过木马建立连接,然后控制端用户使用工具软件把木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马也会安装上去。
(10)反弹端口型木马的主动连接方式:
反弹端口型木马与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80。
2.1.5木马隐藏
(1)在任务栏里隐藏:
这是最基本的隐藏方式。只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
(2)在任务管理器里隐藏:
在任务管理器中把木马设为"系统服务"就可以伪装自己,使自己不出现在任务管理器里。
(3)端口:
一台机器有65535个端口,现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口。
(4)隐藏通讯:
任何木马运行后都要和攻击者进行通讯连接,或者通过即时连接,或者通过间接通讯。有一些木马会选择一些常用的端口,如80、23,有一种非常先进的木马还可以做到在占领80端口后,收到正常的HTTP请求仍然把它交与Web服务器处理,只有收到一些特殊约定的数据包后,才调用木马程序。
(5)隐藏加载方式:
木马加载的方式可以说千奇百怪,无奇不有。但都为了达到一个共同的目的,那就是使你运行木马的服务端程序。
Java Script、VBScript几乎WWW每一个新功能都会导致木马的快速进化。
(6)Windows下的中文汉化软件采用的陷阱技术:
通过修改虚拟设备驱动程序(VXD)或修改动态链接库 (DLL)来加载木马。它基本上摆脱了原有的木马模式---监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换成系统已知的DLL,并对所有的函数调用进行过滤。
2.1.6木马解法
通常木马的解法有以下几种:
(1)删除可疑的启动程序
查看系统启动程序和注册表是否存在可疑的程序后,判断是否中了木马,如果存在木马,则除了要查出木马文件并删除外,还要将木马自动启动程序删除。
(2)恢复win.ini和system.ini系统配置文件的原始配置
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的;在System.ini中启动,System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe,如果发现配置被改,则恢复原始配置,再删除病毒文件即可。
(3)停止可疑的系统进程
木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序,在对木马进行清除时,当然首先要停掉木马程序的系统进程,然后修改注册表和清除木马文件。
(4)修改注册表
木马一旦被加载,一般都会对注册表进行修改。一般来说,木马在注册表中实现加载文件一般是在以下等处,运行regedit命令打开注册表编辑器,查看以下注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce
相关热词:delphi 木马 程序 设计 实现 delphi