|
|
域名空间 下载中心 社区论坛 信息公告 my小屋 | |
 |
联系我们 设为首页 加入收藏 |
 |
|
 |
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿 论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图 专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版 社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 网络赚钱 | 网站地图 | 广告服务 | 服务 |
 |
 |
 |
 当前位置:首页>>网络安全>>黑客技术>>正文 |
新版上线![旧版] |  |
|||
注:打开慢时请稍等
|
虽然没有绝对的安全,但如果能知已知彼,了解木马的隐藏手段,对于木马即使不能百战百胜,也能做到及时发现,使损失最小化。那么,木马究竟是如何躲在我们的系统中的呢? 最基本的隐藏:不可见窗体+隐藏文件 木马程序无论如何神秘,但归根究底,仍是win32平台下的一种程序。windows下常见的程序有两种: 1.win32应用程序(win32 application),比如qq、office等都属于此行列。 2.win32控制台程序(win32 console),比如硬盘引导修复程序fixmbr。 其中,win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马,于是便出现了下面要介绍的“进程隐藏”技术。 第一代进程隐藏技术:windows 98的后门 在windows 98中,微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为registerserviceprocess。只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程在windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。 要对付这种隐藏的木马还算简单,只需使用其他第三方进程管理工具即可找到其所在,并且采用此技术进行隐藏的木马在windows 2000/xp(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术,就没有这么简单对付了。 第二代进程隐藏技术:进程插入 在windows中,每个进程都有自己的私有内存地址空间,当使用指针(一种访问内存的机制)访问内存时,一个进程无法访问另一个进程的内存地址空间,就好比在未经邻居同意的情况下,你无法进入邻居家吃饭一样。比如qq在内存中存放了一张图片的数据,而msn则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性,如果你的进程存在一个错误,改写了一个随机地址上的内存,这个错误不会影响另一个进程使用的内存。 你知道吗——进程(process)是什么 对应用程序来说,进程就像一个大容器。在应用程序被运行后,就相当于将应用程序装进容器里了,你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的dll文件等),当应用程序被运行两次时,容器里的东西并不会被倒掉,系统会找一个新的进程容器来容纳它。 一个进程可以包含若干线程(thread),线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件,另一个则接收用户的按键操作并及时做出反应,互相不干扰),在程序被运行后中,系统首先要做的就是为该程序进程建立一个默认线程,然后程序可以根据需要自行添加或删除相关的线程 1.进程插入是什么 独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说,系统更容易捕获随意的内存读取和写入操作。对于用户来说,操作系统将变得更加健壮,因为一个应用程序无法破坏另一个进程或操作系统的运行。当然,操作系统的这个健壮特性是要付出代价的,因为要编写能够与其他进程进行通信,或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限,访问另一个进程的地址空间,那就是“进程插入”(process injection)。一旦木马的dll插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,比如下文要介绍的盗qq密码。 2.木马是如何盗走qq密码的 普通情况下,一个应用程序所接收的键盘、鼠标操作,别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个dll文件插入到qq的进程中并成为qq进程中的一个线程,这样该木马dll就赫然成为了qq的一部分!然后在用户输入密码时,因为此时木马dll已经进入qq进程内部,所以也就能够接收到用户传递给qq的密码键入了,真是“家贼难防”啊! 3.如何插入进程 (1)使用注册表插入dll 早期的进程插入式木马的伎俩,通过修改注册表中的[hkey_local_machine\software\microsoft\windows nt\currentversion\windows\appinit_dlls]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。 (2)使用挂钩(hook)插入dll 比较高级和隐蔽的方式,通过系统的挂钩机制(即“hook”,类似于dos时代的“中断”)来插入进程(一些盗qq木马、键盘记录木马以hook方式插入到其他进程中“偷鸡摸狗”),需要调用setwindowshookex函数(也是一个win32 api函数)。缺点是技术门槛较高,程序调试困难,这种木马的制作者必须具有相当的win32编程水平。 本新闻共2页,当前在第1页 1 2 编辑:黑鹰 [发送给好友] [打印本页] [关闭窗口] [返回顶部] 上一篇:2005年恶意程序的六大创新与突破 下一篇:趣话电脑病毒19年发展历史及防护 转载请注明来源:www.iyit.net 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
| 相关文章 | ||||
| 友情链接 | ||||||
 |
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |  |
| |||||||
易特网络技术