减小字体
增大字体- ·上一篇文章:网络系统安全漏洞分类研究(上)
- ·下一篇文章:揪出系统中秘密隐藏的木马(上)
揪出系统中秘密隐藏的木马(下)
木马对设备名的利用
大家知道,在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn等,但Windows 2000/XP有个漏洞可以用设备名来命名文件或文件夹,这样木马就可以躲在那里而不会被我们发现!
具体方法是:首先,点击“开始”菜单的“运行”,输入cmd.exe回车进入命令提示符窗口,然后输入md c:\con\\\命令可以建立一个名为con的目录!而默认请况下Windows是无法建立这类目录的,正是利用了Windows的漏洞我们才可以建立此目录。再试试其他设备名也一样可以建立,而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中,从而达到隐藏、保护木马文件的目的!
现在我们可以把文件复制到这个特殊的目录下,当然不能直接在Windows中复制了,必须用特殊的方法,在CMD窗口中输入如下命令:copy muma.exe \\.\c:\aux\\就可以把木马文件muma.exe复制到C盘下的aux文件夹中,然后点击“开始”菜单中的“运行”,在“运行”中输入c:\aux\muam.exe\就会成功启动该木马!不过如果你试图在资源管理器中删除它,会发现这根本就是徒劳的。Windows会提示找不到该文件(图9)!怎么样,这样隐藏的木马不容易被发现吧?
由于使用"del c:\aux\\命令可以删除其中的muma.exe文件,所以为了达到更好的隐藏和保护效果,下木马者会把muma.exe文件也改名,让我们删也不好删!具体方法就是在复制木马文件到aux文件夹时使用如下命令:copy muma.exe \\.\c:\con.exe\,就可以把木马文件muma.exe复制到aux目录中并且改名为con.exe,而con.exe文件是无法用普通方法删除的!这样就又多了一层保险,对我们普通用户来说就又多了一层危险。
可能有的朋友会问:这个con.exe文件在“开始”菜单的“运行”中无法运行啊,很简单,只要在命令行方式下输入cmd /c \\.\c:\con\,就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过,下木马者一般来说会对其进行改进。
其实,对于这种隐藏木马的方法,一般说来只有能物理接触你的电脑的人才能做到,相对来说比较麻烦。对于这类特殊的文件夹,在发现后我们可以采用如下方法来删除它:首先,用del \\.\c:\con.exe\命令删除con.exe文件(该文件假设就是其中的木马文件名),然后再用rd \\.\c:\aux\命令删除aux文件夹即可。
javascript:window.open(this.src);"/>
大家知道,在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn等,但Windows 2000/XP有个漏洞可以用设备名来命名文件或文件夹,这样木马就可以躲在那里而不会被我们发现!
具体方法是:首先,点击“开始”菜单的“运行”,输入cmd.exe回车进入命令提示符窗口,然后输入md c:\con\\\命令可以建立一个名为con的目录!而默认请况下Windows是无法建立这类目录的,正是利用了Windows的漏洞我们才可以建立此目录。再试试其他设备名也一样可以建立,而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中,从而达到隐藏、保护木马文件的目的!
现在我们可以把文件复制到这个特殊的目录下,当然不能直接在Windows中复制了,必须用特殊的方法,在CMD窗口中输入如下命令:copy muma.exe \\.\c:\aux\\就可以把木马文件muma.exe复制到C盘下的aux文件夹中,然后点击“开始”菜单中的“运行”,在“运行”中输入c:\aux\muam.exe\就会成功启动该木马!不过如果你试图在资源管理器中删除它,会发现这根本就是徒劳的。Windows会提示找不到该文件(图9)!怎么样,这样隐藏的木马不容易被发现吧?
由于使用"del c:\aux\\命令可以删除其中的muma.exe文件,所以为了达到更好的隐藏和保护效果,下木马者会把muma.exe文件也改名,让我们删也不好删!具体方法就是在复制木马文件到aux文件夹时使用如下命令:copy muma.exe \\.\c:\con.exe\,就可以把木马文件muma.exe复制到aux目录中并且改名为con.exe,而con.exe文件是无法用普通方法删除的!这样就又多了一层保险,对我们普通用户来说就又多了一层危险。
可能有的朋友会问:这个con.exe文件在“开始”菜单的“运行”中无法运行啊,很简单,只要在命令行方式下输入cmd /c \\.\c:\con\,就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过,下木马者一般来说会对其进行改进。
其实,对于这种隐藏木马的方法,一般说来只有能物理接触你的电脑的人才能做到,相对来说比较麻烦。对于这类特殊的文件夹,在发现后我们可以采用如下方法来删除它:首先,用del \\.\c:\con.exe\命令删除con.exe文件(该文件假设就是其中的木马文件名),然后再用rd \\.\c:\aux\命令删除aux文件夹即可。
javascript:window.open(this.src);"/>【责任编辑:李旭海】
