社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 714阅读
  • 0回复

认识木马,普及篇

楼层直达
级别: 光盘初级
发帖
2136
飞翔币
335
威望
54
飞扬币
1995
信誉值
0
什么是木马不用解释了吧??
木马连接的方式..别人要控制你的电脑..首先要建立连接的...
如果纵木马的人(叫客户端)主动连接受害者(中木马了XX)叫:正向连接
如果让受害人(中木马的人,也叫服务端),连接纵木马的叫:反向连接(也叫反弹端口)
一般的木马是基于C/S的 CLENT/SERVER 客户端/服务端
就是说:机器A(坏人) 控制 机器B(受害人) A运行个程序用来控制 B也要运行个程序用来被控制 A运行的就是:客户端 B是:服务端
只有B上面的服务端在运行的时候 A才可能控制它
所以B上面的程序必须满足几个条件:1,始终能运行(开机就运行) 2,最好能隐藏不让发现
开机运行
木马一般会加载自己为开机启动 常见的有:
1,在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面创个键值
或者HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下面
但我们不需要找...只要运行 msconfig 就能看到
2,在HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components或者HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components下面创个{******-***-**-*-*-*}什么的 这个是控件启动(老外的木马喜欢用这种
3,把自己加载为服务,
还有些其它的 但这3个用的最多

隐藏
首先木马的服务端是没有窗口的(废话),但有进程,(应该说有线程)
1,木马把自己的名字改成和系统进程很像的 比如EXPL0RER(这个是零 不是o)
2,进程隐藏,WINDOWS 2000以上可以通过一些办法让任务管理器不显示某些进程,但用其它的进程查看器能看到(具体的实现方法别来问我,我真的很菜)
3,线程插入(目前用的最多的了),把自己的线程插入系统的进程里,一般喜欢插浏览器进程,也有插EXPLORER和SVCHOST的 反正这个可以自己设定的

连接
目前反向连接比较多,这样是有原因的,因为要建立,最少要有一个有外网IP,举个例子:某网吧某电脑中木马了,我现在要连接上去,我肯定知道这个网吧的IP,但是一个网吧就一个外网IP(所以在同一网吧上网的人你看它的IP是一样的,前提是你不在这网吧里) 却这么多机器.... ...所以 我让中木马的人主动连接我 我是ADSL 我有一个IP 并且是1台电脑(或做端口映射).....这也是在网吧不能用木马控制别人的原因...反向连接的..它连接你..而你没有外网IP(共享的)


累了 说的很浅 希望比我还菜的会喜欢
希望高手们没事也写几个原创...