实验13的 木马捆绑与隐藏.docVIP

木马捆绑与隐藏 12.2.1 背景描述 木马并不是合法的网络服务程序，如果单纯以本来面目出现，很容易被网络用户识别。为了不被别人发现，木马制造者必须想方设法改换面貌；为了诱使网络用户下载并执行它，黑客将木马程序混合在合法的程序里面，潜入用户主机。在受害主机里，为了逃避杀毒软件的查杀，木马也会将自己“乔装打扮”；为了防止用户将其从系统里揪出来，木马则采取一切可能的手法进行隐藏自己。总之，现在的木马制造者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者，而用户一旦不慎打开这些文件，木马就自动执行了，主机就中木马了。 12.2.2 工作原理 1．木马捆绑 木马捆绑即是文件捆绑，黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。这是一种最简单也是最可行和最常用的一种方法，当受害者下载并运行捆绑了木马等恶意程序的文件时，其中的木马等恶意程序就会被激活。 木马捆绑的手段归纳起来共有四种： （1）利用捆绑机软件和文件合并软件捆绑木马； （2）利用WINRAR、WINZIP 等软件制作自解压捆绑木马； （3）利用软件打包软件制作捆绑木马； （4）利用多媒体影音文件传播。 2．木马隐藏 隐藏是一切恶意程序生存之本。以下是木马的几种隐藏手段： （1）进程隐蔽：伪隐藏，就是指程序的进程仍然存在，只不过是让它消失在进程列表里。真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作，做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。 （2）伪装成图像文件：即将木马图标修改成图像文件图标。 （3）伪装成应用程序扩展组件：将木马程序写成任何类型的文件（如dll,ocx等），然后挂在十分出名的软件中。因为人们一般不怀疑这些软件。 （4）错觉欺骗：利用人的错觉，例如故意混淆文件名中的1（数字）与l（L的小写）、0（数字）与o（字母）或O（字母）。 （5）合并程序欺骗：合并程序就是将两个或多个可执行文件结合为一个文件，使这些可执行文件能同时执行。木马的合并欺骗就是将木马绑定到应用程序中。 3．木马捆绑的过程分析 入侵者可以把木马和正常文件捆绑成一个文件作为伪装，当远程主机的管理员打开文件的同时会自动执行木马和正常文件。在管理员看来，他们打开的只是那个正常的程序，却不知已经被种植了木马。大家总感觉自己莫名其妙地被种了木马，可能入侵者也是通过这个方法得逞的。下面来了解一下入侵者是如何通过文件合并工具制作木马捆绑的。 （1）文件合并工具之Deception Binder 2.1。它是国外的一个文件合并器，小巧而功能强大。能够捆绑任意格式(包括test、jpg)文件;能够设置打开文件是否隐蔽运行;能够设置打开文件是否加入注册表启动项;能够设置打开文件时是否显示错误信息以迷惑对方。 （2）文件合并工具之IExpress。IExpress是微软为压缩CAB文件及制作安装程序所开发的小工具，其实应该算是MAKECAB的一个Shell。虽一直藏身于微软的产品中，却从未对它说明过，但不能否认是一款不错的免费软件。 （3）文件合并攻击之灰鸽子。灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。 4.防御策略 首先应当在系统里安装防毒杀毒软件，将木马挡在系统的大门之外。而针对一些顽固的木马，则可以采用一些技术手段来应对。如针对捆绑在文件中的木马可以采用如下策略： （1）使用MT捆绑克星 文件中只要捆绑了木马，那么其文件头特征码一定会表现出一定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来判断的。程序运行后，我们只要单击“浏览”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析。此时，我们只要查看分析结果中可执行的头部数，如果有两个或更多的可执行文件头部，那么说明此文件一定是被捆绑过的! 无忧文档探测器Fearless BoundFileDetector）清除捆绑在程序中的木马 光检测出了文件中捆绑了木马，“无忧文档探测器清除中的木马。程序运行后会首先要求选择需要检测的程序或文件，然后单击主界面中的“Process”按钮，分析完毕再单击“CleanFile”按钮，在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。 不随便访问来历不明的网站，使用来历不明的软件A，制作捆绑木马） B 192.168.228.41 受害主机（主机B，运行木马） 表12-2-1 对应的IP地址与角色 实验