揪出系统中秘密隐藏的木马(下)

简介:
控制面板中的木马
    控制面板是Windows的基本组件,控制面板中的各个选项实际上是以c p l为后缀名的文件单独存在的,根据操作系统的不同这些文件所在的位置也有所不同,Windows9x/Me下这些c p l文件位于Windows安装目录下的System子目录中,而WindowsNT/2000/XP下则位于Windows安装目录下的System32子目录中。这些c p l文件再加上Windows安装目录中的control.exe和control.ini文件,就是控制面板的全部组成部分。
    每一个c p l文件都对应“控制面版”中的一个选项,例如desk.c p l对应“桌面属性”、inetc p l.c p l对应“Internet属性”等等。由于.c p l文件的特殊性,需要使用RunDll32.exe来启动该文件,换句话说,控制面板中的任何一个选项都可以通过RunDll32.exe调用。RunDll32.exe是Windows动态连接库(DLL)管理工具,可以用来在命令行下执行动态链接库中的某个函数或者功能模块(DLL是Windows系统的另外一种可执行文件,是Dynamic Link Library的缩写。DLL是Windows的基础,所有的API函数都是在DLL中实现的。它本身并没有程序逻辑,只是由多个功能函数构成,不能独立运行,必须由其它进程加载并调用)。另外Windows安装文件夹下还有一个RunDll.exe,也是动态连接库理工具。虽然不同版本的Windows都提供RunDll.exe和RunDll32.exe文件,但是在WindowsNT/2000/XP下却只支持32位的RunDll32.exe,只有Windows9x/Me这种16位和32位混合使用的操作系统才同时对二者提供支持。
    下面我们看一个利用RunDll32.exe调用shell32.dll中的Control_RunDLL,来打开desk.c p l的第一个属性页的例子。点击“开始”菜单,选择“运行”,输入:RunDll32 shell32.dll,Control_RunDLL desk.c p l,,0(注意是两个逗号),回车后,将打开“显示 属性”对话框的“背景”窗口(图3)!这说明这些.c p l文件是可执行的。换个思路想一想,如果用户把一个可执行的类似动态连接库DLL的.c p l文件放入System子目录中,则在控制面板中可以看到其这个c p l文件的图标,并且是可以执行的!这里说的“类似动态连接库DLL的.c p l文件”是指这类c p l文件可以像DLL文件那样被其它进程加载并调用,就像我们刚刚看到的那里例子一样。
    用RunDll32.exe调用控制面板程序的格式如下:在“开始”菜单的“运行”中或命令行下输入:RunDll32 shell32.dll,Control_RunDLL *.c p l,,X,其中shell32.dll为被调用的DLL文件,意思为调用shell32.dll中的Control_RunDLL来打开desk.c p l文件。而“*.c p l”为你想调用的c p l文件的路径和文件名。最后的“X”为对应c p l文件的页数:从0开始,0为第一页(如desk.c p l,,0代表“显示 属性”的“背景”),1为第二页(如desk.c p l,,1代表“显示 属性”的“屏幕保护程序”),依此类推。 要注意的是:shell32.dll和Control_RunDLL两者之间只能以“,”分隔,逗号之后不能有空格,如果这里出错的话,不会得到任何提示。
    根据上面的原理,就可以自己写一个无窗口或隐藏窗口的控制面板程序,将其写进注册表的启动项,使之可以自启动。如果你编写的控制面板程序是木马的话,则不仅中木马者感到不知所然,就连木马克星等软件也会不知所措!
    具体步骤就是在注册表启动项中加入RunDll32 shell32.dll,Control_RunDll myc p l.c p l。这样,这个myc p l.c p l就会随用户机器启动的时候被调用—就象DLL文件被执行一样!注意,myc p l.c p l如果保存在默认目录中,可以不加路径直接调用,否则就要加上路径。控制面板在执行的时候会加载System子目录中的所有*.c p l文件,所以只要把这个c p l木马放在System(Win9x)或System32(Win2K/XP)子目录中就可以达到目的。要提醒大家的是,如果myc p l.c p l真是木马的话,那么别人一定会给它改个名字,或替换掉系统中那些不常用的c p l文件,使你疏于察觉。
    是不是只有把c p l文件放到System或System32子目录下才会被加载呢?不是的!如果你的控制面版程序不在Windows目录,假设在D:\ok下,而你想让它在控制面版里显示。你只要编辑control.ini文件,在[MMc p l]小节里面加入:myc p l.c p l=D:\ok\myc p l.c p l就可以了。如果不想让c p l文件显示在控制面板中该怎么办呢?依然从control.ini文件入手!打开该文件,在[don't load]小节中加入:myc p l.c p l=no,那么这个myc p l.c p l文件就不被加载了。
    如果有人利用这种方式进行攻击,防范方法是经常检查注册表的启动项,发现用RunDll32.exe调用.c p l文件的就杀无赦,斩立决!将这个注册表键值立刻删除,然后按键值提供的路径找到这个c p l文件把它删除。
    超长目录中隐藏的木马
    给我们下木马的人要想在我们的电脑中隐藏木马文件,会绞尽脑汁,利用Windows系统建立超长目录然后在其中隐藏木马就是手段之一。
    请大家和我一起做一个实验。打开“资源管理器”,在任意一个磁盘(假设是E盘)下建立一个目录,假设为good,然后进入此目录,在它的下面再建立一个子目录,假设为123,然后在123子目录下再建立一个子目录test,现在test这个目录的绝对路径就是:E:\good\123\test。接下来把你要隐藏的目录和文件都拷贝test子目录下。然后点击“向上”按钮,来到123子目录,对着它点击鼠标右键,在弹出菜单中选择“重命名”,把这个123子目录改名为1111……1111,这个“1111……1111”字串能写多长就写多长(一直按着数字键1不松手,直到没有反应为止),接下来,再点击“向上”按钮,来到最外层的good目录,用同样的办法把它也重命名,假设改名为goodluck123,现在test子目录的绝对路径就是E:\goodluck123\1111……1111\test。试试看,看你能否进入test子目录,呵呵,会出现一个提示:无法访问此文件夹,路径太长(图5)。既然在视窗界面下无法看到里面的内容,那么到DOS下试试看能否进入此文件夹,还是不行!这样隐藏在里面的目录和文件就被巧妙的隐藏起来了!谁能想到里面会有个test子目录呢?谁能想到test子目录下还有文件和文件夹呢?木马文件就这样堂而皇之的隐藏起来了!

    关于绝对路径的小提示:大家都知道,在我们平时使用计算机时要找到需要的文件就必须知道文件的位置,而表示文件的位置的方式就是路径,例如只要看到这个路径:c:/apache/cgi-bin/image/photo.jpg我们就知道photo.jpg文件是在c盘的apache目录下的image子目录中。类似于这样完整的描述文件位置的路径就是绝对路径。
    为什么会这样呢?其实,这只是利用了Windows系统的一个小Bug,这个Bug就是Windows目录的绝对路径是不能超过254个字符的,如果你建立的目录的绝对路径超过254个字符的话,系统是绝对看不到的。反过来讲,系统也不允许你直接建立一个超过绝对路径长度超过254个字符的目录,而我们前面所做的就是迂回建立了一个目录,其绝对路径超过了254个字符,所以别人就无法访问其里面包含的子目录和文件了,这样变相地把目录和文件隐藏了起来!更妙的是整个目录根本无法直接删除,不信试试看,会弹出一个窗口,提示我们:无法删除*.*:找不到文件,请确定指定的文件名是否正确。换到DOS下试试也无法删除该目录,再试试工具软件WindowsCommander等同样无法删除该目录!哈哈,没想到还多了一层保护哦。当然,如果你真的想删除该目录的话,我们也有办法,继续往下看就知道怎么办了。
    让我们再用其他软件来检验一下利用这种方法隐藏木马的效果如何。大家知道,一般的隐藏文件或目录的方法,如特殊空格法、给文件夹设定空白图标法、修改注册表隐藏目录法等,都会在文件管理软件WindowsCommander、看图软件ACDSee或压缩软件WinZIP或WinRAR中显露原形!而用本方法隐藏的目录不会被显示在上述软件中,它们只能看到受保护文件夹的上一层目录,而无法看到里面隐藏的内容!以ACDSee为例,打开ACDSee,可以看到它的界面与资源管理器很相似。左上窗口有Windows树型目录结构,右边主窗口能显示文件夹中的文件,包括具有“隐藏”属性的文件。找到我们隐藏目录和文件的那个E盘,看,根本无法看到goodluck123文件夹里面的test目录(图6)!同理,使用杀毒软件也无法扫描该文件夹的内容,而且在资源管理器中是无法删除该目录的,所以说这种方法对木马来说是一种非常好的保护方法!

    为了更好的隐藏木马文件,对方还会在此方法的基础上略微变通一下,这样隐藏效果就会更好!首先,对方会进入C:\recycled(即回收站)目录下,用文中刚开始提到的方法建立超长目录,并把要隐藏的木马文件移动到其中,选定这些文件后按右键在弹出菜单中选择“属性”,将其属性设置为“隐藏”,这样在Windows就看不到这些文件了,并且清空回收站也依然还存在!是不是非得利用回收站才可以呢?当然不是!只要是特殊文件夹就可以起到和回收站同样的功效,如c:\windows\fonts等,所以你也可以把秘密文件和目录放到系统字体目录下。
    接下来修改一下注册表,让文件更彻底地隐藏起来。在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,修改DWORD值CheckedValue的键值为0(默认为1,如果没有该DWORD值可以新建),如图所示(图7),关闭注册表编辑器,按F5键刷新桌面。现在这些文件隐藏得就更深了,不信你可以看看,看能否看到它们:进入“我的电脑”中,点击“工具”→“文件夹选项”→“查看”→“显示所有文件和文件夹”(图8),本来这样可以查看所有隐藏的文件,但进入隐藏文件的那个回收站后,什么也没有发现
利用这种方法隐藏目录和文件,非常巧妙,原因有三:一是别人想不到回收站中藏有秘密;二是修改注册表后这些隐藏起来的文件和目录更隐蔽了,在Windows下根本发现不了!三是即便发现了这些隐藏的目录和文件,也会由于绝对路径太长而无法进入该目录查看文件!有此三重保护,木马文件在我们电脑中就会“安居乐业”了,所以我们更要小心了!
    对方要在我们的电脑中建立如此特殊的目录,必定要远程操作才可以,所以只要平时能及时给系统打补丁,把系统漏洞都堵上,再安装上网络防火墙,不随意浏览不了解的网页,不随意查看陌生的电子邮件,对普通用户来说就会安全多了。如果发现系统中有这样特殊的文件夹存在,只要给最外层的目录改名,比方说将goodluck123改名为g,然后就可以进入下一级目录,进而可以进入test子目录!当然,你也可以自己编写一个程序,来读这个目录。既然可以进入该目录了,说明所有的限制都自动取消了,这样就可以删除该目录及其中的文件了。
    木马对文件关联的利用
    在注册表HKEY_LOCAL_MACHINE\Soft-ware\Microsoft\Windows\CurrentVersion\Run下可以加载程序,使之开机则自动运行,类似“Run”这样的子键在注册表中还有几处,均以“Run”开头,如RunOnce、RunServices等。其实,除了这几种方法,还有一种修改注册表的方法可以使程序自启动。具体说来就是更改文件的打开方式,这样就可以使程序跟随你打开的那种文件类型一起启动!举个例子,打开注册表,展开注册表到:HKEY_CLASSES_ROOT\exefile\shell\open\command,这里是EXE文件的打开方式,默认键值为:"%1\" %*。如果把默认键值改为:Trojan.exe "%1\" %*,则你每次运行EXE文件,这个Trojan.exe文件就会被执行!木马“灰鸽子”就可以关联EXE文件打开方式,而大名鼎鼎的木马冰河采用的是与此相似的一招——关联TXT文件!目前这样的文件关联木马越来越多,有呈普遍化之趋势。当然,木马们更改的打开方式不一定只是EXE或TXT文件,其它文件的打开方式也可以这样修改。
    对此的防范方法就是经常检查注册表,看文件打开方式是否发生了变化。如果发生了变化就将打开方式改回来。最好能经常备份注册表,发现问题立即用备份文件恢复注册表,既方便快捷又安全省事。
    木马对设备名的利用
    大家知道,在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn等,但Windows2000/XP有个漏洞可以用设备名来命名文件或文件夹,这样木马就可以躲在那里而不会被我们发现!
    具体方法是:首先,点击“开始”菜单的“运行”,输入cmd.exe回车进入命令提示符窗口,然后输入md c:\con\\\命令可以建立一个名为con的目录!而默认请况下Windows是无法建立这类目录的,正是利用了Windows的漏洞我们才可以建立此目录。再试试其他设备名也一样可以建立,而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中,从而达到隐藏、保护木马文件的目的!
    现在我们可以把文件复制到这个特殊的目录下,当然不能直接在Windows中复制了,必须用特殊的方法,在CMD窗口中输入如下命令:copy muma.exe  \\.\c:\aux\\就可以把木马文件muma.exe复制到C盘下的aux文件夹中,然后点击“开始”菜单中的“运行”,在“运行”中输入c:\aux\muam.exe\就会成功启动该木马!不过如果你试图在资源管理器中删除它,会发现这根本就是徒劳的。Windows会提示找不到该文件(图9)!怎么样,这样隐藏的木马不容易被发现吧?
    由于使用"del c:\aux\\命令可以删除其中的muma.exe文件,所以为了达到更好的隐藏和保护效果,下木马者会把muma.exe文件也改名,让我们删也不好删!具体方法就是在复制木马文件到aux文件夹时使用如下命令:copy muma.exe  \\.\c:\con.exe\,就可以把木马文件muma.exe复制到aux目录中并且改名为con.exe,而con.exe文件是无法用普通方法删除的!这样就又多了一层保险,对我们普通用户来说就又多了一层危险。
    可能有的朋友会问:这个con.exe文件在“开始”菜单的“运行”中无法运行啊,很简单,只要在命令行方式下输入cmd /c  \\.\c:\con\,就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过,下木马者一般来说会对其进行改进。
    其实,对于这种隐藏木马的方法,一般说来只有能物理接触你的电脑的人才能做到,相对来说比较麻烦。对于这类特殊的文件夹,在发现后我们可以采用如下方法来删除它:首先,用del  \\.\c:\con.exe\命令删除con.exe文件(该文件假设就是其中的木马文件名),然后再用rd  \\.\c:\aux\命令删除aux文件夹即可。


本文转自 goldwinner 51CTO博客,原文链接:http://blog.51cto.com/355665/88323,如需转载请自行联系原作者
相关文章
|
3月前
|
存储 SQL 安全
【恶意代码系列】一.何谓恶意代码
【恶意代码系列】一.何谓恶意代码
|
监控 安全 网络协议
黑客控制肉鸡三大利剑工具一次性全部学会
黑客控制肉鸡三大利剑工具一次性全部学会
387 0
|
安全 C#
[病毒分析]远程木马创建傀儡进程分析(下)
[病毒分析]远程木马创建傀儡进程分析
204 0
 [病毒分析]远程木马创建傀儡进程分析(下)
|
监控 安全
【号外】-watchbog挖矿中毒记
阿里云服务器CPU负载达到90%以上,云监控频繁报警,过段时间服务器死机
【号外】-watchbog挖矿中毒记
|
SQL 安全 关系型数据库
网站被黑客敲诈勒索的处理办法
我有个好兄弟也是做程序代码的,他前天突然跟我说他之前接的一个私活网站,突然被黑客入侵了,拿着数据库管企业老板要挟要钱,不给钱的话说要把数据全删了,因为我本身就是做网站漏洞修复的服务商,有安全漏洞的问题,好兄弟都会想到我,他很奇怪,因为用的mysql数据库,数据库3306那个端口没对外开放,怎么会被人把这个数据库入侵了,我一猜我就说那肯定是这个数据库被别人Sql注入漏洞攻击了。通过了解知道网站用的是PHP脚本开发的,因为目前PHP很多源码都是存在一些漏洞的。
503 0
网站被黑客敲诈勒索的处理办法
|
安全 API
[病毒分析]远程木马创建傀儡进程分析(中)
[病毒分析]远程木马创建傀儡进程分析
304 0
[病毒分析]远程木马创建傀儡进程分析(中)
|
安全 API
[病毒分析]远程木马创建傀儡进程分析(上)
[病毒分析]远程木马创建傀儡进程分析
383 0
[病毒分析]远程木马创建傀儡进程分析(上)
|
Web App开发 安全
警惕潜伏的“窥秘者”木马盗取用户私密信息
卡巴斯基实验室最近检测到一种名为“窥秘者”木马(Trojan.Win32.Agent.cgjo)的恶意软件。 该木马采用Upack加壳,一般通过网页挂马等方式感染用户计算机。它感染用户计算机后,会释放一些恶意程序到用户磁盘并运行,同时删除自身,使用户不易察觉到已经感染恶意软件。
1089 0
|
安全 Windows
蠕虫创建多重替身 利用伪装术迷惑用户
        蠕虫W32.Korron.B可谓“功能”繁多,创建多重替身、善于伪装的特点令用户难以察觉。  病毒名称:W32.Korron.B  病毒类型:蠕虫  受影响的操作系统:Windows 2000/XP/Vista/NT、Windows Server 2003  病毒分析:  修改系统设置、替换特定文件、结束杀毒软件进程—W32.Korron.B蠕虫可谓“功能”繁多;创建多重替身、善于伪装的特点也令用户难以察觉该蠕虫在系统中的存在和危害。
859 0
|
安全 网络协议 开发工具
想要成为黑客?那你需要学会这些知识
想要成为黑客?那你需要学会这些知识
1476 0