基本概念
木马 :其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服
务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口
并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request),
服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。
就。我们下面所讲木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,
被控制端为控制端提供服务。(COPY)
如今木马横行,很多人都是谈马色变,不过即使是菜鸟也知道----下载下来的*EXE不能上
来就执行,但是黑客会通过各种方法来伪装木马,达到使网络安全意识的肉鸡中招,以达
到自己不可告人的目的,比如:QQ密码,传奇密码,邮箱密码,或留下后门以便随后窃
取目标计算机里面的有用文件..........
木马伪装技巧大概有下面这么几种:
1 --伪装成图像文件
最2的黑客也会把*.exe 伪装,最简单的方法就是改名。比如*.jpg.exe ......因为人们一
般只对*.exe文件警惕。有些人会为了把图像文件做的更加逼真,常常利用图标修改软件
对文件进行修改,
-By 路过路过
2 --捆绑欺骗的方法
对于不是很菜的用户一般不会对粗制滥造的图标所迷惑,于是黑客用一些捆绑软件把木马
和一些正常软件捆绑起来,造成运行正常程序的同时运行木马的目的。文件捆绑计有很多
比如EXE文件捆绑机,要杀这些也的用一些特殊的东西
3 --网页嵌入伪装术
这个就不用说了吧,就是把木马写入网页中。这方面的工具很多,比如:网页木马捆绑器
多说一句,我曾经玩网络游戏的时候有一2B天天在喊一个网站,我开齐杀软进入,一点
反应也没有,结果出来一个下载对话框..........倒,这就是您做的嵌入啊.........黑客不是菜
鸟学的来得.....
4 --伪装加密技术
有一种叫Z-File 的的伪装加密软件与其它不同,他可以将文件压缩解密后再以BMP图像
显示出来,黑客可将之于正常软件合并,再伪装加密,再发给受害者,最可怕的是连杀毒
软件也检测不出他是木马,往往只在进驻了内存才能查杀。(自己找z-file介绍)
5 --木马加壳伪装
现在号称无敌的AV越来越多,木马可能还没下载到机器就被扼杀在襁褓中。这样黑客一
般会采取给木马加壳的方法来伪装,让木马具有反查杀功能,加壳软件一般都是对exe、
dll、ocx程序进行加密并且减小exe、dll、ocx文件大小。对分析这类木马的时候,杀软公
司一般对其进行脱壳,反汇编。常用的工具有 ProcDump ,IDA 等,比如著名的广外女
生就是著名的加壳木马。
木马的防范和清除技巧
http://www.lucky8k.com/thread-5305-1-1.html
[
本帖最后由 乐清 于 2006-9-24 12:54 编辑 ]
