`
zpball
  • 浏览: 919591 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

如何欺骗人执行木马

阅读更多
如今大多数上网的朋友警惕性都很高,想骗取他们执行木马是件很困难的事,因为木马出现这么久,木马两个字听得人们耳朵都长出了老茧,可说是谈“马”色变,即使不是高手都知道,一见到是exe 文件便不会轻易“招惹”它,因而中标的机会也就 相对减少了。对于此,黑客们是不会甘于寂寞的,在黑客的世界里挑战与刺激才是他们趋之若婺的。

1、冒充为图像文件

首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用 。

只要入侵者扮成美眉及更改程序的文件名(例如 sam.exe )为“类似”图像文件的名称 ,再假装传送照片给受害者,受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是 exe,而木马程序的扩展名基本上又必定是 exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了!

还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个“马甲”,即修改文件图标。

修改文件图标的方法如下:

(1)比如到http://www.mydown.com 下载一个名为IconForge ,再进行安装。

(2)执行程序,按下File > Open

(3)在File Type 选择exe 类

(4)在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作,也可以在网上找找) 。

(5)然后按下File > Save 便可以了。

如此这般最后得出的,便是看似jpg 或其他图片格式的木马了,很多人就会不经意间执行了它。
2、合并程序欺骗

通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵者一不做二不休,干脆将木马程序说成是应用程序:反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程序等等,目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的,于是在悄无声息中,很多受害者便以为是传送时文件损坏了而不再理会它。

如果有更小心的用户,上面的方法有可能会使他们的产生坏疑,所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件,以后 o需执行这个合拼文件,两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼,由于执行合拼文件时 wrap.exe会正常执行,受害者在不知情中,背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner,由于它具有更大的欺骗性,使得安装特洛伊木马的一举一动了无痕迹,是一件相当危险的黑客工具。让我们来看一下它是如何运作的:

以往有不少可以把两个程序合拼的软件为黑客所使用,但其中大多都已被各大防毒软件列作病毒了,而且它们有两个突出的问题存在,这问题就是:

(1)合拼后的文件体积过大

(2)只能合拼两个执行文件

正因为如此,黑客们纷纷弃之转而使用一个更简单而功能更强的软件,那就是Joiner 了。此软件不但把软件合拼后的体积减少,而且可以待使用者执行后立马就能收到一个icq 的,告诉你对方已中招及对方的IP ,更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼,用起来相当方便。

首先把Joiner 解压,然后执行Joiner ,在程序的画面里,有“First executable : ”及“ Second File : ”两项,这两行的右方都有一个文件夹图标,分别各自选择想合拼的文件。

下面还有一个Enable ICQ notification 的空格,如果选取后,当对方执行了文件时,便会收到对方的一个ICQ Web Messgaer ,里面会有对方的ip ,当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后,合拼后的文件会比较大。

最后便按下“Join” ,在Joiner 的文件夹里,便会出现一个Result.exe 的文件,文件可更改名称,因而这种“混合体”的隐蔽性是不言而喻的。
3、以Z-file 伪装加密程序

Z-file 伪装加密是台湾华顺科技的产品,其经过将文件压缩加密之后,再以 bmp图像文件格式显示出来(扩展名是 bmp,执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据,用以就算被入侵或被非法使使用时,也不容易泄漏你的机密数据所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼,再用 Z-file 加密及将 此“混合体”发给受害者,由于看上去是图像文件,受害者往往都不以为然,打开后又只是一般的图片,最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马,甚至病毒!当打消了受害者警惕性后,再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他),这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的比如上门维修电脑),只要事先已经发出了“混合体,则可以直接用 Winzip 对其进行解压及安装。由于上维修是赤着手使用其电脑,受害者根本不会怀疑有什么植入他的计算机中,而且时间并不长,30秒时间已经足够。就算是“明晃晃”地在受害者面前操作,他也不见得会看出这一双黑手正在干什么。特别值得一提的是,由于 “混合体” 可以躲过反病毒程序的检测,如果其中内含的是一触即发的病毒,那么一经结开压缩,后果将是不堪设想。

4、伪装成应用程序扩展组件

此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中,例如 OICQ 。由于OICQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件多是否多了。而当受害者打开OICQ时,这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开OICQ时木马程序就会同步运行 ,相较一般特洛伊木马可说是“踏雪无痕”。更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一支新木马来,所以即使杀是毒软件也拿它没有丝毫办法。
分享到:
评论

相关推荐

    木马专杀工具-木马克星

    在网络安全领域,木马(Trojan Horse)是一种恶意软件,它伪装成合法的程序,欺骗用户下载并执行,从而窃取用户信息、控制用户设备或进行其他非法活动。针对这类威胁,开发者设计了专门的反木马软件,也就是我们所说...

    手工分离捆绑木马的教程

    在IT安全领域,木马是一种常见的恶意软件,它通常被捆绑在正常软件中,以此来欺骗用户并悄悄地侵入他们的系统。手工分离捆绑木马是一项技术性较强的任务,需要对计算机病毒和恶意软件有一定的了解。这个教程将指导你...

    木马与防范原理简单介绍

    木马通常通过欺骗手段传播,比如伪装成有用的软件更新、游戏或者吸引人的下载链接。一旦激活,它们可能窃取用户数据,如密码、银行账户信息,甚至控制受感染的计算机进行分布式拒绝服务(DDoS)攻击或其他恶意活动。...

    Hacker_Defender_ROOKIT.rar_hacker_木马_木马 扫描_木马扫描

    黑客,通常指的是那些利用技术手段非法入侵他人系统的人,而木马则是他们常用的工具之一。本文将围绕"黑客防御"这一主题,深入探讨木马的概念、特征以及如何进行有效的木马扫描。 木马(Trojan)是一种恶意软件,它...

    ARP欺骗挂马称雄局域网

    根据提供的信息,“ARP欺骗挂马称雄局域网”主要介绍了利用ARP欺骗技术在局域网中挂载木马的方法及其步骤。这种方法的优点在于无需直接入侵目标网站,只需要攻击者处于同一局域网内即可实施攻击。这种方式可以在短...

    手工查杀木马和病毒(文本文件)

    - **木马**:通常指一种恶意程序,它伪装成正常软件欺骗用户下载安装,一旦运行就会在用户的电脑上执行恶意操作。 - **病毒**:一种能够自我复制并感染其他程序的恶意代码。 - **手工查杀**:指的是不依赖于特定的...

    BankBot木马瞄准Google Play应用商店

    其中,BankBot木马是一种专门针对Android操作系统的恶意软件,它通过伪装成正常的应用程序潜入用户的手机中,进而执行恶意行为。近期,BankBot木马通过隐藏在Google Play应用商店中的两款应用程序——“Bubble ...

    安卓Android源码——Gamex木马分析报告.zip

    Android权限管理系统是防止恶意软件侵害的重要防线,Gamex木马可能会通过欺骗用户授予不必要的权限,或者利用已知的安全漏洞绕过权限检查。 为了防止Gamex木马或其他类似的恶意软件,用户应该只从官方应用商店下载...

    最新延边大学本科毕业论文_电脑木马病毒的研究与防范.doc

    这种类型的病毒通过伪装成正常程序来欺骗用户下载或安装,进而秘密地在用户的计算机系统中执行恶意行为。与传统病毒不同的是,木马并不自我复制,而是通过网络连接或其他途径进行传播。 ### 木马病毒的特征 1. **...

    病毒、木马、蠕虫及其他恶意软件间区别何在.doc

    大多数病毒依附于可执行文件,但也可能潜伏在主引导记录、自动运行脚本、Microsoft Office宏文件,甚至普通文件中。病毒的目的多是为了造成混乱和破坏,如CIH病毒就以摧毁系统为目标,而其他病毒可能只专注于删除或...

    万博内部教材第九章

    特洛伊木马并非传统的病毒,而是通过伪装成合法程序来欺骗用户,使其主动安装。一旦安装成功,木马可以在后台运行,执行各种命令,如窃取敏感信息、更改系统设置、下载其他恶意软件等。其名称源自古希腊神话中的...

    网络后门与网络隐身PPT学习教案.pptx

    木马的特点是隐蔽性和非授权性,能够悄无声息地执行操作。 **木马的传播方式:** - **电子邮件传播**:攻击者将木马程序作为附件发送,受害者打开邮件附件即被感染。 - **软件下载**:木马被捆绑在可下载的软件中,...

    信息安全_数据安全_你好,捕鱼人.pdf

    "你好,捕鱼人"的主题演讲揭示了网络钓鱼攻击的策略和手段,这是一种常见的网络安全威胁,旨在欺骗用户以获取敏感信息。自动化和数据分析在这一过程中起到关键作用,帮助攻击者更有效地定位和利用目标。 网络钓鱼...

    新型计算机病毒的发展趋势及特点和技术ppt课件.ppt

    新型计算机病毒的主要特点包括利用系统漏洞将成为计算机病毒有力的传播方式、局域网内快速传播、以多种方式快速传播、欺骗性增强、大量消耗系统与网络资源、更广泛的混合性特征、计算机病毒与黑客技术的融合、计算机...

    浅析ASP网站中SQL注入的防范措施.pdf

    SQL注入攻击通常通过Web表单递交或页面请求的查询字符串发起,攻击者构造恶意的SQL语句并提交,尝试欺骗服务器执行这些非法的SQL命令。 为了防止SQL注入攻击,可以采取以下防范措施: 1. 优化服务器配置:设置IIS...

    trojan-qt5.app.zip

    特洛伊木马是一种伪装成合法软件的恶意程序,用户在不知情的情况下下载并执行时,它会潜入系统并可能造成数据泄露、系统破坏或其他恶意行为。 Qt5 是 Qt 框架的一个版本,这是一个跨平台的应用程序开发框架,用于...

    .........EXE伪装器

    这种技术的主要目的是欺骗用户,让他们在不知情的情况下运行被感染的文件,从而使恶意代码得以在用户的计算机上执行。 【标签】:“EXE伪装器”标签明确了这个话题的核心,即恶意软件开发者如何通过改变或伪装可...

    Windows操作系统安全性.pptx

    特洛伊木马则常通过欺骗手段植入并执行,而服务程序的可选组件如PWS,其安全性问题也可能成为攻击的入口。 在Windows 9x的远程攻击中,散列值重放攻击是一种常见策略。攻击者可以在短时间内重复使用获取的Challenge...

Global site tag (gtag.js) - Google Analytics