黑客自白:早就聽說過NTFS文件系統存在一個嚴重的漏洞,而漏洞的形成又是由於“微軟好心辦壞事”,這次我要講的隱藏木馬的方法就是如何利用ntfs藏木馬?即利用NTFS交換數據流(ADSs)來實現,以躲避殺毒軟件的查殺。www.sq120.com推薦文章
創建NTFS交換數據流
Windows無法使用自帶的系統工具進行ADSs的檢測,但卻能夠執行ADSs中的任意代碼。創建一個數據交換流文件的方法很簡單,在Windows中輸入命令:“echo 數據流內容 > 源文件名:數據流名稱”。
雖然在命令提示符窗口中不能直接執行捆綁後的文件流 ,但是不用逆操作來分離出我們的隱藏文件,直接運用start 命令就可以直接執行已隱藏的文件,這種方法相當隱蔽。
小資料:NTFS交換數據流
數據流(ADSs)簡單地講就是這個文件在執行時執行的內容。在 NTFS 文件系統下,每個文件都可以有多個數據流。當在非 NTFS 卷(如 FAT32磁盤分區)下讀取文件內容時,系統只能訪問一個數據流。因此用戶會覺得它是該文件真正的“唯一”的內容。
但是當在 NTFS 卷上創建文件時,就可以通過在一個文件中創建多個數據流內容,這樣很容易將一段惡意代碼隱藏到某個文件之中。並且惡意代碼在整個執行過程中,系統進程裡也不會有這段代碼的身影。TW.wiNgWIt.com
利用ADSs捆綁木馬
ADSs原理看起來好像是非常的復雜,但是在實際應用過程中卻非常的簡單。首先創建一個臨時文件夾,將准備好的木馬程序如mm.exe復制到這個文件夾之中。接著打開命令提示符窗口,輸入命令“echo ms.exe>mm.txt:wlf.txt”,這樣就為木馬創建了一個數據流文件(圖1)。
我們利用WinRAR將木馬程序隱藏到ADSs中,就相當於將數據流和木馬程序進行捆綁操作。在臨時文件夾上單擊右鍵對這個文件夾進行壓縮(圖2)。
雙擊創建的壓縮文件,點擊WinRAR工具欄上的“添加”按鈕,浏覽選中臨時文件夾。在出現的“壓縮文件名和參數”面板中切換到“高級”標簽中,接著選中其中的“保存文件數據流”選項,點擊“確定”即可(圖3)。
在WinRAR中選中kunb文件夾,點擊工具欄上的“自解壓格式→高級自解壓選項→常規”選項標簽,最後在“解壓縮之後運行”中輸入“start wlf.txt:ms.exe”即可(圖4)。
點擊“模式”選項標簽,選中“全部隱藏”和“覆蓋所有文件”這兩個選項。全部設置完成後點擊“確定”按鈕返回,這樣就創建了一個極為隱蔽的自解壓木馬,甚至可以躲過殺毒軟件的查殺。當用戶雙擊這個自解壓文件後,就會運行裡面的數據流木馬了。
破解《UAC防線形同虛設》攻擊招數
本周,一共有106位讀者發來了破解招數。我們根據大家的破招描述和效果,最後評出來自廣州的K‘DASH為最佳防御者,他將獲得50元的獎勵,同時,可以再參加年度最佳防御者的評選。
堵住UAC漏洞
利用正常文件來“掩護”木馬文件避過UAC,是一個好方法。但也不是完美的,下面我來介紹幾種方法進行防御。
1.要運行木馬文件,就必須取得管理員的權限,這樣才可以把木馬文件寫入到系統盤。我們就可以不用管理員身份運行程序,畢竟我們也不是時時都要安裝系統文件的。
2.Vista的系統要裝在NTFS系統分區上,而NTFS有一個“安全”管理。我們可以把SYSTEM32(因為很多木馬或病毒都要把源文件復制到這個目錄下)的權限只把“讀取”選上,其余都不選,這樣木馬文件就寫不入了。
3.安裝實時文件監控的殺毒軟件。文件實時監控會在用戶打開程序時先掃描應用程序,木馬自然就無處可藏了。
From:http://tw.wingwit.com/Article/Network/201309/450.html