文档介绍:[被木马隐藏的文件]木马各种隐藏技术全方位大披露
以前,我曾认为只要不随意运行网友发来的文件就不会中病毒或木马,但后来出现了利用漏洞传播的冲击波、震荡波;以前,我曾认为不上小网站就不会中网页木马,但后来包括国内某知名嬉戏网站在内的多个大网能够与其他进程进行通信,或者能够对其他进程进行操作的应用程序将要困难得多。但仍有许多种方法可以打破进程的界限,访问另一个进程的地址空间,那就是进程插入(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,比如下文要介绍的***密码。
一般状况下,一个应用程序所接收的键盘、鼠标操作,别的应用程序是无权过问的。可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了,真是家贼难防啊!
(1)运用注册表插入DLL
早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后须要重新启动才能完成进程插入。
(2)运用挂钩(Hook)插入DLL
比较高级和隐藏的方式,通过系统的挂钩机制(即Hook,类似于DOS时代的中断)来插入进程(一些***木马、键盘记录木马以Hook方式插入到其他进程中偷鸡摸狗),须要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高,程序调试困难,这种木马的制作者必需具有相当的Win32编程水平。
你知道吗什么是API
Windows中供应各种功能实现的接口称为Win32 API(Application Programming Interface,即应用程序编程接口),如一些程序须要对磁盘上的文件进行读写,就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用恳求,然后API依据程序在调用其函数时供应的参数(如读写文件就须要同时给出须要读写的文件的文件名及路径)来完成恳求实现的功能,最终将调用结果(如写入文件胜利,或读取文件失败等)返回给程序(见图3 应用程序、Win32 API、系统的关系图)。
(3)运用远程线程函数(CreateRemoteThread)插入DLL
在Windows 2000及以上的系统中供应了这个远程进程机制,可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显,仅支持Windows 2000及以上系统,在国内仍有相当多用户在运用Windows 101,所以采纳这种进程插入方式的木马缺乏平台通用性。
木马将自身作为DLL插入别的进程空间后,用查看进程的方式就无法找出木马的踪迹了,你能看到的仅仅是一些正常程序的进程,但木马却已经偷偷潜入其中了。解决的方法是运用支持进程模块查看的进程管理工具(如Windows优化大师供应的进程查看),木马的DLL模块就会现形了。
不要信任自己的眼睛:恐怖的进程蒸发
严格地来讲,,可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中,而可以干脆消逝!
它通过Hook技术对系统中全部程序的进程检测相关API的调用进行了监控,任务管理器之所以能够显示出系统中全部的进程,也是因为其调用了EnumProcesses等进程相关的API函数,进程信息都包含在该函数的返回结果中,由发出调用恳求的程序接收返回结果并进行处理(如任务管理器在接收到结果后就在进程列表中显示出来)。
而木马由于事先对该API函