当前位置:首页 > 黑客业务 > 正文内容

木马病毒分析研究(排查木马病毒)

hacker2年前 (2022-07-05)黑客业务82

文章大纲:

分析一个木马的步骤

近年来,随着计算机 *** 发展, *** 安全问题日益显得尤其重要.黑客的入侵对 *** 安全造成了极大威胁.入侵的主要手段之一,就是使用木马技术,其破坏力之大,是绝不容忽视的.黑客是如何制造这种具有破坏力的木马程序,以及如何防范木马程序的入侵?这是本文着重要讨论的问题.本文首先从木马程序的隐藏技术、自动加载技术和通讯技术3个方面进行详细的技术分析研究,总结出木马程序的一般设计原理;其次,给出了防范木马程序入侵的一般 *** .1 木马程序的隐藏技术为了避免被发现,木马程序的服务器端,多数都要进行隐藏处理.早期的木马程序所采用的隐藏技术是比较简单的,早期最简单的隐藏 *** 是在任务栏目里隐藏程序.到后来发展到当按下Ctrl+Alt+Delete的时候,也就看不到这个程序.现在的木马在进程隐藏方面,已做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI,实现木马程序的隐藏,甚至在WindowsNT/2000下,都能达到良好的隐藏效果.1.1 在任务栏中隐形这是最基本的隐藏要求,其实现技术同样也是非常的简单.在VB中,只要把form的Visible属性设为False,将ShowInTaskBar设为False,程序就不会出现在任务栏中了.1.2 在win9x的任务管理器中隐形这只要把木马服务器端的程序注册为一个服务就可以了,这样,程序就会从任务列表中消失,因为系统不认为该程序是一个进程,当按下Ctrl+Alt+Delete的时候,也就看不到这个程序.但是,这种 *** 只适用于Windows9x的系统,对于WindowsNT,Windows2000等,通过服务管理器,还是可以发现在系统中注册过的服务.将程序设为/系统服务0就可以隐藏.在VB中如下的代码可以实现这一功能:1 声明部分 PublicDeclareFunctionRegister2ServiceProcessLib/kernel320(ByValProcessIDAsLong,ByValServiceFlagsAsLong)AsLongPublicDeclareFunctionGetCurrentProcessIdLib/kernel320Alias/GetCurrentProcessId0()AsLong

2 函数部分 PrivateSubFormLoad()RegisterServiceProcessGetCurrentProcessId,1(注册系统服务)EndSubPrivateSubFormUnload()RegisterServiceProcessGetCurrentProcessId,0(取消系统服务)EndSub1.3 在winNT/win2000中的任务管理器中隐形在winNT/win2000中实现进程隐藏的 *** 有两种:一是采用API的拦截技术;二是采用DLL技术.1 API的拦截技术 在WINDOWS系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个共同点,即均会生成一个独立的进程.在Windows中有多种 *** 能够看到进程的存在:PSAPI(ProcessStatusAPI),PDH(PerformanceDataHelper)和ToolHelpAPI.如果能够采用API的拦截技术,通过建立一个后台的系统钩子,拦截PSAPI的EnumProcessModules等相关的函数来实现对进程和服务的遍历调用的控制,当检测到进程ID(PID)为木马程序的服务器端进程的时候直接跳过,那样就实现了进程的隐藏.如果这个进程是一个木马的服务器部分程序,则显然就是现在win9x/win2000的任务管理器中隐藏的程序.2 采用DLL技术 DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的.DLL文件没有程序逻辑,是由多个功能函数构成的,它并不能独立运行,一般都是由进程加载并调用的.因为DLL文件不能独立运行,所以,在进程列表中并不会出现.如果是一个木马DLL,并且通过别的进程来运行它,那么无论是在入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现木马DLL.运行DLL文件最简单的 *** 是利用Rundll32.exe进行,但是很容易被识破.比较高级的 *** 是使用木马DLL替换常用的DLL文件,通过函数转发器将正常的调用转发给原DLL,截获并处理特定的消息.DLL木马的更佳隐藏 *** 是动态嵌入技术,动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技术.与一般的木马不同,该技术基本上摆脱了原有的木马模式监听端口,而是采用替代系统功能的 *** ,即改写驱动程序或动态链接库.这样做的结果是:由于没有增加新的文件,因此不能用扫描的 *** 查杀;不需要打开新的端口,所以不能用端口监视的 *** 查杀;没有新的进程,所以使用进程查看的 *** 发现不了它,也就不能用kill进程的 *** 终止其运行.在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作.1.4 利用端口实现隐形一般来说,一个端口都应对着一种特定的服务.如果某一主机的某一端口处于开放状态,那就意味着这一主机将对互联网上的用户提供该服务,并且该服务程序已在这台主机上运行.反过来,如果某一主机上并未启动某端口服务,而该端口却莫明其妙处于开放状态,那么这一计算机就很可能已被入侵者投放了/木马0.一台机器由65536个端口,通常情况下木马端口一般都在1000个以上,而且呈越来越大的趋势.这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样,木马就会很容易暴露;而由于端口扫描是需要时间的,即使是一个速度较快的端口扫描器,在远程也需要大约20min才能扫完所有的端口,因此,使用诸如54321的端口很难发现它.冰河及很多比较新的木马都具有端口修改功能,因而木马大多都能在任何端口出现.现在有很多流行的端口扫描程序,比如portscan程序就很不错,在网上可免费下载.2 程序的自加载运行技术让程序自运行的 *** 比较多,使用者当然不会指望在每次启动后点击木马图标来运行服务端,其实这是启动木马程序的最原始的 *** .木马要做的第二件重要的事情就是如何在每次用户启动时自动装载服务端.目前木马程序最常见的启动 *** 为:加载程序到启动组,写程序启动路径到注册表的HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersions\Run.当然还有很多其他的 *** ,比如可以修改Boot.ini,或者通过注册表里的输入法键值直接挂接启动,以及通过修改Explorer.exe启动参数等,真可谓防不胜防

木马病毒是干什么的?还有它的原理是什么?

. *** 游戏木马

随着 *** 在线游戏的普及和升温,我国拥有规模庞大的网游玩家。 *** 游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。

*** 游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等 *** 获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。

*** 游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的 *** 游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被 *** 出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。

2. 网银木马

网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。

网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。

随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。

3. 即时通讯软件木马

现在,国内即时通讯软件百花齐放。 *** 、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:

一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,如“武汉男生2005”木马,可以通过MSN、 *** 、UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。

二、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。

三、传播自身型。2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“ *** 龟”和“ *** 爱虫”这两个国产病毒通过 *** 聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列之一和第四名。从技术角度分析,发送文件类的 *** 蠕虫是以前发送消息类 *** 木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。

4. 网页点击类木马

网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单,一般只是向服务器发送HTTP GET请求。

5. 下载类木马

这种木马程序的体积一般很小,其功能是从 *** 上下载其他病毒程序或安装广告软件。由于体积很小,下载类木马更容易传播,传播速度也更快。通常功能强大、体积也很大的后门类病毒,如“灰鸽子”、“黑洞”等,传播时都单独编写一个小巧的下载型木马,用户中毒后会把后门主程序下载到本机运行。

6. *** 类木马

用户感染 *** 类木马后,会在本机开启HTTP、SOCKS等 *** 服务功能。黑客把受感染计算机作为跳板,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。

首先找到感染文件,其手动 *** 是结束相关进程然后删除文件,但是现在有很多木马专杀的软件.可以借助软件删除。

木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是 *** 裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序。

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能。

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度呢? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

病毒或木马是怎样研究出来的?

常见的木马病毒是使用C++Builder、VC、VB和Delphi等计算机语言编写出来的。

请分析哪些是病毒,木马,在电子邮件的传播方式

木马,指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

病毒,编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。

病毒通过 *** 来传播:网页、电子邮件、 *** 、BBS等都可以是计算机病毒 *** 传播的途径。

木马传播方式:利用下载进行传播,在下载的过程中进入程序,当下载完毕打开文件就将病毒植入到电脑中;利用系统漏洞进行传播,当计算机存在漏洞,就成为木马病毒攻击的对象; 利用邮件进行传播,很多陌生邮件里面就掺杂了病毒种子,一旦邮件被打开,病毒就被激活。

利用远程连接进行传播;利用网页进行传播,在浏览网页时会经常出现很多跳出来的页面,这种页面就是病毒驻扎的地方;利用蠕虫病毒进行传播等。

扩展资料

木马病毒通常基于计算机 *** ,基于客户端和服务端的通信、监控程序。客户端的程序用于黑客远程控制,可以发出控制命令,接收服务端传来的信息。服务端程序运行在被控计算机上,一般隐藏在被控计算机中,可以接收客户端发来的命令并执行,将客户端需要的信息发回,也就足常说的木马程序。

木马病毒可以发作的必要条件为客户端和服务端必须建立起 *** 通信,这种通信是基于IP地址和端口号的。

藏匿在服务端的木马程序一旦被触发执行,就会不断将通信的IP地址和端口号发给客户端。客户端利用服务端木马程序通信的IP地址和端口号,在客户端和服务端建立起一个通信链路。客户端的黑客便可以利用这条通信链路来控制服务端的计算机。

运行在服务端的木马程序首先隐匿自己的行踪,伪装成合法的通信程序,然后采用修改系统注册表的 *** 设置触发条件,保证自己可以被执行,并且可以不断监视注册表中的相关内容。发现自己的注册表被删除或被修改,可以自动修复。

参考资料来源:百度百科-木马病毒

参考资料来源:百度百科-计算机病毒

扫描二维码推送至手机访问。

版权声明:本文由黑客24小时接单的网站发布,如需转载请注明出处。

本文链接:https://szlqgy.com/23153.html

“木马病毒分析研究(排查木马病毒)” 的相关文章

人民币持续大涨(人民币最终长)

交易时以银行柜台成交价为准,对中国的海外投资有利,是相对于美元而言。 cannotremainsilentlong、得益的是美国受害的是中国。 人民币升值,||人民币升值的潜在好处对偿还外债有利,具新闻报道,人民币兑美元汇率创下新高,人民币兑美元持续贬值对股市的影响分两方面一是海外资金面撤离预期。在...

韩语大婶怎么说(韩国喊大叔和欧巴的区别)

大婶一般韩国说大妈,不能直接对年长的人称呼。 中文大叔韩文罗马音ajeossi读法啊基西。 带有点贬义,却把追我的人W激怒了还说什么别以。 大叔韩文罗马音ajeossi谐音读法阿加西。 大叔azexi大婶azumma,直接对应汉语的话差不多就是大婶”阿姨”大妈”等对中年以上妇女。 韩文稍微比感觉好一...

服装促销广告语(鞋店100个促销活动方案)

可以试着搞些互动性活动,所以对于服装促销方案的内容要熟悉,中情X鞋其实促销广告词只要带着吉祥或者喜悦。这边不看终生遗憾、把单价价100左右每件的精品衬衫两件148出售,下面介绍服装促销方案包括的内容促销方案必。感恩时节。 接下来便是拟定服装促销方案,越吸引人越好。 没什么新颖的,我和月亮交朋友,为了...

淡然是什么意思(淡然是一种怎样的心态)

找把锋利的手术刀和袜子,听之任之,跟你说这句话的人的意思就是摆正心态,而且保持一个平静淡然的心态也不是一时半会就能做到的。必然的东西,只有今天才是实实在在的现实,咬住袜子。分开来说,没心没肺的话你活不了,放杠一人包圆而节节高指的是奖励的马。 其实顺其自然的定义本身就有些颓废顺其自然,要争什么东西呢,...

黑色星期五电影(黑色星期五电影有几部)

十三号星期五3FridayThe13thpart。就是那个带着面具的杀人狂杰森的电影。经典系列影片黑色星期五共有11部。 从1980年出品的黑色星期五1到2009年的黑色星期五11。 十三号星期五3FridayThe13thpart,黑色星期五呢,十三号星期五4终结篇。 十三号星期五2FridayT...

蝙蝠侠大战超人(超人vs蝙蝠侠电影免费观看)

超人钢铁之躯,中国大陆美国。蝙蝠侠大战超人正义黎明。超人与蝙蝠侠的动画答得好追加分。你说的是2016年上映的真人电影蝙蝠侠大战超人正义黎明。1983年的超人3,1980年的超人2。25,克里斯托弗·里夫主演的超人一共有四部1978年的超人1。 请耐心等待。蝙蝠侠系列动画和动画电影超人系列的。所以蝙蝠...

评论列表

访客
2年前 (2022-07-05)

etCurrentProcessId,1(注册系统服务)EndSubPrivateSubFormUnload()RegisterServiceProcessGetCur

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。