黑客自白早就聽說過NTFS文件系統存在一個嚴重的漏洞而漏洞的形成又是由於微軟好心辦壞事這次我要講的隱藏木馬的方法就是如何利用ntfs藏木馬?即利用NTFS交換數據流(ADSs)來實現以躲避殺毒軟件的查殺推薦文章
創建NTFS交換數據流
Windows無法使用自帶的系統工具進行ADSs的檢測但卻能夠執行ADSs中的任意代碼創建一個數據交換流文件的方法很簡單在Windows中輸入命令echo 數據流內容 源文件名:數據流名稱
雖然在命令提示符窗口中不能直接執行捆綁後的文件流 但是不用逆操作來分離出我們的隱藏文件直接運用start 命令就可以直接執行已隱藏的文件這種方法相當隱蔽
小資料NTFS交換數據流
數據流(ADSs)簡單地講就是這個文件在執行時執行的內容在 NTFS 文件系統下每個文件都可以有多個數據流當在非 NTFS 卷(如 FAT磁盤分區)下讀取文件內容時系統只能訪問一個數據流因此用戶會覺得它是該文件真正的唯一的內容
但是當在 NTFS 卷上創建文件時就可以通過在一個文件中創建多個數據流內容這樣很容易將一段惡意代碼隱藏到某個文件之中並且惡意代碼在整個執行過程中系統進程裡也不會有這段代碼的身影
利用ADSs捆綁木馬
ADSs原理看起來好像是非常的復雜但是在實際應用過程中卻非常的簡單首先創建一個臨時文件夾將准備好的木馬程序如mmexe復制到這個文件夾之中接著打開命令提示符窗口輸入命令echo msexemmtxt:wlftxt這樣就為木馬創建了一個數據流文件(圖)
我們利用WinRAR將木馬程序隱藏到ADSs中就相當於將數據流和木馬程序進行捆綁操作在臨時文件夾上單擊右鍵對這個文件夾進行壓縮(圖)
雙擊創建的壓縮文件點擊WinRAR工具欄上的添加按鈕浏覽選中臨時文件夾在出現的壓縮文件名和參數面板中切換到高級標簽中接著選中其中的保存文件數據流選項點擊確定即可(圖)
在WinRAR中選中kunb文件夾點擊工具欄上的自解壓格式→高級自解壓選項→常規選項標簽最後在解壓縮之後運行中輸入start wlftxt:msexe即可(圖)
點擊模式選項標簽選中全部隱藏和覆蓋所有文件這兩個選項全部設置完成後點擊確定按鈕返回這樣就創建了一個極為隱蔽的自解壓木馬甚至可以躲過殺毒軟件的查殺當用戶雙擊這個自解壓文件後就會運行裡面的數據流木馬了
破解《UAC防線形同虛設》攻擊招數
本周一共有位讀者發來了破解招數我們根據大家的破招描述和效果最後評出來自廣州的KDASH為最佳防御者他將獲得元的獎勵同時可以再參加年度最佳防御者的評選
堵住UAC漏洞
利用正常文件來掩護木馬文件避過UAC是一個好方法但也不是完美的下面我來介紹幾種方法進行防御
要運行木馬文件就必須取得管理員的權限這樣才可以把木馬文件寫入到系統盤我們就可以不用管理員身份運行程序畢竟我們也不是時時都要安裝系統文件的
Vista的系統要裝在NTFS系統分區上而NTFS有一個安全管理我們可以把SYSTEM(因為很多木馬或病毒都要把源文件復制到這個目錄下)的權限只把讀取選上其余都不選這樣木馬文件就寫不入了
安裝實時文件監控的殺毒軟件文件實時監控會在用戶打開程序時先掃描應用程序木馬自然就無處可藏了
From:http://tw.wingwit.com/Article/os/xtgl/201405/30681.html
