木马程藏在一个*.gif或*.bmp图像中,在运行时会从这些图像中解码中木马启动程序放在XXXXXXX.XXX文件中,这个文件名是随机的,然后在wininti.ini设定c:\windows\yyyyyyyyyy\启动\trojan.exe=xxxxxxx.xxx,然后再下一次启动电脑时会自动在启动目录内生成trojan.exe文件,并自动启动,启动玩成后自动删除trojan.exe文件,而xxxxxxx.xxx文件名是不断变化的,他只是启动木马,真正的木马功能在另一个文件中,想通运分析xxxxxxx.xxx的内容来发现木马的工作原理是不可能的哟:)
解决方案 »
- 文本文件删除特定字符
- 我用BusinessSkinForm换肤后,没法改变字体的颜色和字体大小?
- 怎么判断webbrowser里面的网页是否下载成功?
- 某些软件中的DBGRID下拉检索菜单是怎么实现的?
- 只在报表最后一页的页脚上方显示
- 这个sql有什么问题?请高手提示。
- 一个简单的问题,请各位大侠帮帮我!
- 请教freeMem释放时可以不指定大小?
- 关于delphi6.0中MDI问题?很急!!!大虾请进(在线等)-----------------------
- 如何调试isapi程序?
- 读取数据表里的数据
- 请问在数据库中插入一条记录时,如果关键字重复,产生一个异常提示'Key Violation',这是一个什么异常?怎么样把这个异常的提示改成中文提示?
而且我觉得你的所谓新技术也一般般我hook CreateRemoteThread,让他每次调用都先请示我同意
一劳永逸
先基于shellhook做一个COM。将其二进制代码做为资源写到一个EXE文件中。。
该EXE文件在执行时行将二进制代码写入一个DLL。再将其注册。使其寄生于explorer进程中。
呵呵。。这样每次用户执行本机上的程序都会被些COM栏截也就是说这个DLL是常驻内存中,当然用进程管理器看不到。。system目录下那么多DLL。该DLL也可在其中内嵌一个EXE文件的二进制码。在发现内存中无此进程将其写入硬盘中执行,这样随便他们怎么删除了。DLL在内存中是删除不了的除非将其反注册重启。。
有点说不清了。。呵呵。反正我这样实现了一部份代码。。那个shellhook的COM在msdn中有相关介绍大家可以看一下。
好像小榕的NTCMD就是这样做的。。
他的原型是一个叫xcmd的东西
远程安装一个服务。开一个匿名管道。。
在NT或2000取得admin权限后,远程写一个文件到远程机器。当然,可以用admin$这个路径,也可以远程开个共享,我那个letshare就可以开在程序中实现最好。再远程将文件安装成服务,启动。开一个匿名管道,客户端与其连接,在其中实现了一个Telnet服务;,,
呵呵。。当然,匿名管道也有缺点。就是不能用在NT外的环境下了。如果是做为黑网站后的后门是最好了。可以将一些不常用但是是MS的服务卸掉,将其作为木马安装进去,,,
你有更详细的资料吗?我需要!