木马采用的伪装方法.docxVIP

木马采用的伪装方法 1. 修改图标 木马服务端所用的图标也是有讲究的，木马经常故意伪装成了 XT.HTML等你可能认为对系统没有多 少危害的文件图标，这样很容易诱惑你把它打开。看看，木马是不是很狡猾 ? 2. 捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下， 偷偷地进入了系统。被捆绑的文件一般是可执行文件 （即EXE COM一类的文件）。 3. 出错显示 有一定木马知识的人部知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序。木马 的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木 马程序时，会弹出一个错误提示框 （ 这当然是假的 ） ，错误内容可自由定义，大多会定制成一些诸如 文 件已破坏，无法打开 ! 之类的信息，当服务端用户信以为真时，木马却悄悄侵人了系统。 4. 自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道，当服务端用户打开含有木马的文件后，木马会将 自己拷贝到 Windows的系统文件夹中（C;\wmdows或C:\windowssystem 目录下）,一般来说，源木马文件 和系统文件夹中的木马文件的大小是一样的 （ 捆绑文件的木马除外 ） ，那么，中了木马的朋友只要在近来 收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹找相同大小的文件， 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服 务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下。就很难删除木马了。 5. 木马更名 木马服务端程序的命名也有很大的学问。如果不做任何修改，就使用原来的名字，谁不知道这是个 木马程序呢 ?所以木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统 文件不够了解，那可就危险了。例如有的木马把名字改为 window.exe ，如果不告诉你这是木马的话，你 敢删除吗 ?还有的就是更改一些后缀名，比如把 dll 改为 dl 等，不仔细看的，你会发现吗 ? 木马的种类 1 、破坏型 惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的 DLL INI、EXE文件。 2、密码发送型 可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计 算机中，认为这样方便；还有人喜欢用 WINDOW提供的密码记忆功能，这样就可以不必每次都输入密码 了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者 的键盘操作，从中寻找有用的密码。 在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就 大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用 WINDOWS AP函数EnumWindows 和 EnumChildWindows 对当前运行的所有程序的所有窗口（包括控件）进行遍历，通过窗口标题查找密码 输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过 ES_PASSWO查找我们需要 键入的密码窗口。向密码输入窗口发送 WM_SETTEXT息模拟输入密码，向按钮窗口发送 WM_COMMAND 息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部 机器同时进行分工穷举，直到找到密码为止。此类程序在黑客网站上唾手可得，精通程序设计的人，完 全可以自编一个。 3、远程访问型 最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的 IP 地址，就可以实现 远程控制。以下的程序可以实现观察 受害者 正在干什么，当然这个程序完全可以用在正道上的，比如 监视学生机的操作。 程序中用的 UDP（User Datagram Protocol ，用户报文协议）是因特网上广泛采用的通信协议之一。 与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如 TCP但它的效率却比 TCP 高，用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端，只区分发送端和接收端，编程上 较为简单，故选用了 UDP协议。本程序中用了 DELPHI提供的TNMUD控件。 键盘记录木马 这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在 LOG文件里 查找密码。据笔者经验，这种特洛伊木马随着 Win dows的启动而启动。它们有在线和离线记录这样的选 项，顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键， 下木马的人都知道，从这些按键中他很容易就会得到你的密码等有用信息，甚至是你的信用卡账号哦 ! 当 然，对于这种类型的木马，邮件发送功能也是必不可