QQ登录

只需要一步,快速开始

 注册地址  找回密码
查看: 1788|回复: 0
打印 上一主题 下一主题

病毒木马入侵招数专题

[复制链接]
字体大小: 正常 放大
韩冰        

823

主题

3

听众

4048

积分

我的地盘我做主

该用户从未签到

发帖功臣 元老勋章

跳转到指定楼层
1#
发表于 2004-10-4 00:47 |只看该作者 |倒序浏览
|招呼Ta 关注Ta

网络时代可不太平,谁没有遭遇过病毒或木马?从CIH、I Love You到红色代码、Nimda,从BO到冰河,无一不是网友经常懈逅的对象。怎么避免这些“艳遇”是广大用户孜孜以求的目标,不过,“道高一尺,魔高一丈”,“防”永远是落后的,主动消灭它们才是积极主动的。 1 Q, W' O" Q& W+ [# ~2 v?? / z! e! n5 H1 c9 u/ o, n: R$ E  要消灭它们,首先就要掌握病毒及木马是怎么入侵我们的"爱机"的。有关病毒及木马的入侵招数的文章很多,但都不太全面,编者偶然间发现了一篇作者不详,但内容颇为全面的文章,特意整理出来,希望对大家有所帮助。

H* y* H8 L+ f3 ~+ y: m. l

  一、修改批处理

4 @/ e* M! t) x* W4 g

  很古老的方法,但仍有人使用。一般通过修改下列三个文件来作案:

3 F1 X/ E" v" O) p. `- Q

  Autoexec.bat(自动批处理,在引导系统时执行) + F8 X) S0 `5 m! J  Winstart.bat(在启动GUI图形界面环境时执行) 1 d( ?" B& N2 P" I1 d0 ]  Dosstart.bat(在进入MS-DOS方式时执行)

7 K4 V9 w4 ]% {3 x

  例如:编辑C:\windows\Dosstart.bat,加入:start Notepad,当你进入“MS-DOS方式”时,就可以看到记事本被启动了。 : _4 O! X3 I. w' a5 {?? . S. Z3 H) w6 T9 N) p  二、修改系统配置

- z+ Q7 U; y% a

  常使用的方法,通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的,涉及范围有:

* o, X H+ z8 [: S. w

  在Win.ini文件中: ! {! t2 f! s/ m4 k' A- L) h   [windows] : u7 F9 t& x Y& s$ q3 Z# T   load=程序名 ; C+ R3 |' L6 O. X2 o   run=程序名

& P& j, s, T+ F; ~3 q

  在System.ini文件中: 5 P+ d: }% L- u+ f' q$ S0 Q# Z2 R5 q  [boot] # K8 m6 J3 |! O: Q$ B  shell=Explorer.exe

5 O3 r, y# }$ @6 z

  其中修改System.ini中Shell值的情况要多一些,病毒木马通过修改这里使自己成为Shell,然后加载Explorer.exe,从而达到控制用户电脑的目的。

1 n( V! E( ]3 Y* K$ S, @

 三、借助自动运行功能

" ^9 p3 o" M- f0 m7 s8 L$ F2 `; V' J

  这是黑客最新研发成果,之前该方法不过被发烧的朋友用来修改硬盘的图标而已,如今它被赋予了新的意义,黑客甚至声称这是Windows的新BUG。

8 w5 ]& S A/ J, _! ]

  Windows的自动运行功能确实很烂,早年许多朋友因为自动运行的光盘中带有CIH病毒而中招,现在不少软件可以方便地禁止光盘的自动运行,但硬盘呢?其实硬盘也支持自动运行,你可尝试在D盘根目录下新建一个Autorun.inf,用记事本打开它,输入如下内容:

8 u; s) p( Y0 U o# r0 c; v! l, o, W

  [autorun] ' m! P( V/ A6 `5 D1 O   open=Notepad.exe 9 ~' D- Z l6 h$ f; Q7 J. d/ }! {. f?? / s+ k1 R4 H+ e   保存后进入“我的电脑”,按F5键刷新一下,然后双击D盘盘符,怎么样?记事本打开了,而D盘却没有打开。

6 r, R3 l2 b/ E3 B6 U

  当然,以上只是一个简单的实例,黑客做得要精密很多,他们会把程序改名为“ .exe”(不是空格,而是中文的全角空格,这样在Autorun.inf中只会看到“open= ”而被忽略,此种行径在修改系统配置时也常使用,如“run= ”;为了更好地隐藏自己,其程序运行后,还会替你打开硬盘,让你难以查觉。

! V, `/ Z5 k; z' g1 V9 f" t

  由此可以推想,如果你打开了D盘的共享,黑客就可以将木马和一个Autorun.inf存入该分区,当Windows自动刷新时,你也就“中奖”了,因此,大家千万不要共享任何根目录,当然更不能共享系统分区(一般为C:)。 _0 ~ g; Y& N- o& k?? . E% S. M1 ?- ?$ i2 m  四、通过注册表中的Run来启动

* v" _. k" Z) B, }5 A% Z+ u

  很老套的方法,但80%的黑客仍在使用,通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值,可以比较容易地实现程序的加载,黑客尤其方便在带”Once”的主键中作手脚,因此带“Once”的主键中的键值,在程序运行后将被删除,因此当用户使用注册表修改程序查看时,不会发现异样。另外,还有这样的程序:在启动时删除Run中的键值,而在退出时(或关闭系统时)又添加键值,达到隐蔽自己的目的。(这种方法的缺点是:害怕恶意关机或停电,呵呵!) 5 z! s6 N) a2 Q9 E b( q4 ]) |% p?? 1 j* g+ M- p% h% B) u' G: u  五、通过文件关联启动

, P" P3 ]: w. e7 r$ N" A

  很受黑客喜爱的方式,通过EXE文件的关联(主键为:exefile),让系统在执行任何程序之前都运行木马,真的好毒!通常修改的还有txtfile(文本文件的关联,谁不用用记事本呢?)、regfile(注册表文件关联,一般用来防止用户恢复注册表,例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。为了防止用户恢复注册表,用此法的黑客通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序,阻碍用户修复。

: a. @5 m% G1 T. T: A( y' ~: b

六、通过API HOOK启动

; j. s7 j0 D( B! s

  这种方法较为高级,通过替换系统的DLL文件,让系统启动指定的程序。例如:拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接,那么黑客就会替换这个DLL,当用户的应用程序调用这个API函数,黑客的程序就会先启动,然后调用真正的函数完成这个功能(特别提示:木马可不一定是EXE,还可以是DLL、VXD),这样既方便又隐蔽(不上网时根本不运行)。中此绝毒的虫子,只有两种选择:Ghost或重装系统,幸好此毒廖廖无几,实属万虫之幸! 9 r7 Y! d% ]2 O" Y3 @% F?? x4 x6 R4 E+ V9 i; g   API的英文全称为:Application Programming Interface,也就是应用程序编程接口。在Windows程序设计领域发展初期,Windows程序员所能使用的编程工具唯有API函数,这些函数是Windows提供给应用程序与操作系统的接口,他们犹如“积木块”一样,可以搭建出各种界面丰富,功能灵活的应用程序。所以可以认为API函数是构筑整个Windows框架的基石,在它的下面是Windows的操作系统核心,而它的上面则是所有华丽的Windows应用程序。 ( `3 `" X4 X$ C7 \8 _$ E/ @/ d ?? # [# ^7 R8 T T# H$ }) T3 [4 H  七、通过VXD启动

9 b9 i" Q, e0 s! L* ?" T4 {

  此法也是高手专用版,通过把木马写成VXD形式加载,直接控制系统底层,极为罕见。它们一般在注册表[HKEY_ LOCAL_MACHINE\System\CurrentControlSet\Services\VxD]主键中启动,很难发觉,解决方法最好也是用Ghost恢复或重新干净安装。 # q; R( _+ F' h) F' p: g9 ?! Y- b7 s ?? . y9 s4 _! p- p8 N   八、通过浏览网页启动

6 k+ u; m( \' Z/ D; y8 S

  通过此种途径有两种方法:

- J' I+ E3 X2 `2 H

  利用MIME漏洞:这是2001年黑客中最流行的手法,因为它简单有效,加上宽带网的流行,令用户防不胜防,想一想,仅仅是鼠标变一下“沙漏”,木马就安装妥当,Internet真是太“方便”了!不过今年有所减少,一方面许多人都改用IE6.0;另一方面,大部分个人主页空间都不允许上传.eml文件了。 9 a9 Q& w: x& k i) {?? 2 V! p5 L- a* G" S8 w3 q6 \1 J   MIME被称为多用途Internet邮件扩展(Multipurpose Internet Mail Extensions),是一种技术规范,原用于电子邮件,现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的,在它出现前,邮件内容如果包含声音和动画,就必须把它变为ASCII码或把二进制的信息变成可以传送的编码标准,而接收方必须经过解码才可以获得声音和图画信息。MIME提供了一种可以在邮件中附加多种不同编码文件的方法,这与原来的邮件是大大不同的。而现在MIME已经成为了HTTP协议标准的一个部分。

1 y/ d& Z6 I# h' ~

九、利用Java applet

3 H9 s2 \5 Y: E

  划时代的Java更高效、更方便——不过是悄悄地修改你的注册表,让你千百次地访问黄(黑)色网站,让你关不了机,让你……,还可以让你中木马。这种方法其实很简单,先利用HTML把木马下载到你的缓存中,然后修改注册表,指向其程序。 $ Z4 r- O. B8 m4 \3 i5 k ?? . U8 U9 u8 z8 W0 a) f1 K3 K' p8 `   十、利用系统自动运行的程序

: @& U1 H( `7 [/ }4 @4 }# c

  这一条主要利用用户的麻痹大意和系统的运行机制进行,命中率很高。在系统运行过程中,有许多程序是自动运行的,比如:磁盘空间满时,系统自动运行“磁盘清理”程序(cleanmgr.exe);启动资源管理器失败时,双击桌面将自动运行“任务管理器”程序(Taskman.exe);格式化磁盘完成后,系统将提示使用“磁盘扫描”程序(scandskw.exe);点击帮助或按F1时,系统将运行Winhelp.exe或Hh.exe打开帮助文件;启动时,系统将自动启动“系统栏”程序(SysTray.exe)、“输入法”程序(internat.exe)、“注册表检查” 程序(scanregw.exe)、“计划任务”程序(Mstask.exe)、“电源管理”程序等。 ; R% n0 G: T* C! [$ c5 q ?? ' P5 [1 d* |* ?4 t   这为恶意程序提供了机会,通过覆盖这些文件,不必修改任何设置系统就会自动执行它们!而用户在检查注册表和系统配置时不会引起任何怀疑,例如“注册表检查” 程序的作用是启动时检查和备份注册表,正常情况不会有任何提示,那么它被覆盖后真可谓是“神不知、鬼不觉”。当然,这也许会被“系统文件检查器”检查(但勤快的人不多)出来。 2 x. I. B. x" |6 y4 q ?? : [- O j5 O' R w  黑客还有一高招“偷天换日”!不覆盖程序也可达到这个目的,方法是:利用System目录比Windows目录优先的特点,以相同的文件名,将程序放到System目录中。你可以试试,将Notepad.exe(记事本)复制到System目录中,并改名为Regedit.exe(注册表编辑器),然后从“开始”→“运行”中,输入“Regedit”回车,你会发现运行的竟然是那个假冒的Notepad.exe!同样,如果黑客将程序放到System中,然后在运行时调用真正的Regedit,谁知道呢?(这种方法由于大部分目标程序不是经常被系统调用,因此常被黑客用来作为被删除后的恢复方法,如果某个东东被删除了又出现,不妨检查检查这些文件。) % m6 v( n, f% z i ?? / ~3 w8 b0 v( t( _5 ^0 {  十一、还有什么“高招”

& H7 N$ W* X+ ^! {5 |0 p) D, V

  黑客还常常使用名字欺骗技术和运行假象与之配合。名字欺骗技术如上述的全角空格主文件名“ .exe”就是一例,另外常见的有在修改文件关联时,使用“ ”(ASCII值255,输入时先按下Alt键,然后在小键盘上输入255)作为文件名,当这个字符出现在注册表中时,人们往往很难发现它的存在。此外还有利用字符相似性的,如:“Systray.exe”和“5ystray”(5与大写S相似);长度相似性的,如:“Explorer.exe”和“Explore.exe”(后者比前者少一个字母,心理学实验证明,人的第一感觉只识别前四个字母,并对长度不敏感);运行假象则是指运行某些木马时,程序给出一个虚假的提示来欺骗用户。一个运行后什么都没有的程序,地球人都知道不是什么好东西;但对于一个提示“内存不足的程序,恐怕还在埋怨自己的内存太少哩! 8 f* l, w9 R4 L& R6 v9 v3 D" v

zan
转播转播0 分享淘帖0 分享分享0 收藏收藏0 支持支持1 反对反对0 微信微信
您需要登录后才可以回帖 登录 | 注册地址

qq
收缩
  • 电话咨询

  • 04714969085
fastpost

关于我们| 联系我们| 诚征英才| 对外合作| 产品服务| QQ

手机版|Archiver| |繁體中文 手机客户端  

蒙公网安备 15010502000194号

Powered by Discuz! X2.5   © 2001-2013 数学建模网-数学中国 ( 蒙ICP备14002410号-3 蒙BBS备-0002号 )     论坛法律顾问:王兆丰

GMT+8, 2024-5-6 17:22 , Processed in 0.313580 second(s), 51 queries .

回顶部