木马简介

木马的分类

1. 综合型，窗口型（Sub7，Back Orifice 2K，OPTIX Pro）

              Dos命令行（WinShell, Telnet木马，NTRootKit）

              电子邮件木马

              远程遥控软件

2.特定型木马，收集某方面资料，通常以邮件方式发送给黑客。如收集按键Keylooger木马，收集操作画面，偷取帐号，偷取msn，icq，qq帐号，跳板货DDos。

 

木马演变

传统EXE程序文件木马――一代

传统DLL/VxD木马――――二代

替换关联DLL木马――――三代

远程嵌入式DLL木马―――四代

木马入侵简易流程

选择木马->伪装木马->植入被黑计算机->启动木马->执行远程控制

木马的伪装

1．  压缩伪装。ASPack可对PE文件压缩，PECompact，UPX-G。

2．  重组伪装。CRC加密，反编译，删除文件头信息。工具有EXE Stealth。

3．  合并伪装。用Binder工具把木马和另外一个程序合并。常与图片，视频，音频文件，Flash以及小游戏，一些程序的破解程序。如Deception Binder， FreshBind，MicroJoiner，ExeBinder。

 通常ASPack，MicroJoiner，UPX-G，EXE Stealth较难查杀，使用压缩和重组后再用Binder二次伪装，更难被查杀。

木马的植入

直接入侵植入

伪装电子邮件植入

网站钓鱼法

利用P2P传递软件

利用免费软件与共享软件

利用注册破解程序（正常不超过100k）

 

Tricks：

1. 口头欺骗，视觉欺骗（利用系统默认不显示常见后缀）

2. 关联常用文件类型，如.exe文件。

HKEY_CLASSES_ROOT/exefile/shell/open/command

@=”/”%1”%*”

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/open/command

@=”/”%1”%*”

如@=”server.exe/”%1”%*”，运行任何程序或控制面板都会运行。

 

HKEY_CLASSES_ROOT/cmdfile/shell/open/command

HKEY_CLASSES_ROOT/comfile/shell/open/command

HKEY_CLASSES_ROOT/batfile/shell/open/command

HKEY_CLASSES_ROOT/htafile/shell/open/command

HKEY_CLASSES_ROOT/piffile/shell/open/command

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/runas/command

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/comfile/shell/open/command

等等，比.exe文件执行几率低，少用。

 

 

木马的种类

Perfect Keylogger 监控与记录按键的各种木马。

MSN Log Thief 窃取MSN交谈记录，并将其IP以邮件或ICQ传给黑客。

MSN Chat Monitor ，需要在被监控的机器上安装。

Fake MSN 仿冒MSN登陆界面。