實(shí)驗(yàn)13木馬捆綁與隱藏

實(shí)驗(yàn)13木馬捆綁與隱藏

ID:22281111

大?。?28.89 KB

頁(yè)數(shù):7頁(yè)

時(shí)間:2018-10-28

實(shí)驗(yàn)13木馬捆綁與隱藏_第1頁(yè)
實(shí)驗(yàn)13木馬捆綁與隱藏_第2頁(yè)
實(shí)驗(yàn)13木馬捆綁與隱藏_第3頁(yè)
實(shí)驗(yàn)13木馬捆綁與隱藏_第4頁(yè)
實(shí)驗(yàn)13木馬捆綁與隱藏_第5頁(yè)
資源描述:

《實(shí)驗(yàn)13木馬捆綁與隱藏》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。

1、木馬捆綁與隱藏12.2.1背景描述木馬并不是合法的網(wǎng)絡(luò)服務(wù)程序,如果單純以本來(lái)面目出現(xiàn),很容易被網(wǎng)絡(luò)川戶識(shí)別。為了不被別人發(fā)現(xiàn),木馬制造者必須想方設(shè)法改換面貌:為了誘使網(wǎng)絡(luò)用戶下載并執(zhí)行它,黑客將木馬程序混合在合法的程序里面,潛入用戶主機(jī)。在受害主機(jī)里,為了逃避殺毒軟件的查殺,木馬也會(huì)將自己“喬裝打扮”;為了防止用戶將其從系統(tǒng)里揪出來(lái),木馬則采取一切可能的手法進(jìn)行隱藏A己??傊?,現(xiàn)在的木馬制造者是越來(lái)越狡猾,他們常用文件捆綁的方法,將木馬捆綁到圖像、純文本等常見(jiàn)的文件巾,然后通過(guò)網(wǎng)頁(yè)、⑽、Email或MSN

2、等將這些文件傳送給受害者,而川戶一旦不慎打開(kāi)這些文件,木馬就自動(dòng)執(zhí)行了,主機(jī)就屮木馬了。12.2.2工作原理1.木馬捆綁木馬捆綁即是文件捆綁,黑客將木馬或者病毒等惡意程序與其它正常文件纟II合成的一個(gè)整體。這是一種最簡(jiǎn)單也是最可行和最常用的一種方法,當(dāng)受害者下載并運(yùn)行捆綁了木馬等惡意程序的文件時(shí),其中的木馬等惡意程序就會(huì)被激活。木馬捆綁的手段歸納起來(lái)共有叫種:(1)利用捆綁機(jī)軟件和文件合并軟件捆綁木馬;(2)利用WINRAR、WINZIP等軟件制作自解壓捆綁木馬;(3)利用軟件打包軟件制作捆綁木馬:(4)利

3、用多媒體影音文件傳播。2.木馬隱藏隱藏是-?切惡意程序生存之本。以下是木馬的幾種隱藏手段:(1)進(jìn)程隱蔽:偽隱藏,就是指程序的進(jìn)程仍然存在,只不過(guò)是讓它消失在進(jìn)程列表里。真隱藏則是讓程序徹底的消失,不以一個(gè)進(jìn)程或者服務(wù)的方式工作,做為一個(gè)線程,一個(gè)其他應(yīng)用程序的線程,把自身注入其他應(yīng)用程序的地址空間。(2)偽裝成圖像文件:即將木馬圖標(biāo)修改成圖像文件圖標(biāo)。(1)偽裝成應(yīng)用程序擴(kuò)展組件:將木馬程序?qū)懗扇魏晤?lèi)型的文件(如dll,ocx等),然后掛在十分出名的軟件中。因?yàn)槿藗円话悴粦岩蛇@些軟件。(2)錯(cuò)覺(jué)欺騙:利用

4、人的錯(cuò)覺(jué),例如故意混淆文件名中的1(數(shù)字)與1(L的小寫(xiě))、0(數(shù)字)與0(字母)或0(字母)。(3)合并程序欺騙:合并程序就是將兩個(gè)或多個(gè)可執(zhí)行文件結(jié)合為一個(gè)文件,使這些可執(zhí)行文件能同時(shí)執(zhí)行。木馬的合并欺騙就是將木馬綁定到應(yīng)用程序屮。1.木馬捆綁的過(guò)程分析入佼者可以把木馬和正常文件捆綁成一個(gè)文件作為偽裝,當(dāng)遠(yuǎn)程主機(jī)的管理員打開(kāi)文件的同吋會(huì)自動(dòng)執(zhí)行木馬和正常文件。在管理員看來(lái),他們打開(kāi)的只是那個(gè)正常的程序,卻不知已經(jīng)被種植了木馬。大家總感覺(jué)自己莫名其妙地被種了木馬,可能入侵者也是通過(guò)這個(gè)方法得逞的。下面來(lái)了

5、解一下入侵者是如何通過(guò)文件合并工具制作木馬捆綁的。(1)文件合并工具之DeceptionBinder2.1。它是國(guó)外的一個(gè)文件合并器,小巧而功能強(qiáng)大。能夠捆綁任意格式(包括test、jpg)文件;能夠設(shè)置打開(kāi)文件是否隱蔽運(yùn)行;能夠設(shè)置打開(kāi)文件是否加入注冊(cè)表啟動(dòng)項(xiàng);能夠設(shè)置打開(kāi)文件吋是否敁示錯(cuò)誤信息以迷惑對(duì)方。(2)文件合并工具之^Express。IExpress是微軟為壓縮CAB文件及制作安裝程序所開(kāi)發(fā)的小工具,其實(shí)應(yīng)該算是MAKECAB的一個(gè)Shell。雖一直藏身于微軟的產(chǎn)品中,卻從未對(duì)它說(shuō)明過(guò),但不能否

6、認(rèn)是一款不錯(cuò)的免費(fèi)軟件。(3)文件合并攻擊之灰鴿子?;银澴邮菄?guó)內(nèi)一款著名后門(mén)。比起前輩冰河、黑洞來(lái),灰鴿子可以說(shuō)是國(guó)內(nèi)后門(mén)的集大成者。其豐富而強(qiáng)大的功能、靈活多變的操作、良好的隱藏性使其他后門(mén)都相形見(jiàn)絀??蛻舳撕?jiǎn)易便捷的操作使剛?cè)腴T(mén)的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況T時(shí),灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件。2.防御策略首先應(yīng)當(dāng)在系統(tǒng)里安裝防毒殺毒軟件,將木馬擋在系統(tǒng)的大門(mén)之外。而針對(duì)一些頑固的木馬,則可以采用一些技術(shù)手段來(lái)應(yīng)對(duì)。如針對(duì)捆綁在文件中的木馬可以采用如下策略:(1)使用MT捆綁克星識(shí)別捆綁的木馬文

7、件中只要捆綁了木馬,那么其文件頭特征碼一定會(huì)表現(xiàn)出一定的規(guī)律,而MT捆綁克星正是通過(guò)分析程序的文件頭特征碼來(lái)判斷的。程序運(yùn)行后,我們只要單擊“瀏覽”按鈕,選擇需要進(jìn)行檢測(cè)的文件,然后單擊主界面上的“分析”按鈕,這樣程序就會(huì)自動(dòng)對(duì)添加進(jìn)來(lái)的文件進(jìn)行分析。此時(shí),我們只要查看分析結(jié)果屮可執(zhí)行的頭部數(shù),如果有兩個(gè)或更多的可執(zhí)行文件頭部,那么說(shuō)明此文件一定是被捆綁過(guò)的!(1)使用無(wú)憂文檔探測(cè)器(FearlessBoundFileDetector)清除捆綁在程序屮的木馬光檢測(cè)出了文件中捆綁了木馬,然后利用清除工具將木馬

8、清除掉。如“無(wú)憂文檔探測(cè)器“就是一款清除捆綁文件中的木馬的工具。使用時(shí),程序運(yùn)行后會(huì)首先要求選擇耑要檢測(cè)的程序或文件,然后單擊主界面中的“Process”按鈕,分析完畢再單擊“CleanFile”按鈕,在彈出警告對(duì)話框屮單擊“是”按鈕確認(rèn)清除程序屮被捆綁的木馬即可。(2)針對(duì)隱藏在系統(tǒng)屮的木馬,如下是一些策略建議:①打開(kāi)win.ini文件,在[WINDOWS]下面,查看“run=”程序和“l(fā)oad=”程序,里面是

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫(huà)的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。