從零跟我學(xué)黑客（三）

這期是“從零跟我學(xué)黑客”的第三輯，在前面的系列文章中，我給大家詳細(xì)介紹了shell的概念和木馬上線的知識(shí)，想必大家已經(jīng)對(duì)這些基礎(chǔ)有了一定的了解了吧?今天給大家講的是入侵過程的一些常用的隱藏技術(shù)，讓你做到踏雞無(wú)痕(來(lái)子注：畢偉倫同學(xué)接下來(lái)講的一些隱藏方法并不是什么新方法，但都非常好用，如果你是個(gè)黑客高手，那就翻過這一頁(yè)吧。因?yàn)橄旅娴膬?nèi)容你應(yīng)該都會(huì)，如果你剛剛接觸黑客知識(shí)，那可要好好看了，學(xué)會(huì)入侵過程中的常用隱藏技術(shù)，對(duì)你今后馳騁黑界可是大有幫助的)。

文件隱藏技術(shù)

你的馬兒傳上去，該放在哪里才安全?這是黑客發(fā)展史上經(jīng)久不衰的討論話題，一般來(lái)說，入侵者喜歡把木馬放置在文件眾多的目錄里，比如系統(tǒng)目錄C：\\Windowsksystem32，因?yàn)檫@些地方文件眾多?？芍^“魚龍混雜”。可是現(xiàn)在這些地方也不一定是最保險(xiǎn)的，下面我們從最簡(jiǎn)單的看起，了解下入侵者的慣用方法。

簡(jiǎn)單屬性隱藏

對(duì)于這個(gè)我想大家并不陌生，寫出來(lái)是為了照顧菜鳥朋友，我一帶而過。通過命令提示符中輸入如下的命令語(yǔ)法：attrib+s+h muma．exe。這就是給你的木馬加上系統(tǒng)屬性和隱藏屬性。該方法適合隱藏?zé)o毒工具，有時(shí)候也能騙過一些經(jīng)驗(yàn)不足的管理員。

利用系統(tǒng)漏洞文件夾

這個(gè)我想大家也不會(huì)陌生，目前沸沸揚(yáng)揚(yáng)的U盤免疫工具也都是利用了這一點(diǎn)。創(chuàng)建一個(gè)名字最后面帶點(diǎn)的文件夾，直接刪除無(wú)法成功，木馬也可以利用這點(diǎn)在其中棲身。由于網(wǎng)友世界之前對(duì)此的介紹也很多。我也一帶而過了。創(chuàng)建這類文件夾的方法是在CMD中運(yùn)行：md sys\\，這樣就能創(chuàng)建一個(gè)名字為sys的漏洞文件夾了，不能打開也不能刪除。

要向其中放入你的木馬也很簡(jiǎn)單。一種可以是直接“開始”→“運(yùn)行”→輸入“D：\\biwellunksys\\”。然后回車就能打開這個(gè)文件夾了，然后復(fù)制你的木馬進(jìn)去即可。還有二一種是在命令行下，輸入如下命令“copy down，exe biwellun\\sys\\”，這個(gè)down．exe是我本來(lái)放在D盤根目錄下的一個(gè)木馬。

利用專有文件夾隱藏

使用系統(tǒng)已有專有文件夾

在Windows系統(tǒng)中，可以雙擊“計(jì)劃任務(wù)”、 “控制面板”、 “回收站”等圖標(biāo)來(lái)實(shí)現(xiàn)一些系統(tǒng)的管理操作。表面上看上去這些不是文件夾，其實(shí)這些“專用文件夾”是可以當(dāng)普通文件夾用的，拷貝、粘貼、刪除都可以。下面看我的例子：

我這里有一個(gè)運(yùn)行在命令行下的黑客工具pskill．exe，能殺本機(jī)或者遠(yuǎn)程機(jī)器的進(jìn)程?，F(xiàn)在它的位置在c盤的根目錄下，我將它在命令行下復(fù)制到C：\\windows\asks目錄下。

現(xiàn)在我們用cd命令進(jìn)入到C：\\windows\asks：這個(gè)目錄下。查看下所有文件。發(fā)現(xiàn)文件確實(shí)是復(fù)制進(jìn)去了。接著我們運(yùn)行看看，OK，在這個(gè)文件夾下不影響運(yùn)行。但是你在圖形界面下打開C：\\windows\asks看看，能看到這個(gè)pskill．exe文件嗎?不能。這樣就輕松實(shí)現(xiàn)了文件的隱藏。

自建專有文件夾

入侵者也可以自己建立這樣的文件夾，是文件的隱藏隨心所欲。下面做個(gè)試驗(yàn)，創(chuàng)建一個(gè)文件夾，名字為“打印機(jī)(1227A280－3AEA－1069－A2DE－08002830309D)”，現(xiàn)在你會(huì)發(fā)現(xiàn)文件夾的圖標(biāo)變成一個(gè)打印機(jī)的樣子了。我們也就創(chuàng)立了自己的專有文件夾了，和上面①里講的是一種類型，不過你要把自己創(chuàng)建的專有文件夾放在那些不被懷疑的地方才好。自己創(chuàng)建的專有文件夾的使用方法和①里講的也一樣，在復(fù)制進(jìn)去的時(shí)候不需要在目的路徑里面加入專有后綴名。復(fù)制成功后在視圖窗口中打開將看不到任何文件，但是在命令行下可以直接訪問。

利用我發(fā)現(xiàn)的一個(gè)WindOws漏洞

這個(gè)Windows的Bug是我有一次偶然發(fā)現(xiàn)的。那就是命令行下的一個(gè)可執(zhí)行后綴解析漏洞。漏洞是這樣利用的，你將一個(gè)可執(zhí)行文件后綴exe改為txt再雙擊打開試試看，是不是調(diào)用記事本打開的，而里面除了亂碼什么都沒有。其實(shí)我們可以讓這個(gè)可執(zhí)行文件保持后綴名為txt的情況下正常運(yùn)行。怎么辦呢?將down．exe復(fù)制到一個(gè)目錄下(我這里是C盤)下然后改名為down．txt，打開CMD，進(jìn)入到C盤根目錄，直接敲入“down．txt”后回車仍然照常運(yùn)行。

如此一來(lái)，把你的“txt文件”放置好，這應(yīng)該是最好不過的隱藏方式了。要執(zhí)行的時(shí)候可以直接執(zhí)行這個(gè)虛假的“txt”。何樂而不為呢?如果有朋友沒有能理解的話，可以看我把這個(gè)漏洞的利用方法上傳在我們聯(lián)盟的視頻：

操作視頻下載地址：http：//WWW．hx95．com/Down/ShowSoftDown，asp?UrllD=1SoftlD=842

利用ADS交換數(shù)據(jù)流

ADS交換數(shù)據(jù)流(alternate data streams)，有時(shí)候也被人家成為NTFS數(shù)據(jù)流，是：NTFS磁盤格式下的特有產(chǎn)品，不過由于現(xiàn)在的用戶磁盤格式基本上都是NTFS的，所以這個(gè)方法使用也并沒有什么限制。

第一步：在C盤下建立一個(gè)文件夾，名字是：test，我先將一個(gè)system，exe的可執(zhí)行文件放進(jìn)去(作為流宿主文件，這個(gè)假設(shè)是正常文件)，在放入一個(gè)假設(shè)的木馬文件mumaexe。

第二步：打開CMD“命令提示符”，先用dir命令可以查看到目錄里確實(shí)是有muma，exe這個(gè)文件的?，F(xiàn)在輸入如下命令后回車：type muma．exe>system，exe：bwl．exe，如圖9所示。命令執(zhí)行成功，因?yàn)槲业腸盤是NTFS格式的，所以支持ADS交換數(shù)據(jù)流。

第三步：我們將test，文件夾中的muma．exe；刪除，或是移出這個(gè)文件夾，再用din命令查看會(huì)發(fā)現(xiàn)test目錄里面只有systemexe那個(gè)文件了。

第四步：我們還要執(zhí)行木馬程序怎么辦呢?執(zhí)行方法輸八命令：start C：\est\\system．exe：bwl，exe，在start后面必須加上全路徑，這一點(diǎn)要切忌，而且，stErt，也不能丟。

以上這些就是文件隱藏技術(shù)的詳細(xì)介紹了，《網(wǎng)友世界》的朋友們，我們下期再見l有什么對(duì)我文章的疑問或是更好的建議歡迎來(lái)http：//hi．baidu．com/biweiLun留言，大家一起交流探討。