2005年06月26日

木马传播者最惯用的手段就是将木马程序和合法程序捆绑在一起,欺骗被攻击者。然而,现在杀毒软件对捆绑类软件已显出“咄咄逼人”的态势,几乎所有的捆绑类软件都会被查杀,大大小小的木马纷纷失效。

  IExpress小档案

  出身:Microsoft

  功能:专用于制作各种 CAB 压缩与自解压缩包的工具。

  由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。

  到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。

  原理

  IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包,这些自解压包能够自动运行程序包中包含的EXE程序。IExpress技术是Microsoft使用的一项技术,用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。

  如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:

  1.右键单击该程序包,然后单击“属性”。

  2.在“常规”选项卡中,查看“描述”。使用了IExpress技术的软件更新程序包中会包含“Win32 Cabinet Self-Extractor”字样。

  实际操作

  在这一部分,笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。

  第一步

  在“运行”对话框中输入IExpress就可启动程序。

  在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(Create new Self Extraction Directive file),另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项,然后点击“下一步”按钮。

  第二步

  接下来选择制作木马自解压包的三种打包方式,它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

  因为我们要制作的是木马解压包,所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。

  第三步

  在“确认提示”(Confirmation prompt)这一环节,软件会询问在木马程序解包前是否提示用户进行确认,由于我们是在制作木马程序的解压包,当然越隐蔽越好,选择第一项“不提示”(No prompt),这么做的目的是让中招人毫无防备。点击“下一步”按钮,在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者,选择“显示用户允许协议”(Display a license),点击“Browse”选择一份编辑好的TXT文档,此文档可以用微软公司的名义来编辑,设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。

  第四步

  现在,我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如,你制作的协议和IE补丁包相关,那么你就可将木马和一个正常的IE补丁包添加进来。

  随后进入安装程序选择窗口,指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如,在Install Program内设置正常的IE补丁包先运行,此时木马并未运行,在中招者看来的确是一个IE补丁包。在post install command内设置木马程序,这样在IE补丁包安装完毕时,木马程序将会在后台执行,我们的目的也就达到了。

  第五步

  接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的,所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置,由于我们做的是木马捆绑安装程序,当然应该选择“No message”。

  第六步

  上述设置完成后,接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”,以便隐藏解压缩过程,有助于隐藏某些木马程序启动时弹出的命令提示框。最后,设置在软件安装完成后是否重新启动(Configure reboot),可以根据实际需要来选择。如果你所用的木马是“即插即用”的,那么就选择“No reboot”;如果所采用的木马用于开启终端服务,那么可选择“Always reboot”,同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。

  在保存刚才所做的设置后点击“下一步”按钮,即可开始制作木马自解压程序。

  整个制作过程是在DOS下进行的,在完成度达到100%后会弹出提示窗口,点击“完成”,木马程序与合法程序的捆绑工作就完成了(格式为EXE),直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

  现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然,你也可以把它作为IE的重要补丁发送给别人。

  不用第三方工具,无需过多的加壳伪装,让“Windows”来为我们服务,为我们捆绑木马,岂不快哉。

  防范措施

  可以先检查可疑的程序包是否采用了IExpress技术(“原理”部分已介绍)。如果采用了IExpress技术,那么你就得留心了,此时可以进入命令提示符下使用“IExpress /c”命令来解压缩文件(不进行安装)以检查程序包中是否有木马,同时还可加上参数“/t:path”指定解压路径。

  编后:

  普通用户应该提高警惕了,很多木马制作者了解到用户对漏洞的恐惧,利用用户急着打最新补丁的心理借机入侵。在看似合法的补丁程序中,极有可能隐藏着木马程序。所以,在此提醒大家,千万不要在操作系统和软件的非官方站点下载补丁程序包,因为这些程序包很有可能是被捆绑了恶意程序的虚假程序包。

2005年06月07日

适合对象:普通的上网一族及网络游戏玩家们
操作环境:windows xp sp1+IE SP1

21世纪随着网络的飞速发展,人们的生活越来越和网络紧密联系在一起,人们已经不可能离开网络,很难想象假如有一天全世界断网,这个世界
会变成什么样.网络给我们带来拉很多乐趣,同时也给我们带来拉烦恼甚至灾难,人们在享受上网冲浪快感的同时却不得不面对可能被病毒,木马,
及黑客攻击的尴尬境况.可能你会说我有**防火墙,***杀毒软件,我只觉得好笑,要是你认为有这两样东西就万事大吉的话,那你就大错特错,凡是
接触过木马的人都知道现在的主流木马几乎是清一色的反弹+dll注射型.可以很轻易的穿越防火墙,即使防火墙有所报警,假如没有丰富网络安全
知识的话,普通人很难辨别到底是不是木马,到底该不该放行.杀毒软件我就更不用多讲拉,众所周知,反病毒软件使用的是基于特征码的静态扫
描技术,即在文件中寻找特定十六进制串,如果找到,就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不
到很好的作用了.只要稍微懂得汇编的人反汇编一下,修改一下杀毒软件的特征码(怎么修改特征码,《黑客防线》及其他黑客杂志,黑客网站都
有详细的介绍),杀毒软件只能哑巴吃黄连,有苦说不出拉,再加上杀毒软件的先天不足,只能够杀已知、在网上公开的和杀毒网站拦截到的
木马或者病毒,对于那些未知、没有公开的私人版木马则没有任何作用。再加上微软的windows漏洞不断,小洞1,3,5、大洞2,4,6星期天大
小洞一起上,给原本就水生火热的网络,无疑是狠狠的添加拉一把火。尤其是ie漏洞,只要ie一出漏洞,那么网上又是一场腥风血雨,网页木
马肆虐,无数网民遭殃,自己的电脑被人控制不说,可能还会遭受经济损失。那么有什么办法不中任何网页木马或者任何网页病毒吗?答案是
有的。我常常听到别人说防火墙和杀毒软件是上网的第一道防线,在下不敢苟同,我个人认为注册表才是第一道防线,防火墙和杀毒软件最多也
只能算是底线,呵呵,是不是感到有点意外呢,没错只要我们配置好注册表,我敢说你任何脚本病毒也好,网页木马也好都不会中.好我们现在开始配置注册表之旅.
应为本文是面对菜鸟的文章,我有必要在开始之前给大家讲讲注册表的概念. Windows注册表是帮助Windows控制硬件、软件、用户环境和
Windows界面的一套数据文件,注册表包含在Windows目录下两个文件system.dat和user.dat里,还有它们的备份system.da0和user.da0。通过
Windows目录下的regedit.exe程序可以存取注册表数据库.
在系统中注册表是一个记录32位驱动的设置和位置的数据库。当操作系统需要存取硬件设备,它使用驱动程序,甚至设备是一个BIOS支持
的设备。无BIOS支持设备安装时必须需要驱动,这个驱动是独立于操作系统的,但是操作系统需要知道从哪里找到它们,文件名、版本号、其
他设置和信息,没有注册表对设备的记录,它们就不能被使用。当一个用户准备运行一个应用程序,注册表提供应用程序信息给操作系统,这样应用程序可以被找到,正确数据文件的位置被规定,其他设置也都可以被使用。
  注册表保存关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。它同样也保存了安装信息(比如说日期),安装软件的用户,软件版本号和日期,序列号等。根据安装软件的不同,它包括的信息也不同。

  然而,一般来说,注册表控制所有32位应用程序和驱动,控制的方法是基于用户和计算机的,而不依赖于应用程序或驱动,每个注册表的
参数项控制了一个用户的功能或者计算机功能。用户功能可能包括了桌面外观和用户目录。所以,计算机功能和安装的硬件和软件有关,对所
以用户来说项都是公用的.

大家现在应该了解注册表的的重要性拉吧,可以说注册表是各种对抗势力的兵家必争之地,要是被敌人控制拉注册表,你只有任人宰割的份.

网页木马及网页病毒,基本上都是利用拉各种最新的脚本漏洞或者ie漏洞而编写出来的,但漏洞出来,成功率的高低就要看编写网页木马作者的脚
本的功力如何拉,脚本功力高者成功率相对也会比较高.我觉得一个作的好的网页木马2分漏洞,8分脚本.

前面说拉一大堆的理论,下面我们利用注册表开始手动配置一个任何网页木马,网页病毒都不怕的电脑.

我们在注册表里依次找到下面的clsid和typelib及Interface的健值并且全部删除,这些东西对于普通的上网族及网络游戏玩家来说是丝毫没有用处的:
ADODB.Command {00000507-0000-0010-8000-00AA006D2EA4}
ADODB.Command1 {0000022C-0000-0010-8000-00AA006D2EA4}
ADODB.Connection {00000514-0000-0010-8000-00AA006D2EA4}
ADODB.Connection1 {00000293-0000-0010-8000-00AA006D2EA4}
ADODB.Parameter {0000050B-0000-0010-8000-00AA006D2EA4}
ADODB.Parameter1 {00000231-0000-0010-8000-00AA006D2EA4}
ADODB.Stream {00000566-0000-0010-8000-00AA006D2EA4}
ADODB.Record {00000560-0000-0010-8000-00AA006D2EA4}
ADODB.Recordset {00000535-0000-0010-8000-00AA006D2EA4}
ADODB.Recordset.1 {00000281-0000-0010-8000-00AA006D2EA4}
Internet.HHCtrl {ADB880A6-D8FF-11CF-9377-00AA003B7A11}
{ADB880A1-D8FF-11CF-9377-00AA003B7A11}
{ADB880A2-D8FF-11CF-9377-00AA003B7A11}
{ADB880A3-D8FF-11CF-9377-00AA003B7A11}
HHCtrl.FileFinder {ADB880A4-D8FF-11CF-9377-00AA003B7A11}
HHCtrl.SystemSort {4662DAB0-D393-11D0-9A56-00C04FB68B66}
JavaScript {f414c260-6ac0-11cf-b6d1-00aa00bbbb58}
JavaScript Author {f414c261-6ac0-11cf-b6d1-00aa00bbbb58}
JScript.Encode {f414c262-6ac0-11cf-b6d1-00aa00bbbb58}
Microsoft.XMLHTTP {ED8C108E-4349-11D2-91A4-00C04F7969E8}
script {06290BD3-48AA-11D2-8432-006008C3FBFC}
Scripting.Dictionary {EE09B103-97E0-11CF-978F-00A02463E06F}
Scripting.Encoder {32DA2B15-CFED-11D1-B747-00C04FC2B085}
{420B2830-E718-11CF-893D-00A0C9054228}
Scripting.FileSystemObject {0D43FE01-F093-11CF-8940-00A0C9054228}
{420B2830-E718-11CF-893D-00A0C9054228}
Scripting.Signer {7E48C5CF-72F6-4C84-9F43-B04B87B31243}
Shell.Application {13709620-C279-11CE-A49E-444553540000}
{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}
Shell.LocalMachine {60664caf-af0d-0005-a300-5c7d25ff22a0}
Shell.User {60664caf-af0d-0003-a300-5c7d25ff22a0}
Shell.Users {60664caf-af0d-0004-a300-5c7d25ff22a0}
ShellNameSpace.ShellNameSpace {55136805-B2DE-11D1-B9F2-00A0C98BC547}
{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}
SignedJavaScript {FC7D9F01-3F9E-11D3-93C0-00C04F72DAF7}
SignedVBScript {FC7D9F02-3F9E-11D3-93C0-00C04F72DAF7}
VBScript {B54F3741-5B07-11cf-A4B0-00AA004A55E8}
VBScript Author {B54F3742-5B07-11cf-A4B0-00AA004A55E8}
VBScript.Encode {B54F3743-5B07-11cf-A4B0-00AA004A55E8}
VBScript.RegExp {3F4DACA4-160D-11D2-A8E9-00104B365C9F}
WinHttp.WinHttpRequest.5.1 {2087c2f4-2cef-4953-a8ab-66779b670495}
WINMGMTS {172BDDF8-CEEA-11D1-8B05-00600806D9B6}
{565783C6-CB41-11D1-8B02-00600806D9B6}
WScript.Network {093FF999-1EA0-4079-9525-9614C3504B74}
WScript.Shell {72C24DD5-D70A-438B-8A42-98424B88AFB8}
{F935DC2B-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC29-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC28-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC27-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC25-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC24-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC23-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC21-1CF0-11D0-ADB9-00C04FD58A0B}
{F935DC20-1CF0-11D0-ADB9-00C04FD58A0B}
{24BE5A30-EDFE-11D2-B933-00104B365C9F}
{24BE5A31-EDFE-11D2-B933-00104B365C9F}
{563DC061-B09A-11D2-A24D-00104BD35090}
{563DC060-B09A-11D2-A24D-00104BD35090}
{41904400-BE18-11D3-A28B-00104BD35090}
这些做好以后,我们还不能完全松口气,还没有完呢,还记得电子书木马(也就是chm木马)么?这个木马可是在2003-2004年着实疯狂拉一把哦,解决
之到很容易,修改本地安全属性,相应的注册表键值为:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0下的1004项的值由原来的0改为十六进制的
3,flags则改为1,再到IE里面好好的配置一下吧。也可以把HKEY_CLASSES_ROOT\PROTOCOLS\Handler,下面的“mhtml”、“mk”、“its"、"ms-
its"、"msitss"、“vbscript”、“ms-help”、“javascript”、“FILE”、“local",删掉或改名,你也可以不删,不过为拉安全,我是全
部删拉,大家可以放心删除上面这些我讲的所有键值,基本上对于我们系统没有什么影响,经我3个多月的测试,上网没有任何问题,除拉文件搜索及登陆时要采用win2000的登陆方式,其他还没发现问题,可以放心的删掉。在这里我想做个提醒,关于网页木马中的下载欺骗漏洞,我给出解决的办法,其实

很容易只要在IE安全“我的电脑里”禁止下载就可以,最好是INTERNET也是禁止下载,不采用IE下载,用FLASHGET或者其他下载工具。

到此为止,我们的配置注册表算是基本结束拉,第一道防线我已经帮你建好拉,现在你可以放心的上任何网站拉,不必再为怕中网页木马而担惊受怕拉,我们可以竟情的享受上网而带来的乐趣拉。不必担心再会受到网页木马或者网页病毒的攻击拉(假如你按照我说的做,甚至可以在不打IE补丁的情况下,也可以防止利用最新或者未知IE漏洞作出的网页木马)。


声明:本文没有任何技术,只是一点最基础的东西,但往往最简单的也是最有效的防范措施.以上只是自己上网时的一点心得,方便向我一样的使用盗版操作系统不好或者懒得打补丁的用户

2004年11月29日

 在普通用户眼里,病毒是神秘的,恐怖。要是再加上“木马”的话,这就如计算机世界中的神话,可惜这神话并不是美好的……但是病毒,木马并非那么“神”,而仅仅只是一小段代码。打个比方PC就是人体,那么计算机病毒就生物病毒,只要对症下“药”,保准“药”到病除。在用户眼里好像只有病毒,木马其实我们常见还有(网页)恶意代码,广告间谍,黑客程序等等,我们逐个来看看。

  病毒

  这可是鼻祖级的BOSS。也是大家最常见的,但是其实病毒安不同的划分方法也会分为DOS病毒,WINDOWS病毒,引导区病毒,宏病毒等,我们这里并不是讨论病毒,所以我就不在罗嗦了。遇到病毒后,大家都已经会毫不犹豫的使用杀毒软件。但是有时候会发现不好用,我就说不好的情况。

  1、你是最先感染的用户,反病毒软件正在更新

  这时用户在使用中会发现一些异常的状况,但是杀毒软件却毫无反映。此时是最棘手的,因为用户不知道该病毒破坏方法,以及应对措施。大多数用户此时会以为自己PC有了什么毛病,不断“测试”期望解决。其实这是非常错误的!

  应对方法

  除非情不得已,你应该马上关闭计算机。并立即和自己使用的安全软件的厂商联系,说明症状,等待相关人员的答复。(一般情况下,大的厂商在24小时就会升级,而危害性高的病毒会在几个小时内升级完毕!)

  2、病毒在WINDOWS无法查杀

  这是因为病毒感染,系统正在使用的文件,此时用户在WINDOWS自然就不好用了。

  应对方法

  使用软件的的DOS杀毒程序,进入DOS查杀。 
 3、重起后杀死的病毒又“复活”了

  这多半是感染了引导区等性质的病毒,由于此时引导区被病毒所感染一般的杀毒软件无法彻底解决。

  应对方法

  使用杀毒软件提供的引导盘,或自己制作的干净的启动盘,来重新引导启动然后在正常查杀。

  4、上网后杀死的病毒又“复活”了

  这因为某些病毒利用系统的漏洞进行攻击,由于系统,没有相关的补丁所以导致上网后重新感染

  应对方法

  最简单的方法就是打补丁,有了相关资料也可以设置防火墙(有些防火墙会升级)用户最好定时下载补丁,不要到出了问题再进行弥补。但是微软补丁总爱引起系统速度慢和死机等新的系统故障,你会怎么取舍呢?

  其实有些病毒用户进行简单的设置就会永远避免感染,比如禁用“宏”就会避免“宏病毒”。大家有兴趣可以看看飘飘兄以前发的帖子:)

  木马篇

  有些时候用户更痛恨木马,多数用户的想法就是中了病毒只要不是CIH大不了就“格”,但是要是中了木马,自己的游戏帐号,银行帐号,QQ等所有的用到密码的东西都将不保,这可是银子呀,有些东西用钱也换不到。

  木马,以及木马人已经成为一个网络的社会现象,相关到各个方面,单凭个人力量是无法避免的。要求用户安全上网,但是用户的安全设置只能在家里,在公司,在学校,在网吧用户又怎么保证安全呢?这对于用户,厂商,甚至我们现在的安全理念都是一个巨大的挑战! 
 1、杀毒软件能杀木马吗?

  这是很多用户都有的一个疑问,甚至有些网吧管理员坚持杀毒软件不杀木马,宁可相信一些破解的木马专杀工具。

  应对方法

  杀毒软件可以杀木马!这是毫无疑问的,有条件或觉的有必要用户也可以自行购买相关的共享软件,但是不要使用破解,因为我不能说破解有什么问题,但是至少跟正常有不同。

  需要指出木马中其实包含牧马人的重要信息,高手是可以通过各种方法查出这些信息的(厂商就更不在话下,但是却会受法律制约),你清楚了木马也就清楚了线索,是相关的机关查证难度加大!

  (网页)恶意代码

  IE设置被修改,有些网站的恶意代码甚至捆绑了病毒/木马,这可以说是恶意网站使用一些手段,一开始仅仅修改用户的IE来增加自己点击率。但是后来就过分了,反而成了病毒/木马散播媒介。

  应对方法

  使用IE修复软件进行修改,同时使用IE的安全补丁弥补相关漏洞。

  广告间谍

  这是杀毒软件一个盲点,用户也无法察觉,因为这些偷窥你上网隐私的东东在某些软件中(你安装软件中条款是他们成了合法的木马),起运行很隐蔽,杀毒软件对他们也没有太大作用。

  应对方法

  使用广告清理软件查杀,但是查杀后某些软件无法正常启动。

  黑客程序

  这并非真正意义上黑客,而是使用黑客软件的人。这些程序将用在所谓“肉鸡”上或“目标”上,包含一些特殊用途的程序和木马(开后门用,木马无处不在呀)

  以上这些没有任何的所谓技术难度,仅仅是分享一些最基本应对方法。不要让计算机主宰你,而你要掌握计算机。 转贴于 华夏黑客同盟 http://www.77169.org