反弹型木马原理
目前反弹型木马非常流行,这类木马与传统的远程控制软件相反,进行C/S(客户端/服务器)的反向连接。当木马服务端被种植到他人的机器中,服务端运行后,会动态分配一个端口,主动连接客户端(黑客)的80端口,如果你用“netstat-a”命令检查,将显示“TCP 本机IP:2513 远程IP:80 ESTABLISHED”类似的数据,好象是在浏览网页,因此防火墙也不会阻挡这种非法连接,给木马的防范带来了困难。
软件小资料
软件版本:灰鸽子(牵手2004)
软件大小:2008KB
一、生成木马的服务端
打开下载文件,你会发现灰鸽子只有控制端程序,并没有现成的服务器端程序,现在流行的木马都是这样,需要我们动手生成木马的服务端,然后把它种植到被控制者的机器中。下面我们来生成木马的服务端:
运行灰鸽子,在主界面点击“配置服务程序”命令,弹出“服务端配置”画面,单击“连接类型”选项卡,可以选择与木马服务端的连接方式。如果你想生成普通木马,可以选择“主动连接型”,这样木马运行后、就会打开别人机器上的TCP:2513端口监听,等待你的控制连接,这是传统的木马,很容易被人发现。如果你选择“自动上线型”,则生成反弹型木马,然后在“URL转向域名”、“DNS解析域名”、“网页文件”三项中任填一个,例如在“URL转向域名”栏中,填入你事先注册好的域名http://lacl.icpcn.com
接下来单击打开“安装信息”选项卡,在“安装路径”栏选择“SystemDIR”,把木马服务端安装在他人硬盘的系统目录(winxp为Windows\system32,WinMe/98为Windows\system)下,你也可以选择WindowsDIR或tempDIR,把服务端安装在其他位置;在“安装名称”栏输入“G.jpg.exe”,给服务端程序起个名字;勾选“自动删除安装文件”。
单击打开“启动项目”选项卡,设置木马服务端在他人的机器上如何自启动,建议全勾选,这样在Win9x下会写入注册表启动项,winxp/2000下会安装成Hgz_Server服务启动,你可以更改服务的显示名称(默认为Hgz_Server),应该把“描述信息”删空。
单击打开“绑定文件”选项卡,勾选“每次启动自动加载”,单击“文件路径”右边的小按钮,选择一幅图片(例如banner.jpg),然后按“增加”按钮,把木马服务端与该图片绑定,最后选择保存路径,按“生成服务器”,木马服务端安装文件就产生了。以后只要你单击这个安装文件,就会中了木马!表现为显示刚才绑定的图片,同时木马服务端将悄悄地安装在你的硬盘中。
二、把木马植入他人的电脑中
现在我们要把木马服务端投到别人的电脑中。种植木马的方法有很多,例如Email夹带,把服务端作为附件寄给对方;建一个网站,伪装成XXXX软件的破解版,引诱他人下载服务端文件;通过系统漏洞入侵他人电脑,把木马服务端传过去;把服务端伪装后放到自己的共享文件夹,欺骗网友用P2P软件下载并运行之。下面我们以Email夹带为例,介绍种植木马的方法。
首先启动Outlook等Email软件,撰写一封新邮件,将刚才生成的木马服务端安装文件压缩成一个文件,放到邮件的附件中,编写一个诱人的主题,例如“惊天消息:大兴安岭抓住外星人,请看现场照片……”,对方收到邮件后,如果好奇打开附件、单击该木马安装文件,就会显示绑定的图片,其他什么现象也没有,重新启动系统后,木马服务端就种植成功了。
三、远程控制对方
以上投毒成功后,控制对方的电脑就很容易了,只要使用客户端即可。由于是反弹型木马,所以服务端上线后会自动连接客户端,此时你可以启动灰鸽子,操控客户端对服务端进行远程控制。在软件主界面列表中,随便选择一台已经上线的电脑,然后单击打开选项卡对这台电脑进行分类控制,选项卡有“文件管理器”、远程控制命令、注册表模拟器、远程监控、文件传输管理、命令广播。
文件管理器:在该选项卡中,你可以随意的下载对方机器中的文件,而且还支持断点传输。你可以象操作“Windwos资源管理器”那样,下载、新建、重命名、删除对方电脑中的文件,还可以把对方的文件上传到FTP服务器上保存。
远程控制命令:在这里,你可以查看对方的系统信息、剪切板中内容;查看、终止对方的进程,例如发现有杀毒软件或防火墙,即可终止对应的进程,以便保护服务器端;你可以启动、关闭对方的服务;查看对方共享的信息;关闭或恢复对方的程序窗口;远程运行DOS命令控制对方,卸载、重新加载服务端,远程关机或重启等。
远程监控:这里你可以启动语音监听、或发送,如果对方有麦克风,你就可以听到他们的谈话,而且你还可以向对方发送文字信息。
四、木马服务端的加壳保护
KV2004等杀毒软件(最新的病毒库)很容易发现、查杀以上木马,为了逃避杀毒软件的查杀,你可以使用压缩软件对木马服务端进行加壳保护,目前加壳的软件有很多,例如ASPack、ASProtect、UPXShell、Petite等。下面我们就以ASPack为例,介绍给木马加壳的方法:
启动ASPack,点击“open(打开)”按钮,选择要加壳的木马服务端程序,ASPack就会自动进行加壳。加壳完成后,杀毒软件就不能查杀该木马了。假如杀毒软件依旧可以查杀,你可以使用其他压缩软件(例如ASProtect)对服务端再次加壳,这样处理之后,杀毒软件一般不可能再查杀原来的木马了。
五、灰鸽子的手工清除
机器里中了灰鸽子之后,如果是WinMe/9x系统,木马会修改注册表自启动项,手工清除方法:首先要禁止它开机自动运行,点开始/运行,输入msconfig点确定,在系统配置实用程序中选“启动项”,然后把SVCHOST前面的勾去掉,点确定后退出;接下来在运行中输regedit进入注册表,查找SVCHOST(注意是大写的),删除找到的SVchost.ini、mapis32a.dll、%systemroot. |
