教你利用个人主机进行网络入侵
2009-06-12 16:54:55 来源:WEB开发网特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系 统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统 。实际上,对于各种个人主机,在未开放端口和打全补丁后,最有效的攻击方式还是“木马 ”程序。攻击者往往利用捆绑方式将木马程序与一个普通的EXE文件、JPG或其他正常文件绑 定在一起,并利用“社会工程学”的方式,欺骗对方执行程序、查看图片等。在对方执行程 序、打开图片后,木马程序就悄无声息在用户的PC上执行,并将用户的一些相关信息通过 EMAIL或其他方式发送给攻击者,而攻击者则可以通过木马程序实施对用户电脑的控制,比 如控制文件、注册表、键盘记录甚至控制屏幕等。
在早期,木马程序程序隐藏的并不深,通过查看任务管理器就会发现系统内存在不明程序在 运行,并且木马程序还会在用户主机上监听特定端口(如冰河的7626),等待攻击者的连接 。典型的早期木马如BO、BO2000、SUBSERVEN、国产的经典木马“冰河”等……这种方式的 木马容易被发现,而且被攻击目标也必须连接在公网上,因为客户端是无法透过NAT、防火 墙连接到内网的用户的。
反弹端口类型木马,“广外女生”木马是国内出现最早反弹端口类型的木马,这个木马与传 统的木马不同,它在执行后会主动连接外网的攻击者的相关端口,这种方法就避免了传统木 马无法控制内部用户的弊端(因为防火墙一般不会对内部发出的数据做控制)。此外,“广 外女生”还会自动杀掉相关杀毒程序的进程。
传统木马在执行后会作为一个进程,用户可以通过杀掉进程的方法关闭,而现在的木马则会 将自己注册一个系统服务,在系统启动后自动运行。甚至会通过DLL注入,将自己隐藏在系 统服务身后。这样用户查看进程的时候既看不到可疑进程,也看不到特殊服务……典型代表 “灰鸽子”“武汉男生”。
更多精彩
赞助商链接