透过孩子的眼神,让我相信这个世界上还有着纯真。 收藏本站
登陆 / 注册 搜索

阅读: 3.9K   回复: 3

[# 系统基础] 黑客常用兵器之木马篇(上)

小执念 古黑浩劫论坛大牛 2015-11-23 07:31 |显示全部楼层

可遇不可求的事:故乡的云,上古的玉,随手的诗,十九岁的你。

管理员
1 j6 G  J' E1 L
  f5 R9 @3 d: ^
 “我知道远程控制是种武器,在十八般兵器中名列第七,木马呢?” 2 s7 F" a$ w' }. k7 o6 X& `
  “木马也是种武器,也是远程控制。”
; s# ~6 q. A6 `  m# A% X  “既然是远程控制,为什么要叫做木马?”
4 o) ]- ~4 [  t- V" ^  “因为这个远程控制,无论控制了什么都会造成离别。如果它钩住你的E-Mail,你的E-Mail就要和你离别;如果它钩住你的QQ,你的QQ就要和你离别。”
( I6 W" C7 O" R- L3 l  e  “如果它钩住我的机器,我就和整个网络离别了?” 0 j% S# `5 x/ `, r/ h) R. |& \+ \
  “是的。” 4 H+ W( u' W4 d  u  t
  “你为什么要用如此残酷的武器?”
  ?, D/ e/ d1 K; i' M; U  “因为我不愿被人强迫与我所爱的人离别。” 3 E. d7 a5 O% X( Y) K' z; a
  “我明白你的意思了。”
2 q1 G# M, g# i4 q# ~& _  “你真的明白?” 2 m& q( b! P, C! R: t# J" T. e4 _
  “你用木马,只不过为了要相聚。” 0 L$ c7 \" J5 J
  “是的。”
& \* e; D, d4 w8 S9 b. p& i( i' j4 D3 }) u' t8 W1 _; J
  一 ( @+ J( Z/ A" }/ r8 a0 k! J8 X

, ]  Y% c- s/ i5 q/ f" X" W  在众多的黑客武器中特洛伊木马(Trojan horse)这种攻击性武器无论是菜鸟级的黑客爱好,还时研究网络安全的高手,都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具,木马的威力要比其他的黑客工具大得多。
) B7 L# j0 ?; C, _

+ C0 @7 k3 G% R+ e
黑客常用兵器之木马篇(上) muma007.jpg
/ `+ n  o; d. j% u; g' x7 J' |

! Q, w7 @/ R3 v0 a- {6 t- ?* E  “木马既然如此有效,为何在Hacker兵器谱中排名靠后?”

4 S0 U4 ^" {1 ~* a2 ~
/ X8 {, P0 f: a, P. y  “因为使用木马往往不是很光明正大。” 4 J& n& T7 s, z$ U& d# u6 G1 O. A
% C% E3 S+ V$ {2 e' f/ ]  |0 T
  “哦?为何?”
  L( Q  ^/ C1 w" M8 q9 e$ `0 @* r  |' |- O: ?; u" h
  “在使用木马的人群中菜鸟黑客居多,他们往往接触网络不久,对黑客技术很感兴趣,很想向众人和朋友显示一番,但是去驾驭技术不高,不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现,多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了,他们通常会在得到一个服务器权限的时候植入自己编写的木马,以便将来随时方便进出这台服务器。”
3 ~2 p  v- \( x5 T; U
2 Z9 K5 R" K% e' k$ g, U% S  “但如此一来木马的名声不就随之降低了吗?” " ^) h  q6 m5 u( o  ~

/ x* Z2 P: W3 [  “是的,所以现在的黑客高手都耻于用木马,更耻于黑个人的计算机。”
2 U5 f8 Y1 ?; X
% U, c9 R7 ~- Q0 o  “不过木马在很多人的眼中仍然是一等一的绝好兵器。” % z/ Y4 X( @, z% _' j7 x, b
在众多的木马之中Cult of Dead Cow开发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上开发的,但是他最大的改动就是增加了对Windows NT服务器系列的支持。作为微软的高端产品,BO2000的这个功能无疑对Windows NT来说是致命的,就Windows NT本身而言,由于硬盘采取了NTSF的加密,普通的木马,包括冰河也无法控制,当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT转化为NTSF的格式下才会比较好用一些。 8 S) c6 Q9 \) q2 ^8 v# o

' V+ C' T/ M) y  而正因为如此BO2000才深得黑客高手的喜爱,因为他们感兴趣的也只有服务器,也只有Web Server才能够提起他们的胃口,那是一种来自深层感官的刺激。 : g2 e" Z! v+ R
# B" H, T, I' ^
  通常情况下木马大致可分为两个部分:服务器端程序和客户端程序。服务器端通常就是被控制端,也是我们传统概念上的木马了。
+ o( _/ M. F6 R8 L
# e# S8 i! g5 W. y! H7 `  二 - V, |2 r$ \( @, v' i

5 }3 N; x! f! Y0 K; h  “你说BO2000好,但是绝大多数的杀毒招数都能够沟将其制服,而且我感觉他在使用上不如我手里的冰河锐利,况且我也不想黑什么服务器。我认为,个人电脑中隐藏有更大的宝藏,而且个人电脑脆弱的我能够利用任何一种方法摧毁它。
  x* K: p* \' J: m6 n+ p" |& B
  x# ~$ i# ?8 {1 l. W2 s  “你说的很对,冰河确实锐利,而且称霸中华江湖一年之久,也可谓武林中少见的好兵刃,但是兵器虽然锋利,但兵器在打造的时候却留下来一个致命的缺点,这也是木马冰河为何在武林衰败的原因。”
! |+ r/ D) V( z5 I5 ^3 ]) a" K2 s
  “这是一个什么样的弱点那?竟然如此致命?”
6 U9 A4 S- j( {; D
% h$ q' l8 `- C5 Y  “呵呵,说白了也很简单,冰河的作者在打造冰河2.X版本时就给它留下了一个后门,这个后门其实就是一个万能密码,只要拥有此密码,即便你中的冰河加了密码保护,到时候仍然行同虚设。”
1 T) z1 N" P4 e0 z: e1 Z
( o1 K) i6 h  j( R# D1 ^9 d% T9 v% r  “什么!真有此事?想我许多朋友还因为冰河好用把它当作了一个免费的远程控制程序来用,如此这般,他们的机子岂不暴露无遗?” 8 u, ~# ^, ^$ \# M$ r

! Y" |" j, M! m/ h; J- t  “呵呵,在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么,多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手,致命的一招。冰河的作者当然也不例外,而且由于作者钟爱许美静,所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。” 4 O: j% q* f- l0 a1 C3 J

1 l7 s( d. ~5 u9 F2 B0 ]  “噢?万能密码?” / p- i1 d! L$ @

6 R4 X% D2 s1 R7 X( G7 D- z8 O4 H  “通常黑客在植入冰河这种木马的时候,为了维护自己的领地通常的要为自己的猎物加一个密码,只有输入正确的密码你才能够正常的控制对方的计算机,但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码,就像万能钥匙一样。冰河各版本的通用密码: # @$ |1 C& N& `8 j' I3 N- K& H4 ?
0 z4 P% g6 _3 Q' b3 R
  2.2版:Can you speak Chinese?
) g4 ^6 r* _6 }& C" H' y) N. U. D  2.2版:05181977
) S3 b/ w# w# S( X7 ?) W2 g  3.0版:yzkzero!
6 D1 @7 R" Z5 f; Q7 f  4.0版:05181977 ' l7 v! {+ I. r: Y0 ]2 E1 i
  3.0版:yzkzero.51.net / n4 k0 E+ B7 U1 P7 }+ E1 S3 z
  3.0版:yzkzero! ' i" T4 m* N& [; ?* t, Z
  3.1-netbug版密码: [email protected]
' g( w2 w3 Y( ^5 `0 @. d) q  2.2杀手专版:05181977 & ~* B! u- B2 i) O$ h% \
  2.2杀手专版:dzq20000! - T7 Y# ?2 G8 u
% {) L3 u) w0 D4 D- F" N2 y& l7 d
你可以试试看,是不是很轻松的就能够进入任何一台有冰河服务器端的电脑?” ( N7 h8 u( D: x" N8 w7 z
# T3 L0 p7 ?- W
  “真的进入了,果然有此事情,怪不得现在很多人都不再使用冰河。” $ Y+ P. d4 R* ]0 ^1 A, b1 U2 B

6 M) m# Q; I# G4 J. u9 Y  “此外冰河还存在着两个严重的漏洞:
$ j0 I8 R! P  B7 I' q4 x
" B# r# g) @  o$ \! h  漏洞一:不需要密码远程运行本地文件漏洞。 * z; o/ E& z" F0 Y$ _8 e5 [
* S+ P/ o, S7 w/ E) k. ~/ o: y
  具体的操作方法如下:我们选择使用相应的冰河客户端,2.2版以上服务端用2.2版客户端,1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client,进入文件管理器,展开“我的电脑”选中任一个本地文件按右键弹出选择菜单,选择“远程打开”这时会报告口令错误,但是文件一样能上传并运行。 # ~8 I0 n, R: @0 z$ |3 _+ K1 y
3 x. k# w/ q* Q# w, N6 Y
  任何人都可以利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了,如果你高兴的话,还可以上传病毒和其它的木马。
# E* R8 }, L4 m
. ~7 j9 Q/ G# ^  漏洞二:不需要密码就能用发送信息命令发送信息,不是用冰河信使,而是用控制类命令的发发送信息命令。”   k0 j1 Y! }- T, D  [) k/ ?2 I; a* Q
4 m0 B4 h3 Q! J! F1 m% x
  “当然这的确是一个原因,但更主要的是现在的多数杀毒软件都能克制冰河。” # L6 k4 k: M( z  s0 }1 b
' j2 X1 c% m6 |0 _
  三 / k- G" Q* B& Y( J( \4 l4 U6 J8 E
# k( x9 F  h* v/ x6 E1 V" q
  木马通常会在三个地方做手脚:注册表、win.ini、system.ini。这三个文件都是电脑启动的时候需要加载到系统的重要文件,绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马,木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上。如果木马捆绑到一般的程序上,启动是不确定的,这要看目标电脑主人了,如果他不运行,木马就不会进入内存。捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。
" K* D( Q/ E' j0 c- R
, {2 P( `4 W  T1 n% Y! ~) F9 L& ~% \  “在众多木马中,大多数都会将自己隐藏在Windows系统下面,通常为C:\Windows\目录或者C:\Windows\system\与C:\Windows\system32下隐藏。” 5 \0 X& p5 N2 d) V- t/ H
, i, P: P* p8 l
  “众多的目录中为何选择这两个目录?”   B- G' N. G) {+ U# ~* O* {- m
) ^/ X& f1 ?0 a& W  \
  “呵呵,当然是为了便于隐蔽。通常这几个目录为计算机的系统目录,其中的文件数量多而繁杂,很不容易辨别哪些是良性程序哪些是恶性程序,即便高手往往也会有失误删除的情况。而且,即便放置在系统目录下,就多数为重要的文件,这些文件的误删除往往会直接导致系统严重的瘫痪。”
  u. _$ l+ f  s8 M3 s; i8 Q: r5 |$ l
  “原来如此。”
& v/ ?1 n7 C! H+ c% E* p. D3 x7 S3 `0 f
  “前辈,木马冰河是否也做了这些手脚?”
2 y$ J% a; u2 d- c/ I9 M; u# Q' j" f
8 X! n  P1 o2 x4 t  “这是自然,木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先,冰河会在你的注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 键值中加上了\kernl32.exe(是系统目录),
( U/ x4 N" L4 H/ T% q# z$ Y$ }
6 ]& F( ~2 K! P2 t: _  §c:\改动前的RUN下 ! b- {0 T: q5 S" o( j: S' h
  默认="" ! l& }' V" q2 v: ]
  §c:\改动后的RUN下
) t4 i: o, a$ T0 i9 o0 i( Z  默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" 3 b/ D  a" }4 V2 k0 ?
  §c:\改动前RunServices下
' q3 E- d  l5 l/ I# a' N5 \0 u7 l  默认="" 3 q, R3 @, s3 G5 h  ]8 e
  §c:\改动后RunServices下 # Z5 Y5 C; x" E% i  N/ ?9 ~9 z
  默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"
" [9 g0 Q4 u# h6 |- I  §c:\改动前[  HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的: 6 t% q8 y, L7 ^; R: s% I# [! O
  默认="Notepad.exe %1"
' _: k- Y  [  Q) h9 z  l4 T8 h  §c:\改动后[  HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的: - M& i; d  K  [9 Q4 ?, w3 o
  默认="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1"
, \+ f$ D$ e* u
8 s2 ?# k( ]# X可以看出之所以冰河可以自我恢复主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe,而且冰河服务器端的编制是加密的,没法简单的通过改注册表得到或换掉。另外值得一提的是,即便你删除了这个键值,也并非平安大吉,冰河还会随时出来给你捣乱,主要因为冰河的服务端也会在c:\windows目录下生成一个叫 sysexplr.exe文件,当然这个目录会随你windows的安装目录变化而变化。
' e- u8 O3 Q0 E' V% |3 h6 t" @+ b- o- H, ?6 {5 n, Q


清风徐来 「龙战于野」 2016-7-25 09:41 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

这样偷看别人隐私真的好吗?
渡年 「出类拔萃」 2018-5-3 16:19 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

锄禾日当午,发帖真辛苦。谁知坛中餐,帖帖皆辛苦!
锁上的光 「出类拔萃」 2018-5-7 06:50 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

非常好,顶一下
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2020-10-24 10:32 , Processed in 0.032763 second(s), 21 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表