精品一区二区中文在线,无遮挡h肉动漫在线观看,国产99视频精品免视看9,成全免费高清大全

掀起你的蓋頭來:木馬各種隱藏技術披露 -電腦資料

電腦資料 時間:2019-01-01 我要投稿
【salifelink.com - 電腦資料】

    以前,我曾認為只要不隨便運行網友發來的文件就不會中病毒或木馬,但后來出現了利用漏洞傳播的沖擊波、震蕩波;以前,我曾認為不上小網站就不會中網頁木馬,但后來包括國內某知名游戲網站在內的多個大網站均在其首頁被 掛上了木馬,

掀起你的蓋頭來:木馬各種隱藏技術披露

。從此,我知道:安全,從來沒有絕對的。

    雖然沒有絕對的安全,但如果能知已知彼,了解木馬的隱藏手段,對于木馬即使不能百戰百勝,也能做到及時發現,使損失最小化。那么,木馬究竟是如何躲在我們的系統中的呢?

    最基本的隱藏:不可見窗體+隱藏文件

    木馬程序無論如何神秘,但歸根究底,仍是Win32平臺下的一種程序。Windows下常見的程序有兩種:

    1.Win32應用程序(Win32 Application),比如QQ、Office等都屬于此行列。

    2.Win32控制臺程序(Win32 Console),比如硬盤引導修復程序FixMBR。

    其中,Win32應用程序通常會有應用程序界面,比如系統中自帶的“計算器”就有提供各種數字按鈕的應用程序界面。木馬雖然屬于Win32應用程序,但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況,如木馬使用者與被害者聊天的窗口),并且將木馬文件屬性設置為“隱藏”,這就是最基本的隱藏手段,稍有經驗的用戶只需打開“任務管理器”,并且將“文件夾選項”中的“顯示所有文件”勾選即可輕松找出木馬,于是便出現了下面要介紹的“進程隱藏”技術。

    第一代進程隱藏技術:Windows 98的后門

    在Windows 98中,微軟提供了一種能將進程注冊為服務進程的方法。盡管微軟沒有公開提供這種方法的技術實現細節(因為Windows的后續版本中沒有提供這個機制),但仍有高手發現了這個秘密,這種技術稱為RegisterServiceProcess。只要利用此方法,任何程序的進程都能將自己注冊為服務進程,而服務進程在Windows 98中的任務管理器中恰巧又是不顯示的,所以便被木馬程序鉆了空子。

    要對付這種隱藏的木馬還算簡單,只需使用其他第三方進程管理工具即可找到其所在,并且采用此技術進行隱藏的木馬在Windows 2000/XP(因為不支持這種隱藏方法)中就得現形!中止該進程后將木馬文件刪除即可�?墒墙酉聛淼牡诙M程隱藏技術,就沒有這么簡單對付了。

    第二代進程隱藏技術:進程插入

    在Windows中,每個進程都有自己的私有內存地址空間,當使用指針(一種訪問內存的機制)訪問內存時,一個進程無法訪問另一個進程的內存地址空間,就好比在未經鄰居同意的情況下,你無法進入鄰居家吃飯一樣。比如QQ在內存中存放了一張圖片的數據,而MSN則無法通過直接讀取內存的方式來獲得該圖片的數據。這樣做同時也保證了程序的穩定性,如果你的進程存在一個錯誤,改寫了一個隨機地址上的內存,這個錯誤不會影響另一個進程使用的內存。

    你知道嗎——進程(Process)是什么

    對應用程序來說,進程就像一個大容器,

電腦資料

掀起你的蓋頭來:木馬各種隱藏技術披露》(http://salifelink.com)。在應用程序被運行后,就相當于將應用程序裝進容器里了,你可以往容器里加其他東西(如:應用程序在運行時所需的變量數據、需要引用的DLL文件等),當應用程序被運行兩次時,容器里的東西并不會被倒掉,系統會找一個新的進程容器來容納它。

    一個進程可以包含若干線程(Thread),線程可以幫助應用程序同時做幾件事(比如一個線程向磁盤寫入文件,另一個則接收用戶的按鍵操作并及時做出反應,互相不干擾),在程序被運行后中,系統首先要做的就是為該程序進程建立一個默認線程,然后程序可以根據需要自行添加或刪除相關的線程

    1.進程插入是什么

    獨立的地址空間對于編程人員和用戶來說都是非常有利的。對于編程人員來說,系統更容易捕獲隨意的內存讀取和寫入操作。對于用戶來說,操作系統將變得更加健壯,因為一個應用程序無法破壞另一個進程或操作系統的運行。當然,操作系統的這個健壯特性是要付出代價的,因為要編寫能夠與其他進程進行通信,或者能夠對其他進程進行操作的應用程序將要困難得多。但仍有很多種方法可以打破進程的界限,訪問另一個進程的地址空間,那就是“進程插入”(Process Injection)。一旦木馬的DLL插入了另一個進程的地址空間后,就可以對另一個進程為所欲為,比如下文要介紹的盜QQ密碼。

    2.木馬是如何盜走QQ密碼的

    普通情況下,一個應用程序所接收的鍵盤、鼠標操作,別的應用程序是無權“過問”的�?� 木馬是怎么偷偷記錄下我的密碼的呢?木馬首先將1個DLL文件插入到QQ的進程中并成為QQ進程中的一個線程,這樣該木馬DLL就赫然成為了QQ的一部分!然后在用戶輸入密碼時,因為此時木馬DLL已經進入QQ進程內部,所以也就能夠接收到用戶傳遞給QQ的密碼鍵入了,真是“家賊難防”��!

    3.如何插入進程

    (1)使用注冊表插入DLL

    早期的進程插入式木馬的伎倆,通過修改注冊表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達到插入進程的目的。缺點是不實時,修改注冊表后需要重新啟動才能完成進程插入。

    (2)使用掛鉤(Hook)插入DLL

    比較高級和隱蔽的方式,通過系統的掛鉤機制(即“Hook”,類似于DOS時代的“中斷”)來插入進程(一些盜QQ木馬、鍵盤記錄木馬以Hook方式插入到其他進程中“偷雞摸狗”),需要調用SetWindowsHookEx函數(也是一個Win32 API函數)。缺點是技術門檻較高,程序調試困難,這種木馬的制作者必須具有相當的Win32編程水平。

    你知道嗎——什么是API

    Windows中提供各種功能實現的接口稱為Win32 API(Application Programming Interface,即“應用程序編程接口”),如一些程序需要對磁盤上的文件進行讀寫,就要先通過對相應的API(文件讀寫就要調用文件相關的API)發出調用請求,然后API根據程序在調用其函數時提供的參數(如讀寫文件就需要同時給出需要讀寫的文件的文件名及路徑)來完成請求實現的功能,最后將調用結果(如寫入文件成功,或讀取文件失敗等)返回給程序。

    [1] [2] 下一頁

打印
立即下载
复制全文

    以前,我曾認為只要不隨便運行網友發來的文件就不會中病毒或木馬,但后來出現了利用漏洞傳播的沖擊波、震蕩波;以前,我曾認為不上小網站就不會中網頁木馬,但后來包括國內某知名游戲網站在內的多個大網站均在其首頁被 掛上了木馬,

掀起你的蓋頭來:木馬各種隱藏技術披露

。從此,我知道:安全,從來沒有絕對的。

    雖然沒有絕對的安全,但如果能知已知彼,了解木馬的隱藏手段,對于木馬即使不能百戰百勝,也能做到及時發現,使損失最小化。那么,木馬究竟是如何躲在我們的系統中的呢?

    最基本的隱藏:不可見窗體+隱藏文件

    木馬程序無論如何神秘,但歸根究底,仍是Win32平臺下的一種程序。Windows下常見的程序有兩種:

    1.Win32應用程序(Win32 Application),比如QQ、Office等都屬于此行列。

    2.Win32控制臺程序(Win32 Console),比如硬盤引導修復程序FixMBR。

    其中,Win32應用程序通常會有應用程序界面,比如系統中自帶的“計算器”就有提供各種數字按鈕的應用程序界面。木馬雖然屬于Win32應用程序,但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況,如木馬使用者與被害者聊天的窗口),并且將木馬文件屬性設置為“隱藏”,這就是最基本的隱藏手段,稍有經驗的用戶只需打開“任務管理器”,并且將“文件夾選項”中的“顯示所有文件”勾選即可輕松找出木馬,于是便出現了下面要介紹的“進程隱藏”技術。

    第一代進程隱藏技術:Windows 98的后門

    在Windows 98中,微軟提供了一種能將進程注冊為服務進程的方法。盡管微軟沒有公開提供這種方法的技術實現細節(因為Windows的后續版本中沒有提供這個機制),但仍有高手發現了這個秘密,這種技術稱為RegisterServiceProcess。只要利用此方法,任何程序的進程都能將自己注冊為服務進程,而服務進程在Windows 98中的任務管理器中恰巧又是不顯示的,所以便被木馬程序鉆了空子。

    要對付這種隱藏的木馬還算簡單,只需使用其他第三方進程管理工具即可找到其所在,并且采用此技術進行隱藏的木馬在Windows 2000/XP(因為不支持這種隱藏方法)中就得現形!中止該進程后將木馬文件刪除即可�?墒墙酉聛淼牡诙M程隱藏技術,就沒有這么簡單對付了。

    第二代進程隱藏技術:進程插入

    在Windows中,每個進程都有自己的私有內存地址空間,當使用指針(一種訪問內存的機制)訪問內存時,一個進程無法訪問另一個進程的內存地址空間,就好比在未經鄰居同意的情況下,你無法進入鄰居家吃飯一樣。比如QQ在內存中存放了一張圖片的數據,而MSN則無法通過直接讀取內存的方式來獲得該圖片的數據。這樣做同時也保證了程序的穩定性,如果你的進程存在一個錯誤,改寫了一個隨機地址上的內存,這個錯誤不會影響另一個進程使用的內存。

    你知道嗎——進程(Process)是什么

    對應用程序來說,進程就像一個大容器,

電腦資料

掀起你的蓋頭來:木馬各種隱藏技術披露》(http://salifelink.com)。在應用程序被運行后,就相當于將應用程序裝進容器里了,你可以往容器里加其他東西(如:應用程序在運行時所需的變量數據、需要引用的DLL文件等),當應用程序被運行兩次時,容器里的東西并不會被倒掉,系統會找一個新的進程容器來容納它。

    一個進程可以包含若干線程(Thread),線程可以幫助應用程序同時做幾件事(比如一個線程向磁盤寫入文件,另一個則接收用戶的按鍵操作并及時做出反應,互相不干擾),在程序被運行后中,系統首先要做的就是為該程序進程建立一個默認線程,然后程序可以根據需要自行添加或刪除相關的線程

    1.進程插入是什么

    獨立的地址空間對于編程人員和用戶來說都是非常有利的。對于編程人員來說,系統更容易捕獲隨意的內存讀取和寫入操作。對于用戶來說,操作系統將變得更加健壯,因為一個應用程序無法破壞另一個進程或操作系統的運行。當然,操作系統的這個健壯特性是要付出代價的,因為要編寫能夠與其他進程進行通信,或者能夠對其他進程進行操作的應用程序將要困難得多。但仍有很多種方法可以打破進程的界限,訪問另一個進程的地址空間,那就是“進程插入”(Process Injection)。一旦木馬的DLL插入了另一個進程的地址空間后,就可以對另一個進程為所欲為,比如下文要介紹的盜QQ密碼。

    2.木馬是如何盜走QQ密碼的

    普通情況下,一個應用程序所接收的鍵盤、鼠標操作,別的應用程序是無權“過問”的�?� 木馬是怎么偷偷記錄下我的密碼的呢?木馬首先將1個DLL文件插入到QQ的進程中并成為QQ進程中的一個線程,這樣該木馬DLL就赫然成為了QQ的一部分!然后在用戶輸入密碼時,因為此時木馬DLL已經進入QQ進程內部,所以也就能夠接收到用戶傳遞給QQ的密碼鍵入了,真是“家賊難防”��!

    3.如何插入進程

    (1)使用注冊表插入DLL

    早期的進程插入式木馬的伎倆,通過修改注冊表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達到插入進程的目的。缺點是不實時,修改注冊表后需要重新啟動才能完成進程插入。

    (2)使用掛鉤(Hook)插入DLL

    比較高級和隱蔽的方式,通過系統的掛鉤機制(即“Hook”,類似于DOS時代的“中斷”)來插入進程(一些盜QQ木馬、鍵盤記錄木馬以Hook方式插入到其他進程中“偷雞摸狗”),需要調用SetWindowsHookEx函數(也是一個Win32 API函數)。缺點是技術門檻較高,程序調試困難,這種木馬的制作者必須具有相當的Win32編程水平。

    你知道嗎——什么是API

    Windows中提供各種功能實現的接口稱為Win32 API(Application Programming Interface,即“應用程序編程接口”),如一些程序需要對磁盤上的文件進行讀寫,就要先通過對相應的API(文件讀寫就要調用文件相關的API)發出調用請求,然后API根據程序在調用其函數時提供的參數(如讀寫文件就需要同時給出需要讀寫的文件的文件名及路徑)來完成請求實現的功能,最后將調用結果(如寫入文件成功,或讀取文件失敗等)返回給程序。

    [1] [2] 下一頁