电子商务信息安全技术.doc

实训报告学校名称：广东海洋大学技术学院专业班级：电子商务092班 学号：200936627221姓名：赖明辉 组别：指导老师：成绩：实训日期：第 2 次实训实训名称：破解QQ密码 QQ邮箱 一. 实训目的二实训前准备三实习要求四实习内容远程控制原理一般木马分两个部分，客户端和服务端，客户端是用来控制被中木马的电脑的（你可以理解成遥控器吧）；服务端就是木马啦，这个就是需要传播给其它朋友运行的一个木马。早期的木马原理是客户端（控制者）-服务端（被种木马者）的方式进行控制，详细解释如下：为了表述方便这里将客户端简称为A，服务端简称为B，A将生成好的木马发给B，B运行后，木马就会自动在电脑上开一个端口，A通过扫描连接验证后就通过这个端口建立一个连接来达到非法控制B。以上是早期木马的控制方式，应该比较好理解。而现在的木马都是反弹木马，可以穿透内网等功能更加强大，所以原理更为复杂。以一定要理解了上面的原理再来理解下面的。而灰鸽子的原理就是客户端（控制者）-服务端（被种木马者），和老式远程控制木马反过来了。早期木马的控制流程（为了方便新手更容易理解，给个实现里的比喻，黑客（控制者）简称为A，而中木马者为B。）：这里我将B比喻一个房子，当A看到B有一扇窗户没关（通过系统漏洞或其它方法），就会偷偷进入B房内种个木马，加个暗门（一般人看不出来），并且会在B房外面做个记号（就是端口，当然还有设置密码），下次再来的B房的时候，如果窗户关了，那么A就可以通过那个暗门再次进入B房啦。以下说下防火墙和局域网的问题这个很简单，人家B住在小区，并且小区管理很严，你要进小区需要验证身份才可以进。这里的小区就是代表局域网和防火墙。要进就很难啦。所以早期木马需要服务端有单独的上网IP，并且没有安装防火墙之类。通过以上例子应该可以理解了一下木马的原理了吧，真找不到其它比较好的例子了。以下说下重点，说下最新的灰鸽子原理：参考上面例子，这次A不是在B加了个暗门，而是放了一个隐形人，每次B开门（开机）时，这个隐形人就会将A所需要的东西送到A的住处。这时就碰到问题了：这个就要求A需要有一个稳定的住处，如果A常变位置这个隐形人怎么跑到A那里去了，所以使用灰鸽子要求我们的A最好也是ADSL拨号用户即有单独的IP，如果A有防火墙或小区网那么这个隐形人会被档在外面的。因为隐形人长得太像可疑了。当然实际中，有单独IP的情况很少，一般好多都是小区网络，所有就有很多方法现解决这个问题，而这个问题其实算不上是远程控制木马的问题啦。重点木马免杀研究木马免杀一般就要分为无特征码免杀和特征码免杀，随着杀毒软件的更新换代，免杀难度其实是越来越难的，以前过杀毒软件甚至都不用改特征码，只需要加壳和加一些花指令都可以过许多杀毒软件，但现在已经比较难做到了。 在做免杀之前，一定要先知道我们面对的是什么样的困难，现在的杀毒软件主要是表面查杀还有主动防御，主动防御对免杀是一个相当的难题，在这里先明确一下概念：所谓“主动防御”其实是针对传统的“特征码技术”而言的。主动防御技术也必须要实现对程序的性质做出明确判定，是病毒，就应明确报警并提示用户发现病毒。如果只是对程序的单一动作报警，由用户自己判断这个动作是否具有威胁，就不是主动防御。传统的杀毒软件主要通过病毒库来杀毒，但这需要用户上报病毒后，经过人为分析，再更新病毒库，这样才能做到查杀，而主动防御则是用程序模拟认为分析病毒，来做到主动的防御措施。现在先说一下无特征码免杀技术，所谓无特征码免杀（个人见解），就是对被杀程序进行壳的保护和花指令的干扰，使得杀毒软件调试失败，并不基于特征码的修改来达到免杀的效果！要做免杀的对象可以是exe文件，dll文件，dat文件，其实他们都是可以无特征码免杀的，这些文件一般称为PE文件，杀毒软件收集这些PE文件内的信息，就形成了特征码，在杀毒软件查杀这些文件时候进行病毒库特征码的核对，如果出现一致的特征码！就被成为木马，我们对这些文件可以进行加壳，加花，！加壳的意思是将木马文件体内的特征码保护起来，致使杀毒软件核对不上原来的特征码！所以就不杀了，加花是干扰杀毒软件的调试干扰他核对病毒库特征码。壳分为加密壳和压塑壳，加密壳和压塑壳都是对程序进行保护作用，压塑壳和加密壳不同点是，压塑壳不仅可以对程序进行加密还可以对程序进行压塑！加密对程序没有压塑功能！花指令是一些等价的汇编指令！目的在于干扰杀毒软件的对程序的调试分析，简单的说所谓花指令就是一些垃圾指令，对程序的功能没有任何作用的一堆平衡的指令，举个例子：push eaxpop eaxpush esipop esiadd ecx，1sub ecx，1inc edxdec edx这些就是花指令。常见的压塑壳有：NSpack（北斗压塑壳），ASpack, asprotect,掘北压塑壳，UPX 常见的加密壳：北斗加密壳，TElock，VMprotect 等免杀步骤1：加壳具体过程：1.UPX加壳一次2.Mr绝杀变态壳加一次3.反调试壳加一次 命令格式：Mr.exe 4 111.exe4.北斗4.1一次设置时把这些选项选上，然后把EXE文件拖入，点GO这样就完成了UPX加壳。其他壳类似使用。步骤2：添加花指令用Ollydbg软件打开需要添加花指令的文件，然后记入程序入口点，如下图00525000就是我们需要记着的程序入口点，软后选中一块0区域，如图然后把花指令填入，我在网上找了一个花指令加进去然后0052508A就是花指令的入口点最后拉到花指令的结尾，然后跳转到程序原来的入口点这样就完成了花指令添加，但还要改一下程序开始运行的入口点，这时候要用到LORDPE工具，将地址后5位黏贴到LORDPE上，至于为什么是后5位，这涉及到软件本身定义入口点和基址等，就不做说明了。如图这样就把程序入口点改成花指令的地址了。另外一个思路就是对dat做免杀，这样生成的客户端也就是免杀的了。做无特征码免杀就是要有良好的汇编基础，强大的反调试花指令有时候就能过不少杀毒软件了，配合其他壳的运用以及修改，加区段，SHE异常反调试花等。下面讲一讲定位内存特征码的方法：这里要用的一个工具是multiccl，先打开multiccl，然后会出现对话框以及选中你要定位特征码的文件，如图这里的BJFREE就是我们要定位的文件。再出现箭头窗口的地方，把箭头拖到黑窗口，然后点应用，并且保持键盘的大写状态（CAP LOCK）这样就可以开始定位了做这个实验的时候我得到的特征码是这样的Codz1=H_00004FAF_00004FB2_00000004_000180A7 Codz2=H_000050F0_000050F3_00000004_000180A7 Codz3=H_000054B6_000054B9_00000004_000180A7 Codz4=H_00005B32_00005B35_00000004_000180A7 Codz5=H_00006718_0000671B_00000004_000180A7 Codz6=H_0000672A_0000672D_00000004_000180A7 Codz7=H_0000706B_0000706E_00000004_000180A7 Codz8=H_00007082_00007085_00000004_000180A7 Codz9=H_00007878_0000787B_00000004_000180A7 Codz10=H_00007893_00007896_00000004_000180A7 Codz11=H_00007A57_00007A5A_00000004_000180A7Codz12=H_00009BF8_00009BFB_00000004_000180A7 Codz13=H_0000CD64_0000CD67_00000004_000180A7 =Codz14=H_0000CD90_0000CD93_00000004_000180A7 =Codz15=H_0000DE5D_0000DE60_00000004_000180A7 =Codz16=H_0000DE90_0000DE93_00000004_000180A7 =Codz17=H_0000DEC3_0000DEC6_00000004_000180A7 Codz18=H_0000E5E4_0000E5E7_00000004_000180A7 Codz19=H_0000F3CA_0000F3CD_00000004_000180A7 =Codz20=H_0000F3D8_0000F3DB_00000004_000180A7 Codz21=H_0000F625_0000F628_00000004_000180A7 Codz22=H_0000F682_0000F685_00000004_000180A7 =Codz23=H_0000F695_0000F698_00000004_000180A7 =Codz24=H_0000F9F2_0000F9F5_00000004_000180A7 Codz25=H_0000FA68_0000FA6B_00000004_000180A7 Codz26=H_0000FAA0_0000FAA3_00000004_000180A7 Codz27=H_0000FBEA_0000FBED_00000004_000180A7 Codz28=H_0000FBFD_0000FC00_00000004_000180A7 Codz29=H_0000FC15_0000FC18_00000004_000180A7 Codz30=H_0000FC75_0000FC78_00000004_000180A7 Codz31=H_0000FCA7_0000FCAA_00000004_000180A7 Codz32=H_0000FE43_0000FE46_00000004_000180A7 Codz33=H_0000FE50_0000FE53_00000004_000180A7 Codz34=H_0000FE8D_0000FE90_00000004_000180A7 Codz35=H_0000FEAA_0000FEAD_00000004_000180A7 =Codz36=H_0000FED2_0000FED5_00000004_000180A7 Codz37=H_0000FF21_0000FF24_00000004_000180A7 Codz38=H_000101B5_000101B8_00000004_000180A7 Codz39=H_00010708_0001070B_00000004_000180A7 Codz40=H_00010775_00010778_00000004_000180A7 =Codz41=H_000108FB_000108FE_00000004_000180A7 Codz42=H_00010919_0001091C_00000004_000180A7 Codz43=H_0001093F_00010942_00000004_000180A7 Codz44=H_00010A13_00010A16_00000004_000180A7 Codz45=H_0001988E_00019891_00000004_000180A7 指针Codz46=H_0001A56D_0001A570_00000004_000180A7 Codz47=H_0001FB20_0001FB23_00000004_000180A7 Codz48=H_000211C0_000211C7_00000008_000180A7 Codz49=H_000213C8_000213CF_00000008_000180A7 定位完特征码之后，就要对特征码开始修改，可以使用OD也可以使用C32，我在这里用C32对BJFREE,DLL做修改，这里举第一处的例子Codz1=H_00004FAF_00004FB2_00000004_000180A7首先查找到00004FAF这个位置，这个位置是代码是3B，这里注意前3行，因为特征码是00004FAF_00004FB2，也就是这3行之中随便改哪一行都行，这里简单的话可以把ADD ESI,208改成 SUB ESI -208, 也可以把JBE SHORT 10004FC9改成 JB SHORT 10004FC9，只要是等价的修改就可以，这样就是特征码的修改。简单的代码修改可以把85改成21，84改成20，33改成2B等。85在汇编模式下是TEST，21是AND这两个是等价的。在免杀的过程中随着经验积累，就会有很多可以固定的修改，这样修改起来也就快多了。免杀课题还有很多深入的研究，因为时