8木马伪装植入方法.doc

木马伪装植入的方法 ? ? 如果我们要想把自己的木马植入到别人的计算机上，首先就要伪装好自己。一般来讲，木马主要有两种隐藏手段： ① 把自己伪装成一般的软件 很多用户可能都遇到过这样的情况，在网站上得到一个自称是很好玩或是很有用的小程序，拿下来执行，但系统报告了内部错误，程序退出了。一般人都会认为是程序没有开发好，不会疑心到运行了木马程序这上面。等到运行自己的QQ等程序时，被告知密码不对，自己熟得不能再熟的密码怎么也进不去，这时才会想起检查自己的机器是否被人安装了木马这回事情。 提示： 这种程序伪装成正常程序，实质是个木马伪装成的，在木马代码的前段会完成自我安装与隐藏的过程，最后显示一个错误信息，骗过用户。 ② 把自己绑定在正常的程序上面 对于那些老到的黑客来说，他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件，然后用户在安装该正版程序时，就神不知鬼不觉地被种上木马了。 伪装之后，木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了，或者是放在网站上供人下载。黑客还会为它们加上一些动人的话语来诱惑别人，像“最新火辣辣小电影！”、“CuteFTP5.0完全解密版！！！”等。 一点不骗人，在安装了这个CuteFTP之后，你的机器就被“完全解密”了，那些喜欢免费盗版的朋友们也要小心了！ 下面介绍几种常见的伪装植入木马的方法： 修改木马图标 将木马服务端程序更改图标，如设为图片图标，并将其扩展名设置为***.jpg.exe格式，直接发给对方，由于Windows的默认设置是隐藏已知文件的扩展名，所以对方收到后就会轻易相信这就是一幅图片。对方运行后，结果毫无反应（运行木马后的典型表现），对方说：“怎么打不开呀!”，回答：“哎呀，不会程序是坏了吧?”，或者说：“对不起，我发错了!”，然后把正确的东西（正常游戏、图片等）发给对方，他收到后只顾高兴就不想刚才为什么会出现那种情况了。 虽然有些木马制作工具中带有修改图标的功能，但是黑客还常常使用其他辅助工具来修改图标。如IconChanger，就是一个更换文件图标工具，其运行界面如图1所示。 图1：更换图标工具 在“Search icons in”里选择不同的盘符，程序就会自动搜索该盘符下的所有程序图标列在下部的列表中。然后选择“File”|“Choose file to change its icon”命令，在打开的对话框中选择待更换图标的木马程序，选出的程序会出现在界面左上部。接下来在程序的图标列表中选择一个中意的图标，拉到右下侧列表中，最后选中一个最满意的，点击工具栏的“Set”按钮，左上部的程序的图标就会变成黑客想要设置的图标，如图2所示。 图2：更改图标后的效果 捆绑欺骗 把木马服务端和某个游戏或工具捆绑成一个文件在QQ或邮件中发给别人，别人运行后它们往往躲藏在Windows的系统目录下，图标伪装成一个文本文件或者网页文件，通过端口与外界进行联系。然后把自己和一些EXE文件捆绑在一起，或者采用改变文件关联方式的方法来达到自启动的目的。而且，即使以后系统重装了，如果该程序还是保存着的话，还是有可能再次中招的。 捆绑欺骗大多采用捆绑软件如Deception Binder进行以下几种方式的捆绑： 将一款小游戏和木马服务端捆绑成一个文件； 把一个txt文件和木马服务端捆绑成一个文件； 把一个JPG图片和木马服务端捆绑成一个文件。 Deception Binder的程序运行界面如图3所示。 图3：Deception Binder的程序运行界面 Deception Binder程序一个外国的小巧的文件合并器，虽然小巧，功能却不错，可以设置捆绑的程序打开文件是否隐蔽运行，设置打开文件是否加入注册表启动项，设置打开文件时是否显示错误信息以迷惑对方。 最后将捆绑后的文件找一个相应的理由发送给对方，让对方在不知不觉中被种植木马。 文件夹惯性点击 把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹，很多人出于连续点击的习惯，点到那个伪装成文件夹木马时，也会收不住鼠标点下去，这样木马就成功运行了。比方说著名的木马黑洞2001的服务端程序用的就是文件夹的图标，如果您以为它是文件夹而去点击那您就错了，它是个不折不扣的EXE文件！ 当然，如果对方使用的IE 5.0及以下的版本，还可以利用Windows中的文件夹支持HTML和JavaScript定义的一些“动作”原理，通过JavaScript，让文件夹自动执行程序，做成一个真正“文件夹木马”，让对方不受骗都难。 危险下载点 攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载，这样以后每增加一次下载次数，就等于多了一台中木马的计算机。或者把木马免杀处理后捆绑到其他软件上，然后“正大光