如何给木马加壳

  重点知识:如何给木马加花加壳免杀
  在商业的战场上,竞争对手企业高层管理人员的数据往往记载着攸关企业生死的机密,为了得到这些东西,就需要用一些非常的手段。黑客K为了达到这个目的,精心挑选了免杀木马,准备大干一场……
  上期,黑客K成功地入侵了雇主对手UU公司数据服务器,得到了一些机密文档,其中就有该公司的内部通讯录,新的挑战接踵而来……
  黑客K浏览着从UU公司数据服务器中下载回来的文件,挑选有价值的资料。他有些失望,毕竟这些资料是不能够让老板杜金满意的,他需要拿到对老板更加有诱惑力的筹码,只有这样才可以拿到更多的报酬。
  黑客K很需要这笔钱让父母过上好日子,有汽车、有洋房,让他们知道自己老呆在电脑前不是不务正业。然而在他拿到UU公司真正有价值的文件前,这一切仅仅停留在他的幻想中。
  突然他发现了一份详细的公司高管联系方式,详细到了每个人的家庭电话和家庭住址都有,甚至有些还标明了其家属的联系方式。他在电脑中细细翻看着这份名单,思索着下一步的计划:“黑掉”名单中那个叫做李飞的高管,李飞电脑中极有可能保存着老板杜金需要的策划书。
  因为李飞的电脑在UU公司的内网中,要入侵他的电脑最好的办法是用木马,其他的方法难度较高。在正式入侵前,先要准备好木马,并确保木马能逃过李飞电脑中杀毒软件的查杀。wWW.iTcoMPuTEr.COM.cn
  黑客K迅速整理着自己的思路,木马运行的第一时间杀毒软件会根据自己的病毒库对木马进行特征码检查,它会检测木马释放出的每一个文件。因此免杀思路在他脑海中清晰地整理出来,首先将木马服务端所有文件都释放出来,然后进行免杀处理,让杀毒软件无法从特征库中识别出它们,最后再将它们合并即可。
释放“潘多拉盒子”里的文件
  经过慎重考虑和选择,黑客K选择了黑洞木马,并不是因为它的名气大,而是因为这款木马采用SSDT恢复技术,可以顺利绕过具有主动防御功能的杀毒软件,所以他选择了它。
  小知识:SSDT是System Service Dispatch Table的简称,意思是系统服务调度表。这个表可以根据系统调用编号进行索引,以便定位函数的内存地址。而很多杀毒软件就通过修改SSDT表,将自己的服务加载到系统底层中,实现对应用程序行为的分析监控。
  黑洞木马在成功入侵后会释放出DLL和SYS文件,这时杀毒软件就会检测到它们,如果不进行免杀就极有可能会被发现,就真的“出师未捷身先死”了,所以黑客K要对它们进行免杀。
  在免杀前先要把它们从木马服务端程序中分离出来,而通过常规的方法是无法分离出木马服务端程序中的DLL和SYS文件的。如果无法分离出这两种文件,免杀就无从下手。黑客K决定用针对该版本的特制提取器将这两个文件提取出来。
  打开特制提取器软件,在“未加壳EXE文件路径”中选择配置好的黑洞木马服务端,然后在“提取SYS文件路径”中选择好释放文件的文件夹。在选择完成后,点击“提取”按键,就可以成功地将SYS文件和DLL文件提取到指定的文件夹中(图1)。

加花打造免杀木马
  在黑客K的整个计划中,给木马释放的文件加花是最重要的一步。加花是黑客的行话,其实就是通过反复跳转等汇编指令(俗称花指令)打乱程序的原有特征,这些纷杂混乱的汇编花指令能够让杀毒软件的特征库无法判断到底是不是病毒,这样就能达到免杀的目的。要加花,首先就要在文件里面加区,给添加花指令预留空间,接着找到程序入口地址,在此处添加花指令,最后再修改程序入口地址迷惑杀毒软件。
  首先,黑客K要将分离出来的SYS的驱动文件进行加壳免杀(加壳就是利用特殊的算法对文件进行压缩,可以逃避杀毒软件的查杀),他调出名为EncrptySYS的驱动加壳工具,依次选择分离出的两个SYS文件,点击“加壳”进行驱动免杀操作(图2)。

  两个SYS驱动分别加壳完毕后,黑客K用杀毒软件测试了一下,能免杀!黑客K又通过特制提取器的合并功能,将加壳后的“DLL_X.SYS”文件合并到“X.DLL”文件中,再进行加花免杀,这样双重免杀后效果更好。
  接着,黑客K决定使用加花手段让DLL躲过杀毒软件的查杀,在之前他要给DLL文件增加区块,这是为了给后面需要添加的花指令留下空间,不然就添加不进去代码。他使用区块添加工具ZeroAdd给DLL文件增加区块。
  在ZeroAdd中选好分离出的“X.DLL”文件,在“输入您要添加新区段的区段名”一项中随意填写了几个英文字母,又在下方的“新的区段信息的大小”选项中填入了“100”,点击“生成文件”后,就完成了全部的区块添加(图3)。

  小提示:如果要求不高,免杀做到这里也可以了,直接把DLL文件导入到黑洞木马服务端中即可。
  增加区块完成后,黑客K喝了口茶,正式开始为DLL文件添加花指令。他又打开汇编工具OllyDbg,加载增加区块后的DLL文件后,程序自动定位在“00501A32”这条汇编语句上,这是该DLL文件的程序入口点。
  将滚动条拖到程序的下方全为00的区段处,任意选择了一个地址“00501E20”,并在这个地址处点击右键选择弹出菜单中的“汇编”命令,在弹出的汇编窗口中输入代码(图4)。他认真地填写完这段代码后,又选择右键弹出菜单中的“复制到可执行文件→选择部分”命令,在新弹出的窗口中保存这个文件即可,这样就修改了程序的入口点。

  然后,黑客K又调出编辑工具PEditor将程序入口进行修改以便迷惑杀毒软件。通过“浏览”按键选中刚刚修改的DLL文件,在读出的文件信息中将入口点“00501A32”修改成与跳转入口相对应的“00501E 20”,接着点击“应用更改”按键就完成了DLL文件的加花修改全过程。
  最后,黑客K还必须先将修改好的DLL文件导入到黑洞木马服务端中。他打开资源管理软件Resscope,在软件左边的列表中选择dllfile里面的getkey文件,再点击“文件→导入资源”,将修改好的DLL文件导入到了文件中保存后,一个新的可以绕过主动防御的免杀黑洞木马诞生了。在接下来正式入侵李飞电脑时,它将成为黑客K最重要的攻击武器……
  小提示:木马经过免杀后,就不容易防范了。要对付它们,可以使用一些安全辅助工具,例如SSM。SSM的全称是System Safety Monitor,即系统安全监控器。它异常强大的功能能够监控到你系统中的每一个修改与变动,无论是什么样的穿墙或者免杀技术,在SSM的监控下,都会暴露出原形。

 
如何防止arp攻击

ARP断网攻击故障
  症状:局域网内电脑大面积不能上网,QQ出现掉线
  症状解析:这是最常见的ARP病毒攻击方式,如今许多病毒都会利用这种ARP攻击方式影响局域网,例如机器狗病毒等,一旦局域网内有机器被感染后,部分电脑就会出现无法正常上网的情况,而且打开网页时断时续。
  局域网内传输文件断断续续无法完成,并出现错误;多台电脑的QQ、MSN等即时通讯工具连续掉线;使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址,还有就是一个MAC地址对应多个IP地址的情况也会出现。
  出现这种情况就是因为ARP病毒在进行欺骗。我们举一个形象的例子:有5只螃蟹,其中2号螃蟹通过电话向企鹅订阅了报纸,企鹅告诉负责交换运输货物的骡子,将货物送到2号螃蟹家。
  企鹅给了负责运货的骡子一份家庭地址列表,但是跟2号螃蟹住在一起的5号螃蟹由于感染了ARP病毒,于是它稀里糊涂打电话给骡子说,2号螃蟹的家庭地址已经修改了,这样原本应该送到2号螃蟹家的报纸被骡子送给了冒充螃蟹的松鼠,而2号螃蟹此时还在苦苦等待,看不到报纸。

ARP挂马故障
  症状:访问各种网站杀毒软件均提示有病毒
  症状解析:出现这种状况通常是局域网内有电脑被黑客入侵,黑客会通过恶意ARP欺骗工具发送一个假的ARP封包窜改正常的ARP缓存使得数据无法正确传输到目的地。
  由于一般的ARP缓存是根据经过的ARP封包不断地变更本身的ARP列表,假设接收到的ARP封包所提供的数据是伪造的,就会让数据无法传输到实际的目的地。黑客会利用病毒窃取封包数据或修改封包内容。
  病毒通过抓包修改HTTP封包后再送回原客户端,造成原客户端在不知情的状况下连接恶意网页下载病毒。例如,黑客入侵用户A之后,修改ARP封包,将用户B访问的网页数据进行修改,将自己的恶意代码插入正常的网页中,这样用户B即便访问正常的网页,也如同访问挂马网页一样(图3)。极品时刻表服务器被挂马就是利用的这种方式。

剖析案例掌握技巧
  现实中的ARP症状不仅复杂,而且会根据局域网的结构出现各种问题,特别是在电脑过多的情况下,往往会大大增加排查难度。下面的这个案例就是我真实处理的。
  现场状况:记得机器狗变种大规模爆发时,公司局域网各个网段频繁出现问题,我经常在不同楼层间跑动,最严重的一次是3个网段的多个部门都出现断网情况。我赶到现场后,发现故障电脑打开网页速度缓慢,内部交换文件也时断时续。
  我怀疑是ARP病毒在搞鬼了,调出命令提示符窗口,在窗口中输入Ping命令,Ping局域网内另外一台已经开机的电脑的IP地址,但是发现无法Ping通,此时已经基本肯定是中了ARP病毒。为了保险起见,我又在命令提示符窗口中输入命令“ARP –d”,这个命令的意思就是“告诉”电脑删除ARP缓存。
  在运行完这个命令后,电脑可以打开网页了,但是不一会网络连接就出现了问题,打开浏览器输入网址后就开始莫名其妙地弹出大量广告窗口。此时虽然不能够断定是机器狗病毒,但是我已经可以断定局域网内有ARP攻击了。但是由于局域网内电脑数量过于庞大,ARP攻击源头可能不止一个,如何查找到多个ARP攻击源头就成为了需要解决的难题。
  解决方法:由于局域网内电脑过多,如果采用传统的手工定位,逐一对比MAC地址几乎不太可能,因此我决定使用工具来协助解决问题。而且根据刚才的检查状况,局域网内部肯定有ARP病毒流窜,并造成了封包无法送到正确地址的问题。
  我使用了一个名为ARP Checker的免费ARP欺骗检测工具,安装好这个工具后,只需要选择“始终检测”一项,软件就能够针对指定网段内的所有IP地址发送Ping与Telnet的封包,多数电脑会无法响应而出现time out的现象,而有响应的电脑就有可能是中了ARP病毒的电脑。因为这种类型的病毒必须确保数据会传送回受感染的电脑,而受感染电脑的ARP缓存通常会变成固定式,不会因为接收到假的ARP封包而修改ARP缓存。
  很快检测结果出来了(图4),其中一个网段内有三台电脑被定位,可能是ARP源头。定位好源头之后,我首先将毒源电脑网络连接断开,然后再用杀毒软件逐一进行杀毒,将病毒清理干净。

  预防方法:根据我的经验,目前ARP病毒大多是通过网页挂马的方式感染用户电脑,因此局域网内最好能够进行IP地址绑定,使用工具设定电脑ARP缓存为固定模式,这样病毒就无法修改ARP缓存,电脑就能够将数据传送至正确的地址了。
  如果电脑数量太过庞大无法进行逐一绑定,可以启用网络设备中的动态ARP检查功能。它可以检查ARP交换情况并拒绝假的ARP封包。以侠诺FVR420V路由器为例,首先打开浏览器输入路由器IP地址,进入登录界面,接着输入用户名和密码进入管理页面,在管理页面左边的选项栏中点击“防火墙配置”,然后选择“防止ARP病毒攻击”一项,再根据网络具体情况输入防止ARP攻击每秒发送的帧即可。

 
如何提高密码安全性

  在电脑的应用中,每一个人都要与密码打交道,以此作为保护重要文件、信息的“防护盾”。不可否认的是,在为文件、银行账户、邮箱、聊天工具等添加密码时,倘若所输密码过于简单,那么就会存在被破解的可能性。因此,自己所打造的密码必须变得更“强壮”,如此才能增加安全系数,让文件及隐秘信息变得更为安全。
  如何才能知道所使用的密码是否强悍无敌呢?我用的是微软官方提供的《密码强度测试工具》来测试密码的强度(网址:http://www.microsoft.com/protect/yourself/password/checker.mspx)。打开页面后,在“Password”一栏中键入测试的密码,在“Strength”栏目中就会得到相应的测试结果,非常方便。

  测试出来的密码强度共分为Weak、Medium、Strong、BEST四个等级,其中Weak表示密码强度最差、Medium次之、Strong代表密码强度较好、BEST表示密码强度最高。根据这些测试出来的不同结果,我们便可以从中了解到自己所用密码的强度,以降低被暴力破解的概率。
  根据微软对于密码安全性的定义,建议大家组成密码的字符最好在8位以上且字符不应重复,字符内容应包含大写字母、小写字母、数字、符号(如#、空格等)。不过,在此需要提醒大家:即便拥有最“强壮”的密码也不能高枕无忧。在电脑操作的过程中,我们一定要保持良好的操作习惯,并提高安全防范意识,如此一来才能尽力确保密码的安全。