¿Qué es el agujero negro del software móvil?
Los troyanos populares en Internet ahora adoptan básicamente una estructura C/S (cliente/servidor). Si desea utilizar un caballo de Troya para controlar la computadora de la otra parte, primero debe implantar y ejecutar el programa del servidor en la computadora de la otra parte, y luego ejecutar el programa cliente en la computadora local para conectarse a la computadora de la otra parte y controlar el computadora de la otra parte.
En segundo lugar, el uso de troyanos
Después de implantar con éxito un servidor troyano en el cuerpo de otra persona, debe esperar pacientemente a que el servidor se conecte. Debido a que Black Hole 2004 utiliza tecnología anti-conexión, el servidor se conectará automáticamente al cliente después de que se conecte. En este momento podemos controlar el cliente para controlar remotamente el servidor. En la lista debajo de Black Hole 2004, seleccione aleatoriamente una computadora que ya esté en línea y luego podrá controlar esta computadora a través de los botones de comando de arriba. Expliquemos brevemente qué significan estos comandos.
Administración de archivos: una vez que el servidor esté en línea, puede descargar, crear, cambiar el nombre y eliminar archivos en la computadora del servidor mediante el comando "Administración de archivos". Los archivos o carpetas se pueden arrastrar directamente a la carpeta de destino con el mouse y se admite la reanudación de la descarga. Sencillo ¿verdad?
Gestión de procesos: comprobar, actualizar y cerrar el proceso de la otra parte. Si se encuentra software antivirus o firewall, se puede cerrar el proceso correspondiente para proteger el programa del lado del servidor.
Gestión de ventanas: Gestiona las ventanas de programas del ordenador servidor. Puedes maximizar, minimizar y cerrar el programa en otra ventana, lo cual es más flexible que la gestión de procesos. Puedes gastar muchas bromas, como maximizar y minimizar una de las ventanas de la otra parte.
Monitoreo de video y monitoreo de voz: si la computadora del servidor remoto está equipada con una cámara USB, las imágenes se pueden obtener a través de ella y se pueden guardar directamente como archivos Mpeg que se pueden reproducir directamente mediante MediaPlay si es necesario; un micrófono, aún puedes escuchar su conversación. ¿No es esto terrible?
Además de las funciones anteriores, también incluye registro de teclas, reinicio y apagado, desinstalación remota, captura de pantalla y comprobación de contraseñas. El funcionamiento es muy sencillo, ¿entiendes? Ser un hacker es realmente muy fácil.
3Hide
Con la actualización de la base de datos de virus del software antivirus, el software antivirus pronto eliminará los troyanos. Por lo tanto, para permitir que el servidor troyano explore y elimine el software antivirus y lo oculte en las computadoras de otras personas durante mucho tiempo, se proporcionan varios métodos posibles para los piratas informáticos troyanos.
1. Autoprotección del caballo de Troya
Como se mencionó anteriormente, cuando Black Hole 2004 genera un servidor, los usuarios pueden cambiar el ícono y usar el software UPX para comprimir y ocultar automáticamente el archivo. servidor.
2. Servidor de paquetes
Los usuarios utilizan carpetas de archivos para vincular servidores troyanos con archivos normales para engañar a la otra parte. Las carpetas de archivos incluyen Guangwai File Binder 2002, Universal File Binder, exeBinder, etc.
3. Crea tu propio servidor
Aunque los métodos mencionados anteriormente pueden engañar al software antivirus durante un período de tiempo, no podrán escapar de la detección y eliminación del antivirus. -software antivirus al final, por lo que el troyano existente se disfraza para que el software antivirus no pueda distinguirlo, lo cual es un método más radical. Puede proteger su servidor utilizando un software de compresión que comprima archivos EXE y DLL. Por ejemplo, UPX in 1 es un software de compresión, pero de forma predeterminada, el software comprime el servidor según su propia configuración, por lo que el resultado es el mismo. Es difícil evitar el software antivirus durante mucho tiempo; usted mismo comprime el servidor. Puede elegir diferentes opciones para comprimir un servidor diferente, lo cual es difícil de juzgar para el software antivirus. Permítanme tomar los glaciares como ejemplo para explicar brevemente los procesos de bombardeo (descompresión) y bombardeo (compresión).
Si utilizas un software antivirus para comprobar Glacier, definitivamente encontrarás dos virus, uno es el cliente de Glacier y el otro es el servidor. Utilice el software "PEiD" para comprobar si el servidor del software ha sido bombardeado por el autor. Puede ver que el servidor ha sido comprimido por UPX.
Ahora necesitamos descomprimir el software, que es un proceso de descompresión. Usé "UPXUnpack" aquí. Después de seleccionar los archivos requeridos, hice clic en "Extraer" para comenzar a descomprimir.
Una vez completada la eliminación del shell, debemos agregar un nuevo shell al servidor. Existen muchos programas para descascarar, como: ASPack, ASProtect, UPXShell, Petite, etc. Tome "ASPack" como ejemplo aquí. Haga clic en el botón "Abrir" y seleccione el programa de servidor que acaba de descomprimir. Una vez seleccionado, ASPack desarmará automáticamente el servidor. Utilicé un software antivirus para escanear el servidor nuevamente y descubrí que no se podía identificar. Si su software antivirus aún puede escanear y eliminar, también puede utilizar varios programas para bombardear el servidor varias veces. Después de usar Petite y ASPack para bombardear el servidor dos veces, probé varios programas antivirus, pero ninguno pudo escanearse. Muchas versiones XX de Glacier que son populares en Internet son creadas por internautas después de modificar el servidor y volver a empaquetarlas.
Para evitar que los usuarios que no están familiarizados con los troyanos ejecuten accidentalmente el servidor, los troyanos populares no proporcionan un programa de servidor separado, sino que generan el servidor a través de la configuración del usuario. Lo mismo ocurre con Black. Agujero 2004. Primero ejecute Black Hole 2004, haga clic en el comando "Función/Generar servidor" y aparecerá la interfaz "Configuración del servidor". Dado que Black Hole 2004 utiliza tecnología de rebote (participe en el mensaje), primero haga clic en el botón "Ver" al lado, establezca un nuevo nombre de dominio en la ventana emergente, ingrese el nombre de dominio y la contraseña del espacio que solicitó. de antemano y haga clic en "Registro de nombre de dominio". El estado del registro se refleja en la siguiente ventana. Una vez que el registro del nombre de dominio sea exitoso, regrese a la interfaz "Configuración del servidor" y complete el nombre de dominio que acaba de solicitar, así como el "Nombre para mostrar en línea", el "Nombre de inicio del registro" y otros elementos. Para confundir a otros, puede hacer clic en el botón "Cambiar icono de servidor" para elegir un icono para su servidor. Una vez completadas todas las configuraciones, haga clic en "Generar servidor EXE" para generar el servidor. Cuando se genera el servidor, el software utilizará automáticamente UPX para comprimir el servidor y ocultarlo y protegerlo.
Después de generar el servidor, ¿el siguiente paso es implantar el servidor en las computadoras de otras personas? Los métodos comunes incluyen: invadir las computadoras de otras personas a través de vulnerabilidades del sistema o del software e implantar el servidor troyano en la propia computadora; o enviar el servidor como un archivo adjunto a la otra parte a través de correo electrónico y disfrazarlo y colocarlo en la propia computadora; * * *En la carpeta compartida, a través del software P2P (como PP Click, Baibao, etc.), los internautas pueden descargar y ejecutar el programa del servidor sin ninguna precaución).
Debido a que este artículo es principalmente para personas comunes y corrientes. Pasatiempos de Internet O, entonces usaré una simple carpeta de correo electrónico para explicártelo. Tomemos como ejemplo la animación Flash que se ve con frecuencia. Cree una carpeta llamada "Animación atractiva" y luego cree una carpeta llamada "Animación". archivos" en esta carpeta, coloque el software del servidor troyano en esta carpeta y asuma que el nombre es "abc.exe", luego cree un archivo flash en esta carpeta e ingrese el texto "Su complemento de reproducción está incompleto. Haga clic en el botón a continuación. y luego haga clic en el botón Abrir para instalar el complemento. Cree un nuevo componente de botón, arrástrelo al escenario, abra el panel de acciones, ingrese "on(press){getURL ("animation.files/ABC.exe");}", lo que significa que el archivo abc se ejecuta cuando el botón se hace clic. Cree un nuevo archivo de página web llamado "animación". htm" y coloque la animación que acaba de crear en esta página web. ¿Ve la pista? Por lo general, el sitio web que descarga suele ser un archivo .html y un archivo que termina en . Lo estructuramos así. La razón también es para Después de todo, confunda al abridor, pocas personas experimentarán la carpeta de archivos. Ahora podemos escribir un nuevo correo electrónico, comprimir la carpeta "Hermosa animación" en un archivo y colocarlo en el archivo adjunto del correo electrónico. la otra parte lo ejecute y reinicie el sistema, y el servidor tendrá éxito.
En tercer lugar, la prevención
Prevenir es más importante que curar.
Antes de que nuestro ordenador sea atacado por un caballo de Troya, debemos realizar una gran cantidad de trabajo necesario, como instalar software antivirus y cortafuegos de red; actualizar las bases de datos de virus y los parches de seguridad del sistema de manera oportuna; realizar copias de seguridad de los archivos en el disco duro; disco; y no ejecutar software no solicitado ni abrir correos electrónicos no solicitados.
Finalmente, el autor quisiera recordar a todos que el caballo de Troya no sólo tiene una poderosa función de control remoto, sino que también es extremadamente destructivo. Lo aprendemos sólo para comprender su tecnología y sus métodos, no para actividades de sabotaje como el robo de contraseñas. Espero que todos se cuiden.
Consejos:
La tecnología Bounce resuelve el problema de que el software de control remoto tradicional no puede acceder a computadoras remotas a través de firewalls y controlar la LAN. El principio del software del puerto de rebote es que el cliente primero inicia sesión en el servidor FTP, edita un archivo en el espacio preestablecido de la página de inicio en el software troyano, abre el monitor del puerto y espera la conexión del servidor. El servidor lee periódicamente el contenido de este archivo utilizando el protocolo HTTP. Cuando descubre que el cliente se permite iniciar una conexión, se conectará activamente para que se pueda completar la conexión.
Por lo tanto, puede acceder a las computadoras en la LAN a través del proxy NAT (proxy transparente) en Internet y puede atravesar el firewall. A diferencia del software de control remoto tradicional, el servidor del software del puerto de rebote se conectará activamente con el cliente y el puerto de escucha del cliente es generalmente 80 (es decir, el puerto utilizado para la navegación web). De esta manera, incluso si el usuario verifica su propio puerto usando el comando "netstat -a" en el símbolo del sistema, encontrará algo como "IP de usuario TCP: IP del controlador 3015: http establecido", que en cierto modo se pasa por alto. Por lo tanto, a diferencia del software normal, el servidor del software del puerto de rebote se conecta activamente con el cliente, de modo que pueda atravesar fácilmente el firewall.