|
将木马植入被黑者电脑是木马成功与否的关键,现在已经发展出各种各样的木马植入技术,这也是木马防护最重要的一道门。 内容来自论文无忧网 www.paper51.com 常见的木马植入技术有以下几种:1).直接植入法,进入被黑者电脑,直接将木马复制进去,对黑客而言这是最好的方式,不用想尽各种方法欺骗被黑者,常见的方式有端口139入侵,漏洞入侵,直接复制;2).电子邮件植入法,利用邮件程序中的漏洞来运行附件中的木马;3).网站钓鱼法,引诱被黑者到设计好的网站,然后乘机植入木马;4).P2P传递法,例如文件加载等,就是利用现在许多人使用的P2P软件来乘机植入木马;5).免费软件与共享软件,许多人都会下载一些免费软件或共享软件来使用,将木马捆绑在某个工具软件中,让不知情的被黑者下载,然后乘机植入木马;6).注册破解程序法,黑客针对不同软件写出所谓破解程序让人下载,木马与破解程序合并后,让不知情的被黑者下载,这样木马就植入被黑者电脑中。 http://www.paper51.com l 触发运行木马 paper51.com 当黑客成功将木马植入被黑者电脑中后,及黑客已经进入被黑者电脑以后,通常要设置一些触发条件来触发木马的运行。 内容来自www.paper51.com 常见的触发木马运行的条件如下:1). 让被黑者自己运行,让诱骗被黑者自己运行木马,通常利用电子邮件、网站钓鱼、P2P软件等方式。2).使用at命令,若黑客经由端口139直接入侵,而且具有最高的权限,被黑者电脑使用WinNT、Win2K或WinXP,则可以利用远程运行命令at来运行放在被黑者电脑中的木马,当然这需要被黑者电脑中的Task scheduler服务打开。3).使用net命令,如果木马设计成系统服务方式,那就必须要使用net命令来载入和启动它,黑客必须取得最高权限,才能使用net命令。例如:利用使用漏洞入侵,目前许多使用远程缓冲区溢出漏洞成功打开后门后,再使用telnet入侵,然后使用net命令来载入和启动被黑者电脑中的木马。4).与其他程序一起运行,将木马的运行加入一个特殊的注册表项中,当任何可执行程序运行时,都会一并运行设置在其中的木马。5).启动与自动运行,当木马已经植入被黑者电脑,只要电脑重新启动就可以运行木马,迫使被黑电脑重新启动的方法如下:数据包死机漏洞(Win9x,WinNT适用),一般使用工具IPHacker迫使被黑电脑死机,使用Angry IP Scanner工具来查看被黑IP,如果不再就说明死机。 paper51.com l 执行黑客任务 copyright paper51.com 木马被植入被黑者电脑并成功运行后,就可以对被黑者电脑进行一系列的非法操作。只要所选择的木马功能比较完善,控制端一般可以享受以下权限:1).窃取密码,一切以明文形式,*形式或缓存在cache中的密码都能够被木马侦测到,很多木马还提供按键记录功能。2).文件操作,控制端可以对服务端上的文件进行删除,新建,修改,上传,下载,运行,修改属性等一系列操作。3).修改注册表,控制端任意修改注册表,包括删除,新建或修改主键,子键,键值,可以禁止服务端软驱、光驱等操作。4).系统操作,注销、重启、关闭操作系统,断开服务端网络连接,控制服务端鼠标、键盘、查看服务端进程等,控制端可以随时给服务端发送恐吓信息。 copyright paper51.com 3 系统设计 内容来自论文无忧网 www.paper51.com 3.1 系统总体设计 http://www.paper51.com 3.1.1 设计目标 http://www.paper51.com 本程序利用VC6.0++这一集成开发平台,在Windows环境下开发的一个基于远程控制的简单木马实现。木马编写采用C/S结构,包括服务端Server和客户端Client。Client上单击每一个按钮,就向Server端发送一个字母消息,Server端收到对应的字母消息后,用相应的函数进行判断,根据收到的具体字母,Server端调用相应的函数来具体实现每一个功能。系统客户端和服务端通信如图3-1: copyright paper51.com 图3-1系统通信 内容来自论文无忧网 www.paper51.com
copyright paper51.com |