最基本的隐藏不可见窗体+隐藏文件
木马程序无论如何神秘但归根究底仍是Win平台下的一种程序Windows下常见的程序有两种
Win应用程序(WinApplication)比如QQOffice等都属于此行列
Win控制台程序(WinConsole)比如硬盘引导修复程序FixMBR
其中Win应用程序通常会有应用程序界面比如系统中自带的计算器就有提供各种数字按钮的应用程序界面木马虽然属于Win应用程序但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况如木马使用者与被害者聊天的窗口)并且将木马文件属性设置为隐藏这就是最基本的隐藏手段稍有经验的用户只需打开任务管理器并且将文件夹选项中的显示所有文件勾选即可轻松找出木马于是便出现了下面要介绍的进程隐藏技术
第一代进程隐藏技术Windows的后门
在Windows中微软提供了一种能将进程注册为服务进程的方法尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)但仍有高手发现了这个秘密这种技术称为RegisterServiceProcess只要利用此方法任何程序的进程都能将自己注册为服务进程而服务进程在Windows中的任务管理器中恰巧又是不显示的所以便被木马程序钻了空子
要对付这种隐藏的木马还算简单只需使用其他第三方进程管理工具即可找到其所在并且采用此技术进行隐藏的木马在Windows/XP(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马文件删除即可可是接下来的第二代进程隐藏技术就没有这么简单对付了
第二代进程隐藏技术进程插入
在Windows中每个进程都有自己的私有内存地址空间当使用指针(一种访问内存的机制)访问内存时一个进程无法访问另一个进程的内存地址空间就好比在未经邻居同意的情况下你无法进入邻居家吃饭一样比如QQ在内存中存放了一张图片的数据而MSN则无法通过直接读取内存的方式来获得该图片的数据这样做同时也保证了程序的稳定性如果你的进程存在一个错误改写了一个随机地址上的内存这个错误不会影响另一个进程使用的内存
你知道吗――进程(Process)是什么
对应用程序来说进程就像一个大容器在应用程序被运行后就相当于将应用程序装进容器里了你可以往容器里加其他东西(如应用程序在运行时所需的变量数据需要引用的DLL文件等)当应用程序被运行两次时容器里的东西并不会被倒掉系统会找一个新的进程容器来容纳它
一个进程可以包含若干线程(Thread)线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件另一个则接收用户的按键操作并及时做出反应互相不干扰)在程序被运行后中系统首先要做的就是为该程序进程建立一个默认线程然后程序可以根据需要自行添加或删除相关的线程
进程插入是什么
独立的地址空间对于编程人员和用户来说都是非常有利的对于编程人员来说系统更容易捕获随意的内存读取和写入操作对于用户来说操作系统将变得更加健壮因为一个应用程序无法破坏另一个进程或操作系统的运行当然操作系统的这个健壮特性是要付出代价的因为要编写能够与其他进程进行通信或者能够对其他进程进行操作的应用程序将要困难得多但仍有很多种方法可以打破进程的界限访问另一个进程的地址空间那就是进程插入(ProcessInjection)一旦木马的DLL插入了另一个进程的地址空间后就可以对另一个进程为所欲为比如下文要介绍的盗QQ密码
木马是如何盗走QQ密码的
普通情况下一个应用程序所接收的键盘鼠标操作别的应用程序是无权过问的可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时因为此时木马DLL已经进入QQ进程内部所以也就能够接收到用户传递给QQ的密码键入了真是家贼难防啊!
如何插入进程
()使用注册表插入DLL
早期的进程插入式木马的伎俩通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的缺点是不实时修改注册表后需要重新启动才能完成进程插入
()使用挂钩(Hook)插入DLL
比较高级和隐蔽的方式通过系统的挂钩机制(即Hook类似于DOS时代的中断)来插入进程(一些盗QQ木马键盘记录木马以Hook方式插入到其他进程中偷鸡摸狗)需要调用SetWindowsHookEx函数(也是一个WinAPI函数)缺点是技术门槛较高程序调试困难这种木马的制作者必须具有相当的Win编程水平
你知道吗――什么是API
Windows中提供各种功能实现的接口称为WinAPI(ApplicationProgrammingInterface即应用程序编程接口)如一些程序需要对磁盘上的文件进行读写就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能最后将调用结果(如写入文件成功或读取文件失败等)返回给程序
()使用远程线程函数(CreateRemoteThread)插入DLL
在Windows及以上的系统中提供了这个远程进程机制可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)缺点很明显仅支持Windows及以上系统在国内仍有相当多用户在使用Windows所以采用这种进程插入方式的木马缺乏平台通用性
木马将自身作为DLL插入别的进程空间后用查看进程的方式就无法找出木马的蹤迹了你能看到的仅仅是一些正常程序的进程但木马却已经偷偷潜入其中了解决的方法是使用支持进程模块查看的进程管理工具(如Windows优化大师提供的进程查看)木马的DLL模块就会现形了
不要相信自己的眼睛恐怖的进程蒸发
严格地来讲这应该算是第代的进程隐藏技术了可是它却比前几种技术更为可怕得多这种技术使得木马不必将自己插入到其他进程中而可以直接消失!
它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控任务管理器之所以能够显示出系统中所有的进程也是因为其调用了EnumProcesses等进程相关的API函数进程信息都包含在该函数的返回结果中由发出调用请求的程序接收返回结果并进行处理(如任务管理器在接收到结果后就在进程列表中显示出来)
