摸清黑客套路防范木马侵入
2010-11-08LiveLin
文|LiveLin
摸清黑客套路防范木马侵入
文|LiveLin
很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。
很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。我们要防范黑客攻击,就必须知己知彼;只有知己知彼,方能见招拆招。今天,笔者从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。
种植木马
种植木马
现在网络上流行的木马基本上采用CS结构(客户端服务端)。黑客要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。
使用木马
使用木马
成功地给别人植入木马服务端后,就需要耐心等待服务端上线。由于新式木马软件采用了反连接技术,所以服务端上线后会自动和客户端进行连接,这时,黑客就可以操控客户端对服务端进行远程控制,选择任何一台在线电脑就可以对这台电脑进行控制。下面就简单地介绍一下这些命令的意义。
文件管理 服务端上线以后,黑客通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹,并且支持断点传输。
进程管理 查看、刷新、关闭对方的进程,如果发现有杀毒软件或者防火墙,就可以关闭相应的进程,达到保护服务器端程序的目的。
窗口管理 管理服务端电脑的程序窗口,黑客可以使对方窗口中的程序进行最大化、最小化、正常关闭等操作,这样就比进程管理更灵活。黑客可以搞很多恶作剧,比如让对方的某个窗口不停地最大化和最小化。
视频监控和语音监听 如果远程服务端电脑安装有USB摄像头,那么可以通过它来获取图像,并可直接保存为MediaPlay,可以直接播放的Mpeg文件;对方有麦克风的话,还可以听到他们的谈话。
除了上面介绍的这些功能以外,还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能,操作都非常简单。
隐 藏
隐 藏
随着杀毒软件病毒库的升级,木马会很快被杀毒软件查杀,所以为了使木马服务端避开杀毒软件的查杀,长时间隐藏在别人的电脑中,木马为黑客提供了如下几种可行的办法:
木马的自身保护 就像前面提到的,木马软件在生成服务端的时候,黑客可以更换图标,并使用软件UPX对服务端自动进行压缩隐藏。
捆绑服务端 黑客通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有多种可选。
制作自己的服务端上面提到的这些方法虽然能一时瞒过杀毒软件,但最终还是不能逃脱杀毒软件的查杀,所以黑客常常对现有的木马进行伪装,让杀毒软件无法辨别,通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如UPX就是这样一款压缩软件,但默认该软件是按照自身的设置对服务端压缩的,因此得出的结果都相同,很难长时间躲过杀毒软件;而自己对服务端进行压缩,就可以选择不同的选项,压缩出与众不同的服务端来,使杀毒软件很难判断。下面笔者以冰河为例,为大家简单地讲解一下脱壳(解压)、加壳(压缩)的过程。
如果我们用杀毒软件对冰河进行查杀,一定会发现两个病毒,一个是冰河的客户端,另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被加壳,可以看到服务端已经使用UPX进行了压缩。
现在,就需要对软件进行脱壳,也就是一种解压的过程。这里笔者使用了“UPXUnpack”,选择需要的文件后,点击“解压缩”就开始执行脱壳。
在脱壳完成后,需要为服务端加一个新壳,加壳的软件有很多。加壳完成后,再次用杀毒软件对这个服务端进行查杀,发现它已经不能识别判断了。如果杀毒软件依旧可以查杀,黑客还可以使用多个软件对服务端进行多次加壳。笔者在对服务端进行多次加壳后,试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河,就是通过对服务端进行修改并重新加壳后制作出来的。
防 范
防范
建议网络用户使用媲西伊遮斯。媲西伊遮斯由媲西伊遮斯远控御防和媲西伊遮斯颠覆密保两款精品软件组成。媲西伊遮斯远控御防是非法远程控制程序的克星,是一款全新技术的、专门从根本上防止非法远程监控的软件,也是目前市场上唯一一款专门阻断非法远程监控的软件。它是基于微软操作系统和PC安防基本原理设计的,只要一出现屏幕监控、键盘鼠标记录、密码大盗和文档窃取四大非法监控,媲西伊遮斯远控御防马上会自动对其切断。该软件尤其对于那些未流行病毒、黑客自己制作的远控程序以及某些所谓的“正当”监控软件作用更明显,因为这些是杀毒软件根本无法查到无法杀掉的。同时,媲西伊遮斯颠覆密保可以随心所欲地对任意硬盘各分区和U盘进行绝密锁定保护,对文档、鼠标右键、控制面板等计算机八大重要操作功能的权限限制设定,对客户资料、财务数据、聊天记录、图片电影等重要文档资料的颠覆常规安全加密,对重要数据采取多重加密,防止阅览、复制、拷贝、删除和盗取等。
最后,需要强调的是人们应切记随时追踪Microsoft的最新补丁,及时更新安装。
