论文部分内容阅读
这天午后刘鼎从茶馆经过,看见茶博士懒洋洋地坐在门口晒太阳,便上前问道:“你呆在这儿干什么。不用做生意了啊?”茶博士悠闲地答道:“马上就要过五·一节了,今年不是没长假了嘛。所以很多人都提前出门旅游去了。就算没出门旅游的,这几天也都跑到郊区的农家乐玩去了……”
初识借刀杀人
刘鼎和茶博士边聊边一同进入了茶馆。找了张桌子坐下并打开随身的笔记本电脑后,刘鼎笑嘻嘻地对茶博士说:“哥们儿,前段时间在家是不是经常看艳照啊?我可是控制了你的电脑的哦!”茶博士摸了摸头,惊奇道:“额滴神啊!不会吧?我的杀毒软件可是有主动防御功能的,怎么会一点反应都没有呢?”
刘鼎大笑:“因为我用了借刀杀人之计,哈哈!”茶博士疑惑地问道:“什么借刀杀人啊?”刘鼎:“借刀杀人之计原文为:敌已明,友未定,引友杀敌,不自出力,以《损》推演。这就是说,敌方已经明确,而盟友的态度还未明朗,要诱使盟友去消灭敌人,不必自己付出代价。这是根据易经中的《损》卦推演出来的。而我就是借微软的‘刀’,干掉了你系统中的杀毒软件。”
刘鼎说计
茶博士听了后,还是非常不解:“微软的‘刀’?快说详细一些。”刘鼎一看他这样急,摆谱地说:“你知道‘AV终结者’这个病毒吗?它最大的特色就是利用了映像劫持技术,来禁止各种杀毒软件的运行。而这项技术可是Windows系统自带的哦,你说这算不算是微软的‘刀’呢?”
听了这番话以后,茶博士好像有些明白了,于是赶紧招呼茶馆跑堂的上茶,并且接着就问刘鼎映像劫持是个什么东东。刘鼎喝了一口茶,说:“映像劫持也被称为IFEO。在Windows NT内核的系统中,映像劫持的本意是为一些在默认系统环境中运行时可能引发错误的程序提供特殊的环境设定。微软之所以这么做,是因为在Windows NT时代,系统使用的是一种早期的堆栈管理机制,使得一些程序的运行机制与现在的不同。后来随着系统的更新换代,为了兼顾这些出问题的程序,微软就专门设计了映像劫持技术。它的原意本不是‘劫持’,而是‘映像文件执行参数’。”
茶博士继续问道:“那么如何使一个可执行程序被映像劫持控制呢?”刘鼎说道:“这个你放心,很简单的。微软在windows NT架构的系统中为用户预留了一个交互接口,它位于注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOptions]中,使用与可执行程序文件名匹配的项目作为程序载入时的控制依据。映像劫持采用忽略路径的方式来匹配它所要控制的程序文件名,例如指定对一个名为PCD.EXE的可执行程序文件进行控制,那么无论它在哪个目录下,只要其名字还叫PCD.EXE,那么它就始终能够被控制。”
实战操作
两人正聊到兴头上,公孙牧不知道从哪儿冒了出来,说道:“刘鼎不错啊,现在都可以当老师啦!”刘鼎一听,顿时面红耳赤,谦虚地回道:“这还不是先生教得好,接下来就由先生讲吧?小二,给先生上茶!”公孙牧坐下后,说:“哈哈,恭敬不如从命!首先。我们来配置一个木马的服务端,这里还是以常见的‘灰鸽子’木马为例。在用其配置程序生成服务端文件时,‘安装路径’中要输入‘$(WinDir)\pod.exe’,这里的服务端文件名pcd.exe可以自定义。因为我们是利用映像劫持来进行启动,所以还得将其‘启动项设置’中的两个选项取消勾选,然后再勾选‘高级选项’中的两个选项。”
由于“灰鸽子”木马的服务端配置比较简单,因而刘鼎和茶博士都没有插话,而公孙牧在喝了一口茶后,继续说道:“现在运行《Windows映像劫持利用程序》,按照提示输入选项1,然后就可以根据向导进行设置了。首先输入需要劫持的文件名,这里我们输入《卡巴斯基》的主程序文件名avp.exe。接着输入木马服务端文件的绝对路径,如C:\windows\pcd.exe。这样当《卡巴斯基》启动时,就会因映像劫持而无法正常运行,而木马的服务端pcd.exe就乘机得以运行。这也是前面为什么要取消‘启动项设置’的原因。”
这时,茶博士插话了,“我怎么知道杀毒软件的主程序文件名啊?”公孙牧回道:“这个在《Windows映像劫持利用程序》中有提示,你只需要点击其选项2就可以看到相关的列表。”
说完后,公孙牧又喝了口茶,接着讲道:“由于刚才的操作是保存在注册表中,因而现在打开注册表编辑器,展开到[HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image FileExecution Options],然后将avp.exe这项内容选中并导出为zcb.reg注册表文件。”
未等公孙牧操作完毕,茶博士就问:“这样就完了啊?”公孙牧说:“没有!接着用WinRAR压缩软件将木马服务端文件pcd.exe和刚才导出的注册表文件zcb.reg一起压缩成一个RAR文件。用WinRAR打开刚刚生成的这个RAR文件,点击其工具栏上的‘自解压格式’图标,在弹出的对话框中依次点击‘高级自解压选项’一‘常规’标签,在‘解压路径’中填入系统目录的地址%windir%。然后,在‘解压缩之后运行’中输入命令;regedit.exe/s/i zcb.reg(这是为了在RAR文件自解压后自动向用户的系统中写入zcb.reg注册表文件)。现在点击‘模式’标签,选中‘全部隐藏’和‘覆盖所有文件’这两个选项。”
此时,刘鼎替公孙牧补充道:“这些操作完成以后,就可以使用网页木马或邮件附件等方式,将这个自解压的RAR病毒文件散布出去了。不明真相的人一旦运行这个自解压文件,zcb.reg就会写入他系统的注册表之中。当其系统重新启动以后,映像劫持就会先把他的《卡巴斯基》给屏蔽掉,然后再运行‘灰鸽子’木马服务端pod.exe。只要这木马一运行,这台电脑就算被控制住了。”至此,茶博士恍然大悟:“哦,原来是这样!好哇,刘鼎你就是这样用木马来控制我的电脑,发现我在看艳照的啊……”
顺利出师
天色不早了。最后,公孙牧对刘鼎说道:“刘鼎,经过这几个月的学习,你在网络安全方面已经大有进步了,过几天我就要到外地去上班,以后你自己一定要继续努力啊!”听了恩师的教诲,刘鼎不住地点头。只见他问道:“先生,那我们何时才能再见面啊?”公孙牧想了想,风趣地回答道:“我想大约会是在冬季吧!哈哈……”
(连载完)
初识借刀杀人
刘鼎和茶博士边聊边一同进入了茶馆。找了张桌子坐下并打开随身的笔记本电脑后,刘鼎笑嘻嘻地对茶博士说:“哥们儿,前段时间在家是不是经常看艳照啊?我可是控制了你的电脑的哦!”茶博士摸了摸头,惊奇道:“额滴神啊!不会吧?我的杀毒软件可是有主动防御功能的,怎么会一点反应都没有呢?”
刘鼎大笑:“因为我用了借刀杀人之计,哈哈!”茶博士疑惑地问道:“什么借刀杀人啊?”刘鼎:“借刀杀人之计原文为:敌已明,友未定,引友杀敌,不自出力,以《损》推演。这就是说,敌方已经明确,而盟友的态度还未明朗,要诱使盟友去消灭敌人,不必自己付出代价。这是根据易经中的《损》卦推演出来的。而我就是借微软的‘刀’,干掉了你系统中的杀毒软件。”
刘鼎说计
茶博士听了后,还是非常不解:“微软的‘刀’?快说详细一些。”刘鼎一看他这样急,摆谱地说:“你知道‘AV终结者’这个病毒吗?它最大的特色就是利用了映像劫持技术,来禁止各种杀毒软件的运行。而这项技术可是Windows系统自带的哦,你说这算不算是微软的‘刀’呢?”
听了这番话以后,茶博士好像有些明白了,于是赶紧招呼茶馆跑堂的上茶,并且接着就问刘鼎映像劫持是个什么东东。刘鼎喝了一口茶,说:“映像劫持也被称为IFEO。在Windows NT内核的系统中,映像劫持的本意是为一些在默认系统环境中运行时可能引发错误的程序提供特殊的环境设定。微软之所以这么做,是因为在Windows NT时代,系统使用的是一种早期的堆栈管理机制,使得一些程序的运行机制与现在的不同。后来随着系统的更新换代,为了兼顾这些出问题的程序,微软就专门设计了映像劫持技术。它的原意本不是‘劫持’,而是‘映像文件执行参数’。”
茶博士继续问道:“那么如何使一个可执行程序被映像劫持控制呢?”刘鼎说道:“这个你放心,很简单的。微软在windows NT架构的系统中为用户预留了一个交互接口,它位于注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOptions]中,使用与可执行程序文件名匹配的项目作为程序载入时的控制依据。映像劫持采用忽略路径的方式来匹配它所要控制的程序文件名,例如指定对一个名为PCD.EXE的可执行程序文件进行控制,那么无论它在哪个目录下,只要其名字还叫PCD.EXE,那么它就始终能够被控制。”
实战操作
两人正聊到兴头上,公孙牧不知道从哪儿冒了出来,说道:“刘鼎不错啊,现在都可以当老师啦!”刘鼎一听,顿时面红耳赤,谦虚地回道:“这还不是先生教得好,接下来就由先生讲吧?小二,给先生上茶!”公孙牧坐下后,说:“哈哈,恭敬不如从命!首先。我们来配置一个木马的服务端,这里还是以常见的‘灰鸽子’木马为例。在用其配置程序生成服务端文件时,‘安装路径’中要输入‘$(WinDir)\pod.exe’,这里的服务端文件名pcd.exe可以自定义。因为我们是利用映像劫持来进行启动,所以还得将其‘启动项设置’中的两个选项取消勾选,然后再勾选‘高级选项’中的两个选项。”
由于“灰鸽子”木马的服务端配置比较简单,因而刘鼎和茶博士都没有插话,而公孙牧在喝了一口茶后,继续说道:“现在运行《Windows映像劫持利用程序》,按照提示输入选项1,然后就可以根据向导进行设置了。首先输入需要劫持的文件名,这里我们输入《卡巴斯基》的主程序文件名avp.exe。接着输入木马服务端文件的绝对路径,如C:\windows\pcd.exe。这样当《卡巴斯基》启动时,就会因映像劫持而无法正常运行,而木马的服务端pcd.exe就乘机得以运行。这也是前面为什么要取消‘启动项设置’的原因。”
这时,茶博士插话了,“我怎么知道杀毒软件的主程序文件名啊?”公孙牧回道:“这个在《Windows映像劫持利用程序》中有提示,你只需要点击其选项2就可以看到相关的列表。”
说完后,公孙牧又喝了口茶,接着讲道:“由于刚才的操作是保存在注册表中,因而现在打开注册表编辑器,展开到[HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image FileExecution Options],然后将avp.exe这项内容选中并导出为zcb.reg注册表文件。”
未等公孙牧操作完毕,茶博士就问:“这样就完了啊?”公孙牧说:“没有!接着用WinRAR压缩软件将木马服务端文件pcd.exe和刚才导出的注册表文件zcb.reg一起压缩成一个RAR文件。用WinRAR打开刚刚生成的这个RAR文件,点击其工具栏上的‘自解压格式’图标,在弹出的对话框中依次点击‘高级自解压选项’一‘常规’标签,在‘解压路径’中填入系统目录的地址%windir%。然后,在‘解压缩之后运行’中输入命令;regedit.exe/s/i zcb.reg(这是为了在RAR文件自解压后自动向用户的系统中写入zcb.reg注册表文件)。现在点击‘模式’标签,选中‘全部隐藏’和‘覆盖所有文件’这两个选项。”
此时,刘鼎替公孙牧补充道:“这些操作完成以后,就可以使用网页木马或邮件附件等方式,将这个自解压的RAR病毒文件散布出去了。不明真相的人一旦运行这个自解压文件,zcb.reg就会写入他系统的注册表之中。当其系统重新启动以后,映像劫持就会先把他的《卡巴斯基》给屏蔽掉,然后再运行‘灰鸽子’木马服务端pod.exe。只要这木马一运行,这台电脑就算被控制住了。”至此,茶博士恍然大悟:“哦,原来是这样!好哇,刘鼎你就是这样用木马来控制我的电脑,发现我在看艳照的啊……”
顺利出师
天色不早了。最后,公孙牧对刘鼎说道:“刘鼎,经过这几个月的学习,你在网络安全方面已经大有进步了,过几天我就要到外地去上班,以后你自己一定要继续努力啊!”听了恩师的教诲,刘鼎不住地点头。只见他问道:“先生,那我们何时才能再见面啊?”公孙牧想了想,风趣地回答道:“我想大约会是在冬季吧!哈哈……”
(连载完)