看看骇客怎么给你种木马
相信很多朋侪都听说过木马步伐,总觉得它很神秘、很高难,但究竟上随着木马软件的智能化,很多骇客都能轻松达到打击的目的。今天,笔者就以最新的一款木马步伐——黑洞2004,从莳植、使用、隐蔽、防备四个方面来为网络爱好者介绍一下木马的特性。必要提示各人的是,在使用木马步伐的时间,请先关闭系统中的病毒防火墙,因为杀毒软件会把木马作为病毒的一种举行查杀。
操纵步调:
Step1 莳植木马
如今网络上盛行的木马基本上都接纳的是C/S 结构(客户端/办事端)。你要使用木马控制对方的电脑,首先必要在对方的的电脑中莳植并运行办事端步伐,然后运行本地电脑中的客户端步伐对对方电脑举行毗连进而控制对方电脑。
为了制止不熟习木马的用户误运行办事端,如今盛行的木马都没有提供独自的办事端步伐,而是经过用户本身设置来天生办事端,黑洞2004也是这样。首先运行黑洞2004,点击“功效/天生办事端”下令,弹出“办事端设置装备摆设”界面。由于黑洞2004接纳了反弹技能(请到场小知识),首先单击阁下的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反应出注册的环境。域名注册成功以后,前往“办事端设置装备摆设”界面,填入方才申请的域名,以及“上线表现称号”、“注册表启动称号”等项目。为了迷惑他人,可以点“变动办事端图标”按钮为办事端选择一个图标。所有的设置都完成后,点击“天生EXE型办事端”就天生了一个办事端。在天生办事真个同时,软件会主动使用UPX为办事端举行压缩,对办事端起到隐蔽掩护的作用。
办事端天生以后,下一步要做的是将办事端植入别人的电脑?罕见的方法有,经过系统大概软件的漏洞入侵别人的电脑把木马的办事端植入其的电脑;大概经过Email夹带,把办事端作为附件寄给对方;以及把办事端举行假装后放到本身的共享文件夹,经过P2P软件(好比PP点点通、百宝等),让网友在毫无防备中下载并运行办事端步伐。
由于本文主要面对普通的网络爱好者,所以就使用较为简单的Email夹带,为各人举行解说。我们使用各人每每会看到的Flash动画为例,创建一个文件夹命名为“悦目的动画”,在该文件夹里边再创建文件夹“动画.files”,将木马办事端软件放到该文件夹中假定称号为“abc.exe”,再在该文件夹内创建flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击翻开按钮安置插件”,新建一个按钮组件,将其拖到舞台中,翻开行动面板,在里边输入“on (press) {getURL("动画.files/abc.exe");}”,表示当单击该按钮时实行abc这个文件。在文件夹“悦目的动画”中新建一个网页文件命名为“动画.htm”,将刚才制作的动画放到该网页中。看出门道了吗?通常你下载的网站通常就是一个.html文件和一个末端为.files的文件夹,我们这么结构的缘故原由也是用来迷惑翻开者,毕竟没有几小我私家会去翻.files文件夹。如今我们就可以撰写一封新邮件了,将文件夹“悦目的动画”压缩成一个文件,放到邮件的附件中,再编写一个诱人的主题。只需对方笃信不疑的运行它,并重新启动系统,办事端就莳植成功了。
Step2 使用木马
成功的给别人植入木马办事端后,就必要耐烦等待办事端上线。由于黑洞2004接纳了反毗连技能,所以办事端上线后会主动和客户端举行毗连,这时,我们就可以操控客户端对办事端举行远程控制。在黑洞2004下面的列表中,任意选择一台已经上线的电脑,然后经过上面的下令按钮就可以对这台电脑举行控制。下面就简单的介绍一下这些下令的意义。
文件管理:办事端上线以后,你可以经过“文件管理”下令对办事端电脑中的文件举行下载、新建、重命名、删除等操纵。可以经过鼠标直接把文件或文件夹拖放到目的文件夹,并且支持断点传输。简单吧?
历程管理:查看、刷新、关闭对方的历程,如果发明有杀毒软件大概防火墙,就可以关闭相应的历程,达到掩护办事器端步伐的目的。
窗口管理:管理办事端电脑的步伐窗口,你可以使对方窗口中的步伐最大化、最小化、正常关闭等操纵,这样就比历程管理更机动。你可以搞很多开玩笑,好比让对方的某个窗口不停的最大化和最小化。
视频监控和语音监听:如果远程办事端电脑安置有USB摄像头,那么可以经过它来获取图像,并可直接生存为Media Play可以直接播放的Mpeg文件;必要对方有麦克风的话,还可以听到他们的谈话,可怕吧?
除了上面介绍的这些功效以外,还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功效,操纵都十分简单,明确了吧?做骇客实在很容易。
Step3 隐蔽
随着杀毒软件病毒库的晋级,木马会很快被杀毒软件查杀,所以为了使木马办事端辟开杀毒软件的查杀,长时间的隐蔽在别人的电脑中,在木马为黑客提供几种可行的措施。
1.木马的自身掩护
就像前面提到的,黑洞2004在天生办事真个时间,用户可以更换图标,并使用软件UPX对办事端主动举行压缩隐蔽。
2.捆绑办事端
用户经过使用文件捆绑器把木马办事端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。
3.制做本身的办事端
上面提到的这些方法固然能临时瞒过杀毒软件,但终极照旧不克不及逃脱杀毒软件的查杀,所以若能对现有的木马举行假装,让杀毒软件无法鉴别,则是个治标的方法。可以经过使用压缩EXE和DLL文件的压缩软件对办事端举行加壳掩护。例如Step1中的UPX就是这样一款压缩软件,但默许该软件是按照自身的设置对办事端压缩的,因此得出的结果都雷同,很难长时间躲过杀毒软件;而本身对办事端举行压缩,就可以选择差别的选项,压缩出与众差别的办事端来,使杀毒软件很难判断。下面我就以冰河为例,为各人简单的解说一下脱壳(解压)、加壳(压缩)的历程。
如果我们用杀毒软件对冰河举行查杀,一定会发明2个病毒,一个是冰河的客户端,另一个是办事端。使用软件“PEiD”查看软件的办事端是否已经被作者加壳(如图3),从图中可以看到办事端已经使用UPX举行了压缩。
如今,我们就必要对软件举行脱壳,也就是一种解压的历程。这里我使用了“UPXUnpack”,选择必要的文件后,点击“解压缩”就末尾实行脱壳。
脱壳完成后,我们必要为办事端加一个新壳,加壳的软件很多,好比:ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例,点击“翻开”按钮,选择方才脱壳的办事端步伐,选择完成后ASPack会主动为办事端举行加壳。再次用杀毒软件对这个办事端举行查杀,发明其已经不克不及识别判断了。如果你的杀毒软件仍旧可以查杀,你还可以使用多个软件对办事端举行多次加壳。笔者在使用Petite和ASPack对办事端举行2次加壳后,试用了多种杀毒软件都没有扫描出来。如今网络中盛行的很多XX版冰河,就是网友经过对办事端举行修改并重新加壳后制做出来的。
Step3 防备
防备重于医治,在我们的电脑还没有中木马前,我们必要做很多须要的工作,好比:安置杀毒软件和网络防火墙;及时更新病毒库以及系统的安全补丁;定时备份硬盘上的文件;不要运行去路不明的软件和翻开去路不明的邮件。
最后笔者要特别提示各人,木马除了拥有强大的远程控制功效外,还包括极强的破坏性。我们学习它,只是为了相识它的技能与方法,而不是用于盗保密码等破坏举动,希望各人好自为之。
小知识:反弹技能,该技能办理了传统的远程控制软件不克不及拜访装有防火墙和控制局域网内部的远程盘算机的困难。反弹端口型软件的原理是,客户端首先登录到FTP办事器,编辑在木马软件中预先设置的主页空间上面的一个文件,并打末尾口监听,等待办事真个毗连,办事端活期用HTTP协议读取这个文件的内容,当发明是客户端让本身末尾毗连时,就主动毗连,云云就可完成毗连工作。因此在互联网上可以拜访到局域网里经过 NAT (透明代理)代理上网的电脑,并且可以穿过防火墙。与传统的远程控制软件相反,反弹端口型软件的办事端会主动毗连客户端,客户真个监听端口一样平常开为80(即用于网页浏览的端口),这样,纵然用户在下令提示符下使用“netstat -a”下令检查本身的端口,发明的也是雷同“TCP UserIP:3015 ControllerIP:http ESTABLISHED”的环境,轻微忽略一点你就会以为是本身在浏览网页,而防火墙也会异样这么以为的。于是,与一样平常的软件相反,反弹端口型软件的办事端主动毗连客户端,这样就可以轻易的打破防火墙的限定。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
评论加载中...
|