駭客自白:早就聽說過NTFS檔系統存在一個嚴重的漏洞,而漏洞的形成又是由於“微軟好心辦壞事”,這次我要講的隱藏木馬的方法就是如何利用ntfs藏木馬?即利用NTFS交換數據流(ADSs)來實現,以躲避殺毒軟體的查殺。www.sq120.com推薦文章
創建NTFS交換數據流
Windows無法使用自帶的系統工具進行ADSs的檢測,但卻能夠執行ADSs中的任意代碼。創建一個數據交換流檔的方法很簡單,在Windows中輸入命令:“echo 數據流內容 > 原始檔案名:數據流名稱”。
雖然在命令提示符窗口中不能直接執行捆綁後的檔流 ,但是不用逆操作來分離出我們的隱藏檔,直接運用start 命令就可以直接執行已隱藏的檔,這種方法相當隱蔽。
小資料:NTFS交換數據流
數據流(ADSs)簡單地講就是這個檔在執行時執行的內容。在 NTFS 檔系統下,每個檔都可以有多個數據流。當在非 NTFS 卷(如 FAT32磁片分區)下讀取檔內容時,系統只能訪問一個數據流。因此用戶會覺得它是該檔真正的“唯一”的內容。
但是當在 NTFS 卷上創建檔時,就可以通過在一個檔中創建多個數據流內容,這樣很容易將一段惡意代碼隱藏到某個檔之中。並且惡意代碼在整個執行過程中,系統進程裏也不會有這段代碼的身影。
利用ADSs捆綁木馬
ADSs原理看起來好像是非常的複雜,但是在實際應用過程中卻非常的簡單。首先創建一個臨時檔夾,將準備好的木馬程式如mm.exe複製到這個檔夾之中。接著打開命令提示符窗口,輸入命令“echo ms.exe>mm.txt:wlf.txt”,這樣就為木馬創建了一個數據流檔(圖1)。
我們利用WinRAR將木馬程式隱藏到ADSs中,就相當於將數據流和木馬程式進行捆綁操作。在臨時檔夾上單擊右鍵對這個檔夾進行壓縮(圖2)。
雙擊創建的壓縮檔,點擊WinRAR工具欄上的“添加”按鈕,流覽選中臨時檔夾。在出現的“壓縮檔案名和參數”面板中切換到“高級”標籤中,接著選中其中的“保存檔數據流”選項,點擊“確定”即可(圖3)。
在WinRAR中選中kunb檔夾,點擊工具欄上的“自解壓格式→高級自解壓選項→常規”選項標籤,最後在“解壓縮之後運行”中輸入“start wlf.txt:ms.exe”即可(圖4)。
點擊“模式”選項標籤,選中“全部隱藏”和“覆蓋所有檔”這兩個選項。全部設置完成後點擊“確定”按鈕返回,這樣就創建了一個極為隱蔽的自解壓木馬,甚至可以躲過殺毒軟體的查殺。當用戶雙擊這個自解壓檔後,就會運行裏面的數據流木馬了。
破解《UAC防線形同虛設》攻擊招數
本周,一共有106位讀者發來了破解招數。我們根據大家的破招描述和效果,最後評出來自廣州的K‘DASH為最佳防禦者,他將獲得50元的獎勵,同時,可以再參加年度最佳防禦者的評選。
堵住UAC漏洞
利用正常檔來“掩護”木馬檔避過UAC,是一個好方法。但也不是完美的,下麵我來介紹幾種方法進行防禦。
1.要運行木馬檔,就必須取得管理員的許可權,這樣才可以把木馬檔寫入到系統盤。我們就可以不用管理員身份運行程式,畢竟我們也不是時時都要安裝系統檔的。
2.Vista的系統要裝在NTFS系統分區上,而NTFS有一個“安全”管理。我們可以把SYSTEM32(因為很多木馬或病毒都要把原始檔案複製到這個目錄下)的許可權只把“讀取”選上,其餘都不選,這樣木馬檔就寫不入了。
3.安裝即時檔監控的殺毒軟體。檔即時監控會在用戶打開程式時先掃描應用程式,木馬自然就無處可藏了。 |
