返回
实验13木马捆绑与隐藏

实验13木马捆绑与隐藏

ID:22281111

大小:428.89 KB

页数:7页

时间:2018-10-28

实验13木马捆绑与隐藏_第1页
实验13木马捆绑与隐藏_第2页
实验13木马捆绑与隐藏_第3页
实验13木马捆绑与隐藏_第4页
实验13木马捆绑与隐藏_第5页
资源描述:

《实验13木马捆绑与隐藏》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、木马捆绑与隐藏12.2.1背景描述木马并不是合法的网络服务程序,如果单纯以本來面目出现,很容易被网络川户识别。为了不被别人发现,木马制造者必须想方设法改换面貌:为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏A己。总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件巾,然后通过网页、⑽、Email或MSN

2、等将这些文件传送给受害者,而川户一旦不慎打开这些文件,木马就自动执行了,主机就屮木马了。12.2.2工作原理1.木马捆绑木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件纟II合成的一个整体。这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶意程序的文件时,其中的木马等恶意程序就会被激活。木马捆绑的手段归纳起來共有叫种:(1)利用捆绑机软件和文件合并软件捆绑木马;(2)利用WINRAR、WINZIP等软件制作自解压捆绑木马;(3)利用软件打包软件制作捆绑木马:(4)利

3、用多媒体影音文件传播。2.木马隐藏隐藏是-•切恶意程序生存之本。以下是木马的几种隐藏手段:(1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。(2)伪装成图像文件:即将木马图标修改成图像文件图标。(1)伪装成应用程序扩展组件:将木马程序写成任何类型的文件(如dll,ocx等),然后挂在十分出名的软件中。因为人们一般不怀疑这些软件。(2)错觉欺骗:利用

4、人的错觉,例如故意混淆文件名中的1(数字)与1(L的小写)、0(数字)与0(字母)或0(字母)。(3)合并程序欺骗:合并程序就是将两个或多个可执行文件结合为一个文件,使这些可执行文件能同时执行。木马的合并欺骗就是将木马绑定到应用程序屮。1.木马捆绑的过程分析入佼者可以把木马和正常文件捆绑成一个文件作为伪装,当远程主机的管理员打开文件的同吋会自动执行木马和正常文件。在管理员看来,他们打开的只是那个正常的程序,却不知已经被种植了木马。大家总感觉自己莫名其妙地被种了木马,可能入侵者也是通过这个方法得逞的。下面来了

5、解一下入侵者是如何通过文件合并工具制作木马捆绑的。(1)文件合并工具之DeceptionBinder2.1。它是国外的一个文件合并器,小巧而功能强大。能够捆绑任意格式(包括test、jpg)文件;能够设置打开文件是否隐蔽运行;能够设置打开文件是否加入注册表启动项;能够设置打开文件吋是否敁示错误信息以迷惑对方。(2)文件合并工具之^Express。IExpress是微软为压缩CAB文件及制作安装程序所开发的小工具,其实应该算是MAKECAB的一个Shell。虽一直藏身于微软的产品中,却从未对它说明过,但不能否

6、认是一款不错的免费软件。(3)文件合并攻击之灰鸽子。灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况T时,灰鸽子是一款优秀的远程控制软件。2.防御策略首先应当在系统里安装防毒杀毒软件,将木马挡在系统的大门之外。而针对一些顽固的木马,则可以采用一些技术手段来应对。如针对捆绑在文件中的木马可以采用如下策略:(1)使用MT捆绑克星识别捆绑的木马文

7、件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码來判断的。程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。此时,我们只要查看分析结果屮可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!(1)使用无忧文档探测器(FearlessBoundFileDetector)清除捆绑在程序屮的木马光检测出了文件中捆绑了木马,然后利用清除工具将木马

8、清除掉。如“无忧文档探测器“就是一款清除捆绑文件中的木马的工具。使用时,程序运行后会首先要求选择耑要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“CleanFile”按钮,在弹出警告对话框屮单击“是”按钮确认清除程序屮被捆绑的木马即可。(2)针对隐藏在系统屮的木马,如下是一些策略建议:①打开win.ini文件,在[WINDOWS]下面,查看“run=”程序和“load=”程序,里面是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。