论文部分内容阅读
放假啦!放假啦!憋了这么久,现在终于可以趁暑假在家里好好玩一下黑客技术了。当我打开自己电脑中的“黑洞”木马客户端时,发现以前万“鸡”奔腾的场面已经不复存在。唉!都怪前段时间忙于高考,没有对自己的“肉鸡”进行跟踪,以至于大量的“肉鸡”都丢失了。正好现在有时间,我可以进行新一轮的抓鸡操作了。那通过什么方法来捉“肉鸡”呢?无意间看到电脑桌面上有一个“猪猪猫”出品的GhostWinXP镜像文件,灵感来了……
小知识更新
肉鸡
这可不是指我们饭桌上吃的那种家禽哟!它是指那些被黑客攻破,被植入远程控制木马的电脑。如果这类电脑大量地被一个远程控制终端所控制,就会形成僵尸网络,也被称为“肉鸡军团”。利用它,黑客就可以任意地对某个网站或论坛发起攻击。与以前纯粹的技术炫耀或恶作剧不同,现在“肉鸡军团”的攻击多用于广告点击或流量刷新等灰色商业服务。
突发灵感捉“肉鸡”
大家现在都喜欢用Ghost来安装操作系统,因为安装速度很快,一个WinXP只需要几分钟就能安装完毕。而目前网上流行的Ghost镜像文件也很多,如番茄花园、雨林木风、深度和猪猪猫等,可谓品种丰富。于是我就设想,利用小编辑工具对这些Ghost镜像文件进行修改,比如在其中藏匿木马,然后再发布到网上,这样凡是下载并用它来安装操作系统的电脑都将成为我手中的一只“肉鸡”。哈哈,如果这一招可行,互联网上将掀起一阵血雨腥风!
着手验证可行性
首先,找一把用于编辑Ghost镜像文件的“屠龙刀”。虽然很多软件都可以对Ghost镜像文件进行编辑,但我最终还是选择了其官方推出的GhostExplorer(下载地址:http://www.crsky.com/soft/2790.html),因为我想没有谁能比官方更加了解Ghost的文件结构。
运行Ghost Explorer后,点击工具栏中的“打开”按钮导入需要编辑的Ghost镜像文件,而我导入的自然就是那个“猪猪猫”的Ghost WinXP镜像文件。在类似于资源管理器的窗口中,可以清楚地看到Ghost镜像文件中的内容。在Ghost Explorer窗口中点击鼠标右键,在弹出菜单里可以看到“提取”、“加载”、“剪切”和“增加”等命令(如图1)。如果说前面的设想只是理论上的,那么现在已经证明我的想法具有可行性。
木马巧妙入镜像
现在是万事俱备,只欠“木马”。其实木马程序我早就准备好了,就是我以前常用的“黑洞”木马(如图2),它可以突破大多数杀毒软件的主动防御功能。
可是,新的问题又出现了!Gh o s tExplorer只能对文件进行修改,并不能对系统注册表进行修改。要知道,注册表对绝大多数的木马程序来说非常重要。因为注册表的启动项中有大量的软件启动项,而木马可以利用它们搭“顺风车”,在电脑启动时悄悄地自动加载。
怎么办呢?好在“条条大路通罗马”,WinXP系统的开始菜单中,不是有一个启动文件夹吗?我今天就利用它。首先,在Ghost Explorer窗口中,展开Ghost镜像文件里的启动文件夹所在路径,即“\Documents and Settings\All Users\「开始」菜单\程序\启动”(注:“All Users”可换成默认的管理员账户)。然后,点击右键菜单中的“添加”命令,在弹出窗口中导入我准备好的“黑洞”木马程序文件,将之添加到Ghost镜像文件里(如图3)。这样的它,是能够随系统启动而自运行的哟!
现在这个“猪猪猫”的Ghost WinXP镜像文件就“加工”完毕了,通过BT等方式我可以轻易地将它传播出去。当不明真相的网友下载并用它安装系统之后,一旦重启,其启动文件夹中的“黑洞”木马就会自动运行,这样它就成功地植入到这台电脑里去了。你说这样的电脑想不成为我的“肉鸡”,行吗?
再接再厉搞伪装
看到这里,可能有读者不以为然,觉得以后在安装系统前检查一下镜像文件里的启动文件夹,不就万事大吉了吗?别高兴得太早,来看看我的“杀手锏”吧!
WinXP自带了很多常用的小工具,比如记事本、注册表和计算器等。现在我只需要将“黑洞”木马和这些工具中的一个进行捆绑,然后用捆绑生成的EXE文件去替换镜像文件中的原文件即可。
首先,运行一个捆绑器软件(此类软件很多,大家可以到网上搜索下载,功能和操作方式都大同小异)。因为我打算捆绑的是最常用的记事本文件,所以就点击捆绑器软件的“添加文件”按钮分别导入了“黑洞”木马的程序文件和记事本文件。然后,“指定释放路径”设置为“%windir%”,它代表系统中的Windows目录。接着,选中窗口里的“删除自己”选项,这样捆绑文件运行后就会“自我销毁”,不在系统中留下任何痕迹。最后,最牛的地方出现了!那就是我可以把记事本文件的版权信息“克隆”到捆绑文件中去。选择记事本文件,打开右键菜单中的“属性”命令,将其“详细信息”标签中的每一项都复制到捆绑器的“文件版本”中(如图4)。点击“捆绑合成”按钮,即可惟妙惟肖地生成一个伪装成记事本的EXE捆绑文件。现在按照前面介绍过的方法用Ghost Explorer打开Ghost镜像文件,删除其Windows目录中的记事本文件,然后再把捆绑文件同名添加进去即可。这样当用户用此Ghost镜像文件安装系统后,只要一运行“记事本”,该捆绑文件就会立即分解为木马和记事本两个文件。然后,木马就在后台悄悄运行并植入用户系统,而记事本就在前台用户的眼前正常地运行,整个过程不会引起用户的任何怀疑……
认准官方来下载
看了以上的内容,你是不是对用Ghost镜像文件来安装操作系统的安全性心存疑虑了呢?这——就对了!因为这就是我写本文的目的,即不是教你如何去害人,而是通过模拟演示,揭示网上流行的Ghost镜像文件潜在的危害,帮助大家提高电脑安全意识。
现在我们都喜欢用Ghost镜像文件来安装操作系统,这是没错的!毕竟它给我们带来了很多方便,节省了很多安装时间。但是,当你在下载时,最好从它们各自的官方网站下载,并且下载完成后要检查其文件的MD5值(如图5),必须要和其官方公布的一致才行。其他地方下载的、文件MD5值对不上的,建议都不要安装,因为它们很有可能是被黑客修改过的。
小知识更新
肉鸡
这可不是指我们饭桌上吃的那种家禽哟!它是指那些被黑客攻破,被植入远程控制木马的电脑。如果这类电脑大量地被一个远程控制终端所控制,就会形成僵尸网络,也被称为“肉鸡军团”。利用它,黑客就可以任意地对某个网站或论坛发起攻击。与以前纯粹的技术炫耀或恶作剧不同,现在“肉鸡军团”的攻击多用于广告点击或流量刷新等灰色商业服务。
突发灵感捉“肉鸡”
大家现在都喜欢用Ghost来安装操作系统,因为安装速度很快,一个WinXP只需要几分钟就能安装完毕。而目前网上流行的Ghost镜像文件也很多,如番茄花园、雨林木风、深度和猪猪猫等,可谓品种丰富。于是我就设想,利用小编辑工具对这些Ghost镜像文件进行修改,比如在其中藏匿木马,然后再发布到网上,这样凡是下载并用它来安装操作系统的电脑都将成为我手中的一只“肉鸡”。哈哈,如果这一招可行,互联网上将掀起一阵血雨腥风!
着手验证可行性
首先,找一把用于编辑Ghost镜像文件的“屠龙刀”。虽然很多软件都可以对Ghost镜像文件进行编辑,但我最终还是选择了其官方推出的GhostExplorer(下载地址:http://www.crsky.com/soft/2790.html),因为我想没有谁能比官方更加了解Ghost的文件结构。
运行Ghost Explorer后,点击工具栏中的“打开”按钮导入需要编辑的Ghost镜像文件,而我导入的自然就是那个“猪猪猫”的Ghost WinXP镜像文件。在类似于资源管理器的窗口中,可以清楚地看到Ghost镜像文件中的内容。在Ghost Explorer窗口中点击鼠标右键,在弹出菜单里可以看到“提取”、“加载”、“剪切”和“增加”等命令(如图1)。如果说前面的设想只是理论上的,那么现在已经证明我的想法具有可行性。
木马巧妙入镜像
现在是万事俱备,只欠“木马”。其实木马程序我早就准备好了,就是我以前常用的“黑洞”木马(如图2),它可以突破大多数杀毒软件的主动防御功能。
可是,新的问题又出现了!Gh o s tExplorer只能对文件进行修改,并不能对系统注册表进行修改。要知道,注册表对绝大多数的木马程序来说非常重要。因为注册表的启动项中有大量的软件启动项,而木马可以利用它们搭“顺风车”,在电脑启动时悄悄地自动加载。
怎么办呢?好在“条条大路通罗马”,WinXP系统的开始菜单中,不是有一个启动文件夹吗?我今天就利用它。首先,在Ghost Explorer窗口中,展开Ghost镜像文件里的启动文件夹所在路径,即“\Documents and Settings\All Users\「开始」菜单\程序\启动”(注:“All Users”可换成默认的管理员账户)。然后,点击右键菜单中的“添加”命令,在弹出窗口中导入我准备好的“黑洞”木马程序文件,将之添加到Ghost镜像文件里(如图3)。这样的它,是能够随系统启动而自运行的哟!
现在这个“猪猪猫”的Ghost WinXP镜像文件就“加工”完毕了,通过BT等方式我可以轻易地将它传播出去。当不明真相的网友下载并用它安装系统之后,一旦重启,其启动文件夹中的“黑洞”木马就会自动运行,这样它就成功地植入到这台电脑里去了。你说这样的电脑想不成为我的“肉鸡”,行吗?
再接再厉搞伪装
看到这里,可能有读者不以为然,觉得以后在安装系统前检查一下镜像文件里的启动文件夹,不就万事大吉了吗?别高兴得太早,来看看我的“杀手锏”吧!
WinXP自带了很多常用的小工具,比如记事本、注册表和计算器等。现在我只需要将“黑洞”木马和这些工具中的一个进行捆绑,然后用捆绑生成的EXE文件去替换镜像文件中的原文件即可。
首先,运行一个捆绑器软件(此类软件很多,大家可以到网上搜索下载,功能和操作方式都大同小异)。因为我打算捆绑的是最常用的记事本文件,所以就点击捆绑器软件的“添加文件”按钮分别导入了“黑洞”木马的程序文件和记事本文件。然后,“指定释放路径”设置为“%windir%”,它代表系统中的Windows目录。接着,选中窗口里的“删除自己”选项,这样捆绑文件运行后就会“自我销毁”,不在系统中留下任何痕迹。最后,最牛的地方出现了!那就是我可以把记事本文件的版权信息“克隆”到捆绑文件中去。选择记事本文件,打开右键菜单中的“属性”命令,将其“详细信息”标签中的每一项都复制到捆绑器的“文件版本”中(如图4)。点击“捆绑合成”按钮,即可惟妙惟肖地生成一个伪装成记事本的EXE捆绑文件。现在按照前面介绍过的方法用Ghost Explorer打开Ghost镜像文件,删除其Windows目录中的记事本文件,然后再把捆绑文件同名添加进去即可。这样当用户用此Ghost镜像文件安装系统后,只要一运行“记事本”,该捆绑文件就会立即分解为木马和记事本两个文件。然后,木马就在后台悄悄运行并植入用户系统,而记事本就在前台用户的眼前正常地运行,整个过程不会引起用户的任何怀疑……
认准官方来下载
看了以上的内容,你是不是对用Ghost镜像文件来安装操作系统的安全性心存疑虑了呢?这——就对了!因为这就是我写本文的目的,即不是教你如何去害人,而是通过模拟演示,揭示网上流行的Ghost镜像文件潜在的危害,帮助大家提高电脑安全意识。
现在我们都喜欢用Ghost镜像文件来安装操作系统,这是没错的!毕竟它给我们带来了很多方便,节省了很多安装时间。但是,当你在下载时,最好从它们各自的官方网站下载,并且下载完成后要检查其文件的MD5值(如图5),必须要和其官方公布的一致才行。其他地方下载的、文件MD5值对不上的,建议都不要安装,因为它们很有可能是被黑客修改过的。