinedown.net/down/iparmor.exe
 
    2.TDS-3
    TDS全称为Trojan Defence Suite(木马防卫系统)。从名字上就可以知道这是一套对信息安全有要求的电脑用户必备的安全软件。它拥有许多其他反木马软件所不具备的特色功能。由于它功能齐全,选项繁多,如果你是新手的话,你将要花一些时间阅读使用说明,从而熟悉它的强大功能和使用方法。
    网址:http://tds.diamondcs.com.au/

    3.LockDown2000
    这是一套非常优秀的反木马软件包,不仅拥有数量庞大的木马资料库,而且对于很多知名黑客工具的检测也独具特色;它还可以帮助你实时监测你的系统文件变化,运行进程资料以及注册表的修改。更加详细的介绍,可以从它的网站http://www.lockdown2000.com获得。

    4.TFAK5
    全称为Trojans First Aid Kit,只是一个由SnakByte开发的木马检测软件,拥有许多非常有特色的功能。最出名的一项是它本身可以当作很多知名木马的客户端使用。
    下载地址:http://www.snake-basket.de/tfak/TFAK5.zip

    5.Trojan Remover
    rojan Remover是一个专门用来清除特洛伊木马和自动修复系统文件的工具,能够检查系统登录文件、扫描WIN.INI、SYSTEM.INI和系统登录文件,且扫描完成后会产生Log信息文件,并帮你自动清除特洛伊木马和修复系统文件。下载地址为http://gwbn.onlinedown.net/down/trjsetup.exe.
 
    6.PestPatrol
    此软件不光可以检测数量众多的木马。对于很多黑客软件和间谍软件的检测能力也是一流。
    网址:http://www.saferstite.com/

    7.Tauscan
    Tauscan必备软件之一,其最大特色是可以检测其木马库中没有收录的未知木马,官方主页http://www.agnitum.com/roducts/tauscan  8.The Cleaner

    8.The Cleaner
    这可能是目前最好的反木马工具,也是目前查木马数量最多的工具软件。The Cleaner可在目前主要的Windows平台如Windows 9x/NT/2000/XP中应用。它最招人喜爱的地方是可以随时自动升级,只要轻点UPDATE按钮即可,不像LOCKDOWN还要查你的密码,绝对是查木马工具的首选。它的实时监控程序TCA可即时显示当前所有运行程序并有详细的描述信息,是你了解系统的好帮手。可到http://newhua.ruyi.com/down/clear3.exe下载。界面如图7-1-5所示。
    9.PC Door Guard    
    是一款木马检测软件,并且允许你监控特定文件和文件夹的读写*作。相关站点:http://www.trojanclinic.com/pdg.html

    10.TrojanHunter
    是一款非常小巧,易于上手的木马检测软件,地址:http//www.mischel.dhs.org/tojanhunter.jsp

    11.LogMonitor
    LogMonitor是非常专业的文件和目录实时监控软件,对你制定的任何文件和目录,都会忠实详尽地记录所有的读写*作。更加难得的是,尽管它功能如此强大,使用却异常简单,任何人都能轻松上手。
    主页:http://logmon.bitrix.ru/logmon/eng/

    12.PrcView
    这是一款专业而强大的进程管理工具,可以非常详细地显示当前系统运行的各个进程的各种信息,包括非常详细的进程初始化数据,进程建立时间,进程版本,所使用的DU名,创建的所有线程的信息,进程的堆和内存分配情况。PrcView还允许你结束一个指定的进程,为特定的线程配上特定的Debug程序等。可以在Win95/Win98/WinNT平台上顺利运行,并且有GUI和命令行两种版本,功能非常强大,强烈推荐使用。
    下载地址:http://Sq.onlinedown.net/down/HAF-PrcView3538-Ronnier.zip

    13.XNetStat
    GUI界面的Windows程序。帮助你监控你机器上所有打开的端口。从该地址可以得到该软件:
    http//packetstormsecurity.org/win/netstat.zip

    14.ConSeal PC FIREWALL    如果你对于TCP/IP等常用网络协议有一定的了解,那么这个防火墙将非常适合你。通过合理的配置,它将非常忠实地把你的计算机置于强大的保护力量之下,详细信息,可以访问:
    http://www.consealfirewall.com/

    15.Filemon
    Filemon是文件监视工具。可监视系统中指定文件运行状况,如指定文件打开了哪个文件,关闭了哪个文件,对哪个文件进行了数据读取等。通过它,你指定监控的文件有任何读、写、打开其他文件的*作那能被它监视下来,并提供完整的报告信息。你可以利用Filemon监控文件系统,以便窥视木马的一举一动。界面如图7-1-6所示。
    下载地址:http://newhua.ruyi.com/down/FILEMON.ZIP

    16.注册表监视工具Regmon等
    注册表监视工具主要有RegShot,Regmon或RegSnap等。在微软*作系统中,众多的设置都存放在注册表中,注册表是Windows的核心数据库,表中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的正常运行。在应用软件安装时,有可能将一些必要的信息放进去,如安装时间、使用次数、注册码等,其中也有我们感兴趣的服务端所建键值等信息。RegShot、Regmon或RegSnap就是监视注册表变化的工具,通过它可以了解、监视应用程序在注册表中的动作,我们可以利用它们来监视可疑程序 (很可能是木马服务端程序哦)在注册表中的变化,界面如图7-1-7所示。Regmon下载地址:http://www.newhua.com.cn/down/regmnmtor.exe
 楼主| anrui 发表于 2006-4-27 13:23 | 显示全部楼层
Adware Spy v3.0 特别版(REG)

   Adware Spy是一款先进的反广告软件和间谍软件工具,通过移除成千上万的spyware(间谍软件)、adware(广告软件)、木马、跟踪软件等程序,完全保护你的系统安全。

[url]http://ftp4.ttdown.com/FZEDbgLhVr9D/2004/10A/RaidenFTPD.v2.4%20Build.1751.CR.rar
 楼主| anrui 发表于 2006-4-27 13:24 | 显示全部楼层
作茧自缚——木马生成器碰不得

  2005年注定是网络游戏盛行的一年,木马这个名词我想各位一定不陌生吧?游戏账号被人偷窃屡见不鲜。很多玩家因为报复的心理也想方设法去偷取其他人的号,于是木马横行,但其实……

  现在,网上有很多盗号木马生成工具,只要设置好E-mail的用户名及该E-mail的密码,就可以盗号了。可你是否知道这个木马是包含后门的?在你用它来帮你盗号的同时,盗取的用户名及密码也都会发送给木马作者一份,而我们就是要利用嗅探工具来得到这个木马作者所用E-mail的用户名及密码。然后,来个“为民除害”。最后希望大家不要使用木马,不然害人的同时还会害己(有些木马还会盗取你的账号及密码)。

  注:本文仅进行技术研究,请勿用于非法活动。

  下面就以一款针对某网络游戏的木马来做分析,来看看如何得到木马中的一些“隐藏”信息。首先要准备的一些必要的工具:

  ①下载我们所需要的嗅探工具,解压后得到xsniff.exe;

  ②一个传奇木马软件,网络上有很多。

  下面就来开始抓获这个木马中的谍中谍。

  第一步:点击“开始→运行”,输入“CMD”(不含引号),打开“命令提示符窗口”。

  第二步:进入嗅探工具所在目录,输入“xsniff.exe -pass -hide -log pass.log”(不含引号),这样局域网里的明文密码(包括本机)都会被记录到pass.log中(见图1)。 

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:34 | 显示全部楼层
  第三步:下面打开该网游的木马,输入你的邮箱地址(见图2),点击发送测试邮件的按钮,显示发送成功后,再打开生成的pass.log文件(括号内的文字为注释,并不包含在pass.log文件中):

……

  TCP [04/08/04 19:14:10]

  61.187.***.160->202.102.***.114 Port: 1140->25

  (前面的IP是发信人的IP地址,后面的IP是接收方的IP地址,PORT是指端口)

  USER: ZXhlY3V0YW50[admin]

  (USER是信箱用户名,前面的ZXhlY3V0YW50为加密的数据,后面[]内的为用户ID)

  TCP [04/08/04 19:14:10]

  61.187.***.160->202.102.***.114 Port: 1140->25

  PASS: YWRtaW5zdXA=[adminsup]

  (PASS是邮箱的密码,YWRtaW5zdXA=为加密数据,后面[]内的为密码)

  TCP [04/08/04 19:14:10]

  61.187.***.160->202.102.***.114 Port: 1140->25

  MAIL FROM:

  (类似于发邮件时的信息,指信息发送的目的邮箱)

  TCP [04/08/04 19:14:10]

  61.187.***.160->202.102.***.114 Port: 1140->25

  RCPT T <1@1.***>

  (测试信箱的地址)

  ……

  第四步:现在我们已经知道了这个木马是使用admin@1234.***邮箱来发信的,用户名是admin,密码是adminsup。于是,进入这个邮箱,删掉那些信吧。    

  第五步:不要以为这就结束了,木马是狡猾的,很多木马还包含一个隐藏后门。执行刚刚生成的木马服务器端(没有手动清理病毒能力的读者请勿轻易尝试,并对系统进行备份,以便还原)。

  第六步:使用前面的命令,让xsniff开始嗅探,进入该游戏,随便申请一个ID,接着退出,再去看看pass.log文件。

  ……

  TCP [04/08/04 19:20:39]

  61.187.***.160->61.135.***.125 Port: 1157->25

  PASS: YWRtaW5zdXA=[admin]

  TCP [04/08/04 19:20:40]

  61.187.***.160->61.135.***.125 Port: 1157->25

  MAIL FROM:

  ……

  看到了吗?木马终于漏出了狐狸尾巴,用户名为admin,密码为admin,邮箱是为admin@12345.***,这个邮箱才是作者的后门程序,木马真正的后门。

  第七步:最后,将该邮箱里的盗号邮件清除,然后恢复系统。

  最后:笔者想告诫各位想用木马来盗别人的账号的朋友:害人之心不可有!因为,在加害别人的同时,你自己也正在被伤害……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:35 | 显示全部楼层
木马各种隐藏技术全方位披露

最基本的隐藏:不可见窗体+隐藏文件

  木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Windows下常见的程序有两种:

  1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。

  2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。

  其中,Win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马(见图1),于是便出现了下面要介绍的“进程隐藏”技术。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:36 | 显示全部楼层
 第一代进程隐藏技术:Windows 98的后门

  在Windows 98中,微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为RegisterServiceProcess。只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程在Windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。

  要对付这种隐藏的木马还算简单,只需使用其他第三方进程管理工具即可找到其所在,并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术,就没有这么简单对付了。

  第二代进程隐藏技术:进程插入

  在Windows中,每个进程都有自己的私有内存地址空间,当使用指针(一种访问内存的机制)访问内存时,一个进程无法访问另一个进程的内存地址空间,就好比在未经邻居同意的情况下,你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据,而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性,如果你的进程存在一个错误,改写了一个随机地址上的内存,这个错误不会影响另一个进程使用的内存。

  你知道吗——进程(Process)是什么

  对应用程序来说,进程就像一个大容器。在应用程序被运行后,就相当于将应用程序装进容器里了,你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等),当应用程序被运行两次时,容器里的东西并不会被倒掉,系统会找一个新的进程容器来容纳它。

  一个进程可以包含若干线程(Thread),线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件,另一个则接收用户的按键*作并及时做出反应,互相不干扰),在程序被运行后中,系统首先要做的就是为该程序进程建立一个默认线程,然后程序可以根据需要自行添加或删除相关的线程(见图2 进程关系图)。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
 楼主| anrui 发表于 2006-4-27 13:39 | 显示全部楼层
1.进程插入是什么

  独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说,系统更容易捕获随意的内存读取和写入*作。对于用户来说,*作系统将变得更加健壮,因为一个应用程序无法破坏另一个进程或*作系统的运行。当然,*作系统的这个健壮特性是要付出代价的,因为要编写能够与其他进程进行通信,或者能够对其他进程进行*作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限,访问另一个进程的地址空间,那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,比如下文要介绍的盗QQ密码。

  2.木马是如何盗走QQ密码的

  普通情况下,一个应用程序所接收的键盘、鼠标*作,别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了,真是“家贼难防”啊!
  (插入图06zcxtrojan0a.tif)

  3.如何插入进程

  (1)使用注册表插入DLL

  早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。

  (2)使用挂钩(Hook)插入DLL

  比较高级和隐蔽的方式,通过系统的挂钩机制(即“Hook”,类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”),需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高,程序调试困难,这种木马的制作者必须具有相当的Win32编程水平。
 楼主| anrui 发表于 2006-4-27 13:40 | 显示全部楼层
奉上一些常用的查杀木马的软件
01.木马克星(iparmor) v5.51 Build 0608
02.Ewido v4.0.172 绿色汉化版
03.木马杀客 v5.2 Build 0120 绿色版
04.木马清除大师(BeatTrojan) V2.40 Build0618
05.The Cleaner Pro v4.1 Build 4252
06.Trojan Remover v6.49
07.Ad-aware v6.0 Build 181
08.木马专家 2006 v0628
09.木马猎手(pclxav) build0618 复活版
有需要的,发消息联系我,好不吝啬,由于站点限制大小,
 楼主| anrui 发表于 2006-4-27 13:43 | 显示全部楼层
网络钓鱼急速增长跟木马活动猖獗有关

  位于美国加利福尼亚圣迭戈(San Diego)的安全机构Websense公司日前表示,当前由带有电脑犯罪倾向的不法分子实施的大规模的“网络钓鱼”(phishing)活动,跟与日俱增的特洛伊木马病毒、特洛伊木马病毒下载者以及大量出现的恶意站点密切相关。

   Websenses公司资深安全主管Dan Hubbard称,在6月份的最后一个星期,还有7月份的前两个星期内,特别是7月份的前两个星期内,Websenses公司所探测到特洛伊木马病毒的数量比往常增长了五倍。Hubbard补充道,“单在7月份,我们所发现的藏有恶意代码的各类网站数量就超过了1000多个,发现的特洛伊木马种类超过了100多个。

  作为不同的类别的特洛伊木马病毒,有的是在被感染的机器上根植“击键信息收集器”(Keyloggers),有的是重新找到下载者,*流安装“击键信息收集器”,但所有的目标是相同的:窃取被感染电脑的隐私信息,包括用户名,口令等等,以使犯罪分子达到不可告人目的。
lylfqy 发表于 2006-4-29 21:33 | 显示全部楼层
有用的东东。下!
rmht0820 发表于 2006-4-30 13:51 | 显示全部楼层
高手!!!顶~~~~
终于知道机子上网突然慢了是怎么回事了 谢谢!!

Archiver|手机版|小黑屋|网络分析论坛 ( 京ICP备05002225  

GMT+8, 2020-2-26 21:48 , Processed in 1.203117 second(s), 28 queries .

Powered by Discuz! X3.3

© 2001-2014 协议分析论坛

快速回复 返回顶部 返回列表