木马隐身术
在运行前,很一些木马经常故意弄成Txt、Html等你认为对你系统没有多少危害性质的文件图标,这样很容易迷诱你把它打开。
在运行中,木马的作者也意识到如果程序打开后像早期木马一样没有什么反应的话,这样只要对木马稍有了解的人都会知道这个程序有鬼,这样他们往往会有采取行动杀除木马。所以,新的木马大多都以弹出某种欺骗性质的错误窗口使执行者不起疑心,比如操作系统版本错误等等。
在运行后,木马在运行后需要自我销毁和隐藏,木马分为两种类型,一种是随系统自动启动的,另一种附加或者捆绑在Windows系统或者其它应用程序上,或者干脆替代成它们。如果是前者,木马会把自己拷贝到windows系统目录夹下面一个隐蔽的地方,当然是会把自己的文件属性设为隐藏,然后再删除自己。如果是后者,木马会寻找系统程序把自己捆绑或者替换到它们身上,这样你运行这些系统程序的时候就会激活木马。
还有一种技术更为先进的木马,它是把自己复制取代成为动态链结dll文件.,如果系统正常的调用请求,它把请求转到原先的DLL,对于一些事先约定好的木马操作,DLL文件就跟一个木马程序毫无区别。
隐藏通讯,任何木马运行后都要和攻击者进行通讯连接,或者通过即时连接,如攻击者通过客户端直接接入被植入木马的主机,或者通过间接通讯,如通过电子邮件的方式,木马把侵入主机的敏感信息送给攻击者。现在大部分木马一般在占领主机后,会在1024以上不易发现的高端口上驻留,有一些木马会选择一些常用的端口,如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后,收到正常的HTTP请求仍然把它交与Web服务器处理,只有收到一些特殊约定的数据包后,才调用木马程序。
目前大部分木马都是采用TCP连接的方式使攻击者控制主机,这样通过简单的netstat命令或者监视数据包等方式即可以查出攻击,现在有的木马可以通过ICMP数据包进行通讯控制,这样除非分析数据包里面的内容,否则很难发现木马连接。
通过电子邮件这类间接通讯的木马一般是以窃取主机密码等机密文件为主,它们比较难觉察,不过,如果采用这种方式,一旦被发现,很容易查出邮箱和邮箱的主人。
隐藏进程,在win9X系统里面,简单的注册为系统进程即可以从任务栏里消失,但在windows2000系统里面,任何一个运行的进程都会在Administrator权限下显示出来,并且可以直接关闭掉。在最新的一些木马里面,开始采用了先进的DLL陷进技术,
DLL陷阱技术是一种针对DLL(动态链接库)的高级编程技术,编程者用特洛伊DLL替换已知的系统DLL,并对所有的函数调用进行过滤,对于正常的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,DLL会执行一些相对应的操作,一个比较简单的方法是起一个进程,虽然所有的操作都在DLL中完成会更加隐蔽,但是这大大增加了程序编写的难度,实际上这样的木马大多数只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程,继续进入休眠状况。
木马是如何启动的?
在Windows系统下,木马可以通过注册表、Win.ini、system.ini、Autoexec.bat和Config.sys、捆绑替换系统文件、启动菜单及程序配置.ini文件来自我启动运行。
Win.in:[WINDOWS]下面,"run="和"load="行是Windows启动时要自动加载运行的程序项目
System.ini:[BOOT]下面有个"shell=Explorer.exe"项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe,而是"shell=Explorer.exe 程序名",那么后面跟着的那个程序就是木马程序
注册表:在KEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\下面五个以Run开头的主键目录都是系统自启的键值。
未来木马发展的方向
1、传统的TCP端对端连接会被抛弃,未来木马要么就采用非TCP/UDP的IP族数据包,它们十分隐蔽,如果不对数据包详细分析,很难察出木马入侵;要么就采用寄生Tcp端口,这样木马传输的数据包和正常的数据包很难区分开来。
2、在传播方式上,未来木马会和病毒一样,采用交叉式迅速大规模扩散,并且运行方式越来越隐蔽,可能通过浏览一个html页面即可把木马植入你的主机。
3、未来木马将更注重底层的通讯编程,如针对网卡和Modem的通讯编程,这样可以逃过防火墙的监视和过滤。
|
