远程访问型木马——灰鸽子
先来了解下什么是远程访问型木马:
1.它在受害者主机上运行一个服务端,监听某个特定端口;入侵者则使用木马的客户端连接到该端口上,向服务端发送各种指令,访问受害者计算机资源。
2.使用这类木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。
3.这类程序可以实现观察受害者正在干什么。
再来了解下灰鸽子:
1.自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒。
2.灰鸽子在出现的时候使用了当时讨论最多的“反弹端口”连接方式,用以躲避大多数个人 络防火墙的拦截。
反弹端口连接方式:
(2)将原文件夹中的三个文件夹拷贝至C盘。
3.服务器配置
(1)点击界面上的“配置服务程序”图标:
进行远程控制
远程控制命令
通过远程控制命令可以向目标主机发送系统命令。
5.木马捆绑
5.1.散人文件捆绑器:
先卸载木马服务端程序,源文件为图片,捆绑文件为木马,点击选择图标可更改显示的图标。
点击捆绑,生成捆绑文件,点击运行,打开图片,木马上线;
5.2.多文件捆绑器:
先卸载木马服务端程序;打开捆绑软件,将图片与木马进行捆绑;
2.第二个选择你的木马程序;
4.点击开始捆绑,成功后将木马拷贝被攻击方再测试一遍,即可看到木马上线。
2、打开注册表目录:命令行输入“regedit” ,回车;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
3、找到“CQLService”,鼠标右击新建一个项,将其命名为“Parameters” ;
4、进入Parameters后,在右侧窗口里新建一个命名为“Application” 的字符串值,字符串的值就是木马程序的路径地址。
5、在右侧窗口里再新建一个命名为“AppDirectory” 的字符串值,字符串的值就是存放木马程序的文件夹路径。
7、木马上线
四、灰鸽子免杀
谈到免杀的方法,首先就要先弄懂那些杀毒软件到底是如何杀的原理,这里就来讲一讲
1.杀毒原理
通常的话,当研究病毒查杀与防御的人收到一个截获或者上 上来的病毒时,先是分析这个病毒文件执行后的动作,即病毒文件执行后会做哪些操作。例如会生成什么样的新文件、会怎样去更改注册表、会怎样去注册服务、会打开什么端口等等。
搞明白这些以后,下一步一般就会开始研究这个病毒的文件结构,然后找出其与众不同的地方,将其定义为特征码。而这个特征码定义的高明与否,就要看他定义的位置到底是怎么样的,例如他如果定义的是病毒文件更改注册表键值那部分代码的话,这显然不会太难,因为只要病毒文件更改键值,大部分的情况下这个文件里一定存在被更改键值的字符串,所以找到这段字符串的位置就可以定义特征码了。但是针对这种特征码制作免杀是非常容易的,其中有一种免杀方法就是把特征码所对应的内容是可识别的英文字母或词组,并且确定其不是相关函数的,将大小写修改一下就可以了。而如果从文件头找出一段特征码已经是非常不容易的事情了。除此之外,所定义的特征码还要有一个分支,即内存特征码。所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征,它的原理大体与上面介绍的文件特征码一样。
当特征码定义出来之后,就会被提交到另外的部门,然后进入病毒库,当用户更新病毒库后,以后杀毒软件在碰到符合要求的文件时就会将其杀掉,也就是说,杀毒软件只认特征码,不认文件。
由此可见,他们寻找特征码的方式也就是这样的。那接下来就来谈谈几种常用的免杀方式吧。
2.免杀方法
常见的灰鸽子免杀方法有:加壳压缩、加花指令、修改特征码、修改程序入口点等等,另外,在互联 上也存在着免杀版本的灰鸽子,并且不断更新。因为大多做了免杀汇编处理,所以对其客户端的查杀比较困难,大多数杀毒软件也无法识别它为病毒。
2.1.加花指令
由于黑客 站公布的花指令过不了一段时间就会被杀软辨认出来,所以需要你自己去搜集一些不常用的花指令,另外目前还有几款软件可以自动帮你加花指令,例如花指令添加器等。
常见的花指令有:
1.Visual C++ 6.0:
- Visual C++ 5.0
2.1.1.花指令相关知识
其实花指令就像上面那样,就是一段垃圾代码和一些乱跳转,但这些并不影响程序的正常运行。加了花指令后,可以使一些杀毒软件无法正确识别木马程序,从而达到免杀的效果。
2.1.2.制作过程详解
1.配置一个不加壳的木马程序。
2.用OllyDbg载入这个木马程序,OllyDbg会自动停在入口点,同时记下入口点的内存地址。
3.向下拉滚动条,找到零区域(也就是可以插入代码的都是0的空白地方)。并记下零区域的起始内存地址。
4.从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。
5.花指令写完后,在花指令的结束位置写入一条指令,跳转到刚才OD载入时的入口点内存地址。
6.保存修改结果后,最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址,并按应用更改,使更改生效。
例子:
上面的就是所谓的零区域,我们看到改完后的头文件位于004A2A77,所以我们还要用PEditor改一下入口点,打开PEditor后载入文件,将入口点处的地址改为我们的新文件头地址004A2A77,保存后即可。
入口点加1:
打开PEditor后载入文件,将原来的入口点+1即可,例如我们的入口点为004A2A77,加1后应该是004A2A78,然后点击“应用更改”即可完成更改。
2.2.修改特征码
2.2.1.修改字符串大小写
刚才上文中也有提到,这里再说一下
这是利用了Windows系统对大小写不敏感,而杀毒软件对大小写非常敏感的这一特性来达到免杀的目的。
它的修改方法就是:把特征码所对应的内容是可识别的英文字母或词组,并且确定其不是相关函数的,将大小写修改一下就可以了。
它的使用条件是特征码所对应的内容必需是字符串,否则不能成功。
2.2.2.ADD指令与SUB指令互换
这是利用了“1+1等于2,而1-(-1)也等于2”的原理。那么ADD指令就是“加”的意思,SUB指令则是“减”的意思。我们这样互换了一下,最终结果还是一样的,但是杀毒软件就不认识了。
它的修改方法是:用OllyDbg载入木马程序,然后假设它的特征码所对应的地址中有ADD指令或者SUB指令,那么就将ADD指令与SUB指令互换,然后后面的十六进制数要自己改成负的。更改完毕后保存为EXE文件即可。
五、灰鸽子绕过杀毒软件
现在很多人在使用免杀灰鸽子软件后,遇见过这样一个奇怪的情况,就是明明已经免杀的文件,在导入用户的配置信息以后就立即被某些杀毒软件的数据流功能所查杀。那么下面就说几个方法来解决它。
1.修改配置信息
既然是在导入配置信息后才被某些杀毒软件所查杀的,说明问题就出现在配置信息里面。
首先运行修改工具Restorator(这个工具挺好用的,打造个人版的灰鸽子软件的时候需要用到的软件),点击工具栏中的“打开文件”来选择服务端程序。
经过这样处理过的灰鸽子软件,就不会被某些杀毒软件查杀了。
2.更改调整信息
既然文件可以被查杀就说明其存在特征码,因此还可以按照传统的方法来查杀并修改特征码。运行特征码分析程序MYCCL,按照以前介绍的方法进行设置,只不过需要点击操作界面中的“正向”按钮,来改变程序默认的分析方式。最终MYCCL程序得到的特征码位置是。
从搜索结果中我们可以看到,特征码的位置和文件的PE头位置很接近。于是试着通过更改PE头,结果不是被金山给查杀了,就是服务端运行出现错误。于是就想在特征码前后的位置进行更改,因为这些地方有很多代码都是00,这样更改不会引起服务端的错误。于是我就将特征码所在的上一行的最后一个字节由00改成90,保存后发现文件不被查杀。另外,从PE头向下数第八行的最后一个字节在修改后也可以起到免杀的效果。这种方法不但适合于对服务端的修改,也适合于服务端母体的修改。通过“文件”菜单的“另存为”命令,将修改后的文件命名为。然后将生成的母体文件复制到“Cache”文件夹中,替换原来的即可,这样用户以后就可以直接配置免杀的服务端。
六、安全措施
那么如何发现自己的电脑是否中了该木马呢面几点如果有其一你就应该有所重视了。
1.电脑在空闲的时候看到硬盘灯不断的闪烁发亮;
2.电脑的鼠标指针有时候会自动(非自己)移动;
3.电脑开机变得缓慢,运行时无故经常卡机甚至死机;
4.如果你的电脑装有摄像头的话,有时会发觉摄像头会自动开启(非自己)等。如果发现有如上非正常情况,最直接的临时措施就是果断的拔掉 线查找原因,然后升级最新的杀毒软件进行全盘的病毒查杀(最后在安全模式来个重启复查)。
文章知识点与官方知识档案匹配,可进一步学习相关知识CS入门技能树Linux入门初识Linux24803 人正在系统学习中 挽风安全
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!