很多朋友都碰到過(guò)這樣的現(xiàn)象:打開一個(gè)網(wǎng)站,結(jié)果頁(yè)面還沒(méi)顯示��,殺毒軟件就開始報(bào)警���,提示檢測(cè)到木馬病毒�。有經(jīng)驗(yàn)的朋友會(huì)知道這是網(wǎng)頁(yè)惡意代碼�,但是自己打開的明明是正規(guī)網(wǎng)站,沒(méi)有哪家正規(guī)網(wǎng)站會(huì)將病毒放在自己的網(wǎng)頁(yè)上吧����?那么是什么導(dǎo)致了這種現(xiàn)象的發(fā)生呢?其中最有可能的一個(gè)原因就是:這個(gè)網(wǎng)站被掛馬了���。
掛馬這個(gè)詞目前我們似乎經(jīng)常能聽到�,那么什么是掛馬呢�?掛馬就是黑客入侵了一些網(wǎng)站后,將自己編寫的網(wǎng)頁(yè)木馬嵌入被黑網(wǎng)站的主頁(yè)中��,利用被黑網(wǎng)站的流量將自己的網(wǎng)頁(yè)木馬傳播開去�,以達(dá)到自己不可告人的目的。例如很多游戲網(wǎng)站被掛馬����,黑客的目的就是盜取瀏覽該網(wǎng)站玩家的游戲賬號(hào),而那些大型網(wǎng)站被掛馬��,則是為了搜集大量的肉雞�。網(wǎng)站被掛馬不僅會(huì)讓自己的網(wǎng)站失去信譽(yù)����,丟失大量客戶����,也會(huì)讓我們這些普通用戶陷入黑客設(shè)下的陷阱,淪為黑客的肉雞�。下面就讓我們來(lái)了解這種時(shí)下最流行的黑客攻擊手段。
掛馬的核心:木馬
從“掛馬”這個(gè)詞中我們就可以知道���,這和木馬脫離不了關(guān)系���。的確,掛馬的目的就是將木馬傳播出去���,掛馬只是一種手段���。掛馬使用的木馬大致可以分為兩類:一類是以遠(yuǎn)程控制為目的的木馬,黑客使用這種木馬進(jìn)行掛馬攻擊�����,其目的是為了得到大量的肉雞�,以此對(duì)某些網(wǎng)站實(shí)施拒絕服務(wù)攻擊或達(dá)到其他目的(目前絕大多數(shù)實(shí)施拒絕服務(wù)攻擊的傀儡計(jì)算機(jī)都是掛馬攻擊的受害者)�。另一類是鍵盤記錄木馬�����,我們通常稱其為盜號(hào)木馬�����,其目的不言而喻���,都是沖著我們的游戲賬號(hào)或者銀行賬號(hào)來(lái)的。目前掛馬所使用的木馬多數(shù)屬于后者����。
木馬的免殺伎倆
作為掛馬所用的木馬,其隱蔽性一定要高���,這樣就可以讓用戶在不知不覺中運(yùn)行木馬�����,也可以讓掛馬的頁(yè)面存活更多的時(shí)間�。黑客為了讓木馬躲避殺毒軟件的查殺�,使用的伎倆很多�����。通常使用的方法有:
加殼處理:關(guān)于殼的概念我們?cè)?jīng)介紹過(guò)�����,就是為了讓別人無(wú)法修改編譯好的程序文件��,同時(shí)壓縮程序體積���。木馬經(jīng)過(guò)加殼這一道工序后就有可能逃過(guò)殺毒軟件的查殺,這也是為什么我們裝了殺毒軟件還會(huì)感染老病毒的原因��。雖然目前的殺毒軟件都支持對(duì)程序脫殼后再查殺���,但只局限于一些比較熱門的加殼程序����,例如aspack��、UPX等�,而碰上一些經(jīng)過(guò)冷門加殼程序處理后的木馬時(shí),就無(wú)能為力了�����。所以加殼仍是黑客比較常用的免殺伎倆之一。
冷門的加殼程序
修改特征碼:殺毒軟件是根據(jù)病毒特征碼來(lái)判定一個(gè)程序是否是病毒的�。殺毒軟件在對(duì)程序進(jìn)行檢測(cè)時(shí),如果在程序中發(fā)現(xiàn)了病毒特征碼�����,就將該程序判定為病毒�����。黑客當(dāng)然也明白這個(gè)道理���,于是他們會(huì)修改木馬中被定為特征碼的部分代碼,將其加密或使用匯編指令將其跳轉(zhuǎn)���,這樣殺毒軟件就無(wú)法在木馬中找到病毒特征碼�����,自然也就不會(huì)將其判定為病毒了�。
雖然這兩種方法都可以躲過(guò)殺毒軟件的查殺���,但是我們還是有辦法阻止木馬運(yùn)行的�����,具體方法將在防范部分講到���。那么木馬是如何“掛”在網(wǎng)站上的呢��?這里我們以“灰鴿子”木馬為例���,演示一下黑客掛馬的過(guò)程。演示用的“灰鴿子”木馬已經(jīng)經(jīng)過(guò)免殺處理��,殺毒軟件無(wú)法查殺���。
|
