当前位置：首页 > 实用文档 > 其他范文> 关于木马隐藏的一个新方法

关于木马隐藏的一个新方法

时间：2022-05-07 13:37:30 其他范文收藏本文下载本文

关于木马隐藏的一个新方法(（共5篇））由网友“oattao”投稿提供，下面是小编给大家带来的关于木马隐藏的一个新方法，以供大家参考，我们一起来看看吧!

关于木马隐藏的一个新方法

篇1：关于木马隐藏的一个新方法

大家所熟知的木马程序一般的启动方式有：加载到“开始”菜单中的“启动”项、记录到注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion[Run项中，更高级的木马还会注册为系统的“服务”程序，以上这几种启动方式都可以在“系统配置实用程序”（在“开始→运行”中执行“Msconfig”）的“启动”项和“服务”项中找到它的踪迹，

另一种鲜为人知的启动方式，是在“开始→运行”中执行“Gpedit.msc”。打开“组策略”，可看到“本地计算机策略”中有两个选项：“计算机配置”与“用户配置”，展开“用户配置→管理模板→系统→登录”，双击“在用户登录时运行这些程序”子项进行属性设置，选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口，再单击“添加”按钮，在“添加项目”窗口内的文本框中输入要自启动的程序的路径，单击“确定”按钮就完成了，

重新启动计算机，系统在登录时就会自动启动你添加的程序，如果刚才添加的是木马程序，那么一个“隐形”木马就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的，同样在我们所熟知的注册表项中也是找不到的，所以非常危险。

通过这种方式添加的自启动程序虽然被记录在注册表中，但是不在我们所熟知的注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion[Run项内，而是在注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun项。如果你怀疑你的电脑被种了“木马”，可是又找不到它在哪儿，建议你到注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun项里找找吧，或是进入“组策略”的“在用户登录时运行这些程序”看看有没有启动的程序。

篇2：两种隐藏木马的新方法(可能有些错误，请指正)

作者: 四不象

win9x下的设备名DOS漏洞是众所周之的，其实win下也有类似的漏洞，

我们姑且称着个漏洞为“以设备名命名的文件夹拒绝服务漏洞”，虽然很早以前就有这个漏洞（大概

1年以前就有朋友告诉我这个漏洞的情况了），但我至今还没有从各大漏洞数据库中发现她的踪迹。

根据常识，我们知道：在windows下无法以设备名来命名文件或文件夹，

这些设备名有：aux,com1,com2,prn,con,nul。

但win2000(win xp)有个漏洞，可以让这一不可能成为可能。

我们可以尝试如下实验：

首先，你的操作系统必须是win2000或win xp，

运行cmd.exe，用“md c:con”命令可以建立一个和设备名con相同的目录。

你可以试着用资源管理器去打开它，一切正常，但是你要是试图在资源管理器里删除它，会发现这

根本就是徒劳。如用“del c:aux”会提示“文件名、目录名或卷标语法不正确。”

删不掉了，怎么办？哎呀，只有格式化了，呵呵~~~，啦。其实是有办法删的，要不然我怎么

敢让你试呢？办法等会儿告诉你。

先一个个试过来“md c:aux”,“md c:prn”,“md c:com1”,“md c:nul”，然后把这些建立好

的文件夹在资源管理器中一个个双击试试，你会发现，当试图打开以aux或com1命名的文件夹时

explorer.exe失去响应了，这正是我想达到的目的（然而，在我实验的过程中有个意外，在一次次的

explorer.exe失去响应后，竟然可以进入aux目录和com1目录，难道是explorer.exe已经“习惯”了？

但是当我注销后再次尝试就不行了，非常奇怪，而且在我以后的多次试验中就再也没有出现这种情况

了，有谁也发现这种情况告诉我一声）。

要删除它们的话一定要使用UNC路径格式，就是网上邻居的路径格式啦。

命令如下：

“rd .c:aux”

现在你可以把文件copy到该目录下，当然不能用普通的方法，命令如下：

“copy test.exe .c:aux”

然后再“开始”-“运行”中运行“c:auxtest.exe”,成功了，

虽然在资源管理器里是无法删除该文件了，但

是可以使用del命令删除，“del c:aux”，提示“c:aux*, 是否确认 (Y/N) ? ”，用“dir .c:aux”

命令后发现test.exe被删除了。

目录删不掉了，但文件还是能删掉，现在要试着让文件也删不掉。

同样的方法“copy text.exe .c:con.exe”。现在行了，这个con.exe是无法通过普通方法删掉了，只有

用“del .c:con.exe”才行，在命令行方式下运行“.c:con”，可以运行这个程序了，但在开始菜单的

“运行”中却不行。只有使用命令“cmd /c .c:con”才行了。

不过这样会产生一个cmd的窗口，改进的方法有很多，可以利用开机脚本，也可以利用cmd.exe的autorun：

在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftCommand Processor下建一字串值AutoRun，值为要

运行的.bat文件或.cmd文件的路径，如：c:winntsystem32auto.cmd,建立相应的文件，它的内容为：

@.c:con

还有一种方法，这不是我原创的,就是利用windows目录长度不能超过256字节的特性，可以利用subst命令将

一长度达到256字节的目录映射为虚拟盘：“subst b: testtesttesttesttesttesttes…………………………”。

然后在虚拟出来的b:中建立一个长文件名目录“testtesttesttestte…………”，然后将一可执行文件copy到该

路径下，去掉虚拟盘符映射：“subst b: /d”，这样用资源管理器是无法进入该目录的，杀毒软件也无法扫描

该路径下的文件，而且在资源管理器中是无法删除该目录的，但可以使用8.3文件格式来运行该可执行文件：

“c:testte~1testte~1test.exe”，从而达到隐藏的目的。

摘自:20CN

篇3：木马各种隐藏技术全方位大披露

以前，我曾认为只要不随便运行网友发来的文件就不会中病毒或木马，但后来出现了利用漏洞传播的冲击波、震荡波;以前，我曾认为不上小网站就不会中网页木马，但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。从此，我知道:安全，从来没有绝对的。

虽然没有绝对的安全，但如果能知已知彼，了解木马的隐藏手段，对于木马即使不能百战百胜，也能做到及时发现，使损失最小化。那么，木马究竟是如何躲在我们的系统中的呢？

最基本的隐藏:不可见窗体＋隐藏文件

木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Windows下常见的程序有两种:

1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。

2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。

其中，Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马(见图1)，于是便出现了下面要介绍的“进程隐藏”技术。

第一代进程隐藏技术:Windows 98的后门

在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。

要对付这种隐藏的木马还算简单，只需使用其他第三方进程管理工具即可找到其所在，并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形！中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术，就没有这么简单对付了。

第二代进程隐藏技术:进程插入

在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，就好比在未经邻居同意的情况下，你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。

你知道吗——进程(Process)是什么

对应用程序来说，进程就像一个大容器。在应用程序被运行后，就相当于将应用程序装进容器里了，你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等)，当应用程序被运行两次时，容器里的东西并不会被倒掉，系统会找一个新的进程容器来容纳它。

一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程(见图2 进程关系图)。

1.进程插入是什么

独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说，系统更容易捕获随意的内存读取和写入操作。对于用户来说，操作系统将变得更加健壮，因为一个应用程序无法破坏另一个进程或操作系统的运行。当然，操作系统的这个健壮特性是要付出代价的，因为要编写能够与其他进程进行通信，或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限，访问另一个进程的地址空间，那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，比如下文要介绍的盗QQ密码。

2.木马是如何盗走QQ密码的

普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！ 3.如何插入进程

(1)使用注册表插入DLL

早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs]来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。

(2)使用挂钩(Hook)插入DLL

比较高级和隐蔽的方式，通过系统的挂钩机制(即“Hook”，类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”)，需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高，程序调试困难，这种木马的制作者必须具有相当的Win32编程水平。

你知道吗——什么是API

Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface，即“应用程序编程接口”)，如一些程序需要对磁盘上的文件进行读写，就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求，然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能，最后将调用结果(如写入文件成功，或读取文件失败等)返回给程序(见图3 应用程序、Win32 API、系统的关系图)。

(3)使用远程线程函数(CreateRemoteThread)插入DLL

在Windows 2000及以上的系统中提供了这个“远程进程”机制，可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显，仅支持Windows 2000及以上系统，在国内仍有相当多用户在使用Windows 98，所以采用这种进程插入方式的木马缺乏平台通用性。

木马将自身作为DLL插入别的进程空间后，用查看进程的方式就无法找出木马的踪迹了，你能看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看)，木马的DLL模块就会现形了。

不要相信自己的眼睛:恐怖的进程“蒸发”

严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！

它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。

而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。你知道吗——什么是Hook

Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。

毫无踪迹:全方位立体隐藏

利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。

跟杀毒软件对着干:反杀毒软件外壳

木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为穿上件马夹我就不认识你了)。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。

你知道吗——什么是壳

顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。

篇4：常见的木马隐藏启动方法

木马的隐藏启动至关重要，下面为大家介绍一下它的几种方法：

方法一：注册表启动项:这个大家可能比较熟悉，请大家注意以下的注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices

HKEY_CURRENT_USERSOFTWAREMicrosoftWindows CurrentVersionRunHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

这里只要有“run”敏感字眼的都要仔细，

方法二：利用系统文件

可以利用的文件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 当系统启动的时候，上述这些文件的一些内容是可以随着系统一起加载的，从而可以被木马利用，用文本方式打开 C:Windows 下面的system.ini文件我们会看到，其它的几个所述文件也是经常被用来利用，从而达到开机启动的目的的。

方法三：系统启动组

依次点开“开始”------“程序”------“启动”

WINXP: C:Documents and Settingsgillispie[开始]菜单程序启动

WIN98: C:WINDOWSStart MenuPrograms启动

对应的注册表键值：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Folders

方法四：利用文件关联：

例如：正常情况下txt文件的打开方式为Notepad.exe文件，如果一旦中了文件关联类的木马，这样打开一个txt文件，原本应该用Notepad打开该文件的，现在却变成了启动木马程序了，

解决文件的关联问题有两种方法：

①修改注册表：

如果木马是关联的EXE文件：

找到键值：