computer 版 (精华区)

发信人: neverbw (一切随缘), 信区: network
标  题: 2001年回顾：特洛依木马(2)
发信站: 听涛站 (2001年12月20日23:03:15 星期四), 站内信件

当然冰河也有不足，如目前就存在由于是用C++Builder编写，文件个头过于庞大；功能
太少（比如Sub7 2.2 黄金版就功能多多——我选择，我喜欢！）；太容易被发觉等缺陷
。如果能吸取Nimda和CodeRed等病毒的优点，如将自己的二进制代码嵌入邮件，主动再
感染其它机器和共享目标机磁盘等功能添加到新版本的冰河中，我相信冰河一定会超过
国外的木马而实现理论上的完美无暇。
　　将木马可能的自动加载之处总结一下：
　　1、Win.ini的[windows]字段中有启动命令“load=”和“run=”。
　　2、注册表中
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnceEx
　　　　　　　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\
RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServicesOnce
　　3、注册表中
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
　　4、System.ini中的[386Enh]字段内的“driver=路径程序名”，这里也有可能被木
马所利用。
　　　　System.ini中的[mic]、[drivers]、[drivers32]这三个字段，它们起到加载驱
动程序的作用，但也可能被木马改写。
　　5、Autoexec.bat和Config.sys
　　6、注册表中的文件关联：如
HKEY_CLASSES_ROOT\txtfile\shell\open\command　
　
HKEY_CLASSES_ROOT\dllile\shell\open\command
　　等等。
　　7、Winstart.bat处加载
　　8、类似冰河的自定义文件关联加载
针对主流杀毒软件和防火墙进行限制
　　2001年的木马除了以上加载方式的变化外，还会针对主流杀毒软件和防火墙进行限
制。如“广外女生”就是这样，它在加载后会查看当前进程中是否有“金山毒霸”和“
天网防火墙”，如果有则杀之，并且修改注册表使它们下次启动不能自动加载，最后才
会打开端口。这样，如果杀毒软件的病毒库中没有它的特征码，那就一直无法报警。真
有意思，杀毒软件相反被木马杀了，有点像原来的杀毒宏被宏病毒杀掉一样没面子，呵
呵。这种技术估计2002年会被大肆采用。
　木马使用了ICMP协议传递数据
　　今年还出现了所谓的ICMP木马，即木马使用ICMP协议传递数据，由于防火墙会对IC
MP忽略（如Lockdown pro的Connection Monitor就是这样），因此此种木马用Netstat 
-a 命令是看不到的（但是逃不过Sniffer）。由于ICMP对数据报的是否到达和正确与否
毫不关心（有点类似UDP），就不知道此类木马如何解决数据传输正确性的问题（如有高
人知晓请不吝赐教）。
　反弹端口型木马出现
　　反弹端口型木马（我觉得应称之为逆向木马更好）是今年的新发明。它与普通木马
的建立连接的方向相反：服务端（被控制端）使用主动端口，而客户端（控制端）则使
用被动端口，并且客户端取消了扫描功能。由于防火墙对于连入的链接往往会进行非常
严格的过滤，但是对于连出的链接却疏于防范，这样就达到了我们的目的——跳过了防
火墙。但服务端怎能知道我们不断变化的IP地址呢？其实，逆向木马可以采用读取固定
网络存储文件的做法来达到目的——你可以用一个匿名的邮箱（被抓到我可不管！）给
逆向木马发出指示，木马自己会不断地来读取此文件，得到你的IP后就会建立TCP连接。
由于逆向木马采用畸形报文传递数据，因此很难察觉，十分危险。
　替换系统文件种木马的做法应用到Windows中
　　替换系统文件种木马的做法在Unix系统中很流行，但在Windows中还是新鲜事。第四
代Windows木马会采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程
。或者干脆直接改写或替换Dll，这样不光可以理直气壮地加载，还可以不露痕迹地隐身
。这种木马在Win9x/WinMe/Windows NT/2000/XP下，都可以实现良好的隐藏效果。（哈
哈，使用RegisterServiceProcess（）函数的时代一去不复返啰！）不过Win2000的系统
文件保护功能给我们造成了很大的麻烦（文件一旦被改写或替换，Win2000就会出来多管
闲事），我们只有先取得较高的权限后再杀掉系统文件保护功能程序的进程，最后才能
替换系统文件。当然，这需要对Windows核心的充分了解和扎实的汇编功底（又要装DDK
和VDK了！ ）。
　　防范办法：
　　就是用Tskmonitor监视系统文件进程的线程数。因为被替换的系统文件除了要实行
本来的既定功能，还要多开线程来进行秘密活动，因此线程数一定大于正常线程数，从
而露出马脚。另外还有Unix中的经验也可以利用：前备份系统文件，而后进行比较，不
对头可以重新覆盖之。这招比Windows中的SFC管用一些，因为SFC有时候也会疏忽某些系
统文件已被替换。
结语
　　总而言之，2001年的Windows新木马是纸上谈兵——新技术提出了不少，但拿得出手
、采用了新技术的成品倒没见到几个，估计这是为2002年作准备吧，鄙人个人估计明年
会有大量的木马采用系统文件替换和ICMP数据传输技术（好可怕呀！），不过话说回来
，“魔高一尺，道高一丈”，就让我们拭目以待吧。

--
         当爱情不再完美
         我宁愿选择无悔
        不管来生多么美丽
    我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]