特洛伊木马的基础:隐形窗口和隐藏文件
以前,我以为只要不只是给朋友发文件,不是病毒或木马,但后来出现了漏洞的冲击波和冲击波的传播使用;以前,我以为不小的网站不在木马,许多大型网站但后来包括国内知名游戏网站,在家里挂上木马黑客。从那时起,我知道:安全,从来没有绝对的。虽然没有绝对的安全,但如果能理解支一芝碧,手段隐蔽的木马,如果不成功,可以及时发现,以减少损失。所以,如何做一个木马隐藏在我们的系统
基本隐藏:隐形窗体+隐藏文件
在任何情况下,特洛伊木马程序的神秘,但最终,一个程序是在win32平台下:
1.win32(Win32应用程序)的应用程序,如QQ,办公室,等等,都属于这一行。
的2.win32控制台程序(Win32控制台),如硬盘启动修复程序fixmbr。
其中,Win32应用程序通常有应用接口,如系统中的计算器,应用程序接口,并提供各种数字按钮。虽然木马属于Win32应用程序,但其一般形式不包含或隐藏窗体(但也有一些特殊情况,如木马的用户和聊天窗口的受害者),和木马文件属性设置为隐藏;;,这是隐藏一点经验的最基本方式,用户只需要打开任务管理器,和在文件夹选项显示所有文件;;;检查可以很容易的发现木马(见图1),然后我们下面要介绍的隐藏的工艺过程;学。
第一代进程隐藏技术:Windows 98的后门
在Windows 98中,微软提供了一种将进程注册为服务过程的方法。虽然微软没有公开提供该方法的技术实现细节,但由于在后续版本的Windows中没有提供这种机制,所以一些专家仍然发现了这个秘密。这种技术被称为registerserviceprocess。只要是用这种方法,任何程序的过程可以登记本身作为一种服务过程和服务过程中,不在Windows 98的任务管理器显示出来,因而被木马程序浪费。
要处理这个隐藏的木马很简单,只需使用其他第三方进程管理工具就可以找到它的位置,并采用了特洛伊木马技术隐藏在Windows 2000 XP中(因为它们不支持这种隐藏方法)在天空中!在木马文件被删除后停止进程,但是下一代第二代进程隐藏技术不是那么容易处理的。
第二代进程隐藏技术:进程插入
在Windows中,每个进程都有自己的私有内存地址空间,当使用指针(一个内存的访问机制)的内存访问,进程不能访问另一个进程的地址空间的内存,如邻居不同意,你不能进入邻居的晚餐。例如,QQ专卖店的图片在内存中的数据,和MSN不能通过阅读记忆直接获取图像数据,这也保证了程序的稳定性。如果在你的过程中的一个错误,它将存储在一个随机的地址。此错误不影响另一进程使用的内存。
你知道mdash;mdash;怎样的过程(过程)
一个应用程序,一个过程是一个大的容器,在容器中运行的应用程序,应用程序的等价的,你可以添加一些其他的容器(如可变数据,所需的应用程序在运行时需要引用的DLL文件),应用程序运行时的两倍,在East和西无容器排出时,系统会找到一个新的过程容器来保存它。
一个进程可以包含多个线程,线程(线程)可以同时做几件事情中的应用(如一个线程写入磁盘文件,对方接收用户的关键,及时做出反应,互相不干扰),在程序在系统中运行的,要做的第一件事是为过程建立一个默认的线程,那么程序可以根据自己的需要添加或删除相关的线程(参见图2流程图)。
1是什么。进程插入
独立的地址空间是为程序员和用户非常有益。对于程序员,系统更容易捕获的随机存储器的读取和写入,为用户做系统将变得更加强大,因为人不能应用破坏另一个进程或*作系统的运行。当然,对这个系统的鲁棒性是有成本的,因为它将编写的应用程序可以与其他进程进行通信或做其他处理更加困难。但仍有许多方面打破边界的过程中,访问另一个进程的地址空间,即过程插入(注射)。一旦木马DLL插入一个地址空间其他进程,你可以做任何你想要的另一个过程,如被盗的QQ密码将在下面介绍。
如何2。木马盗取了QQ密码
在一般情况下,应用程序接收键盘、鼠标等应用程序无权问木马如何秘密记录我的密码。木马程序先将1个dll文件放入QQ进程,成为QQ进程中的一个线程,如木马DLL正在成为QQ的一部分!然后用户输入密码,因为木马DLL已经进入了QQ进程里面,所以它可以输入用户收到的QQ密码,它是敌人内的;!