揭开木马的神秘面纱一.htm

可以对黑客编程有一定的了解

<br>
　　8.点对点通讯<br>
　　　呵呵,这个嘛随便去看看什么聊天软件就行了<br>
　　　(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东，困惑......)<br>
<br>
　　9.换墙纸<br>
　　　Call SystemParametersInfo(20,0,&quot;BMP路径名称&quot;,&amp;H1)<br> 
　　　值得注意的是,如果使用了Active Desktop,换墙纸有可能会失败，遇到这种问题，请不要找冰河和我，去找比尔盖子吧。<br> 
<br>
三、潜行篇（Windows，一个捉迷藏的大森林）<br>
　　木马并不是合法的网络服务程序(即使你是把木马装在女朋友的机子上,也是不合法的,当然,这种行为我可以理解，呵呵)，因此，它必须想尽一切办法隐藏自己，好在，Windows是一个捉迷藏的大森林!<br>
　　1、在任务栏中隐藏自己：<br>
　　　这是最基本的了,如果连这个都做不到......（想象一下，如果Windows的任务栏里出现一个国际象棋中木马的图标...@#$%!#@$...也太嚣张了吧!)<br>
　　　在VB中，只要把form的Visible属性设为False, ShowInTaskBar设为False,  
程序就不会出现在任务栏中了。<br>
<br>
　　2、在任务管理器中隐形：（就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程）<br>
　　　这个有点难度，不过还是难不倒我们，将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。<br>
　　　在VB中如下的代码可以实现这一功能：<br>
　　　Public Declare Function RegisterServiceProcess Lib &quot;kernel32&quot;  
(ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long<br> 
　　　Public Declare Function GetCurrentProcessId Lib &quot;kernel32&quot; ()  
As Long<br> 
　　　(以上为声明)<br>
　　　Private Sub Form_Load()<br> 
　　　　　 RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)<br> 
　　　End Sub<br> 
　　　Private Sub Form_Unload()<br> 
　　　　　RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)<br> 
　　　End Sub<br> 
<br>
　　3、如何悄没声息地启动：<br>
　　　你当然不会指望用户每次启动后点击木马图标来运行服务端，木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端（第一重要的是如何让对方中木马，嘿嘿，这部分的内容将在后面提到）<br>
　　　Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它(怎么听起来有点死缠烂打呀....哎呦,谁呀谁呀,那什么黄鑫,不要拿鸡蛋扔我!)首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了&lt;system&gt;\kernl32.exe(&lt;system&gt;是系统目录),  
其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化）下生成一个叫sysexplr.exe文件（太象超级解霸了，好毒呀，冰河！）,这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本?),  
sysexplr.exe文件就会重新生成krnel32.exe,  
然后你还是被冰河控制著。（冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的，555555）<br>
　<br>
　　4、端口<br>
　　木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243....)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露;  
而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)<br>
　　<br>
　　5.最新的隐身技术<br>
　　目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现，那就是-驱动程序及动态链接库技术（冰河3.0会采用这种方法吗?）。<br>
　　驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式-监听端口，而采用替代系统功能的方法（改写驱动程序或动态链接库）。这样做的结果是：系统中没有增加新的文件（所以不能用扫描的方法查杀）、不需要打开新的端口（所以不能用端口监视的方法查杀）、没有新的进程（所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行）。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作......<br>
　　事实上，我已经看到过几个这样类型的木马，其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪)<br>
<br>
四、破解篇（魔高一尺、道高一丈）<br>
　　本文主要是探讨木马的基本原理,  
木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》（我都期待一年了，大家和我一起继续期待吧，嘿嘿），本文只是对通用的木马防御、卸载方法做一个小小的总结：<br>
　　1.端口扫描<br>
　　端口扫描是检查远程机器有无木马的最好办法,  
端口扫描的原理非常简单, 扫描程序尝试连接某个端口,  
如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时),  
则说明端口关闭。（关于端口扫描，Oliver有一篇关于“半连接扫描”的文章，很精彩，那种扫描的原理不太一样，不过不在本文讨论的范围之中）<br>
<br>
　　但是值得说明的是, 对于驱动程序/动态链接木马,  
扫描端口是不起作用的。<br>
<br>
　　2.查看连接<br>
　　查看连接和端口扫描的原理基本相同，不过是在本地机上通过netstat  
-a（或某个第三方的程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。<br>
<br>
　　3.检查注册表<br>
　　上面在讨论木马的启动方式时已经提到，木马可以通过注册表启动（好像现在大部分的木马都是通过注册表启动的，至少也把注册表作为一个自我保护的方式），那么，我们同样可以通过检查注册表来发现&quot;马蹄印&quot;,冰河在注册表里留下的痕迹请参照《潜行篇》。<br>
<br>
　　4.查找文件<br>
　　查找木马特定的文件也是一个常用的方法（这个我知道,冰河的特征文件是G_Server.exe吧?  
笨蛋!哪会这么简单,冰河是狡猾狡猾的......）冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlpr.exe(什么什么,不是超级解霸吗?)对！冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己,  
只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样（废话，Server端程序都没了，还能干嘛？）<br>
　　黄鑫:&quot;咳咳,不是那么简单哦......&quot;(狡猾地笑)<br>
　　是的, 如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种:<br> 
　　a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)<br>
　　b.在&lt;我的电脑&gt;-查看-文件夹选项-文件类型中编辑<br>
　　c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中&lt;始终用该程序打开......&gt;,然后找到notepad,点一下就OK了。（这个最简单，推荐使用）<br>
　　黄鑫：&quot;我...我笑不起来了 :( &quot;<br> 
　　提醒一下，对于木马这种狡猾的东西，一定要小心又小心，冰河是和txt文件关联的，txt打不开没什么大不了，如果木马是和exe文件关联而你贸然地删了它......你苦了！连regedit都不能运行了！<br>
<br>
　　5.杀病毒软件<br>
　　之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,  
不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的,  
值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序，并可以动态杀除进程，是一个个人防御的好工具（虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑，嘿嘿，两年后的事都说不清，谁知道十年后木马会“进化”到什么程度？甚至十年后的操作系统是什么样的我都想象不出来）<br> 
<br>
　　另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的&quot;系统文件检查器&quot;，通过&quot;开始菜单&quot;-&quot;程序&quot;-&quot;附件&quot;-&quot;系统工具&quot;-&quot;系统信息&quot;-&quot;工具&quot;可以运行&quot;系统文件检查器&quot;(这么详细,不会找不到吧?  
什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件（如驱动程序）。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复&quot;损坏的&quot;文件可能会导致系统崩溃或程序不可用！)<br> 
<br>
<br>
五、狡诈篇（只要你的一点点疏忽......)<br>
　　只要你有一点点的疏忽，就有可能被人安装了木马，知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。<br>
1.网上“帮”人种植木马的伎俩主要有以下的几条<br>
　　　a.软哄硬骗法；<br>
　　　这个方法很多啦, 而且跟技术无关的, 有的是装成大虾,  
有的是装成PLMM, 有的态度谦恭, 有的......反正目的都一样,就是让你去运行一个木马的服务端。<br> 
　　　b.组装合成法<br>
　　　就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。<br> 
　　　c.改名换姓法<br>
　　　这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标,  
再把文件名改为*.jpg.exe, 由于Win98默认设置是&quot;不显示已知的文件后缀名&quot;,文件将会显示为*.jpg,  
不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)<br>
　　　d.愿者上钩法<br>
　　　木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗;奉劝：不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意...（什么乱七八糟呀）　　<br>
<br>
2． 几点注意（一些陈词滥调）<br> 
　　a．不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点，这些站点一般都有专人杀马杀毒；<br>
　　b．不要过于相信别人，不能随便运行别人给的软件；<br>
（特别是认识的，不要以为认识了就安全了，就是认识的人才会给你装木马,哈哈,挑拨离间......）<br>
　　c．经常检查自己的系统文件、注册表、端口什么的，经常去安全站点查看最新的木马公告；<br>
　　d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)<br>
　　e．如果上网时发现莫名奇妙地硬盘乱响或猫上的数据灯乱闪，要小心；<br>
　（我常常会突然关掉所有连接，然后盯著我的猫，你也可以试试，要是这时数据传送灯还在拼命闪，恭喜，你中木马了，快逃吧！）<br>
<br>
六、后记<br>
　　这篇文章的问世首先要感谢冰河的作者-黄鑫，我对他说：“我要写篇关于冰河的文章”，他说：“写呗”，然后就有了这篇文章的初稿（黄鑫：“不是吧，你答应要用稿费请我吃饭的，不要赖哦”），随后，黄鑫给我提了很多建议并提供了不少资料,谢谢冰河。<br>
　　其次是西祠的yagami，他是公认的木马专家，在我写作期间，他不仅在木马的检测、杀除方面提出了不少自己的看法，还给我找来了几个木马的源代码作为参考，不过这个家伙实在太忙，所以想看《特洛伊木马看过来》的朋友就只有耐心地等待了。<br>
　　第三个值得一提的家伙是武汉人，我的初稿一出来，他就忙不迭地贴出去了，当时我很狼狈，只能加紧写，争取早日完成，赶快把漏洞百出的初稿换下来，要不然，嘿嘿，估计大家也要等个一年半载的才能看到这篇文章了。<br>
　　这篇文章的初稿出来以后，有很多朋友问：为什么不用C++，而要用VB来写木马的源码说明呢？呵呵，其一是我很懒，VB比  
VC要容易多了,还不会把windows搞死机(我用VC写程序曾经把系统搞崩溃过的:P);其二,本文中能用API的,我基本上都用了,VB只是很小的一块,  
WINAPI嘛,移植起来是很容易的;其三,正如我前面强调的,本文只是对木马的结构和原理进行一番讨论,并非教人如何编写木马程序,要知道,公安部已经正式下文:在他人计算机内下毒的要处以刑事处分。相比而言，VB代码的危害性要小很多的（如果完全用VB做一个冰河，大概要一兆多，还不连那些控件和动态链接库文件，呵呵，这么庞大的程序，能悄  
悄 地在别人的机子里捣鬼吗？）<br> 
　　最后，作为冰河的朋友，我希望大家能抱著学术的态度来看这篇文章，同样能抱著学术的态度来看待冰河木马，不要用冰河做坏事，我替黄鑫先谢谢你了！(监视自己的女朋友不算，不过冰河不会对因为使用冰河导致和女友吵架直至分手负任何责任）<br>
<br>
附录：常见的一些木马的端口（转）<br>
port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan,  
Invisible FTP, Larva,WebEx, WinCrash<br> 
port 23 - Tiny Telnet Server (= TTS)<br> 
port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi), Happy  
99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC,  
WinSpy<br>
port 31 - Agent 31, Hackers Paradise, Masters Paradise<br> 
port 41 - DeepThroat<br> 
port 59 - DMSetup<br> 
port 79 - Firehotcker<br> 
port 80 - Executor, RingZero<br> 
port 99 - Hidden Port<br> 
port 110 - ProMail trojan<br> 
port 113 - Kazimas<br> 
port 119 - Happy 99<br> 
port 121 - JammerKillah<br> 
port 421 - TCP Wrappers<br> 
port 456 - Hackers Paradise<br> 
port 531 - Rasmin<br> 
port 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy<br> 
port 666 - Attack FTP, Back Construction, Cain &amp; Abel, Satanz Backdoor,  
ServeU, Shadow Phyre<br> 
port 911 - Dark Shadow<br> 
port 999 - DeepThroat, WinSatan<br> 
port 1001 - Silencer, WebEx<br> 
port 1010 - Doly Trojan<br> 
port 1011 - Doly Trojan<br> 
port 1012 - Doly Trojan<br> 
port 1015 - Doly Trojan<br> 
port 1024 - NetSpy<br>