这里笔者已经事先得到了远程肉鸡的控制权限。为了让木马在肉鸡里“居住”更长久,首先在本地打开“火狐净路先锋”客户端程序(下载地址:http://www.hackeroo.com/htm_data/6/0606/1291.html),将插入到肉鸡里的木马进程,输入到配置文件栏的“提示”文本处,然后勾选“跟随计算机启动”的复选框,让配置的保护程序,随着计算机启动而启动。
如果你担心肉鸡里的木马进程和保护程序的客户端进程,同时被用户强制关闭后,无法在第一时间自动开启。此时你可以选择下面“重启”单选框,而重启时间间隔,最好选择“每隔一秒启动一次”,这样才能保证被关闭后的进程,呈实时开启的状态。
当然杀毒软件可不怕麻烦,绝不会容你的木马实时开启,所以这里我们要先“干掉”肉鸡上的防御软件。如果你对杀毒软件的进程,并不了解可以单击下面“常见的进程”按钮,此时就会弹出含有“众多杀毒进程”的文本内容,然后根据里面的注释,挑选出较为常见的杀毒进程,逐一填写到“要杀掉的进程”的文本处。WwW.ItcomPuTer.Com.Cn
这里,我们要注意,如果目标用户被杀毒软件的关闭引起警觉,我们也可以采用不断更新木马服务端的办法,让木马服务端逃脱杀毒软件的查杀。
操作完毕后,单击“生成服务端”按钮,即可在火狐净路先锋软件根目录下,生成我们所配置好的server.exe服务端程序。然后传送到你的肉鸡中并运行,这样,你的肉鸡就不会“跑掉”了。
树树提醒:如果大家发现自己的电脑出现CPU无故使用率达到100%,杀毒软件被关闭或者硬盘狂读的情况,就要怀疑自己的电脑被中了木马。这时就要及时断网,进入安全模式全面扫描,将木马及时查杀。
如何清除玉兔病毒
由于熊猫烧香病毒源代码的泄露,该病毒的变种仍然横行于世。玉兔病毒就是变种之一。它能够破坏系统的安全模式,让用户无法进入安全模式查毒。面对这种情况,我们又该怎么办呢?
安全诊所来了一位求诊者小王,他的电脑已经中了病毒,请求电脑安全医生诊治。医生发现小王电脑中可执行程序的图标都变成了玉兔的图标(图1),双击盘符都无法进入磁盘,很多程序都无法正常运行。小王重新安装系统后,马上又被同样的病毒感染而系统崩溃。安全医生凭着对病毒敏锐的直觉,断定小王的电脑感染了最近非常活跃的玉兔病毒。
玉兔病毒档案
玉兔病毒会破坏安全模式,使用户无法进入该模式杀毒。玉兔病毒在每个盘符生成病毒文件和Autorun.inf文件后,只要双击盘符就可以感染。玉兔病毒会结束安全软件及其他一些常用的安全辅助工具运行。玉兔病毒还修改注册表导致用户无法正常查看隐藏的系统文件,从而达到不被查杀的目的。
巧避锋芒清除病毒
首先,要清除盘符里的病毒文件和Autorun.inf文件,以防止病毒继续扩散。因为病毒的原因,我们不能够正常进入注册表和使用冰刃检查系统。但是我们可以使用超级巡警绿色版本,因为病毒并不能关闭超级巡警。
进入“进程管理”选项,很快发现bryato.exe、severe.exe、loveRabbit.exe等3个可疑的病毒进程。其中bryato.exe是盗取QQ密码的木马,而另外两个是玉兔病毒的进程。这三个进程都插入了bryato.dll运行。
由于病毒进程具有关闭后马上重启动的特点,首先选中三个进程,然后右键单击三个进程选择“禁止进程创建”命令,接着右键单击三个进程选择“强制卸载标记模块”命令(图2),这样便暂时终止了这几个进程。
进入“启动管理→注册表”选项,很快发现了bryato.exe和severe.exe的非法启动项目(图3)。右键单击这两个启动项目,选择“删除启动项”命令予以清除。
揪出系统深处的病毒
此时,病毒还潜伏在系统深处,还需要我们进一步清理。进入“进程管理”,仔细分析一些系统进程,根据文件创建和其他信息马上发现了Winlogon.exe系统进程被插入了msexch400.dll这个病毒文件,记下文件位置,接着选中该文件后右键单击选择“强制卸载标记模块”命令(图4)终止病毒进程。
在conime.exe进程发现被插入了bryato.dll,选中该文件后右键单击选择“强制卸载标记模块”命令终止病毒进程。接着重新启动计算机,删除记下的病毒文件。
再次重新启动计算机,此时已经可以进入注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL子项,发现右侧的ChekedValue键值为1,当然无法显示隐藏的病毒文件了,修改为0。
之后便可以显示隐藏的病毒文件了,最后删除导致无法双击打开盘符的Autorun.inf文件以及相关的OSO.exe即可。
如何利用ntfs藏木马
黑客自白:早就听说过NTFS文件系统存在一个严重的漏洞,而漏洞的形成又是由于“微软好心办坏事”,这次我要讲的隐藏木马的方法就是如何利用ntfs藏木马?即利用NTFS交换数据流(ADSs)来实现,以躲避杀毒软件的查杀。www.sq120.com推荐文章
创建NTFS交换数据流
Windows无法使用自带的系统工具进行ADSs的检测,但却能够执行ADSs中的任意代码。创建一个数据交换流文件的方法很简单,在Windows中输入命令:“echo 数据流内容 > 源文件名:数据流名称”。
虽然在命令提示符窗口中不能直接执行捆绑后的文件流 ,但是不用逆操作来分离出我们的隐藏文件,直接运用start 命令就可以直接执行已隐藏的文件,这种方法相当隐蔽。
小资料:NTFS交换数据流
数据流(ADSs)简单地讲就是这个文件在执行时执行的内容。在 NTFS 文件系统下,每个文件都可以有多个数据流。当在非 NTFS 卷(如 FAT32磁盘分区)下读取文件内容时,系统只能访问一个数据流。因此用户会觉得它是该文件真正的“唯一”的内容。
但是当在 NTFS 卷上创建文件时,就可以通过在一个文件中创建多个数据流内容,这样很容易将一段恶意代码隐藏到某个文件之中。并且恶意代码在整个执行过程中,系统进程里也不会有这段代码的身影。
利用ADSs捆绑木马
ADSs原理看起来好像是非常的复杂,但是在实际应用过程中却非常的简单。首先创建一个临时文件夹,将准备好的木马程序如mm.exe复制到这个文件夹之中。接着打开命令提示符窗口,输入命令“echo ms.exe>mm.txt:wlf.txt”,这样就为木马创建了一个数据流文件(图1)。
我们利用WinRAR将木马程序隐藏到ADSs中,就相当于将数据流和木马程序进行捆绑操作。在临时文件夹上单击右键对这个文件夹进行压缩(图2)。
双击创建的压缩文件,点击WinRAR工具栏上的“添加”按钮,浏览选中临时文件夹。在出现的“压缩文件名和参数”面板中切换到“高级”标签中,接着选中其中的“保存文件数据流”选项,点击“确定”即可(图3)。
在WinRAR中选中kunb文件夹,点击工具栏上的“自解压格式→高级自解压选项→常规”选项标签,最后在“解压缩之后运行”中输入“start wlf.txt:ms.exe”即可(图4)。
点击“模式”选项标签,选中“全部隐藏”和“覆盖所有文件”这两个选项。全部设置完成后点击“确定”按钮返回,这样就创建了一个极为隐蔽的自解压木马,甚至可以躲过杀毒软件的查杀。当用户双击这个自解压文件后,就会运行里面的数据流木马了。
破解《UAC防线形同虚设》攻击招数
本周,一共有106位读者发来了破解招数。我们根据大家的破招描述和效果,最后评出来自广州的K‘DASH为最佳防御者,他将获得50元的奖励,同时,可以再参加年度最佳防御者的评选。
堵住UAC漏洞
利用正常文件来“掩护”木马文件避过UAC,是一个好方法。但也不是完美的,下面我来介绍几种方法进行防御。
1.要运行木马文件,就必须取得管理员的权限,这样才可以把木马文件写入到系统盘。我们就可以不用管理员身份运行程序,毕竟我们也不是时时都要安装系统文件的。
2.Vista的系统要装在NTFS系统分区上,而NTFS有一个“安全”管理。我们可以把SYSTEM32(因为很多木马或病毒都要把源文件复制到这个目录下)的权限只把“读取”选上,其余都不选,这样木马文件就写不入了。
3.安装实时文件监控的杀毒软件。文件实时监控会在用户打开程序时先扫描应用程序,木马自然就无处可藏了。
From:http://www.itcomputer.com.cn/Article/Network/201309/448.html