寄生 寄生就是找一个已经打开的端口,寄生其 上,平时只是监听,遇到特殊的指令就进 行解释执行;因为木马实际上是寄生在已 有的系统服务之上的,因此,你在扫描或 查看系统端囗的时候是没有任何异常的。 这种寄生手段,在Win98下进行这样的操作 是比较简单的,但是对于Win2000相对要 麻烦得多
寄生 • 寄生就是找一个已经打开的端口,寄生其 上,平时只是监听,遇到特殊的指令就进 行解释执行;因为木马实际上是寄生在已 有的系统服务之上的,因此,你在扫描或 查看系统端口的时候是没有任何异常的。 这种寄生手段,在Win98下进行这样的操作 是比较简单的,但是对于Win2000 相对要 麻烦得多
潜伏 潜伏使用|协议族中的其它协议而非 TCP/UDP来进行 通信,从而瞒过 Netstat和端口扫描软件。一种比较常 见的潜伏手段是使用CMP协议。ICMP由内核或进程 直接处理而不需要通过端口,一个最常见的cMP协议 就是Png,它利用了cMP的回显请求和回显应答报 文。一个普通的MP木马会监听CMP报文,当出现 特殊的报文时(比如特殊大小的包、特殊的报文结构 等)它会打开TCP端口等待控制端的连接,这种木马 在没有激活时是不可见的,但是一旦连接上了控制端 就和普通木马一样,本地可以看到状态为 Established 的链接;而一个真正意义上的cMP木马则会严格地使 用CMP协议来进行数据和控制命令的传递(数据放在 CMP的报文中),在整个过程中,它都是不可见的 (除非使用嗅探软件分析网络流量)
潜伏 • 潜伏使用IP协议族中的其它协议而非TCP/UDP来进行 通信,从而瞒过Netstat和端口扫描软件。一种比较常 见的潜伏手段是使用ICMP协议。ICMP由内核或进程 直接处理而不需要通过端口,一个最常见的ICMP协议 就是Ping,它利用了ICMP的回显请求和回显应答报 文。一个普通的ICMP木马会监听ICMP报文,当出现 特殊的报文时(比如特殊大小的包、特殊的报文结构 等)它会打开TCP端口等待控制端的连接,这种木马 在没有激活时是不可见的,但是一旦连接上了控制端 就和普通木马一样,本地可以看到状态为Established 的链接;而一个真正意义上的ICMP木马则会严格地使 用ICMP协议来进行数据和控制命令的传递(数据放在 ICMP的报文中),在整个过程中,它都是不可见的 (除非使用嗅探软件分析网络流量)
其他 除了寄生和潜伏之外,木马还有其他更好 的方法进行隐藏,比如直接针对网卡或 Modem进行底层的编程,这涉及到更高的 编程技巧
其他 • 除了寄生和潜伏之外,木马还有其他更好 的方法进行隐藏,比如直接针对网卡或 Modem进行底层的编程,这涉及到更高的 编程技巧
隐藏进程 在win9x时代,简单的注册为系统进程就可 以从任务栏中消失,可是在 Windows2000 和 Windows XP中这种方法遭到了惨败, 注册为系统进程不仅仅能在任务栏中看到, 而且可以直接在 Services中直接控制停止 运行。使用隐藏窗体或控制台的方法也不 能欺骗管理员。木马开发人员在研究了其 它软件的长处之后发现, Windows下的中 文汉化软件采用的陷阱技术非常适合木马 的使用
隐藏进程 • 在win9x时代,简单的注册为系统进程就可 以从任务栏中消失,可是在Windows 2000 和Windows XP中这种方法遭到了惨败, 注册为系统进程不仅仅能在任务栏中看到, 而且可以直接在Services中直接控制停止、 运行。使用隐藏窗体或控制台的方法也不 能欺骗管理员。木马开发人员在研究了其 它软件的长处之后发现,Windows下的中 文汉化软件采用的陷阱技术非常适合木马 的使用
隐藏进程 DLL陷阱技术是一种针对DLL(动态链接库 的高级编程技术,编程者用特洛伊DLL替换已 知的系统DL,并对所有的函数调用进行过滤, 对于正常的调用,使用函数转发器真接转发绘 替换的系统DL,对于 事先约定好的特 殊情况,DL会执行一些相对应的操作,一个 比较简单的方法是起一个进程,虽然所有的操 作都在DLL中完成会更加隐蔽,但是这大大增 了程序编写的 太马大 皴只是使角DL进行监听,一发现控制端的 连接请求就激活自身,起一个绑端口的进程进 正常的木写操作。操作结束后关掉迸程,继 续进入休眠状况
隐藏进程 • DLL陷阱技术是一种针对DLL(动态链接库) 的高级编程技术,编程者用特洛伊DLL替换已 知的系统DLL,并对所有的函数调用进行过滤, 对于正常的调用,使用函数转发器直接转发给 被替换的系统DLL,对于一些事先约定好的特 殊情况,DLL会执行一些相对应的操作,一个 比较简单的方法是起一个进程,虽然所有的操 作都在DLL中完成会更加隐蔽,但是这大大增 加了程序编写的难度,实际上这样的木马大多 数只是使用DLL进行监听,一旦发现控制端的 连接请求就激活自身,起一个绑端口的进程进 行正常的木马操作。操作结束后关掉进程,继 续进入休眠状况