木马层出不穷,可是它们推出后很快就会被杀毒软件查杀。于是,黑客通过各种免杀方法让木马躲过杀毒软件的查杀。可惜好景不长,现在许多杀毒软件都搭配了监控功能,所以木马的种植就越来越困难。但是正所谓“道高一尺,魔高一丈”,现在已经有木马程序可以躲过某些杀毒软件的主动防御功能。www.sq120.com推荐文章
木马绕过主动防御
安全诊所的值班医生张帆,正在查询一些资料。这时推门进入一位病人。病人称最近一段时间,很多和自己相关的网络账户都被盗了,想让医生看看是什么原因。
张帆医生询问患者有没有安装杀毒软件。患者称自己安装的杀毒软件是最新版本的卡巴斯基,不但每天准时更新病毒库,并且还打上了系统的所有补丁。
听了病人的讲述,张帆医生说:在排除系统漏洞情况下,能够绕过卡巴斯基的防御的木马就只有Evilotus。
Evilotus木马档案
Evilotus木马是由“一步江湖”推出的一款国产木马程序。这款全新的木马程序不但采用了反弹连接、线程插入、服务启动等成熟的木马技术,而且还有一些独创的木马技术。比如它具有SSDT恢复功能,通过它可以轻松绕过卡巴斯基的防御功能,实现对卡巴斯基杀毒软件的免疫。
连接端口无法躲避
张帆医生明白,所有的木马只要成功进行连接,接收和发送数据时必然会打开系统端口,就是说采用了线程插入技术的木马也不例外。WwW.iTCoMpUTeR.cOM.Cn他准备通过系统自带的netstat命令查看开启的端口。
为了避免其他的网络程序干扰自己的工作,首先将这些程序全部关闭,然后打开命令提示符窗口。张帆医生在命令行窗口中输入“netstat -ano”命令,这样很快就显示出所有的连接和侦听端口。张医生在连接列表中发现,有一个进程正在进行对外连接,该进程的PID为1872(图1)。
由于已经获得了重要的信息内容,现在我们运行木马辅助查找器,点击“进程监控”标签,通过PID值找到可疑的Svchost进程。
选中该进程,在下方的模块列表查找,很快就找到了一个既没有“公司”说明,也没有“描述”信息的可疑DLL文件,因此断定它就是木马服务端文件(图2)。看到该木马使用了线程插入技术,并且插入的是系统的Svchost进程。
顺利找到木马程序的进程以后,张医生开始查找木马的启动项。运行System Repair Engineer(SRE)这款系统检测工具,依次点击“启动项目→服务→Win32 服务应用程序”按钮。
在弹出的窗口中选择“隐藏微软服务”选项后,程序会自动屏蔽掉发行者为Microsoft的项目,很快医生就发现一个和木马文件名称相同的启动服务(图3),因此断定这就是木马的启动项。
清除木马不过如此
在木马辅助查找器的“进程监控”标签中,通过PID值找到被木马程序利用的Svchost进程,选中它,点击 “终止选中进程”按钮就可以终止该进程。选择“启动项管理”标签中的“后台服务管理”选项,在服务列表中找到木马的启动项,选择“删除服务”按钮即可。
现在打开注册表编辑器,接着点击“编辑”菜单中的“查找”命令,在弹出的窗口中输入刚刚查找到的木马文件名称,当查找到和木马文件名称相关的项目后进行修改或删除(图4)。最后我们进入系统的System32目录中,将和服务端相关的文件删除即可完成服务端的清除工作。
如何利用ntfs藏木马
黑客自白:早就听说过NTFS文件系统存在一个严重的漏洞,而漏洞的形成又是由于“微软好心办坏事”,这次我要讲的隐藏木马的方法就是如何利用ntfs藏木马?即利用NTFS交换数据流(ADSs)来实现,以躲避杀毒软件的查杀。www.sq120.com推荐文章
创建NTFS交换数据流
Windows无法使用自带的系统工具进行ADSs的检测,但却能够执行ADSs中的任意代码。创建一个数据交换流文件的方法很简单,在Windows中输入命令:“echo 数据流内容 > 源文件名:数据流名称”。
虽然在命令提示符窗口中不能直接执行捆绑后的文件流 ,但是不用逆操作来分离出我们的隐藏文件,直接运用start 命令就可以直接执行已隐藏的文件,这种方法相当隐蔽。
小资料:NTFS交换数据流
数据流(ADSs)简单地讲就是这个文件在执行时执行的内容。在 NTFS 文件系统下,每个文件都可以有多个数据流。当在非 NTFS 卷(如 FAT32磁盘分区)下读取文件内容时,系统只能访问一个数据流。因此用户会觉得它是该文件真正的“唯一”的内容。
但是当在 NTFS 卷上创建文件时,就可以通过在一个文件中创建多个数据流内容,这样很容易将一段恶意代码隐藏到某个文件之中。并且恶意代码在整个执行过程中,系统进程里也不会有这段代码的身影。
利用ADSs捆绑木马
ADSs原理看起来好像是非常的复杂,但是在实际应用过程中却非常的简单。首先创建一个临时文件夹,将准备好的木马程序如mm.exe复制到这个文件夹之中。接着打开命令提示符窗口,输入命令“echo ms.exe>mm.txt:wlf.txt”,这样就为木马创建了一个数据流文件(图1)。
我们利用WinRAR将木马程序隐藏到ADSs中,就相当于将数据流和木马程序进行捆绑操作。在临时文件夹上单击右键对这个文件夹进行压缩(图2)。
双击创建的压缩文件,点击WinRAR工具栏上的“添加”按钮,浏览选中临时文件夹。在出现的“压缩文件名和参数”面板中切换到“高级”标签中,接着选中其中的“保存文件数据流”选项,点击“确定”即可(图3)。
在WinRAR中选中kunb文件夹,点击工具栏上的“自解压格式→高级自解压选项→常规”选项标签,最后在“解压缩之后运行”中输入“start wlf.txt:ms.exe”即可(图4)。
点击“模式”选项标签,选中“全部隐藏”和“覆盖所有文件”这两个选项。全部设置完成后点击“确定”按钮返回,这样就创建了一个极为隐蔽的自解压木马,甚至可以躲过杀毒软件的查杀。当用户双击这个自解压文件后,就会运行里面的数据流木马了。
破解《UAC防线形同虚设》攻击招数
本周,一共有106位读者发来了破解招数。我们根据大家的破招描述和效果,最后评出来自广州的K‘DASH为最佳防御者,他将获得50元的奖励,同时,可以再参加年度最佳防御者的评选。
堵住UAC漏洞
利用正常文件来“掩护”木马文件避过UAC,是一个好方法。但也不是完美的,下面我来介绍几种方法进行防御。
1.要运行木马文件,就必须取得管理员的权限,这样才可以把木马文件写入到系统盘。我们就可以不用管理员身份运行程序,毕竟我们也不是时时都要安装系统文件的。
2.Vista的系统要装在NTFS系统分区上,而NTFS有一个“安全”管理。我们可以把SYSTEM32(因为很多木马或病毒都要把源文件复制到这个目录下)的权限只把“读取”选上,其余都不选,这样木马文件就写不入了。
3.安装实时文件监控的杀毒软件。文件实时监控会在用户打开程序时先扫描应用程序,木马自然就无处可藏了。
如何防止钓鱼网站
网络购物一直是网络诈骗的滋生地。众多网骗就利用网络购物不能够见到实物的特性大肆行骗。本期,树树就接到了一个读者的举报,他说自己被网络购物的“钓鱼”陷阱欺骗了。www.sq120.com推荐文章
随着互联网的加速发展,现在只需要在家轻点鼠标,就可以买到好多价格便宜的商品。可是网上购物虽然方便快捷,但是与此同时也存在着很多潜在的风险。前几天,我就是在网络购物的时候,遭遇了一次网络诈骗,银行卡内资金险些被划走。
我于今年3月31日,在淘宝网上以买家的身份发布了一条求购信息,想要求购一套1980年出版的《红楼梦》连环画。第二天,淘宝旺旺上的一名卖家主动联系到了本人,称他手头就有本人想要购买的《红楼梦》连环画。
本人提出要求查看该人的店铺和产品照片,但此人称店铺还没开张,但是可以货到付款并且包快递,并且称收到货后觉得满意再付款。
我为了避免网络购物出现问题,提出通过支付宝来进行交易,但是对方却表示未开通支付宝,只能直接通过银行卡汇款。
经过一番长时间的讨价还价,我还是决定购买这套连环画。这时卖家提出让本人填写一个在线快递单子,网址为www.shuntkd.com,网站的中文名称为“顺通快递”,并且要求本人支付一块钱的单子费。
我按照卖家的要求找到网站内的“在线快件”一项,点击进入以后发现是一个名为“产品订单提交”的表格,表格的内容包括商品名称、送货地址、联系人、身份证号、汇款银行等项目。
填写完相关内容后,“产品订单”提交成功,随即弹出一个包含有“网银在线”链接的页面。点击进入后,出现一个写有很多银行名称的页面,其中包括用户名、订单号、金额等,在下方有“支付卡号”和“支付密码”两项内容。
我发现此网站页面制作比较粗糙,且一般网上银行都不支持此种直接填写密码进行支付的网站,而是都需要用户进入各家银行自己的官方网站才可以进行支付(如图)。
从网络上更新此图片
我马上意识到,此网站极有可能是用来诈骗买家的银行卡号和密码的网络陷阱。我马上要求对方直接发货,收到货后满意即马上打款,或者还是通过支付宝进行交易,不过卖家从此再无回复,随后就下线了。
树树在获知此事后,到网上进行相关搜索,发现有许多淘宝网用户经历过类似险被诈骗的事情。树树直接在浏览器中输入网址http://www.shuntkd.com/servlet/wyzx.asp,发现该网站根本无须填写任何内容就可以跳转到汇款成功的网页。
树树在此提醒广大读者,进行网络购物的用户,一定要注意对自己银行账号和密码的保密,随时提防网络骗子通过钓鱼网站进行诈骗,不能在非银行网站上填写自己的银行账号和密码。网络购物时也尽量通过支付宝等有中介保障的网站进行交易,一旦被骗要在第一时间报案,并且保存好聊天记录作为骗子欺诈的证据。
From:http://www.itcomputer.com.cn/Article/Network/201309/452.html