實驗13 木馬捆綁與隱藏

1、木馬捆綁與隱藏背景描述木馬并不是合法的網(wǎng)絡服務程序，如果單純以本來面目出現(xiàn)，很容易被網(wǎng)絡用戶識別。為了不被別人發(fā)現(xiàn)，木馬制造者必須想方設法改換面貌；為了誘使網(wǎng)絡用戶下載并執(zhí)行它，黑客將木馬程序混合在合法的程序里面，潛入用戶主機。在受害主機里，為了逃避殺毒軟件的查殺，木馬也會將自己“喬裝打扮”；為了防止用戶將其從系統(tǒng)里揪出來，木馬則采取一切可能的手法進行隱藏自己?？傊F(xiàn)在的木馬制造者是越來越狡猾，他們常用文件捆綁的方法，將木馬捆綁到圖像、純文本等常見的文件中，然后通過網(wǎng)頁、或等將這些文件傳送給受害者，而用戶一旦不慎打開這些文件，木馬就自動執(zhí)行了，主機就中木馬了。工作原理1木馬捆綁木馬捆綁即是文

2、件捆綁，黑客將木馬或者病毒等惡意程序與其它正常文件組合成的一個整體。這是一種最簡單也是最可行和最常用的一種方法，當受害者下載并運行捆綁了木馬等惡意程序的文件時，其中的木馬等惡意程序就會被激活。木馬捆綁的手段歸納起來共有四種：(1)利用捆綁機軟件和文件合并軟件捆綁木馬；()利用、等軟件制作自解壓捆綁木馬；(3)利用軟件打包軟件制作捆綁木馬；(4)利用多媒體影音文件傳播。2木馬隱藏隱藏是一切惡意程序生存之本。以下是木馬的幾種隱藏手段：(1)進程隱蔽：偽隱藏，就是指程序的進程仍然存在，只不過是讓它消失在進程列表里。真隱藏則是讓程序徹底的消失，不以一個進程或者服務的方式工作，做為一個線程，一個其他應用

3、程序的線程，把自身注入其他應用程序的地址空間。(2)偽裝成圖像文件：即將木馬圖標修改成圖像文件圖標。（）偽裝成應用程序擴展組件：將木馬程序?qū)懗扇魏晤愋偷奈募ㄈ绲龋?，然后掛在十分出名的軟件中。因為人們一般不懷疑這些軟件。（）錯覺欺騙：利用人的錯覺，例如故意混淆文件名中的（數(shù)字）與（的小寫）、（數(shù)字）與（字母）或（字母）。（5）合并程序欺騙：合并程序就是將兩個或多個可執(zhí)行文件結(jié)合為一個文件，使這些可執(zhí)行文件能同時執(zhí)行。木馬的合并欺騙就是將木馬綁定到應用程序中。3木馬捆綁的過程分析入侵者可以把木馬和正常文件捆綁成一個文件作為偽裝，當遠程主機的管理員打開文件的同時會自動執(zhí)行木馬和正常文件。在管理員看

4、來，他們打開的只是那個正常的程序，卻不知已經(jīng)被種植了木馬。大家總感覺自己莫名其妙地被種了木馬，可能入侵者也是通過這個方法得逞的。下面來了解一下入侵者是如何通過文件合并工具制作木馬捆綁的。（）文件合并工具之。它是國外的一個文件合并器，小巧而功能強大。能夠捆綁任意格式包括、文件能夠設置打開文件是否隱蔽運行能夠設置打開文件是否加入注冊表啟動項;能夠設置打開文件時是否顯示錯誤信息以迷惑對方。（）文件合并工具之。是微軟為壓縮文件及制作安裝程序所開發(fā)的小工具，其實應該算是的一個。雖一直藏身于微軟的產(chǎn)品中，卻從未對它說明過，但不能否認是一款不錯的免費軟件。（3）文件合并攻擊之灰鴿子?；银澴邮菄鴥?nèi)一款著名后門

5、。比起前輩冰河、黑洞來，灰鴿子可以說是國內(nèi)后門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀?？蛻舳撕喴妆憬莸牟僮魇箘?cè)腴T的初學者都能充當黑客。當使用在合法情況下時，灰鴿子是一款優(yōu)秀的遠程控制軟件。4.防御策略首先應當在系統(tǒng)里安裝防毒殺毒軟件，將木馬擋在系統(tǒng)的大門之外。而針對一些頑固的木馬，則可以采用一些技術(shù)手段來應對。如針對捆綁在文件中的木馬可以采用如下策略：（）使用捆綁克星識別捆綁的木馬文件中只要捆綁了木馬，那么其文件頭特征碼一定會表現(xiàn)出一定的規(guī)律，而捆綁克星正是通過分析程序的文件頭特征碼來判斷的。程序運行后，我們只要單擊“瀏覽”按鈕，選擇需要進行檢測的文

6、件，然后單擊主界面上的“分析”按鈕，這樣程序就會自動對添加進來的文件進行分析。此時，我們只要查看分析結(jié)果中可執(zhí)行的頭部數(shù)，如果有兩個或更多的可執(zhí)行文件頭部，那么說明此文件一定是被捆綁過的!()使用無憂文檔探測器(FearlessonFilee兀清除捆綁在程序中的木馬光檢測出了文件中捆綁了木馬，然后利用清除工具將木馬清除掉。如“無憂文檔探測器“就是一款清除捆綁文件中的木馬的工具。使用時，程序運行后會首先要求選擇需要檢測的程序或文件，然后單擊主界面中的“Process”按鈕，分析完畢再單擊“CleanFile”按鈕，在彈出警告對話框中單擊“是”按鈕確認清除程序中被捆綁的木馬即可。(3)針對隱藏在系

7、統(tǒng)中的木馬，如下是一些策略建議：打開inii文件，在下面，查看“rn”程序和“l(fā)oa”程序，里面是否包含了木馬程序；打開sse文件，在下面查看“sell”文件是否含有木馬；在注冊表中，用reei對注冊表進行編輯，先在ersion“CCoareicroso”下查找s?|Crrenersion馬”程序的文件名，再在整個注冊表中搜索并替換掉“木馬”程序。有的木馬程序并不是直接將ersion“CCoareicroso”下的木馬鍵值rrenersion刪除就行了，因為有的木馬如lae:木馬，如果直接刪除它，木馬會立即自動加上，需要先記下“木馬”的名字與目錄，然后退回到下，找到此木馬文件并刪除掉。重新啟動

8、計算機，然后再到注冊表中將所有木馬文件的鍵值刪除。最后，用戶應養(yǎng)成良好的上網(wǎng)習慣，不隨便訪問來歷不明的網(wǎng)站，不使用來歷不明的軟件等。實驗列表實驗序號實驗名稱實驗一木馬捆綁實驗【實驗一】木馬捆綁實驗【實驗分析】實驗目的：掌握木馬捆綁的基本內(nèi)容、學會利用灰鴿子對文件進行簡單的木馬捆綁。場景描述：逅注引四。戰(zhàn)TH曾逅注引四。戰(zhàn)TH曾受害二機1U2.1228JI交換機圖12-2-1木馬捆綁實驗拓撲圖本實驗可以在虛擬機環(huán)境下完成，實驗拓撲圖如圖所示，對應的地址與角色如表12-2所-示1。實驗思路是采用萬能文件免殺捆綁器木馬捆綁，再從受害主機下載運行捆綁木馬文件。IP地址任務與角色A77攻擊源（主機A，制

9、作捆綁木馬）B1受害主機（主機B，運行木馬）表12-2-1對應的IP地址與角色實驗工具：萬能文件免殺捆綁器、灰鴿子20。08【實驗步驟】攻擊源機器網(wǎng)絡配置如下（圖12-2）：C:DocumentsandSettingsfldninistiatDripconfijfUindousIPConfigutatinnEthernetadapter本也隹接：ConnEctionspecificDNSSuffix.：IPAddress：193.160.22B.177BubnetNeisk：255.255.2E5.0DefaultGateway：192.1EB.22B.2E4攻擊目標機器網(wǎng)絡配置如下（圖12-

10、）2：C：XDocunentsandSettingsfldninistpatDP/ipconfigWindowsIPConfigupatiDnEthernetadapter本丈連接二Connection-specificDHSSuffix.：IPAdilress：1SuhnetMask：DefaultGateway：54圖12-2-3攻擊目標機器網(wǎng)絡配置運行灰鴿子軟件，以生成灰鴿子木馬程序（圖2）：3次鴿子加見WWW.專版1見弭228.ITT運行灰鴿子軟件，以生成灰鴿子木馬程序（圖2）：3次鴿子加見WWW.專版1見弭228.ITTBtfrf.點擊,，.選擇）2；福上熱i|金艇|理順德代螂費|霰

11、曲小卜麥廨隹；翻叩由丁匚蜂宓二）|世日斷圖熱屈解圖后免迪裱奧由后提藏知二手般麗敏出他您二程朝麗虻豌顯現(xiàn)圖12-2-5選擇安裝選項7在“高級選項中”，靛使用Up加殼”,，點擊生“籟服務器”，生成灰鴿子木馬程序文件“Server.exe”（圖2同反造|臻顏隹流演|嵯儲|高霞項.期衛(wèi)：PLC濕理運留照緘的國將髓昆只場比如選系統(tǒng)誕：知lEfDEE笠善酶勖W特2工E庭綁不幅S蛹值妨圖12-2-6使用UPX加殼，并點擊“生成服務器”.將“Server.exe,復制到“連連審文件夾國邈“Server.exe”.運行萬能文件免殺捆綁器，添加捆綁文件“l(fā)lk46jzb.exe”“Server.exe”2）；修改

12、個名字如：游戲之類的）：.點擊捆綁文件，保存生成了被捆綁了木馬程序的游戲程序軍注意給捆綁木馬修改個名字如：游戲之類的）：.點擊捆綁文件，保存生成了被捆綁了木馬程序的游戲程序軍注意給捆綁木馬i重命名”捆綁文件.exe”為“飛鴿（）.exe”；12在目標機器上，運行安裝捆綁有木馬程序的捆綁文件；13回到攻擊主機，灰鴿子上顯示中了木馬的機器已經(jīng)上線，在攻擊機上的灰鴿子軟件上可以看到目標機器的相關(guān)信息情況（圖12-2）：-8)2。麟藤克政虢舊發(fā)簡丑網(wǎng)EPhitpc.CH專版1見例.228.ITT裾崛:矯I理器|遞拄獅不法牘編端|選,W叵ITpT113T|1iiiF圖鼠埃曲，曝器:本蝮森洋眼然-我的值-

13、勤上線主亂-自132.13F.23F.41:lCi-F7E鷹+號工甦條件劃向灰耨子專版192.16&228.1773矯B股16工取1融回遠得屏幕川面.1弭22Ml當前琮走逅迺3電卻和產(chǎn)吸琮酒鼠二釜厥襦自癰音冗日更覬豌序|口=滸B演草轅文Ft嚷期目錄氫-i我日修至-啟C：-HuDuiientsandSettingsUdiiiristraEripc：（iifiyUirduuIPE旺igur口tinnEtli&pietadaptei本芯互按:152.1&8.22B.4L192.1&8.228.254Connection-specificDNSSuffiK.IPHd.dpcssSubnetMaskDefaultijiitewaiJnkrosoftWimlows5.2.3790，永權(quán)忻有L哪-幽MLcrosoft命中翔顰靛C:遙皿圖由丑-3乩d.eh蓊三小序節(jié)】徽日用I：】cuiaj歸：z2l.?加侖力丁:口Fro?r：driFihs?加知-上LE:14EjETiCLEF.