就这样被你入侵——通通透透看木马 dngz.net

就这样被你入侵——通通透透看木马

《就这样被你入侵——通通透透看木马》摘要：无论是玩过几年电脑的“老鸟”，还是刚刚接触电脑的“小菜鸟”，“木马”这个东西应该不是太生疏吧？从最早的BO、冰河到现在的灰鸽子、网络神偷，我想大家一定能够列举出不少木马的名字。的确！�

无论是玩过几年电脑的“老鸟”，还是刚刚接触电脑的“小菜鸟”，“木马”这个东西应该不是太生疏吧？从最早的BO、冰河到现在的灰鸽子、网络神偷，我想大家一定能够列举出不少木马的名字。的确，曾几何时，木马已经从原来黑软的一员“晋升”到现在可以和病毒“平起平坐”了。假如大家留心，就会不难发现，现在很多杀毒软件的主页，往往会单独开辟出一块空间提供免费的专杀工具下载。其中，木马往往会占据相当数量。那么木马到底是什么东西？作为一个普通用户是不是只能被动地等待杀毒软件的升级呢？这种“我为鱼腩”的状况是否能够通过我们的双手得到改善呢？
什么是木马
简单地说，木马就是一个程序，一般分为客户端（入侵者操纵的）和服务端（受害者电脑上执行的），它能在受害者不知情的情况下，提供给远程操纵者很多服务，比如读取受害者系统中的密码，窃取文件甚至偷看受害者的屏幕，操纵受害者的电脑。当然这是现在木马的典型表现。真正的木马发展也如其他黑客技术一样经历了几个阶段。
木马的发展史
1.木马始祖——BO
第一个阶段的代表作品就是大家比较熟悉的BO(Back Orifice)。它由国外黑客组织“死牛之祭”编制，可以说这个软件开创了木马的先河，以后的木马很多都是参照BO的思想和结构。当然限于当时的技术和条件，BO的清除比较轻易。
2.国产木马先驱——冰河
接下来，就不得不提起国产木马冰河了。应该说冰河属于很轻易操作的一类木马，也正因为操作简便、功能强大，所以成为在国内比较流行的木马(至今依然如此，虽然冰河从2.2版以后不再开发，但还是有一些人在原版本上通过工具进行修改，制作冰河修改版)。假如你使用过木马，就不难发现，国内很多木马都沿用了冰河的界面风格。当然木马到了这一时期，自我保护技术也出现一些提升。比如冰河采用了文件关联技术，使简单删除启动键值的方法不能阻止木马运行，甚至会造成TXT或EXE文件无法运行。
3.YAI——最早将病毒技术应用进木马
而后也出现过一些木马，但并没有带来技术上的什么革新，作者大多把精力放在界面或一些小的恶作剧功能上。但随后出现了YAI(You And I)木马，记得当时报道感染了200多万台电脑。这个YAI也是笔者所知的，最早将病毒技术应用到木马中的木马程序，从此以后很多杀毒软件和媒体便理直气壮地将木马和病毒相提并论了。笔者虽然对此持保留态度，但不得不承认，在这以后很长一段时间里，的确将黑客程序与病毒结合成为了一种时尚(比如大家熟悉的中国黑客、冰河的几个所谓修改版)。
4.目前的木马
现在，接连出现了像黑洞、灰鸽子、广外女生等几个木马。应该说这几个木马主要在通信方式和自我保护上有了提高。比如黑洞在其软件中加入了关闭杀毒软件的模块；网络神偷则把以往的通过E-mail方式通知黑客的单一手段改变为通过主页空间的方式。
上面的这些木马虽然很厉害，但预防它们还比较轻易。首先，其运行方式都是通过修改注册表，所以假如发现自己中了木马，只要先杀死系统中的木马进程，然后再删除注册表中的木马启动键值即可。当然假如不幸中的是病毒型的木马，那就只能借助杀毒软件和专杀工具了。
“奇异”的木马
其实上面的木马大家即便没有见过，也大多耳熟能详了，可以说它们是老一代木马的典范。正所谓魔高一尺，道高一丈。伴随着反黑和查杀木马的技术进步，在木马编制者这边，又衍生出了不少新技术，它们往往是普通读者比较生疏的。
1.狡兔三窟——三线程木马
早些时候曾经闹得沸沸扬扬的“中国黑客”是全球首创的“三线程”结构的病毒。现在我们就一步步揭开三线程木马程序的神秘面纱。
在操作系统中，进程是存储器、外设等资源的分配单位，但为了提高进程内的并发性u，Windows系统引入了线程v这个概念，系统把线程作为处理器调度的对象，一个进程可以同时拥有多个并发线程。通常情况下的简单程序只有一个主线程，它是在进程创建时自动生成的。可以将想要执行的木马代码放在主线程里，然后再生成两个辅助线程，它们的功能就是实现对程序的保护功能，防止程序被用户关闭或删除。
主线程需要完成的任务有三个，它们分别是预备工作，创建辅助线程w和程序主要功能的实现。预备工作当然是为程序运行过程中所需要的一些部件做好预备，其中包括文件复制和保存，一般情况下是把可执行文件复制到系统目录下。当然为了防止意外删除，可以将程序的可执行文件备份。创建辅助线程包括两个线程，一个驻留在主进程体内，另一个通过创建外部线程x驻留到其他正在运行的进程体内。这两个线程的功能就是监视其他进程或线程的运行情况，假如出现异常立即恢复。
驻留主进程体内的线程同时观察注册表和外部线程的情况。实时查询注册表[HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run]键下相关可执行文件的键值，假如被删除就立即将其添加上。这就是对注册表的实时监视，使得每次开机时都会运行它的可执行文件。而另一个功能则是监视驻留在外部程序进程体内辅助线程的运行情况，假如该线程被关闭，立即通过创建外部线程将被关闭的线程驻留到特定进程内。假如你知道了辅助线程是驻留在那个进程内的，就可以将这个远程进程关闭掉。但还是可以将辅助线程驻留到其他的远程进程内。至于选定哪个远程进程，完全视木马作者的心情而定。
驻留在远程进程体内的辅助线程则监视主进程的运行情况，假如主进程被kill了，它会确认程序的可执行文件是否也被删除掉了。假如系统目录下的可执行文件不存在了，则用备份的文件恢复可执行文件，然后再重启程序，这样你在“任务治理器”里怎么也删除不了主进程。可以看到，通过两个辅助线程，就很难把主进程关闭或删除掉。

实例:解剖“中国黑客”
看过上面的理论部分，我们再分析一下“中国黑客”病毒，你就会加深对“三线程木马”的了解了。该病毒使用了“2 1”的三线程结构。
主线程:病毒运行后，会将自身复制到系统目录下(文件名为runouce.exe)，然后对其他EXE及SCR文件进行感染，同时向外发送病毒邮件
辅助线程1:病毒会创建一个注册表监视的线程，用于监视[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run]，只要被修改马上重写病毒启动项(此为全球第一个采用监视注册表是否修改的病毒)。
辅助线程2:此线程就是前面提到的外部线程，根据系统不同，分为两种实现方法情况，但实现的功能都是把利用其他的运行程序对前面两个进程进行监控，假如不存在，马上重新加载病毒。
2.无进程木马dll远程线程注入
在Windows NT/2000/XP中，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗Windows NT/2000/XP的“任务治理器”。
我们知道，在Windows中，可执行文件主要是EXE和COM文件，这两种文件在运行时都有一个共同点:会生成一个独立的进程。查找特定进程是我们发现木马的主要方法之一，关联进程和Socket已经成为流行的技术(例如闻名的FPort就能检测出任何进程打开的TCP/UDP端口)。
假设一个木马在运行时被检测软件同时查出端口和进程，我们基本上认为这个木马的隐藏已经完全失败。要想做到木马进程的隐藏有两个方法:
方法一:让系统治理员看不见进程
就是进行进程欺骗，假如我们能够欺骗软件用来查看进程的函数(例如截获相应的API调用，替换返回的数据)，就完全能实现进程隐藏，但往往我们并不知道软件使用的是什么方法来查看进程列表(比如有些程序我们用“任务治理器”看不到，但用了第三方进程查看软件就让它原形毕露)。
方法二:不使用进程
不使用进程使用什么？为了弄明白这个问题，必须要先了解Windows系统的另一种“可执行文件”——DLL。DLL是Dynamic Link Library(动态链接库)的缩写，它是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL由多个功能函数构成，它不能独立运行，一般是由进程加载并调用的(所以在进程列表中并不会出现DLL)。假设我们编写了一个DLL木马，并且通过别的进程来运行它，那么进程列表中，就只会出现那个进程而并不会出现DLL木马，假如那个进程是可信进程(例如“资源治理器”，恐怕没人会怀疑它是木马吧？)，那么我们编写的DLL将可以为所欲为。
运行DLL文件最简单的方法是利用Rundll32.exe，Rundll/Rundll32是Windows自带的动态链接库工具，可以用于在命令行下执行动态链接库中的某个函数，其中Rundll是16位而Rundll32是32位的(分别调用16位和32位的DLL文件)，Rundll32的使用方法如下:Rundll32.exe DllFileName FuncName，比如:要显示“控制面板”，就可以用rundll32.exe shell32.dll,Control_RunDLL来实现。
假设在函数中实现了木马的功能，那么不就可以通过Rundll32来运行这个木马了么？在系统治理员看来，进程列表中增加的是Rundll32.exe而并不是木马文件，这样也算是木马的一种简易欺骗和自我保护方法。
这个时候，我们可以说已经从理论上实现了一个真正意义上的无进程木马。
像这类奇异的“木马”还有很多。本文的目的就是要告诉大家木马已经不再是以前的样子了，无进程无故口的木马早就出现，并侵蚀着我们的电脑，所以安装一个优秀的杀毒软件，把握一定的反黑反毒的知识是十分必要的。

名词解释

u 并发性
并发性是指程序同时处理多个请求或任务的能力。因为进程间要共享系统资源实现比较复杂，所以就在进程中再开辟线程，使它们之间可以轻易地共享系统资源。
v 线程
线程可以看成程序启动后，单独处理任务、又共享资源的东东。
w 辅助线程
这里的辅助线程可以认为就是保护主线程的线程，它们就像一个小分队的特种兵，一共三个成员，他们互相保护。一个被杀死，一定会被另外两个恢复(这点倒像是游戏，使用个复活药什么的就可以了^O^)。
x 外部线程
就是木马自己不再作为独立的形态存在，而是将自己放到其他的程序中，就像生物界的借居蟹一样，那么木马得到的是什么呢？除了更好地保护自己外，它还得到了宿主的资源。比如不能终止的系统进程System，木马把自己“安插”到它里面，就可以保护木马自身了。

就这样被你入侵——通通透透看木马来自网络，仅供参考。

上一篇：从分类看病毒(上) 下一篇：作个007 文件藏进照片里

你的位置：电脑故障网 >> 木马病毒 >> 就这样被你入侵——通通透透看木马

[收藏] [推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]