分类 木马
技术发展至今
已经经历了4代第
代即是简单密码窃取发送等没有什么特别的处
第 2代木马在技术上有了很大进步冰河可以说为是国内木马典型代表的第 3代木马在数据传递技术上又做了不小改进出现了ICMP等类型木马利用畸形报文传递数据增加了查杀难度第 4代木马在进程隐藏方面做了大改动采用了内核插入式嵌入方式利用远程插入线程技术嵌入DLL线程或者挂接PSAPI,实现木马隐藏甚至在Windows NT/2000下都达到了良好隐藏效果相信第 5代木马很快也会被编制出来有关更详细介绍说明可以参考ShotGun文章
揭开木马神秘面纱
2.木马
隐藏技术 木马
服务器端为了避免被发现多数都要进行隐藏处理下面让我们来看看木马是如何实现隐藏 说到隐藏
首先得先了解 3个相关概念:进程线程和服务我简单解释下 进程:
个正常Windows应用在运行的后都会在系统的中产生个进程同时每个进程分别对应了个区别PID(Progress ID, 进程标识符)这个进程会被系统分配个虚拟内存空间地址段切相关操作都会在这个虚拟空间中进行 线程:
个进程可以存在个或多个线程线程的间同步执行多种操作般地线程的间是相互独立当个线程发生
时候并不定会导致整个进程崩溃 服务:
个进程当以服务方式工作时候它将会在后台工作不会出现在任务列表中但是在Windows NT/2000下你仍然可以通过服务管理器检查任何服务是否被启动运行 想要隐藏木马
服务器端可以伪隐藏也可以是真隐藏伪隐藏就是指进程仍然存在只不过是让他消失在进程列表里真隐藏则是让彻底消失不以个进程或者服务方式工作 伪隐藏
思路方法是比较容易实现只要把木马服务器端注册为个服务就可以了这样就会从任务列表中消失了
系统不认为他是个进程当按下Ctrl+Alt+Delete时候也就看不到这个但是这种思路方法只适用于Windows9x系统对于Windows NT,Windows 2000等通过服务管理器样会发现你在系统中注册过服务难道伪隐藏思路方法就真不能用在Windows NT/2000下了吗?当然还有办法那就是API拦截技术通过建立个后台系统钩子拦截PSAPIEnumProcessModules等相关
来实现对进程和服务遍历
控制当检测到进程ID(PID)为木马服务器端进程时候直接跳过这样就实现了进程隐藏金山词霸等软件Software就是使用了类似思路方法拦截了TextOutA,TextOutW来截获屏幕输出实现即时翻译同样这种思路方法也可以用在进程隐藏上 当进程为真隐藏
时候那么这个木马服务器部分运行的后就不应该具备般进程也不应该具备服务也就是说完全溶进了系统内核也许你会觉得奇怪刚刚不是说个应用运行的后定会产生个进程吗?确所以我们可以不把他做成个应用而把他做为个线程个其他应用线程把自身注入其他应用地址空间而这个应用对于系统来说是个绝对安全这样就达到了彻底隐藏效果这样结果导致了查杀黑客难度增加 篇文章: 破解互联星空交换机共享上网篇文章: 没有了
最新评论