木马问题：线程插入(20分)

A

asbeforelong

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-12

• #1

如果一个木马混进了IE，那么当IE“中”的木马进行诸如smtp之类的通信会不会给防火墙发现？

 

S

sofox

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-12

• #2

当然会,防火墙才不会管你是哪个程序

 

K

key9

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-12

• #3

这个很危险的……

 

S

SexyGG

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-17

• #4

不明白
讲的清楚点？

 

木

木子

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-23

• #5

不会，你将线程植入IE，防火墙会以为是IE发送的，一般的防火墙会放行，
我以前就是这么干的，我用的是隐藏IE打开一个ActiveX，使用Activex发送
呵呵，现在还没有发现防火墙拦截它，

 

N

NowCan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-24

• #6

这要看防火墙的设置。比如只允许访问外部的80端口，那就有些不好办了。

 

木

木子

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-24

• #7

IE的端口是动态，一般防火墙很难去选择端口关闭，被人发现了木马的端口就没办法了

除非做个比防火墙的还低个层次的东东

 

L

Lucky28

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-25

• #8

你好，木子，我也在试着写木马，怎么联系？交流一下

 

诸

诸葛白痴

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-25

• #9

IE线程中注入了莫名的线程dll，病毒防火墙发现不了吗？

 

木

木子

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-25

• #10

郁闷啊，木子是搞计算机安全的..........

QQ: 37946203

to:诸葛白痴

我用的是ActiveForm，病毒防火墙不会认为它是木马

 

A

along1976

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-25

• #11

有意思的东东，我也想做。

 

F

firstkkk

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-28

• #12

广外男生好像就用了这个技术

 

诸

诸葛白痴

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2003-04-28

• #13

了解

 

S

snowsky

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-04-16

• #14

你好,能跟一个线程插入技术的例子吗?

 

J

johnson_dyj

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-04-28

• #15

不错

 

L

leizengzheng

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-04-29

• #16

不用植入了，木马直接做伪装ip 包。或象放火墙那样用全局钩子截获socket函数。

 

L

liaoliao

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-05

• #17

做个微软的COM组件

 

D

delphi01

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-05

• #18

不错

 

S

sforever

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-05-16

• #19

线程插入，要看插入到那个程序了。一般插入IE的时候，很容易出现错误。尤其是打了微软补丁的IE，一进行线程插入，IE就会出现错误报告，然后自己关闭，所以用IE进行线程插入的几率是很低的。根据我个人多年的观察经验来说，最好的插入对象是svchost.exe这个程序（98就不提了，只说2000以上操作系统），因为这个程序默认是随系统启动的，并且也开放端口，如果电脑中安装了防火墙，svchost.exe是默认允许打开端口的，也就是防火墙不会对svchost.exe进程限制！！

插入svchost.exe使系统相对稳定。很不容易产生系统错误，实在是一个非常不错的选择。

不好的一点是，世面上的所有木马程序，几乎都插入到这个进程里面。所以如果已经有木马插入这个进程了，而你的木马是后来者，会造成你的木马失败，或者出现其它问题！！