从本文你可以学到:
1. 如何识别文件是否捆绑木马
2. 如何处理解决捆绑木马文件
在PC个人电脑的不断普及和ADSL宽带逐渐成为主流的上网方式,你可以使用的从原来的电话拨号56K网速到现在的ADSL 1MB、小区LAN 10MB或者更高。网速快了这个事实让人欣喜,但是你有没有想过在
互联网的普及使得你的电脑随时都有可能受到来自网上的各种攻击。本文将把你们带入一个
安全网络时代,让你被攻击的可能性降到最低。
入侵防御总的说来应该分为3大类:
u 防捆绑木马入侵
u 防网页木马入侵
u 防
漏洞扫描入侵
一、 防捆绑木马入侵
现在的牧“马”者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过
qq、Email或MSN等将这些文件传送给受害者,而一旦不慎打开这些文件,你就“中招”了(当然是木马了)。那对付这些捆绑木马有哪些值得我们平时注意的?
先说说捆绑木马是什么,捆绑就是存在两个或两个以上的几个文件组合成的一个整体:但是只有一个文件真正被我们使用其他的则是后台悄悄运行植入我们的电脑。
例子:
捆绑木马的手段归纳起来共有四种:第一种是利用捆绑机
软件和文件合并
软件捆绑木马;第二种是利用WINRAR、WINZIP等
软件制作自解压捆绑木马;第三种是利用
软件打包
软件制作捆绑木马;第四种是利用多媒体影音文件传播。不过,今天我们这里并不是介绍如何捆绑木马,而是针对这四种的捆绑木马方法给读者讲解如何识破的方法。首先我们来看如何识破第一种方法的诡计。
⒈利用捆绑机
软件和文件合并
软件捆绑木马(出现几率50%)
在进行这一步之前我们需要了解一下PE文件的一些基础知识:
PE文件也就是可执行应用程序文件 即应用程序32位系统Window图形界面系统 常见后缀名:[.exe] 16位系统 即
DOS文件系统 常见后缀名:[.com] 对于PE文件的知识我们就只要知道这些:在WINDOW32位下运行先从
DOS MZ header→PE header →Section →Overlay尾部数据基本就是这个流程, 下面我们开始详细介绍捆绑木马及识破方法。
捆绑模式有两种:一种是在原有的程序文件尾部添加数据,从而达到你运行正常的程序同时运行木马的效果;而另外一种就是利用捆绑器中自带的一个PE头文件来捆绑文件,在你运行这种类型的文件时他会先释放两个文件(一个是正常的被捆绑的文件,而另外一个则是木马或者其他附加给你的程序如:IE插件)后者在运行速度上可能稍慢于前者,利用第二种模式的捆绑木马最为多见
为了防范这类木马所以我们制定两种方案:
首先我们用PEID查是否存在尾部数据防范前者利用附加数据来捆绑木马,在则是用C32ASM查文件头个数以防范后者利用PE头捆绑木马(下面我们进入实例来说说)
先用PEID 看看有没有尾部数据显示 “Microsoft Visual C++ 6.0 [Overlay ]”Overlay就是尾部数据 见(如图1) 一般捆绑文件就是在尾部数据Overlay这里面,而不会放在头或者区段里!(但仅仅通过从这个判断是否有捆绑是不行的,需要做下步进行判断!)
(图1 PEID 查尾部数据)
在把文件拖到C32ASM窗口中 选16进制打开文件(如图2)然后利用ANSI码搜索 关键字“MZ”(如图3) 出现多个
DOS MZ header且文件部分和(如图4)相似即可判断为该文件有多个PE头也就是存在多个程序(木马或者其他程序)在内部(从这个判断一般都是没错的了,除了少数程序例外。)
(图2 C32ASM拖放打开文件提示界面)
(图3 C32ASM搜索关键字)
(图4 常见的PE头部 一般一个程序只有一个)
⒉利用WINRAR、WINZIP等压缩
软件制作自解压捆绑木马 (出现几率30%)
(图5 RAR SFX自解压模块)
因为WINRAR是我们现在最常用的压缩
软件所以我们必须小心点,不然就被图谋不愧的人利用了……。别和我说你没有安装WINRAR哦,如果是这样下面的步骤可能不一样哦。还是看情况把对于EXE可执行文件我们都可以使用如下方法进行检查:不要先运行而是先用PEID 查看看是 (RAR SFX)自解压模块(如图5),发现这点好办用RAR打开这个EXE就可以了 (如图6)右键快速打开文件,打开后查看右边的注释(如图7)显示如下:
;下面的注释包含自解压脚本命令
Setup=2.exe
Presetup=1.exe
Silent=1
Overwrite=1
一般Presetup=*.exe 这个为木马文件 而Setup=*.exe这个为正常文件但也有可能两个都是木马……,这些是不定的最保险还是解压出来用杀毒
软件查杀一下,如果两个或者多个都没有被查杀那很可能这个木马已经被免杀处理过了这个时候最好是去其他地方重新
下载一个吧,这样比较好。当然你也可以通过图标来判断(前提你知道你下载的这个文件原始图标应该是哪样的)。最后把那个你认为是木马的文件仍掉即可!
(图6 WINRAR右键快速打开文件)
(图7 查看RAR注释的界面)
⒊利用
软件打包
软件制作捆绑木马 (出现几率10%)
(图8用Nullsoft Pimp 打包的安装程序)
这里说的
软件打包后的程序也就是我们通常使用的安装程序 即:(SETUP.exe)先用PEID查壳(如图8)这类捆绑是很难在不运行安装程序的情况下分离的,要分离的话可能只有反编译安装包了(不过这样做是很危险的,而且很难避免安装程序的不运行)。下面我们就教
大家一种最简单的方法识别这类可能存在问题的安装程序,就是利用MD5值来判断文件是否为正常的安装程序,当然要使用MD5来判断必须要有另外一个相同的安装包即
软件版本相同或者和安装程序大小相同的你才可以继续以下步骤。当你已经下载了一个安装程序你可以尝试换个非该站下载点的另外一个地址的安装包,如果可能当然最好是去到官方下载,下载后用WINMD5工具对比一下MD5值 使用技巧:选中两个需要对比MD5的文件用鼠标拖动到程序窗口处就可以进行对比了 (如图9)对比后通过看MD5值就可以发现两个安装包不一样了(因为世界上几乎没有一个不相同的文件拥有相同的MD5值就和人的指纹一样具有特殊性是不能被模仿的,除非复制一分但是不能改动文件本身的,只要改变了文件任何地方他的MD5值也就随之改变),既然知道它有这个特性你就可以做出判断了,大多数我们都是以官方站下载、大
软件站下载的为主把另外那个删除就可以了。
(图9用WINMD5查看两个相同
软件的安装包)
⒋利用多媒体影音文件传播(出现几率是10%)
很多读者听到这个的时候应该都很惊讶吧,就连听音乐和看电影都有可能中木马啊不过这类木马大部分还是基于IE
漏洞或者系统漏洞传播或者
软件自身缺陷,内置浏览网页的
软件或插件出现漏洞问题导致的(也就是必须通过网页木马才可以生效,缺这个环节它也是虚惊一场)。这类木马一般出现在格式为:.wma .mp3 .rm .swf这三种如果还有别的我就不清楚了。但都是先制作RM影音木马(方法就是利用Helix Producer Plus或者 图形版的RealMedia Editor来合并事件达到设定时间打开指定的含有恶意代码的网页),然后利用其他格式转换
软件将RM格式转换成其他格式的多媒体文件(如:.wma .mp3 等)但是仍然保留打开网页连接的特性。对于Flash的影片.swf也可以弄跳转的这种很难防御的……。
对于要彻底防御这类影音木马我们只有禁止当前所有程序创建新的网络连接,只有这样才能才能在听音乐或者看电影的时候不出在弹出窗口中访问连接含有恶意代码网页,从而完全杜绝这类木马的危害。因为几乎大部分低版本的多媒体播放器都存在这漏洞。所以我们要打好该播放器的
安全更新补丁或者及时升级最新版本的播放器。如果还不能解决这个问题的话可以试试看我提供给大家的这两种方法:
第一种:暂时断开网络连接播放整个文件是否存在问题(适用于短小的音乐文件,对于比较长时间的影音推荐还是关闭网络连接看吧。)
第二种:使用手动查杀必备的大哥大工具 冰刃(IceS
word)(如图10)禁止创建新进程,主要是防御浏览多媒体文件时突然弹出的
浏览器窗口(如
微软的IE 、腾讯的TT )。使用步骤如下:打开冰刃进入主界面→单击“文件”菜单→选择“设置”→钩选“禁止进线程创建”(如图11)最后在单击确定即可。如要恢复逆操作一遍即可。经过第二种方法后你大可以放心的享受多媒体了,因为大部分通过浏览器起作用的恶意代码都调用不起来的。
(图10(IceS
word)的主界面)
(图11禁止进线程创建)
① 防捆绑木马入侵小结:工具不是万能的而人是活的,大家可以利用以上的方法加以结合即可达到事半功倍的效果。
对我文章有什么已经可以发电子邮件到我邮箱与我联系:
darkteam3761@gmail.com另外防网页木马入侵和防漏洞扫描入侵将在以后的周刊里和大家见面!
