文档介绍:简述网页木马的四个工作过程
木马的工作过程可分为四部分:木马的植入、木马的安装、木马的运行和木马的自启动。(以灰鸽子木马程序为例)
1)木马的植入
网页木马就是一个由黑客精心制作的含有木马的HTML网页,因为MS06014漏洞存在,当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页,进而达到植入木马的目的。不过随着人们网络安全意识的提高,这种方法已经很难欺骗大家了。
还有一种方法就是通过<iframe>标签,在一个正常网站的主页上链接网页木马。浏览者在浏览正常的网站主页时,iframe语句就会链接到含有木马的网页,网页木马就被悄悄植入了。这种方法就是大家经常说的“挂马”,而中了木马的主机通常被幽默的称作“肉鸡”。“挂马”因为需要获取网站管理员的权限,所以难度很大。不过他的危害也是十分巨大的,如果黑客获得了一个每天流量上万的知名网站的管理员权限并成功“挂马”,那试想他会有多少“肉鸡”。
2)木马的安装
木马的安装在木马植入后就被立即执行。当网页木马植入后,木马会按照通过网页木马脚本中指向的路径下载木马服务端安装程序,并根据脚本中的设定对安装程序进行重命名。通常会重新命名一个与系统进程相近的名字来迷惑管理员,使安装过程及其留下的痕迹不通过细心查看不易被发觉。安装程序下载完成后,自动进行安装。生成可执行文件C:\Windows\.ini,并修改注册表生成名为windows XP Vista的系统服务。.ini就是木马服务器程序隐藏在背后的主谋。
3)木马的运行
木马服务器安装完成后就会立刻连接网络寻找其客户端,并与其建立连接。,此进程与Windows的IE浏览器进程同名,同样是为了迷惑管理员来伪装自己。当木马服务端与客户端建立连接后,客户端就如同拥有了管理员权限一样,可随意对“肉鸡”进行任何操作。
4)木马的自启动
木马安装时生成系统服务Windows XP Vista。Windows XP Vista的可执行文件路径:“C:\WINDOWS\.ini。”描述:“灰鸽子服务端程序,远程监控管理。”启动类型:“自动。”.ini文件来自启动木马服务器。.ini文件被设置成一个隐藏的受保护的操作系统文件,很难被人发现。
,并给一个iframe挂马的例子。
iframe也叫浮动帧标签,它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。例如:
<iframe src==0 height=0></iframe>
被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。如果把宽(width)、高(height)都设置为0,代码插入到首页后,首页不会发生变化,但是嵌入的网页实际上已经打开。
缓冲区是内存中存放数据的地方,是程序运行时计算机内存中一个连续的数据块,它保存了给定类型的数据。为了不用太多的内存,一个能动态分配变量的程序在系统运行时才决定给它们分配多少内存。
通过向程序的缓冲区(堆、栈等)中写入超出其长度的数据,造成缓冲区溢出。缓冲区的溢出可以破坏程序执行流程,使程序转向执行其它指令。利用缓冲区溢出可以