資源描述:
《實驗13木馬捆綁與隱藏》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�。
1�、木馬捆綁與隱藏12.2.1背景描述木馬并不是合法的網(wǎng)絡(luò)服務(wù)程序,如果單純以本來面目出現(xiàn)��,很容易被網(wǎng)絡(luò)川戶識別���。為了不被別人發(fā)現(xiàn)���,木馬制造者必須想方設(shè)法改換面貌:為了誘使網(wǎng)絡(luò)用戶下載并執(zhí)行它,黑客將木馬程序混合在合法的程序里面,潛入用戶主機�。在受害主機里,為了逃避殺毒軟件的查殺��,木馬也會將自己“喬裝打扮”����;為了防止用戶將其從系統(tǒng)里揪出來,木馬則采取一切可能的手法進(jìn)行隱藏A己����?�?傊?��,現(xiàn)在的木馬制造者是越來越狡猾,他們常用文件捆綁的方法���,將木馬捆綁到圖像��、純文本等常見的文件巾���,然后通過網(wǎng)頁、⑽���、Email或MSN
2�����、等將這些文件傳送給受害者��,而川戶一旦不慎打開這些文件�,木馬就自動執(zhí)行了�,主機就屮木馬了。12.2.2工作原理1.木馬捆綁木馬捆綁即是文件捆綁���,黑客將木馬或者病毒等惡意程序與其它正常文件纟II合成的一個整體�。這是一種最簡單也是最可行和最常用的一種方法��,當(dāng)受害者下載并運行捆綁了木馬等惡意程序的文件時���,其中的木馬等惡意程序就會被激活�����。木馬捆綁的手段歸納起來共有叫種:(1)利用捆綁機軟件和文件合并軟件捆綁木馬�;(2)利用WINRAR����、WINZIP等軟件制作自解壓捆綁木馬;(3)利用軟件打包軟件制作捆綁木馬:(4)利
3、用多媒體影音文件傳播�。2.木馬隱藏隱藏是-?切惡意程序生存之本。以下是木馬的幾種隱藏手段:(1)進(jìn)程隱蔽:偽隱藏�����,就是指程序的進(jìn)程仍然存在��,只不過是讓它消失在進(jìn)程列表里�。真隱藏則是讓程序徹底的消失�����,不以一個進(jìn)程或者服務(wù)的方式工作����,做為一個線程�����,一個其他應(yīng)用程序的線程���,把自身注入其他應(yīng)用程序的地址空間���。(2)偽裝成圖像文件:即將木馬圖標(biāo)修改成圖像文件圖標(biāo)。(1)偽裝成應(yīng)用程序擴展組件:將木馬程序?qū)懗扇魏晤愋偷奈募?如dll,ocx等)���,然后掛在十分出名的軟件中��。因為人們一般不懷疑這些軟件����。(2)錯覺欺騙:利用
4、人的錯覺�����,例如故意混淆文件名中的1(數(shù)字)與1(L的小寫)���、0(數(shù)字)與0(字母)或0(字母)。(3)合并程序欺騙:合并程序就是將兩個或多個可執(zhí)行文件結(jié)合為一個文件�,使這些可執(zhí)行文件能同時執(zhí)行。木馬的合并欺騙就是將木馬綁定到應(yīng)用程序屮����。1.木馬捆綁的過程分析入佼者可以把木馬和正常文件捆綁成一個文件作為偽裝,當(dāng)遠(yuǎn)程主機的管理員打開文件的同吋會自動執(zhí)行木馬和正常文件����。在管理員看來,他們打開的只是那個正常的程序�,卻不知已經(jīng)被種植了木馬。大家總感覺自己莫名其妙地被種了木馬�����,可能入侵者也是通過這個方法得逞的�。下面來了
5、解一下入侵者是如何通過文件合并工具制作木馬捆綁的。(1)文件合并工具之DeceptionBinder2.1�����。它是國外的一個文件合并器�����,小巧而功能強大��。能夠捆綁任意格式(包括test��、jpg)文件;能夠設(shè)置打開文件是否隱蔽運行;能夠設(shè)置打開文件是否加入注冊表啟動項;能夠設(shè)置打開文件吋是否敁示錯誤信息以迷惑對方���。(2)文件合并工具之^Express�����。IExpress是微軟為壓縮CAB文件及制作安裝程序所開發(fā)的小工具��,其實應(yīng)該算是MAKECAB的一個Shell���。雖一直藏身于微軟的產(chǎn)品中,卻從未對它說明過���,但不能否
6����、認(rèn)是一款不錯的免費軟件。(3)文件合并攻擊之灰鴿子�����?;银澴邮菄鴥?nèi)一款著名后門��。比起前輩冰河����、黑洞來,灰鴿子可以說是國內(nèi)后門的集大成者�����。其豐富而強大的功能��、靈活多變的操作�、良好的隱藏性使其他后門都相形見絀?����?蛻舳撕喴妆憬莸牟僮魇箘?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況T時���,灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件��。2.防御策略首先應(yīng)當(dāng)在系統(tǒng)里安裝防毒殺毒軟件����,將木馬擋在系統(tǒng)的大門之外���。而針對一些頑固的木馬����,則可以采用一些技術(shù)手段來應(yīng)對���。如針對捆綁在文件中的木馬可以采用如下策略:(1)使用MT捆綁克星識別捆綁的木馬文
7�、件中只要捆綁了木馬��,那么其文件頭特征碼一定會表現(xiàn)出一定的規(guī)律���,而MT捆綁克星正是通過分析程序的文件頭特征碼來判斷的��。程序運行后����,我們只要單擊“瀏覽”按鈕,選擇需要進(jìn)行檢測的文件,然后單擊主界面上的“分析”按鈕����,這樣程序就會自動對添加進(jìn)來的文件進(jìn)行分析。此時��,我們只要查看分析結(jié)果屮可執(zhí)行的頭部數(shù)���,如果有兩個或更多的可執(zhí)行文件頭部���,那么說明此文件一定是被捆綁過的�!(1)使用無憂文檔探測器(FearlessBoundFileDetector)清除捆綁在程序屮的木馬光檢測出了文件中捆綁了木馬,然后利用清除工具將木馬
8�����、清除掉�。如“無憂文檔探測器“就是一款清除捆綁文件中的木馬的工具。使用時����,程序運行后會首先要求選擇耑要檢測的程序或文件���,然后單擊主界面中的“Process”按鈕,分析完畢再單擊“CleanFile”按鈕�,在彈出警告對話框屮單擊“是”按鈕確認(rèn)清除程序屮被捆綁的木馬即可。(2)針對隱藏在系統(tǒng)屮的木馬���,如下是一些策略建議:①打開win.ini文件,在[WINDOWS]下面�����,查看“run=”程序和“l(fā)oad=”程序,里面是
