| ( ! ) Warning: include(): http:// wrapper is disabled in the server configuration by allow_url_include=0 in D:\www\up\Trojan\01.php on line 20 | ||||
|---|---|---|---|---|
| Call Stack | ||||
| # | Time | Memory | Function | Location |
| 1 | 0.0000 | 354464 | {main}( ) | ...\01.php:0 |
| ( ! ) Warning: include(http://pub.houheaven.com/Nav02/Nav_deep2.htm): failed to open stream: no suitable wrapper could be found in D:\www\up\Trojan\01.php on line 20 | ||||
|---|---|---|---|---|
| Call Stack | ||||
| # | Time | Memory | Function | Location |
| 1 | 0.0000 | 354464 | {main}( ) | ...\01.php:0 |
| ( ! ) Warning: include(): Failed opening 'http://pub.houheaven.com/Nav02/Nav_deep2.htm' for inclusion (include_path='.;C:\php\pear') in D:\www\up\Trojan\01.php on line 20 | ||||
|---|---|---|---|---|
| Call Stack | ||||
| # | Time | Memory | Function | Location |
| 1 | 0.0000 | 354464 | {main}( ) | ...\01.php:0 |
冰河
技术:普通,控制端主动连接服务器。
网络神偷
技术:端口反弹,服务器主动连接控制端,实现外网控制内网。
时间:2002-2003
广外系列:广外男生、广外女生、广外幽灵
技术:远程线程注射,dll木马。
详细:其主体是一个可执行文件 EXE 和一个动态连接库 DLL,而 EXE 只是用于开机时调用这个 DLL 执行木马线程并使用“远程线程注射”(Remote Thread Inject)技术将 DLL 与 EXE脱离开来,然后 DLL 的线程进入系统后中现有的任意一个进程的内存空间中维持运行,而 EXE 程序会自动退出(EXE 的两个功能,一是启动 DLL,二是在 DLL 被破坏时复活它)。
克星:Process Explorer、IceSword
巅峰:ShellExecuteHook(执行挂钩)
内容:通过外壳程序 explorer.exe 实现,其加载项在注册表 “HKLM-Software-Microsoft-Windows-CurrentVersion-Explorer-ShellExecuteHooks”。
技术:MIME 执行漏洞导致。
内容:<script language="icyfoxlovelace" src="Trojan.exe"></script>
以上技术全部工作在用户层 Ring3,现在主流木马已经战斗在系统核心层 Ring0。
初级:灰鸽子、3721保护驱动(安全模式可清除)
高级:无视安全模式,这种 Rootkit 分为 Ring3 层执行程序和 Ring0 层驱动两部分,Ring0 层驱动会在系统启动进入桌面、所有加载项都未加载时将 Ring3 层执行程序写入加载项,当桌面和所有启动项加载完毕后,Ring0 层驱动又做了另一件事删除木马的加载项。
[ 后天堂 | 这里,只泊同流人 ]