文｜LiveLin

摸清黑客套路防范木馬侵入

文｜LiveLin

很多朋友都聽說過木馬程序，總覺得它很神秘、很高難，但事實上隨著木馬軟件的智能化，很多駭客都能輕松達到攻擊的目的。

很多朋友都聽說過木馬程序，總覺得它很神秘、很高難，但事實上隨著木馬軟件的智能化，很多駭客都能輕松達到攻擊的目的。我們要防范黑客攻擊，就必須知己知彼；只有知己知彼，方能見招拆招。今天，筆者從種植、使用、隱藏、防范四個方面來為網(wǎng)絡(luò)愛好者介紹一下木馬的特性。

種植木馬

種植木馬

現(xiàn)在網(wǎng)絡(luò)上流行的木馬基本上采用CS結(jié)構(gòu)（客戶端服務(wù)端）。黑客要使用木馬控制對方的電腦，首先需要在對方的的電腦中種植并運行服務(wù)端程序，然后運行本地電腦中的客戶端程序?qū)Ψ诫娔X進行連接進而控制對方電腦。

使用木馬

使用木馬

成功地給別人植入木馬服務(wù)端后，就需要耐心等待服務(wù)端上線。由于新式木馬軟件采用了反連接技術(shù)，所以服務(wù)端上線后會自動和客戶端進行連接，這時，黑客就可以操控客戶端對服務(wù)端進行遠程控制，選擇任何一臺在線電腦就可以對這臺電腦進行控制。下面就簡單地介紹一下這些命令的意義。

文件管理 服務(wù)端上線以后，黑客通過“文件管理”命令對服務(wù)端電腦中的文件進行下載、新建、重命名、刪除等操作。可以通過鼠標(biāo)直接把文件或文件夾拖放到目標(biāo)文件夾，并且支持?jǐn)帱c傳輸。

進程管理 查看、刷新、關(guān)閉對方的進程，如果發(fā)現(xiàn)有殺毒軟件或者防火墻，就可以關(guān)閉相應(yīng)的進程，達到保護服務(wù)器端程序的目的。

窗口管理 管理服務(wù)端電腦的程序窗口，黑客可以使對方窗口中的程序進行最大化、最小化、正常關(guān)閉等操作，這樣就比進程管理更靈活。黑客可以搞很多惡作劇，比如讓對方的某個窗口不停地最大化和最小化。

視頻監(jiān)控和語音監(jiān)聽 如果遠程服務(wù)端電腦安裝有USB攝像頭，那么可以通過它來獲取圖像，并可直接保存為MediaPlay，可以直接播放的Mpeg文件；對方有麥克風(fēng)的話，還可以聽到他們的談話。

除了上面介紹的這些功能以外，還包括鍵盤記錄、重啟關(guān)機、遠程卸載、抓屏查看密碼等功能，操作都非常簡單。

隱 藏

隱 藏

隨著殺毒軟件病毒庫的升級，木馬會很快被殺毒軟件查殺，所以為了使木馬服務(wù)端避開殺毒軟件的查殺，長時間隱藏在別人的電腦中，木馬為黑客提供了如下幾種可行的辦法：

木馬的自身保護 就像前面提到的，木馬軟件在生成服務(wù)端的時候，黑客可以更換圖標(biāo)，并使用軟件UPX對服務(wù)端自動進行壓縮隱藏。

捆綁服務(wù)端 黑客通過使用文件捆綁器把木馬服務(wù)端和正常的文件捆綁在一起，達到欺騙對方的目的。文件捆綁器有多種可選。

制作自己的服務(wù)端上面提到的這些方法雖然能一時瞞過殺毒軟件，但最終還是不能逃脫殺毒軟件的查殺，所以黑客常常對現(xiàn)有的木馬進行偽裝，讓殺毒軟件無法辨別，通過使用壓縮EXE和DLL文件的壓縮軟件對服務(wù)端進行加殼保護。例如UPX就是這樣一款壓縮軟件，但默認(rèn)該軟件是按照自身的設(shè)置對服務(wù)端壓縮的，因此得出的結(jié)果都相同，很難長時間躲過殺毒軟件；而自己對服務(wù)端進行壓縮，就可以選擇不同的選項，壓縮出與眾不同的服務(wù)端來，使殺毒軟件很難判斷。下面筆者以冰河為例，為大家簡單地講解一下脫殼（解壓）、加殼（壓縮）的過程。

如果我們用殺毒軟件對冰河進行查殺，一定會發(fā)現(xiàn)兩個病毒，一個是冰河的客戶端，另一個是服務(wù)端。使用軟件“PEiD”查看軟件的服務(wù)端是否已經(jīng)被加殼，可以看到服務(wù)端已經(jīng)使用UPX進行了壓縮。

現(xiàn)在，就需要對軟件進行脫殼，也就是一種解壓的過程。這里筆者使用了“UPXUnpack”，選擇需要的文件后，點擊“解壓縮”就開始執(zhí)行脫殼。

在脫殼完成后，需要為服務(wù)端加一個新殼，加殼的軟件有很多。加殼完成后，再次用殺毒軟件對這個服務(wù)端進行查殺，發(fā)現(xiàn)它已經(jīng)不能識別判斷了。如果殺毒軟件依舊可以查殺，黑客還可以使用多個軟件對服務(wù)端進行多次加殼。筆者在對服務(wù)端進行多次加殼后，試用了多種殺毒軟件都沒有掃描出來。現(xiàn)在網(wǎng)絡(luò)中流行的很多XX版冰河，就是通過對服務(wù)端進行修改并重新加殼后制作出來的。

防 范

防范

建議網(wǎng)絡(luò)用戶使用媲西伊遮斯。媲西伊遮斯由媲西伊遮斯遠控御防和媲西伊遮斯顛覆密保兩款精品軟件組成。媲西伊遮斯遠控御防是非法遠程控制程序的克星，是一款全新技術(shù)的、專門從根本上防止非法遠程監(jiān)控的軟件，也是目前市場上唯一一款專門阻斷非法遠程監(jiān)控的軟件。它是基于微軟操作系統(tǒng)和PC安防基本原理設(shè)計的，只要一出現(xiàn)屏幕監(jiān)控、鍵盤鼠標(biāo)記錄、密碼大盜和文檔竊取四大非法監(jiān)控，媲西伊遮斯遠控御防馬上會自動對其切斷。該軟件尤其對于那些未流行病毒、黑客自己制作的遠控程序以及某些所謂的“正當(dāng)”監(jiān)控軟件作用更明顯，因為這些是殺毒軟件根本無法查到無法殺掉的。同時，媲西伊遮斯顛覆密?？梢噪S心所欲地對任意硬盤各分區(qū)和U盤進行絕密鎖定保護，對文檔、鼠標(biāo)右鍵、控制面板等計算機八大重要操作功能的權(quán)限限制設(shè)定，對客戶資料、財務(wù)數(shù)據(jù)、聊天記錄、圖片電影等重要文檔資料的顛覆常規(guī)安全加密，對重要數(shù)據(jù)采取多重加密，防止閱覽、復(fù)制、拷貝、刪除和盜取等。

最后，需要強調(diào)的是人們應(yīng)切記隨時追蹤Microsoft的最新補丁，及時更新安裝。