日归档：2004 九月-5

转自<华夏黑客联盟> 相信很多朋友都听说过木马程序，总觉得它很神秘、很高难，但事实上随着木马软件的智能化，很多骇客都能轻松达到攻击的目的。今天，笔者就以最新的一款木马程序——黑洞2004，从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。需要提醒大家的是，在使用木马程序的时候，请先关闭系统中的病毒防火墙，因为杀毒软件会把木马作为病毒的一种进行查杀。 　　操作步骤: 　　一、种植木马 　　现在网络上流行的木马基本上都采用的是C/S 结构（客户端/服务端）。你要使用木马控制对方的电脑，首先需要在对方的的电脑中种植并运行服务端程序，然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。 　　为了避免不熟悉木马的用户误运行服务端，现在流行的木马都没有提供单独的服务端程序，而是通过用户自己设置来生成服务端，黑洞2004也是这样。首先运行黑洞2004，点击“功能/生成服务端”命令，弹出“服务端配置”界面。由于黑洞2004采用了反弹技术（请参加小知识），首先单击旁边的“查看”按钮，在弹出的窗口中设置新的域名，输入你事先申请空间的域名和密码，单击“域名注册”，在下面的窗口中会反映出注册的情况。域名注册成功以后，返回“服务端配置”界面，填入刚刚申请的域名，以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人，可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后，点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时，软件会自动使用UPX为服务端进行压缩，对服务端起到隐藏保护的作用。 　　服务端生成以后，下一步要做的是将服务端植入别人的电脑？常见的方法有，通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑；或者通过Email夹带，把服务端作为附件寄给对方；以及把服务端进行伪装后放到自己的共享文件夹，通过P2P软件（比如PP点点通、百宝等），让网友在毫无防范中下载并运行服务端程序。 　　由于本文主要面对普通的网络爱好者，所以就使用较为简单的Email夹带，为大家进行讲解。我们使用大家经常会看到的Flash动画为例，建立一个文件夹命名为“好看的动画”，在该文件夹里边再建立文件夹“动画.files”，将木马服务端软件放到该文件夹中假设名称为“abc.exe”，再在该文件夹内建立flash文件，在flash文件的第1帧输入文字“您的播放插件不全，单击下边的按钮，再单击打开按钮安装插件”，新建一个按钮组件，将其拖到舞台中，打开动作面板，在里边输入“on (press) ”，表示当单击该按钮时执行abc这个文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.htm”，将刚才制作的动画放到该网页中。看出门道了吗？平常你下载的网站通常就是一个.html文件和一个结尾为.files的文件夹，我们这么构造的原因也是用来迷惑打开者，毕竟没有几个人会去翻.files文件夹。现在我们就可以撰写一封新邮件了，将文件夹“好看的动画”压缩成一个文件，放到邮件的附件中，再编写一个诱人的主题。只要对方深信不疑的运行它，并重新启动系统，服务端就种植成功了。 二、使用木马 　　成功的给别人植入木马服务端后，就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术，所以服务端上线后会自动和客户端进行连接，这时，我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中，随便选择一台已经上线的电脑，然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。 　　文件管理：服务端上线以后，你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹，并且支持断点传输。简单吧？ 　　进程管理：查看、刷新、关闭对方的进程，如果发现有杀毒软件或者防火墙，就可以关闭相应的进程，达到保护服务器端程序的目的。 窗口管理：管理服务端电脑的程序窗口，你可以使对方窗口中的程序最大化、最小化、正常关闭等操作，这样就比进程管理更灵活。你可以搞很多恶作剧，比如让对方的某个窗口不停的最大化和最小化。 　　视频监控和语音监听：如果远程服务端电脑安装有USB摄像头，那么可以通过它来获取图像，并可直接保存为Media Play可以直接播放的Mpeg文件；需要对方有麦克风的话，还可以听到他们的谈话，恐怖吧？ 　　除了上面介绍的这些功能以外，还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能，操作都非常简单，明白了吧？做骇客其实很容易。 　　三、隐藏 　　随着杀毒软件病毒库的升级，木马会很快被杀毒软件查杀，所以为了使木马服务端辟开杀毒软件的查杀，长时间的隐藏在别人的电脑中，在木马为黑客提供几种可行的办法。 　　1.木马的自身保护 　　就像前面提到的，黑洞2004在生成服务端的时候，用户可以更换图标，并使用软件UPX对服务端自动进行压缩隐藏。 　　2.捆绑服务端 　　用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起，达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。 　　3.制做自己的服务端 　　上面提到的这些方法虽然能一时瞒过杀毒软件，但最终还是不能逃脱杀毒软件的查杀，所以若能对现有的木马进行伪装，让杀毒软件无法辨别，则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如Step1中的UPX就是这样一款压缩软件，但默认该软件是按照自身的设置对服务端压缩的，因此得出的结果都相同，很难长时间躲过杀毒软件；而自己对服务端进行压缩，就可以选择不同的选项，压缩出与众不同的服务端来，使杀毒软件很难判断。下面我就以冰河为例，为大家简单的讲解一下脱壳（解压）、加壳（压缩）的过程。 　　如果我们用杀毒软件对冰河进行查杀，一定会发现2个病毒，一个是冰河的客户端，另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被作者加壳。 现在，我们就需要对软件进行脱壳，也就是一种解压的过程。这里我使用了“UPXUnpack”，选择需要的文件后，点击“解压缩”就开始执行脱壳。 　　脱壳完成后，我们需要为服务端加一个新壳，加壳的软件很多，比如：ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例，点击“打开”按钮，选择刚刚脱壳的服务端程序，选择完成后ASPack会自动为服务端进行加壳。再次用杀毒软件对这个服务端进行查杀，发现其已经不能识别判断了。如果你的杀毒软件依旧可以查杀，你还可以使用多个软件对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后，试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河，就是网友通过对服务端进行修改并重新加壳后制做出来的。 　　四、防范 　　防范重于治疗，在我们的电脑还没有中木马前，我们需要做很多必要的工作，比如：安装杀毒软件和网络防火墙；及时更新病毒库以及系统的安全补丁；定时备份硬盘上的文件；不要运行来路不明的软件和打开来路不明的邮件。 　　最后笔者要特别提醒大家，木马除了拥有强大的远程控制功能外，还包括极强的破坏性。我们学习它，只是为了了解它的技术与方法，而不是用于盗窃密码等破坏行为，希望大家好自为之。 　　小知识：反弹技术，该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是，客户端首先登录到FTP服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。因此在互联网上可以访问到局域网里通过 NAT （透明代理）代理上网的电脑，并且可以穿过防火墙。与传统的远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般开为80（即用于网页浏览的端口），这样，即使用户在命令提示符下使用“netstat -a”命令检查自己的端口，发现的也是类似“TCP　UserIP:3015　ControllerIP：http　ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页，而防火墙也会同样这么认为的。于是，与一般的软件相反，反弹端口型软件的服务端主动连接客户端，这样就可以轻易的突破防火墙的限制。

转自<华夏黑客联盟> 由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，:)，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

转自<E.S.T> 信息来源：HackBase.com 问：什么是“DNS”？其中文为何？ 答：DNS，简单地说，就是Domain Name System，翻成中文就是“域名系统”。 问：DNS有什么用途？ 答：在一个TCP/IP架构的网络（例如Internet）环境中，DNS是一个非常重要而且常用的系统。主要的功能就是将人易于记忆的Domain Name与人不容易记忆的IP Address作转换。而上面执行DNS服务的这台网络主机，就可以称之为DNS Server。基本上，通常我们都认为DNS只是将Domain Name转换成IP Address，然后再使用所查到的IP Address去连接（俗称“正向解析”）。事实上，将IP Address转换成Domain Name的功能也是相当常使用到的，当login到一台Unix工作站时，工作站就会去做反查，找出你是从哪个地方连线进来的（俗称“逆向解析”）。 问：DNS是怎么运作的？ 答：DNS是使用层的方式来运作的。例如：哈工大紫丁香站的Domain Name为bbs.hit.edu.cn，这个Domain Name当然不是凭空而来的，是从.edu.cn所分配下来的。.edu.cn又是从.cn授予（delegation）的。.cn是从哪里来的呢？答案是从“.”，也就是所谓的“根域”（root domain）来的。根领域已经是Domain Name的最上层。而“.”这层是由InterNIC（Internet Network Information Center，互联网信息中心）所管理。全世界的Domain Name就是这样，一层一层的授予下来。 问：当我查一个Domain Name时，DNS是怎么查出它的IP的呢？ 答：举个例子，假设今天我们查的Domain Name（作一个dns query）为bbs.hit.edu.cn时，DNS Server会这么处理： (1) 你所用的电脑（可能是PC，也可能是工作站）送出一个问题给这台电脑所设定的DNS Server，提问：bbs.hit.edu.cn的IP是什么？ (2) 这台DNS会先看看是不是在它的cache中，如果是，就丢出答案。如果不是，就从最上头查起。在DNS Server上面一定有设定“.”要跟谁问。所以，这个时候它就往“.”层的任何一台DNS（目前“.”有13台）问：.cn要问谁？ (3) “.”层的DNS会回答.cn要向谁查（同时你用的DNS会cache起来这个答案）。 … 继续阅读 →