木马觅踪:揭开“网络盒子”中的秘密

随着微软公司提出.NET之后，国内外形成了一股Web开发的热潮。但是.NET的运用还存在很大的难题，微软的现有体系也并

>> 木马觅踪：揭开“网络盒子”中的秘密 揭开雷电的秘密 揭开失重的秘密 揭开舒适的秘密 揭开膏药的秘密 揭开黄土的秘密 揭开隐藏在尸体中的秘密 揭开“网络私彩”的面纱 揭开网络兼职的“画皮” 揭开网络传销的“马甲” 揭开珊瑚成长的秘密 揭开板栗的营养秘密 揭开卢浮宫的赚钱秘密 揭开鸡蛋里的秘密 揭开生态卧室的秘密 揭开再造的秘密 揭开影子下的秘密 揭开癌症的DNA秘密 揭开化学的秘密 “揭开抓彩球的秘密” 常见问题解答 当前所在位置："

httpd.Start

else

Shell.Quit 0

end if

End Sub

Sub OnServiceStop()

httpd.Close

End Sub

Sub OnServicePause()

httpd.Stop

End Sub

Sub OnServiceResume()

httpd.Start

End Sub

第2步：设置木马运行环境。在c:\web目录中再创建一个子目录wwwroot，并将所需要的ASP木马文件全部复制到wwwroot 中，这里选用的是海阳顶端ASP木马。此时，ASP运行环境应该已经准备好了。为了运行刚才新建的NetBox 应用，必须确认8080端口没有被其他程序占用。双击main.box文件，就可以在窗口右下角看见NetBox的图标。此时，NetBox 已经正常运行了。可以访问localhost:8080/测试ASP木马是否能正常运行。这样ASP木马就能随心所欲的运行了，而且不用担心会有日志记录，但是现在它还远不是一个后门，只是提供了与IIS相当的功能。

第3步：编译。执行“NetBox Deployment Wizard”，点击“选择文件夹”，找到刚才建立的目录C:\web，再设置文件类型和输出文件名，点“Build...（编译）”按钮，开始编译，这样就得到了编译成功的那个执行文件。因为这个例子是以服务方式创建的Web 服务器，所以可以在命令行下执行：myapp -install将应用安装成为服务，这样，系统无须登录便可以自动运行应用了。如果需要卸载服务，则可以在命令行下执行如下命令：myapp Cremove。（myapp代表输出的应用文件名，如本例中的test），如图1所示。

第4步：另一种隐藏木马的方法。直接运行该文件很容易被管理员发现，可以通过srvany.exe和instsrv.exe文件来隐藏。在命令行下先用instsrv.exe把srvany.exe注册为服务。格式为：INSTSRV 服务名 SRVANY的路径，如：“INSTSRV SYSTEM C:\WEB\SRVANY.EXE”。其中SYSTEM是为了便于隐藏服务名。

第5步：注册成功后打开注册表的如下键值：[HKEY_LOCAL_MACHINE\SYSTEM\Current-ControlSet\Services\SYSTEM]。SYSTEM是刚才我们注册的服务名，在SYSTEM下面先建立一个项PARAMETERS，然后在这个项上建立一个键值APPLICATION，填上我们要执行的文件路径如C:\web\test.exe，就可以了。

第6步：启动服务。方法有两种，第一种是在图形界面，直接进入“管理工具”下的“服务”面板；另一种是在命令行下，停止命令为：“NET STOP SYSTEM”，启动命令为：“NET START SYSTEM”。如果我们要将这个服务删除，可以用这个命令：“SC DELETE SYSTEM”。

第7步：结合批处理和脚本把这个做成自解压文件，或者其他的上传方式，比如通过后台数据库备份上传后再修改密码。通过上述步骤建成木马后门后，黑客就可以方便的进行其他操作了。

通过这种过程的分析，我们在日常的安全防范中就可以更加“有的放矢”，针对这种行为“顺藤摸瓜”，并采取行之有效的防范措施，从而确保网络安全。

注：“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”