维普资讯 http://www.cqvip.com
应用与技巧 pcd.safety@cniti.com黑客战线 |.刊今年l5期中曾详细分析“敲诈者”病毒,它是国内第一个通过恶 鬈 禧嚣1寻找“绑架”元凶 当发现敲诈信息的时候,首先应该断开 网络连接,这样可以防范黑客通过术马监控 /l\意隐藏用户文档进行敲诈的病毒术。通过分析病毒的勒索过程,我 I 们成功清除掉病毒并找回“丢失”的资料。 只有这个病毒会敲诈勒索吗?回答当然是否定的,黑客还可以通过专业 的加密软件来进行敲诈勒索。正应了那句老话,高科技是一把双刃剑,我们 在享受专业加密工具带来的方便时,黑客也看到了它们的价值,想出了用加密 你的一举…一动。接着要分析自己的文件资料 是被哪种程序“绑架”的,是病毒、加密软 件,还是其他类别工具。如果是加密软件的 话,我们可以从系统桌面或“程序”某单中或 沣册丧r11找到1JII南软什的详细 [j、. f』¨” 什 怀 。 软件隐藏用户文档进行敲诈勒索的方法,正所谓:成也萧何,败也萧何。 怎么进来的? 咐『1口 192 l Settr ̄ EndlP 1 j Tin.out(s)2 善 [困 1 168O 250H 嚣 鼯秘1 入侵远程计算机 想要人侵 台远 程计算机并不难。在 。 2了解加密原理 在确定“绑架” 以 ,lJ『以钊j 他的 电蝻 进行 p m5 Thread(s) ∞Ad e 1g[216e Oe 19216eO13 1921明011 Ig2 1右8 0 7 l 帅 i W- D 51 w-1dD S1 wr吐 5 51 wr ̄ows 5 1 网页上挂木马就是常 见方法之,如利用 微软MS06014漏洞挂 测试这1、软 r} ,”¨.r 解它的加密 原理。这卫 ◎文件夹加密大师 ◎MS06040漏洞扫描器 马,当网友访问该网 页后就可能被安装木 马程序。通过远程溢出漏洞人侵也很常见,比如利用微软MS06040漏洞(图 1),得到远程SHELL后上传木马程序,从而实现人侵。 以《高强度 文件夹加密大师》为例,它有本机加密、移动 加密、隐藏加密三种方式(图3),每种加密 方式都采用了不同的原理。 辍嚣器2安装加密软件 接着,黑客会通过木马的客户 比如“本机加密”这种方式,加密成功后 我们会发现 被加密的 文件灾的膳 性发生r变 化,加密文 端程序连接远程的服务端,连接完 成后通过“文件管理”命令对远程 计算机的磁盘进行查看,并上传加 密软件(图2)。接着通过“屏幕监 控”功能查看远程桌面是否存在变 换,进而判断用户是否正在被使用。 如果没有,就马上通过控制鼠标后 进行加密软件的安装 La上传木马 t 件被移列了 其他目录中 (图4)。通 过对加密 ◎被《高强度加密大师》加密过的文件夹 前后的磁盘 分区夫小对 蘩3进行敲诈勒索 有的木马程序带有搜索的功能,可以轻易帮助黑客找到需要的文件,如 Word文档、Excel文件等。当然有的黑客会利用社会工程学,根据用户的习惯 来进行查找,比如人们都习惯将文件存放到“我的文档”目录中。 找到有价值的文件后,就通过加密工具对其进行加密或隐藏,然后在系 统的显要位置留下黑客的联系方式,进行敲诈勒索。 比,发现大小并没有多大的变化,说明文件还 放在该磁盘分区中。 查找被“绑架”的文件转移到的目录。通 过Windows系统的查找功能很难查找到,这 时DOS命令就体现出它们的强大之处 我们 可以在命令提示符窗口使用DIR、CHKDSK 等命令进行分析查找,结果发现《高强度 文件夹加密大师》将文件转移到该分区的 “RECYCLE 目录里面(图5)。 抢救“被绑”的文档 这种敲诈的针对性很强,不像“敲诈者”病毒可以在网上找到专杀工具, 只有手工查找并清除。 维普资讯 http://www.cqvip.com
黧 。m Step 3 隐藏技术躲无所躲。运行IceSword,单击左侧 破解加密软件 的工具栏中的“文件”选项,进入磁盘中的回 查找到被绑文件 收站目录。找到被绑的文件后,选择右键中的 的下落以后,我们就 “复制”命令即可将这些文件复制到磁盘的 可以将文件“抢救” 其他目录中即可(图6)。 出来。常见的方法包 ◎其实文件被转移到这里 括在命令提示符窗口 小 结 附舯*■●■ 0 使用COPY、XCOPY 最后提醒大家,如果遇到此类的勒索攻 H— H■ l ”l,SU__ ・ 等命令将其复制出 击,在没有把握的情况下不要对硬盘做任何操 尝 _] 冀: 裟 来;或者通过一些特 作,应该及时向专业人士进行求助,以确保能 jI 殊的工具将其复制出 够找回丢失的文件资料。同时应该及时报警, 、:: 烈 船嚣 篓 蠹6—r一 来,比 ̄IllceSword。 向警方提供黑客留下的Q Q、电子邮件、银行账 ◎用Icesword查找被隐藏的文件 IceSword是一款 户等犯罪信息。这样不但保护了自己的资料文 功能十分强大的木马检测工具,由于使用了大量新颖的内核技术,使得各种 件,也能便于将犯罪嫌疑人抓住。皿匝 圃 '_=-_1r大哈的电脑常常受到的病毒木马的骚扰,为此他重装过N次系 哥决定在村子里长住了。 L__J1I统。又一次重装系统到深夜,他决心拜师,学习防杀病毒木马的 、',绝招。一阵胡乱搜索后,“牧马村安全论坛”几个大字进入眼帘。 杀毒软件是万能的吗? 人们常说,网络可以掩盖很多。确实不假,简单注册之后,马大哈 小马哥用过不少杀毒软件,几乎是每中 就成了牧马村里的新人“小马哥”,看起来,人品、相貌和功力都提升了几 一次招就换一个。让他迷惑的是,杀毒软件也 个档次啊。不过,这个“小马哥”可不是来做老大的。他来村子,大吼: 防不住吗?他继续翻着精华帖,有一.篇讲解了 “谁能回答我三个问题,我就拜他为师。”四周人来人往,却没人停下来,因 杀毒软件的运行原理,让他若有所悟。 为每天来村里求助的年轻人太多 杀毒软件在检测到木马后,都会提醒用 户选择清除或隔离,实际上,它们的实时监 为什么受伤的总是我? 控功能有所差异。有的杀毒软件在内存里划 小马哥的第一个问题是:“木马程序怎么进人我的系统的?”没人回答 分一部分空间,将流过内存的数据与自身所 他,但有人给他指了一条路:“去 带的病毒库的特征码相比较,以判断是否为 置顶的精华帖里看看。”果然,这 木马。另一种则在内存里虚拟执行用户提交 里有答案: 的程序,根据其行为或结果做出判断。文件 现如今黑客安装木马程序的 扫描的方式,则和第一种实时监控的工作方 方法有很多,常用的是文件捆绑、 式一样。 ◎中个木马那是家常便饭 远程溢出、网页木马等(如图)。 可是,杀毒软件最大的缺点就是被动的 文件捆绑:用文件捆绑器把木马和正规的程序捆绑在一起。捆绑后的 防护,主要依靠病毒特征码来判断文件是否 文件很有迷惑性,加上木马一般在后台运行,用户点击后不会出现什么异 是木马的。对于木马变种和新的木马程序, 状,就会在不知不觉中中招。 杀毒厂商很难在第一时间增加它们的特征 远程溢出:黑客利用Windows系统的漏洞得到远程的控制权,接着通 码,所以对于新的木马程序,杀毒软件在第 过FTP、Tftp等方法上传木马程序并运行。这种方法操作简单,也非常隐 一时间往往不能察觉。另外,现在很多木马 秘,黑客往往通过编写批处理文件来批量执行木马的安装操作。 程序都有自我保护的功能,它们可以终结当 网页木马:利用系统或软件的漏洞制作好木马挂在网页上,再诱骗用 前正在运行的杀毒软件和网络防火墙。 户浏览这个网页。用户浏览时就会激活系统中的漏洞,将木马悄悄地安装到 两个问题看完,小马哥收获不小,这时 用户的系统中。 已经很晚,村子里没人了,还剩下一个问题 真是受益匪浅啊,原来是这么中招的。得到第一个问题的答案后,小马 就等明天来问吧。哪匝圃
