摘要:介绍了木马捆绑伪装的几种方式,并分析了各种方式的原理及其优劣。 关键词:文件捆绑;常规捆绑;压缩捆绑;插入捆绑;克隆捆绑 中图分类号:TP39 文献标识码:A 文章编号:1009-3044(2012)30-7214-02
木马之所以狡猾,是因为它除了能躲避杀毒软件的查杀外,还能诱骗用户运行。木马伪装,以捆绑方式最为常见,将恶意程序和正常的文件进行捆绑,是黑客最常用、最可行、最简单的方式,当受害者运行这些捆绑了恶意程序的文件后,电脑就在不知不觉中中招了!而且,几乎所有格式的文件,都能捆绑上木马,包括很多人认为不会带病毒的文件,比如:电影文件.rm、图片格式文件.jpg、等,都无一幸免!其中电影文件.rmvb一般是捆绑了弹窗广告,而大多数广告链接网站都有毒!所以去除广告链接,就安全了。
如果我们能对木马的捆绑伪装方式有充分地了解,知己知彼,那么就可以更好地保护我们的计算机系统不受侵害。
1 文件捆绑
文件捆绑,当然需要捆绑器软件,捆绑器的使用一般分为以下几个步骤:
1) 添加捆绑文件,包括要捆绑的恶意程序和被捆绑的正常文件,比如:各种图片、迷你小游戏、FLASH动画文件,等;
2)设置捆绑的属性并选择捆绑后的文件图标;
3)合并生成相应的文件。
读者可以上网随意下个捆绑机软件,比如“EXE捆绑机”软件,可以将两个可执行文件(.exe文件)捆绑成一个文件,运行捆绑后的文件等于同时运行了两个文件;它会自动更改图标,使捆绑后的文件与捆绑前的文件图标一样。
文件捆绑,具体来讲,又分为常规捆绑、压缩捆绑、插入捆绑、克隆捆绑,等多种方式。下面,本文将分析目前常见的几种木马捆绑伪装方式,从而让大家更好地了解木马运行的整个流程。
2 常规捆绑
常规捆绑比较简单,比如,“南城剑盟捆绑器”,功能非常专业强大,具有对捆绑文件修改属性、日期时间,图标提取、修改图标、释放路径配置等功能。该软件使用中应注意文件添加顺序,一般先添加被捆绑的正常文件,最后添加要捆绑的恶意程序,这样才能使之具有更好的迷惑性和隐秘性。
3 压缩捆绑
压缩捆绑是非常简单易行的木马伪装方式,很多菜鸟级黑客首次制作的恶意软件包就是采取该种方式伪装;压缩捆绑机软件有:
1)“WINRAR”软件!大名鼎鼎,简单,好用;
2)WINDOWS系统自带的IExpress软件;
3)其他,比如:“永不查杀的捆绑器”、“万能文件捆绑器”,等。
注:
WINRAR一般压缩成自解压文件包,为了在用户打开自解压包时能自动运行其中的恶意程序,一般还需修改注释、用宏汇编工具“C32Asm”等,对自解压包进行修改;
Iexpress的优势:因为是Windows系统自带的专用于制作各种 CAB 压缩与自解压缩包的工具,那么用Iexpress伪装免杀的木马一般的杀毒软件都不会报警!
“永不查杀的捆绑器”、“万能文件捆绑器”,这2款都是灰鸽子工作室推出的捆绑机。
4 插入捆绑
前面2种捆绑,对于有病毒防护知识的用户来讲,较容易被识破;因为虽然木马捆绑是一种常见的木马植入手段,也给木马提供了较好的伪装,但是宿主文件的大小在捆绑木马后会发生变化,尤其是一些体积较大的木马,会使捆绑后的文件体积发生明显变化,用户只需稍微细心些就能识破。
于是插入捆绑出现了!其原理是:考虑到每个应用程序内部都有一定的空间可以被利用,这样就可以保证被插入的程序“原封不动”,显然更具有迷惑性和欺骗性。
这类插入捆绑器软件的代表有:Ek Chuah、RobinPE,等。
4.1 Ek Chuah
比如Ek Chuah,对应于插入的不同位置,它提供了三种捆绑方式:1)“搜索多余空字节”;2)“扩展最后一节表”;3)“加入新节表”。
另外,Ek Chuah采取的一些技术,比如:“入口点模糊EPO”,能很好地防止被杀毒软件在入口点提取特征码,从而不被杀毒软件查杀;“文件体加密”则能把随机取得的种子和待捆绑的文件进行加密处理;“文件头多态”通过增加多态模块来防止杀毒软件,即在文件头入口以及异或部分,增加了多态模块,如果你在设置中选择了多态,会在这2个部分增加随机的代码(每次捆绑都不同),以达到防止一定程度的特征码定位的目的。
4.2 RobinPE
使用RobinPE在正常程序中植入木马前,首先要计算程序文件可利用的空间,将后门木马植入缝隙(理论上讲可以藏匿在任意的可执行程序文件中)自然就不额外增加代码块,从而使被植入文件大小不发生变化。
当然,考虑到木马体积大小问题,同时又不希望增加被植入文件的大小,那么,根据“计算空间”的大小,可以考虑“整体植入”(将木马文件全部植入一个.exe文件之中);或“分体植入”(将一个文件拆解植入到多个宿主文件里,以保证木马文件有足够的存放空间),分体植入法,由于不仅不改变被植入文件的大小,而且木马文件分散,特征码更加隐蔽,几乎完全可以躲过杀毒软件的查杀!
比如将木马植入Windows的重要系统文件explorer.exe,同时对服务端程序“Server.exe”进行加壳处理,可躲过杀毒软件的查杀,然后运行工具RobinPE。
5 克隆捆绑
大名鼎鼎的GHOST,很多人喜欢用它来装系统,网上也因此提供了多种版本的OS,比如:DeepIn、雨林木风、萝卜家园,等;树大招风吧,在这类.gho、.iso文件中,如果增加后门木马,那么,只要下载了这个.gho文件的用户,都将不幸成为黑客的又一只“肉鸡”!
比如官方推出的Ghost Explorer,就是一款不错的克隆捆绑机,只要事先准备好木马,之后就只需要将木马服务端程序和Windows系统自带的笔记本、注册表、计算器等其中的任意一个系统程序文件进行捆绑,然后用捆绑生成的文件替换掉.gho中原有的程序文件即可。此方法木马隐藏很深,很难引起用户的怀疑。
6 结束语
木马伪装方式多种,本文只历数若干捆绑方式。所谓“道高一尺魔高一丈”,杀毒软件技术在不断升级的过程中,木马的隐藏手段也在不断进步和发展;我们任重而道远!
参考文献:
[1] 顾巧论.计算机网络安全[M].3版.北京:科学出版社,2011.
[2] 万立夫.木马攻防全攻略[M].北京:电脑报电子音像出版社,2009.
[3] 谢希仁.计算机网络[M].5版.北京:电子工业出版社,2009.
