老師說:抽烟身軆好.赌博練頭脑.摇頭没烦恼`打架練手脚.抢劫练長跑.!!
【转贴】遭遇捆绑陷阱 捆绑软件制作及防范方法
上一篇 /
下一篇 2006-06-25 18:55:59
查看( 52 ) /
评论( 3 )
论坛模式
推荐
收藏
分享给好友
推荐到圈子
管理
TAG:
-
shaddow
发布于2006-06-25 18:55:59
-
【转贴】遭遇捆绑陷阱 捆绑软件制作及防范方法
作者:佚名 来源:www.hack58.com 发布时间:2006-6-25 4:24:05 发布人:noangel
5S/T:m#?0I.A�G�Y�bspace.hackbase.comMM中木马,求助高手
�i�P�_8g'c�m/P�I9c�D★黑基空间★★黑基空间★"c2q:\�C�o�^�H#{
晓阳是一名普通的公务员,喜欢不时研究点网络安全技术。今天在忙完手头的工作后闲得无聊,正准备上网瞧瞧,新来的女同事小章愁眉苦脸的来到他的面前,说她的电脑有问题,让晓阳帮忙看看。
�B�O9f�k�S)^1~,z#espace.hackbase.com★黑基空间★�|�k$h�v�\%m�d"c7H�y
"v�g
b(e&j-m;?-u★黑基空间★ “美女开口,岂敢不从”,晓阳开着玩笑来到小章的电脑前。通过仔细观察,晓阳发现即使是没有任何操作,小章的电脑硬盘的指示灯也不停地闪烁,而且桌面的鼠标也在不断地滑动并进行着文件夹的打开等操作,就像有一个人正在面前操作这台电脑一样。通过这一系列的现象,晓阳已经明白小章的电脑程序中木马了。space.hackbase.com:S�p&d�Y9X�E�[�A)f
space.hackbase.com*J
o�G�F/m�R
●★黑基论坛★● - 全球最大中文黑客社区)s�D�W�u�y%m�d8c�_'H
晓阳知道,对于小章这样的MM,想入侵她们的电脑,可以说相当容易,但入侵者到底是如何进入的呢?“你的电脑被安装了一种被称为‘木马’的黑客程序,你想想什么时候发现电脑出现问题的?”晓阳对小章说道。“刚刚网上的一个网友说有一个好看的Flash动画,问我要不要看看,我答应后他就传给我了。你看就是这个Flash动画。”小章说着指向电脑桌面上的一个文件。space.hackbase.com�J�N0m;m�t,h
�?
H�K#[ h
F4l�c�K★黑基空间★
/W8~8f.^0d�U�m#D6|�U�Aspace.hackbase.com 晓阳一眼就看出这个Flash文件的问题,因为这个图标严重失真,并且肯定入侵者是通过文件捆绑这种方式进行木马传播的。还好,这是一个目前比较流行的木马。晓阳升级了MM电脑中杀毒软件的病毒库,顺利清除了木马。
�}$_#l8o6X!r�j�?"E●★黑基论坛★● - 全球最大中文黑客社区
�m9A�p�p�z8_�B b
�i�U�f�x h�q 小贴士:入侵者的入侵方法,最常用的要算是文件捆绑了,就是将恶意程序和其他的一些正常的数据(或文件)捆绑到一起,然后通过各种手段欺骗用户运行伪装好的程序进行恶意程序安装。
9G�h)R�a+p�T3s#~
;}*p�y�_�?&D#{�p�?$[�f)m★黑基空间★
�_
E*_"e�D�[�O'M�D�x�I 重现捆绑陷阱选择捆绑工具
�o8R'Q�Z2y'E黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香
;o�[0f%B�b�R'S/d1c�r黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香
�e�a2H0w2k;L “那入侵者是怎样进行捆绑的呢?”小章问道。“我还是给你演示一下吧!” 晓阳说。晓阳知道,要进行文件捆绑的话,要一种木马捆绑机才行,常见捆绑机包括EXE文件捆绑机、万能文件捆绑器、GWBinder2002等。可是由于这种捆绑机的捆绑原理已经被广大用户所掌握,用户可以通过多种手段检测出捆绑的恶意程序。即使小章不能发现,可杀毒软件却可以将几乎所有的捆绑类软件进行查杀,黑客一定明白这个道理。
)L
o$c&v q★黑基空间★●★黑基论坛★● - 全球最大中文黑客社区5M"m,C�K�A�l�L
�O;z1[9p�k 晓阳在网上看到一款名为永不查杀的捆绑机的小工具,它是由灰鸽子工作室开发的一款不被查杀的多文件捆绑工具(如图)。
%S�]�\�k�X
�Y2L�a�i�c
Z�?/[7s●★黑基论坛★● - 全球最大中文黑客社区晓阳知道,在这款捆绑机推出之前,灰鸽子工作室曾经推出过一款名为万能文件捆绑器的工具,正是由于它采用了传统的捆绑方式,所以它已经被杀毒软件所查杀了。而这次全新开发的这款捆绑机,不但在操作界面上完全采用了前一款捆绑机的界面,另外在捆绑方式上完全模拟了微软的IExpress程序来将多个不同类型的文件进行捆绑。
#o�t�y�V/u�N�Z l:@�fspace.hackbase.com●★黑基论坛★● - 全球最大中文黑客社区7K:{�x�W�b/@&n�A�\
★黑基空间★#n�g�_�e�n�G!k�e�O
�\�U)`�A�y
space.hackbase.com6m9r/^�c7F2T"X
小贴士:IExpress是专用于制作各种 CAB 压缩与自解压缩包的工具,由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助入侵者制造出不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁来迷惑人(关于IExpress的介绍,大家可以查看《电脑报》2005年第23期的《Windows为你打造“免检”木马》一文)。★黑基空间★�N0t�r�j$?�S'q
黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香9h�f�p:K�Q&J�@
1q�\(w7K�}�B★黑基空间★ 制作木马捆绑文件
�W�f�`
Z @7q�|
2O�p5[;o�r�u★黑基空间★�H!|:E'`�_�~4s�O�f
晓阳运行捆绑机程序,点击“添加文件”按钮添加要捆绑的文件,他选择了一个Flash动画和一个木马程序。虽然捆绑程序可以对2个以上的文件进行捆绑,并且支持各种类型的文件格式,这里晓阳还是只选择了这2个文件。space.hackbase.com�X
w�Z�W�o(e,z�s
s�l
'x5s%X*b9h�G★黑基空间★★黑基空间★.e�]6h
d�S"[�a�e�c
接着晓阳在“安装首次运行”选项中设置为Flash动画,而在“当首次结束再运行”选项中设置为木马程序,再在“窗口运行状态”中对文件的窗口运行情况进行设置。最后为捆绑文件选择一个图标,捆绑机本身已经为用户准备了大量的候选图标,由于晓阳捆绑的文件是Flash动画,于是他选择了一个Flash动画的图标。
�m3F3k,k%y/cspace.hackbase.com
:c�F2L�?�H
D8s�{�b黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香�r�O$N�z-{$J
虽然候选框中已经有一个Flash动画的图标可以选择,但晓阳觉得不太满意,于是点击“选择图标”按钮来选择一个自己觉得满意的图标。
"a�O�E�M�H
Q"S({
K★黑基空间★小贴士:永不查杀的捆绑机除了可以支持常见的图标图片文件外(*.ICO,*.BMP),还可以从可执行文件(*.EXE)和动态链接库文件(*.DLL)中提取相关的图标进行使用。space.hackbase.com�y�E1]�Y)J*@0n3W0e�g/V ]
;^)o7}�?!u&Y�@(I
+d:K,o�l�i9J黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香 经过选择,晓阳还是从Flash程序中提取了一个图标进行使用,然后点击“捆绑文件”按钮就生成了自己需要的捆绑文件。晓阳立刻启动杀毒软件进行查杀,结果真的不会被查杀。“这就是黑客入侵你的电脑的整个过程”,晓阳看着小章说道,只见她的眼睛睁得大大的。�E(r8U�X2t6i�O
�K�K�Y'G�\+A�H黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香
�D [4Z9D�X.b u8\�v-rspace.hackbase.com 为MM支招
�b�W�K6d�i�i�]&]!g)x!v黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香�P.U0A6J�i3c&q.a�?�N)R
space.hackbase.com%\�M(~�\�v�^�b&D
其实,通过文件捆绑进行恶意文件传播已经不是什么新方法了,可是入侵者通过不断的“改进”,使得捆绑的方法层出不穷,所以给防范带来了不少困难。★黑基空间★�|0j.o.B�H)c�|"G�W�M
�k9m
~9|�p�n.m�a�T●★黑基论坛★● - 全球最大中文黑客社区
�i�b0C+]�q d:| [space.hackbase.com 比如现在很多入侵者通过正规的压缩程序进行捆绑。其实要检测文件是否是用压缩程序制作的自解压文件非常简单。在可疑的文件上点击鼠标右键,选择“属性”命令,如果在弹出窗口中看到有“压缩文件”这样的标签,并且在标签的描述中会出现“自解压格式 XXX 压缩文件”的内容,这就表示它是一个自解压的文件。★黑基空间★�u�Q9p;g�E�s'u&Y*a�[�j
3i'n&?�k
Y5a*D�m5[space.hackbase.com&z2f!y�P'G R
接着通过系统中的压缩程序,比如用户的系统安装了WinRAR的话,直接通过右键菜单中的解压命令进行文件解压,然后在解压的文件夹中检查是否有捆绑的恶意程序。
�U�A9]){%Sspace.hackbase.com:U�M&o'h�X�~'~
影子要加分给我++++++++
-
瑞雪@波斯猫
发布于2006-06-25 19:12:13
-
�E#q7Y2S$u�[黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香谢谢楼主分享,奖励了
(H
n�J:j3D�F
-
shaddow
发布于2006-06-25 21:23:05
-
<form method='get' action='http://rich.qq.com/spr/code_pay.shtml' name='sprv1'><input type='hidden' name='Spid' value='sprv1'><input type='hidden' name='Comment1' value='464854701'><input type='hidden' name='p' value='1'><input type='image' src='http://rich.qq.com/spr/spr_images/code_but03.gif'></form>
-
shaddow
发布于2006-06-25 21:23:44
-
点此链接立即购买
