我们巧妙设置QQ密码气死嚣张木马

特别说明

此资料来自豆丁网(https://www.wendangku.net/doc/a79159151.html,/)

您现在所看到的文档是使用下载器所生成的文档

此文档的原件位于

https://www.wendangku.net/doc/a79159151.html,/p-4790850.html

感谢您的支持

抱米花

https://www.wendangku.net/doc/a79159151.html,/lotusbaob

木马程序是如何实现隐藏的

木马程序是如何实现隐藏的 木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。有人说，既然木马这么厉害，那我离它远一点不就可以了！然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的！哎呀，那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢！那我怎么知道木马在哪里呢，相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟！ 1、集成到程序中 其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。 3、潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了，这个file.exe很可能是木马哦。 4、伪装在普通文件中 这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图

国内外木马研究现状

国外研究背景： 快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。网络战争战场将成为未来信息作战风格。木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。 1.有关国外的隐藏技术 （1）木马的P2P网络模型 木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。木马隐藏技术主要分为两类:主机隐藏和隐藏通信。设计一个新的木马主机隐藏DLL陷阱技术在Windows SPI接口,木马没有隐藏的过程。通信隐藏使用P2P技术控制网络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。 （2）Bootkit Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,从而得到无限制的访问整个电脑，甚至可以绕过满卷加密,因为主引导记录不加密。主引导记录包含密码解密的软件要求和解密开车。 国内研究现状： 计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。其中特洛伊木马的破坏最大，它能在高隐蔽性的状态下窃取网民的隐私信息。通常被感染木马的计算机用户并不知道自己的计算机已被感染。这是由于木马程序具有很高的隐蔽性，它能在看似无任何异常的情况下，秘密操控远程主机，进行破坏活动。 1.木马隐藏相关技术 （1）程序隐蔽 木马程序隐藏通常指利用各种手段伪装木马程序，让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。程序捆绑方式是将多个exe 程序链接在一起组合成一个exe 文件，当运行该exe 文件

木马通信的隐蔽技术

多媒体技术及其应用本栏目责任编辑：唐一东木马通信的隐蔽技术 张春诚，路刚，冯元 （解放军炮兵学院计算中心，安徽合肥230031） 摘要：服务器和客户机如何通信是木马研究的一个核心技术，该文讲述了如何利用网络协议躲避了防火墙和系统工具的检查，成功实现了木马的隐蔽通信，给出的源代码均调试通过。 关键词：木马通信；隐藏通信 中图分类号：TP393文献标识码：A 文章编号：1009-3044(2008)35-2481-03 Covert Technologies on Communications of Trojan Horse ZHANG Chun-cheng,LU Gang,FENG Yuan (PLA Artillery Academy Computer Center,Hefei 230031,China) Abstracr:The communications between server and client is a kernel technology to research Trojan.This paper describes how to hide out inspect of firewall and system tools through network protocol,and successful implement on covert communications of Trojan.These sound codes are all debugged and passed. Key words:communications of trojan horse;covert communications 1引言 木马通常需要利用一定的通信方式进行信息交流（如接收控制者的指令、向控制端传递信息等）。系统和应用程序一般采用TCP/UDP 通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP 端口与控制端进行通信。通常情况下，木马进行通信时直接打开一个或几个属于自己的TCP/UDP 端口。早期的木马在系统中运行后都是打开固定的端口，后来的木马在植入时可随机设定通信时打开的端口，具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上，目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通，使其很难被端口扫描发现。 2木马通信形式的隐蔽技术 木马为隐蔽通信形式所采用的手段有：端口寄生、反弹端口、潜伏技术，嗅探技术。 2.1端口寄生 端口寄生指木马寄生在系统中一个已经打开的通信端口，如TCP 80端口，木马平时只是监听此端口，遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的，因此，在扫描或查看系统中通信端口时是不会发现异常的。在Windows 9X 系统中进行此类操作相对比较简单，但是在Windows NT/2K 系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时，如木马所在目标系统有防火墙的保护，控制端向木马发起主动连接就有可能被过滤掉。 2.2反弹端口 反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤，对于向外的连接比较信任。与一般的木马相反，反弹端口木马使用主动端口，控制端使用被动端口。木马定时监测控制端的存在，发现控制端上线，立即主动连接控制端打开的被动端口。为了隐蔽起见，控制端的被动端口一般开在TCP80。这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP USERIP ：1026CONTROLLERIP ：80ESTABLISHED 这种情况，用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP 的第三方存储空间来进行控制端IP 地址的传递。 下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。 CServerSocket *pMy;//CServerSocket 是CAsyncSocket 的派生类 …… //初始化是开始连接,同时建立定时器 BOOL CServiceDlg::OnInitDialog(){CDialog::OnInitDialog();pMy=NULL;SetTimer(199,30000,NULL);pMy=new MySock;pMy->Create();pMy->Connect(m_ip,80);//连接目标的80端口，让人感觉在上网 收稿日期：2008-07-02 作者简介：张春诚（1982-），男，硕士，研究方向：网络安全；路刚（1983-），男，硕士，研究方向：计算机人工智能；冯元（1983-），男，硕 士，研究方向：计算机网络技术。 ISSN 1009-3044 Computer Knowledge And Technology 电脑知识与技术 Vol.4,No.8,December 2008,pp.2481-2483E-mail:eduf@https://www.wendangku.net/doc/a79159151.html, https://www.wendangku.net/doc/a79159151.html, Tel:+86-551-569096356909642481

木马通信的隐蔽技术

引言 木马通常需要利用一定的通信方式进行信息交流（如接收控制者的指令、向控制端传递信息等）。系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP端口与控制端进行通信。通常情况下，木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。早期的木马在系统中运行后都是打开固定的端口，后来的木马在植入时可随机设定通信时打开的端口，具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上，目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通，使其很难被端口扫描发现。2木马通信形式的隐蔽技术 木马为隐蔽通信形式所采用的手段有：端口寄生、反弹端口、潜伏技术，嗅探技术。 2.1端口寄生 端口寄生指木马寄生在系统中一个已经打开的通信端口，如TCP80端口，木马平时只是监听此端口，遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的，因此，在扫描或查看系统中通信端口时是不会发现异常的。在Windows9X系统中进行此类操作相对比较简单，但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时，如木马所在目标系统有防火墙的保护，控制端向木马发起主动连接就有可能被过滤掉。 2.2反弹端口 反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤，对于向外的连接比较信任。与一般的木马相反，反弹端口木马使用主动端口，控制端使用被动端口。木马定时监测控制端的存在，发现控制端上线，立即主动连接控制端打开的被动端口。为了隐蔽起见，控制端的被动端口一般开在TCP80。这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCPUSERIP：1026CONTROLLERIP：80ESTABLISHED这种情况，用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP的第三方存储空间来进行控制端IP地址的传递。 下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。CServerSocket*pMy;//CServerSocket是CAsyncSocket的派生类…… //初始化是开始连接,同时建立定时器 BOOLCServiceDlg::OnInitDialog(){ CDialog::OnInitDialog();pMy=NULL; SetTimer(199,30000,NULL);pMy=newMySock;pMy->Create(); pMy->Connect(m_ip,80);//连接目标的80端口，让人感觉在上网ComputerKnowledgeAndTechnology} //在定时器中检查是否有连接，否则试图重新连接V oidCServiceDlg::OnTimer(UINTnIDEvent){ If(nIDEvent=199){ If(pMy->Send(“test”,4)=SOCKET_ERROR){pMy->Detach();deletepMy;pMy=NULL; pMy=newMySock;pMy->Create(); pMy->Connect(m_ip,80);}} CDialog::OnTimer(nIDEvent);} 2.3潜伏技术 ICMP（互联网控制报文协议）是IP协议的附属协议，用来传递差错报文以及其他需要注意的消息报文。它是由内核或进程直接处理而不会打开通信端口。采用潜伏技术进行通信的木

木马隐藏技术分析

木马隐藏技术分析 郜多投 （山东大学山东省济南市250100） 摘要:文章首先介绍了木马的原理和特征，然后对木马所实现的功能做了简单的介绍，最后从木马的文件隐藏，进程隐藏和通信隐藏三个方面着重进行了分析。 关键词：木马；木马隐藏；通信隐藏 [引言]木马，是一种通过潜入对方电脑进非法操作的计算机成程序，是目前黑客惯用的一种攻击手段，和一般的恶意软件不同，木马不主动进行自我复制和传播，破坏其他程序，然而，木马的潜伏性是超前的，为了看起来和正常程序一样，在进入系统之前，对自身的程序进行了伪装，使被感染的系统看起来一切正常，从而严重威胁计算机网络安全。 1.木马的原理和特征 一个完整的木马程序包含两部分内容，服务端和控制端，服务端程序是通过远程计算机网络植入对方电脑，而黑客通过客户端进入运行了服务端的受控电脑，通常运行了服务端的计算机会生成一个类似于系统文件的进程，此时端口被暗中打开，电脑中保存的各类数据会向控制端进行发送，黑客也可以通过这些暗中打开的端口进入目标电脑，此时，电脑中更多的隐私将会遭受更大的泄露。 木马一般具有以下特征： 一，隐藏性，隐藏性是木马的最显著特征，比如，改写进程名称使其和系统文件高度相似，隐藏在任务管理器中的进程，减少程序大小，减少暗中打开端口的流量。 二、自动运行性，可以随电脑启动而启动，比如潜入启动配置文件win.ini,winstart。Bat等，有的也可嵌入正常软件，随软件的运行而启动。 三、欺骗性：木马为了防止被发现，通常伪装成为系统中本身存在的文件，比武将文件名中的“O”改为“0”,“1改为I”等容易混淆是非的字符，或者有的系统中本身的文件名也可被木马直接套用，只不过是保存在不同的系统路径下，另外，有的木马将自己改装成为ZIP压缩文件，当用户解压时，直接运行。四、自我恢复性。目前大多数木马程序的功能模块已不是单一的组件构成，而是自动复制到电脑其他路径做备份，在子木马或者主木马被删除时，都可以再自动生成。 2.木马的功能 木马的作用不仅限于窃取密码，对文件进行操作。一个功能强大的木马程序，一旦潜入计算机系统，黑客对于受控计算机的操作就如同和自己自己的一样。木马的功能主要分为以下几个方面：窃取密码。这是早期木马最根本的一个功能，大多数木马具有键盘按键记录功能，一旦木马植入计算机，任何输入键盘的密码将很容易被窃取，然而并没有鼠标记录功能，所以，通过鼠标适当的造作来改变击键顺序可以有效的防止密码泄露。此外，木马程序也可以记录其他的明文以及缓存Cache记录。 远程监控。攻击者可以对目标电脑进行屏幕图

完整版木马分析.doc

完整版-木马分析 一个木马的分析 第一次详细分析木马，不足之处请见谅。 这个木马一共4KB，是个比较简单的程序，所以分析起来也不是很难。下面开始正式分析。 这是程序的主题函数，一进来就是三个初始化的call，然后就是一个大的循环，程序就是在这个循环之中不停的运行着。 跟进第一个call: 函数首先创建了一个hObject变量～用于存放创建的互斥对象句柄。mov [ebp+hObject], start proc near eax就是将创建的互斥句柄传送到 call sub_401481hObject中。这里是创建了一个名为 call sub_401092 H1N1Bot的互斥对象。然后调用 call sub_4011AE loc_4014C4: GetLastError得到错误码～这里加 call sub_4013D5 入程序已经有一份实例在运行了～则 call sub_40143F push 0EA60h ; 这个互斥对象就是创建过了的～就是dwMilliseconds 得到错误代码为0B7h的值。通过查 call Sleep 询msdn发现:0b7h含义是Cannot jmp short loc_4014C4 start endp create a file when that file already exists.所以这样就防止了木马程序同时打开了多份。当返回值是 0B7h的时候～调用ExitProcess退出程序。总结来说这个call就是检查程序是否已经打开～要是打开过了就退出。

进入401092的call，由于这hObject = dword ptr -4 个函数代码过多，就不贴详细的.text:00401481 代码了。函数定义了两个局部字.text:00401481 push ebp 符串数组ExistingFileName，.text:00401482 mov ebp, esp String2(这里是ida分析给出的名.text:00401484 add esp, 0FFFFFFFCh 字)和一个文件指针。函数先将.text:00401487 push offset Name ; 这两个数组用零填充，然后调用"H1N1Bot" GetModuleFileNameA得到当前.text:0040148C push 0 ; 程序的完整路径，并将结果存放bInitialOwner 在ExistingFileName中。在调用.text:0040148E push 0 ; SHGetFolderPathA并将结果存lpMutexAttributes 放在String2中。 .text:00401490 call CreateMutexA SHGetFolderPathA可以获.text:00401495 mov [ebp+hObject], eax 取系统文件夹，这里他的参数值.text:00401498 call GetLastError 是0x1c。 .text:0040149D cmp eax, 0B7h Const .text:004014A2 jz short loc_4014A6 CSIDL_LOCAL_APPDATAH1C调用ExitProcess退出程序. (用户)\本地设置\应用程序数.text:004014A4 leave 据。即如果以administration身.text:004014A5 retn 份登录获得的是C:\DocumentsandSettings\Administrator\Local Settings\Applicaton Data\路径。 然后调用lstrcatA这个函数在String2的后面加上\\winvv.exe。然后比较String2和ExistingFileName是否相同，不同则把自身复制到ExistingFileName 中，最后运行复制

(完整版)木马攻击技术彻底剖析毕业论文

毕业论文（设 计） 论文（设计）题目：木马攻击技术彻底剖析 学院：理工学院 专业（方向）：计算机科学与技术（网络工 程） 年级、班级：网络1101 学生姓名： 指导老师：

2015 年 5 月 15 日

论文独创性声明 本人所呈交的毕业论文（设计）是我个人在指导教师指导下进行的研究工作及取得的成果。除特别加以标注的地方外，论文中不包含其他人的研究成果。本论文如有剽窃他人研究成果及相关资料若有不实之处，由本人承担一切相关责任。 本人的毕业论文（设计）中所有研究成果的知识产权属三亚学院所有。本人保证：发表或使用与本论文相关的成果时署名单位仍然为三亚学院，无论何时何地，未经学院许可，决不转移或扩散与之相关的任何技术或成果。学院有权保留本人所提交论文的原件或复印件，允许论文被查阅或借阅；学院可以公布本论文的全部或部分内容，可以采用影印、缩印或其他手段复制保存本论文。 加密学位论文解密之前后，以上声明同样适用。 论文作者签名： 年月日

木马攻击技术彻底剖析 摘要 如今是大数据的时代，有效的信息能够带来巨大的效益，它作为一种普遍性、共享性、增值型、可处理性和多效用性的资源，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或网络信息传输中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。信息安全是一个不容忽视的国家安全战略，任何国家、政府、部门、行业都不可避免的问题。因此，在计算机信息安全领域，对计算机木马技术的研究已成为一个重点和热点。本文对计算机木马攻击技术进行了系统的分析和研究，主要工作如下： 1．对木马的基本概念进行说明、攻击机制进行剖析。 2．采用“冰河”实例进行剖析说明。 3．在研究了木马隐蔽技术的基础上，提出了一个动静特征相结合的行为木马特征检测技术基本框架。尽最大能力去检测与防范木马攻击。 【关键词】木马攻击,计算机信息安全,木马检测,木马防范

Windows下内核级木马隐藏技术研究

微　处　理　机 M I CROPROCESS ORS ?微机网络与通信? W indo ws 下内核级木马隐藏技术研究 刘　德,甘早斌 (华中科技大学计算机科学与技术学院,武汉430074) 摘　要:木马技术是网络安全的重要方面,也是网络攻击中获取信息的重要途径。隐藏技术是 木马的关键技术之一,其直接决定木马的生存能力。从Rootkit 的原理分析出发,深入的研究W indows 下内核级木马的隐藏技术,并在此基础上实现一个内核级木马原型,最后介绍内核级木马的检测和应对策略。 关键词:特洛伊木马;内核Rootkit;隐藏技术中图分类号:TP309 文献标识码:A 文章编号:1002-2279(2009)01-0041-04 R e sea rch o n Co ncea l m en t Techno l o gy o f Ke rne l -ba sed Tro jan Ho rse U nde rW indow s L I U De,G AN Zao -B in (D ept .of Co m puter Science,Huazhong U niversity of Science and Technology,W uhan 430074,China ) Abstract:Tr ojan horse technol ogy is an i m portant part in the research of net w ork security,and it ’s als o an i m portant way t o get infor mati on fr om the net w ork .This paper mainly analyzes the conceal m ent and detecting technol ogy of windows Rootkit -based tr ojan horse .A kernel -level Tr ojan horse syste m is i m p le mented as well .Finally,s ome ways t o detect Tr ojan horse are described in detail . Key words:Tr ojan horse;Rootkit;Conceal m ent 1　引　言 特洛伊木马是网络攻击的主要手段之一,它可 以伪装欺骗进入目标系统,并在进入目标系统后继续保持对它的控制。木马的首要特征是它的隐蔽性。为了提高自身的生存能力,木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。木马的隐藏包括启动隐藏、文件隐藏、进程隐藏、通信隐藏等方面的内容。随着安全技术的进步,木马的开发者也在不断寻找新的木马隐藏和自我保护技术。 Rootkit 是一种特洛伊后门工具,通过修改现有的操作系统软件,使攻击者获得访问权并隐藏在计算机中。Rootkit 最初是为了攻击UN I X 系统而开发的。自从1999年Greg Hoglund 开发了第一个针对W indo ws 的Rootkit (即NTRootkit )以来,W indo ws Rootkit 受到了人们的广泛关注并得到了很大的发展。目前流行的W indows Rootkit 有NTRootkit,Hacker Defender,AFX Rootkit,P W S -Pr ogent,F U Rootkit 等等。 针对当前W indo ws 下内核级木马的隐藏技术进 行深入的研究,分析和总结内核级木马的隐藏和检测技术,并利用相关技术开发了一个内核级木马原型BOES,通过实验测试该木马达到良好的隐藏效果。 2　W indows Rootkit 技术分析 W indows 系统服务是由操作系统提供的一组函 数,应用程序接口使得开发者能够直接或者间接的调用系统服务,操作系统以动态连接库的形式提供应用程序接口。用户程序所调用的AP I 一些是直接来自相应的系统服务,另一些则依赖其他多个系统服务调用。系统服务调用是操作系统向用户提供硬件设备服务和请求内核服务的接口。在用户态执行时为了与W indows 系统交互,要执行各种对W in32子系统DLL 文件的AP I 函数调用(W in32系统服务调用机制如图1所示)。M icr os oft 提供了大量AP I 函数,它们被组织到不同的DLL 文件中,包括U ser32.dll 、kernel32.dll 等。当用户程序执行,向W in32DLL 发出函数调用请求时,这些请求并非被DLL 直接发送给内核,而是首先通过N tdl1.dll 文件。N tdl1.dll 利用详细记录的函数调用把这些函数 作者简介:刘德(1982-),男,湖南攸县人,硕士研究生,主研方向:网络安全和电子商务。 收稿日期:2006-12-19 　 第1期2009年2月 No .1 Feb .,2009