4.3 木马隐藏分析

一、预备知识：木马的隐藏方式

木马一般采用本地隐藏和通信隐藏两种方式：

1、本地隐藏

早期木马将自己设置为隐藏文件，或者命名为系统文件，但是这些方法已经能够被绝大多数安全软件很容易发现，为了自身的存在，木马必须寻找更隐蔽的隐藏方式。本地隐藏方式可以分为以下几种类型：

（1）寄宿隐藏。寄宿隐藏是将木马程序隐藏在正常程序中，程序成为了木马的载体，对于一些不熟悉操作系统工作机制或粗心的用户比较有效。

（2）变化隐藏。变化隐藏则是在不改变环境的情况下进行自我变化，通过更改文件名、时间、注册表等方式来迷惑目标用户。

（3）协作隐藏。协作隐藏则将木马分成几个部分隐藏在不同位置，相互监视协助，是一种较为顽固的木马，全面查杀存在一定的难度。

2、通信隐藏

通信端口会暴露木马的存在，因此木马将控制端设置为服务端，通过控制端主动检测并进行通信，能够绕过防火墙。通过建立触发机制，当服务端运行网络程序后木马会取得系统控制权，通过端口完成外部通信。

二、实验环境

攻击机：win 7、上兴远程控制

靶机：win xp

三、实验步骤

1、正常登录攻击机与靶机，分别使用“ping”命令测试对方IP地址的连通性；

2、生成木马服务端程序。在攻击机上，运行上兴远程控制软件，打开如下操作窗口。

3、选择“文件”——“配置服务程序”选项，打开如下所示对话框。在“IP通知http访问地址、DNS域名解析或静态IP”栏填写攻击机IP，其他信息的填写，参考“填写1说明”。

4、单击“生成服务端”按钮，将生成木马程序。通过共享文件夹将生成的程序发到靶机上。

注：如果安装文件夹里面有破解文件，需要破解，再运行上兴远程控制！

5、在靶机中运行服务端程序，使得木马植入靶机，接受控制端控制；

6、在靶机上运行“任务管理器”，并不会发现木马程序对应的进程，但是会发现有两个进程很可疑，因为靶机上没有运行这两个进程。这两个进程存在的原因是：制作木马时选择了插入相关进程，从而实现进程的隐藏。

7、也可以用Wsyscheck查看靶机进程。（个人感觉IceSword好用些）

8、手动卸载木马：

（1）结束calc.exe、IEXPLOER.EXE进程；

（2）停止木马对应的服务；

（3）在注册表中删除启动服务；

（4）通过注册表可以查看木马文件路径，清除木马文件。

四、任务与思考

木马程序隐藏通常指利用各种手段伪装木马程序，让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现，程序捆绑方式是将多个.exe程序链接在一起组合成一个EXE文件，当运行该文件时，多个程序同时运行。程序捆绑有多种方式，如将多个EXE文件组合到一个EXE文件中、利用专门的安装打包工具将多个EXE文件进行组合。

程序隐藏只能达到从表面上无法识别木马程序的目的，但是可以在任务管理器中发现木马程序的踪迹，这就需要木马程序实现进程隐藏。隐藏木马程序的进程在显示时能够防止用户通过“任务管理器”查看到木马程序的进程，从而提高木马程序的隐蔽性。目前，隐藏木马进程主要有两种方法：

（1）API拦截

API拦截技术属于进程伪隐藏方式，它通过利用HOOK（钩子）技术监控并拦截系统中的某些程序对进程显示的API函数调用，然后修改函数返回的进程信息，将自己从结果中删除，导致“任务管理器”等工具无法显示该木马进程。

API拦截的具体实现过程：木马程序建立一个后台的系统钩子（HOOK），拦截PSAPI的EnumProcessModules等相关函数的调用，当检测到结果为该木马程序的进程ID（PID）时直接跳过，这样进程信息就不会包含该木马的进程，从而实现隐藏木马进程的目的。

（2）远程线程注入

远程线程注入属于进程真隐藏方式，它主要利用CreateRemoteThread函数在某一个目标进程中创建远程线程，共享目标进程的地址空间，并获得目标进程的相关权限，从而修改目标进程空间内部数据和启动dll木马。通过这种方式启动的1dll木马占用的时目标进程的地址空间，而且自身是作为目标进程的一个线程，所以它不会出现在进程列表中。dll木马的实现过程如下：

1）通过OpenProcess函数打开目标进程；

2）计算dll路径名所需的地址空间，并根据计算结果调用VirtualAllocEx函数在目标进程中申请一块大小合适的内存空间；

3）调用WriteProcessMemory函数将dll路径名写入申请的地址空间中；

4）利用函数GetProcAddress计算LoadLibraryW的入口地址，并将LoadLibraryW的入口地址作为远程线程的入口地址。

5）通过函数CreateRemoteThread在目标进程中创建远程线程。

4.3 木马隐藏分析相关推荐

实验一木马分析（隐藏分析）实验
实验一木马分析(隐藏分析)实验 1.木马隐藏技术 1)程序隐藏木马程序可以利用程序捆绑的方式,将自己和正常的exe 文件进行捆绑.当双击运行捆绑后的程序时,正常的exe 文件运行了.程序隐藏只能达到 ...
5-Web安全——php木马后门分析（入侵溯源）
由于最近在学习入侵溯源和应急响应这块的知识,本着先理论再实践的原则,应用现有所学的知识自己动手分析一个php大马. 先随便从网上下载一个php大马,扔到虚拟机里打开,得到如下信息: 看到上面有一大串乱 ...
一个感染型木马病毒分析（二）
作者:龙飞雪 0x1序言前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了 ...
追踪放“马”贼——从木马中分析放马者手记
两年前的文章,拿过来充充门面. ---------------------- 追踪放"马"贼--从木马中分析放马者手记 ( 作者:mikespook | 发布日期:2002-12- ...
一个淘宝客劫持木马的分析
一个淘宝客劫持木马的分析近期,我们收到很多淘宝卖家的投诉,报告说他们的淘宝联盟付费推广被莫名奇妙地扣除了一部分,而这个商品是没有经过推广的.360病毒响应中心的工程师收到投诉后,经过一系列的分析和 ...
一个钓鱼木马的分析（二）
发表于本人专栏: 一个钓鱼木马的分析(二) 这个木马隐蔽性很强,内存中不存在任何明文字符串,很难用内存搜索去搜索一些明显字符串,内存的数据都是加密存在需要时才解密,然后立即释放,不会长期驻留在内存 ...
python挖矿木马_kworkerds 挖矿木马简单分析及清理
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助. 现象 top 命令查看,显示 CPU 占用 100%,进 ...
一个邮件钓鱼木马的分析（一）
已发表于本人专栏: http://www.freebuf.com/column/142406.html 最近收到一个钓鱼木马邮件,内容形式如下: 邮件里有个链接,当点开链接后会下载一个doc文档,打 ...
“白加黑”远控木马技术分析及手杀方案
"白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...
一个想让你承认是Gay的“勒索版”远控木马Swamp分析
求大佬路过点个关注转个发今天逛窑子,看见老窑头发了张图片,大致如下: Oh SHIT! 你的文件都被加密了,糟透了? 那就是当你在阴暗的网站上观看色情时会发生的事情. 你的文件已经被我们用AES-2 ...

4.3 木马隐藏分析

4.3 木马隐藏分析相关推荐

最新文章

热门文章