很多时候我们都知道,技术是把双刃剑,它可以用来帮助人,但不经意间也能产生破坏
信息如何泄露?木马如何隐藏并传播?
下面通过例子来说明一种简单的病毒制作及传播方式。
----------------------------------------------------------------------------------------------------------------------------------
首先是伪装方式,它经常会伪装成用户常用的图标,或者一种你想不到的图标,比如:
这种图标在网上随时可以搜到,将至替换在木马的本体文件上并不难。
那么,如果你打开了病毒会怎么样呢?
答案是:并不会怎么样,一个合格的木马具有潜伏期,如果你真的发现并打开了病毒,那么最多鼠标会运行一下,然后呢,就没有然后了,什么都不会打开,什么也不会发生,你以为这个程序只是打不开而已,然而在后台它做了很多你不知道的事情。
----------------------------------------------------------------------------------------------------------------------------------
下面来看这段简单的代码:
在运行中木马首先将自己镜像复制,并且修改了注册表,将自身拷贝的文件复制到了C盘中的某个文件夹内,并将其设置为开机自启,如果无法自我复制,还可以通过捕获异常再做下一步处理。
这段代码只是将自我复制了一次,至于复制多少次,只是修改一下目标和循环次数而已,隐藏在C盘很深的目录,用户根本无法感知,这也是为什么C:/system是病毒重灾区的原因。
----------------------------------------------------------------------------------------------------------------------------------
下一步:
木马将开始和杀毒软件做对抗,另起一个线程也保护自己,这个线程的数量完全可以自由控制,如果被发现后,立刻采取调高程序的CPU与内存占用,卡死杀毒软件,也可以再起一个线程。
甚至还可用暴力的增加线程方法,这里只是一个很简单的代码示例
另外在获得权限后,用户端的删除与关闭根本毫无作用,完全可以像第一步一样再次重新复制,只是换一个路径而已,当多线程互相复制,互相帮助运行时,甚至使用杀毒软件都将无法清理掉,比如某安全卫士的彻底粉碎功能,也将成为鸡肋毫无作用。除非使用CMD命令中的PID命令才可能得以彻底关闭。
在木马发现自身稳定后,就可以采取下一步措施,来捕获拥护的桌面信息,比如通过截图与存储的方式
在获得桌面信息以后,完全可以另起一个线程专门负责截图,这个线程专门负责每隔X秒执行一次并储存在某个位置,间隔不宜过大也不宜过小,过大了CPU占用高很可能被检测到,过小了又违背初衷。
同时木马将打开键盘记录器,这里以logging模块为例,实现此功能并不复杂,它单纯只是将用户输入的字符保存在一个文档里,以此来监控用户的输入。
----------------------------------------------------------------------------------------------------------------------------------
至此,一个简单的木马流程已经产生,为什么现在的盗号事件越来越少了呢?那是因为腾讯,网易这些公司也不是吃素的。
每次当你运行腾讯QQ的程序时,它都要进行一次安全扫描,虽然这个功能通常是鸡肋,但是它自带的算法会将用户所输入的账号密码等信息,全部进行二次封装并随机修改成乱码的形式以伪装,起到防止记录的目的,这个方法极大程度上的遏制了你的账号密码泄露的可能,但是早期QQ是没有这个功能的,所以那个时候盗号现象很普遍。
然而这个算法只能针对其自身应用,在网上或者其他地方输入的一切信息都将会被监测到。
最后,只要再写一段简单的邮件发送信息的代码,不知不觉的就把用户的个人信息盗窃到了,还可将自身复制到邮件里进行二次传播,伪装成某些软件,被传播的又将重复上面的过程。
----------------------------------------------------------------------------------------------------------------------------------
