关于挂马检测对抗的一点思路

由一颗休止符 分享时间：2023-09-17 07:34:48 收藏本文

【简介】感谢网友“一颗休止符”参与投稿，下面是小编为大家推荐的关于挂马检测对抗的一点思路（共6篇），仅供参考，欢迎大家阅读，希望可以帮助到有需要的朋友。

篇1：关于挂马检测对抗的一点思路

很多人在挂0day时一不小心就被安全公司截获了样本，有些时候，如果你实在bypass不了某款安全软件的检测的话，那么就绕着它走吧，

虽然可能打不中目标，但也比0day被抓了去要好。

比如下面的POC：

McAfee也是一样：

篇2：超级巡警挂马检测系统

超级巡警挂马检测系统是千云旗下的数据安全实验室(www.sucop.com)出品的一款免费挂马检测软件，该软件是专为检查WEB Server被入侵种植脚本木马和网页被嵌入的恶意链接而设计的。

点击此处下载

超级巡警挂马检测系统是超级巡警的内置组件，可以帮助用户检测多种网页木马程序，保护用户的网页浏览安全。下图所示为超级巡警挂马检测系统的主程序界面，可以看到该程序提供有“本地扫描”和“网站扫描”两个主要功能，如图：

超级巡警挂马检测系统

首先，我们来看一下超级巡警挂马检测系统提供的“本地扫描”功能，该功能支持用户自由定义扫描对象，用户可以使用该功能扫描本机内任何可能被感染的文件或者文件夹。点击对应按钮可以打开下图所示的指定扫描对象对话框，待用户指定扫描对象并启动扫描进程后，该软件将快速的扫描指定对象，如果检测到有安全威胁将自动显示在主程序界面上，方便用户直观的掌握指定对象的安全性。注意：超级巡警挂马检测系统提供的“本地扫描”功能，只是检测用户指定对象的安全性，而没有提供对检测到的安全威胁的处理，仅供大家检测安全性之用。

打开选择扫描区域对话框

选定扫描对象后点击“开始扫描”按钮执行扫描任务

执行扫描任务

扫描结束显示检测报告

下面，我们来看一下超级巡警挂马检测系统提供的“网站扫描”功能，该功能支持用户添加任意网站进行安全性检测，帮助用户了解对应网站的安全性，

用户可以自由添加需要检测安全性的网站地址，然后点击“开始扫描”按钮即可执行对这个网站的安全性检测任务。

输入欲检测安全性的网站地址

网站安全性检测

超级巡警挂马检测系统提供的“网站扫描”功能，除了可以进行任意网站的安全性检测服务，还提供有对任意网站的Cookies的抓取及导入服务，如图：

抓取Cookies

超级巡警挂马检测系统提供扫描设置选项，支持用户自定义多项运行参数项目，包括报告参数、本地扫描参数、网站扫描参数等，如图：

扫描设置选项

超级巡警挂马检测系统在主程序界面的右下角提供有一个快速通道区，这里提供有“扫描浏览器缓存”、“ 软件设置、” “查看扫描报告”以及“联系我们”四个快速执行通道，用户通过鼠标点击对应快速通道即可启动对应服务。下图所示为笔者选择启动扫描浏览器缓存和查看扫描报告两个任务，如图：

扫描浏览器缓存

查看扫描报告

总结：

超级巡警挂马检测系统主要提供本地扫描和网站扫描两个扫描项目，可以帮助用户全面检测本机指定区域以及指定网站是否被植入挂马脚本代码，以此帮助用户在打开对应文件或者网站前及时掌握其安全性，防患于未然，有效避免被病毒木马所感染。

篇3：网站挂马

实现在很多人说到挂马，还是比较担心自己的安全，毕竟现在太多的牛人来打造免杀木马，但是我却不把这些木马放在眼里，为什么？听我细细道来，一个木马下载到本地，运行并且关联到注册表中，前提还是一个权限问题，其实很多木马本身就不具备权限这个概念，完全是依赖你系统用户的权限来运行，调用木马的用户具备什么权限那么木马本身就具备什么权限，这个道理我想大家都明白吧，

这里牵扯到一个权限依赖的问题，举个简单的例子，一个恶意网页，用一个具有管理员权限的用户去访问马上就中，但是用一个游客用户去访问却什么事都没有，这就是所谓的权限依赖问题。

大家现在应该清楚我不怕网站挂马的原因了吧，就是利用权限来防御，我在这里建议大家上网时最好不要用具有管理员权限的用户，但是你硬要使用也可以，但是你要设置一番，设置两个具有管理员权限的用户，一个用来安装程序，一个用来上网，安装程序的那个用户不用设置什么权限，但是上网的这个用户却要好好设置一番了，Windows目录（只是windows本身的目录不包括子目录）及system和system32目录设置上网的那个用户只具备读取权限，这个用意我想大家都清楚吧，然后是注册表的权限，设置注册表权限也是一个重点。

注意：的注册表权限设置和XP/不一样。另外还有一些键值。

HKEY_CLASSES_ROOT \exefile \shell \open \command

HKEY_CLASSES_ROOT \txtfile \shell \open \command

HKEY_CLASSES_ROOT \inffile \shell \open \command

HKEY_CLASSES_ROOT \inifile \shell \open \command

以上4个键值是一些常用文件的关联

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Advanced \Folder \Hidden \SHOWALL

这个键值是关于系统隐藏属性的

HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Internet Explorer \Main

这两个键值是系统默认主页的

HKEY_USERS \.DEFAULT \Software \Policies \Microsoft \Internet Explorer \Control Panel

这个键值是关于使更改默认主页按钮为灰色不可用的

HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run

HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunOnce

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunOnce

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunOnceEx

以上键值是关于自启动文件的

HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services

这个键值是关于系统服务的，

以上这些键值在你对系统设置好以后再去取消用户的完全控制权限，只给予用户读取权限这只是一部分，比较常见的，当然不是全部。如果大家还有什么其他的见解请请一起来讨论下吧。

其实不知道大家注意到没有，对于一些顽固的文件也可以用权限限制来进行删除，比如在正常模式及安全模式下都无法删除的文件，但是在这些文件在DOS下却很容易就删除了，原理很简单，那就是系统在启动时是用户本身或系统去调用那个文件导致删除不成功，但是我们不允许任何用户去访问这个文件呢，先把这个文件的全部访问用户都删除，然后重起后再给予这个文件用户的完全控制权限来进行删除，有的文件在注销后就可以删除了，但是我在这里还是建议大家重起后再进行删除。

篇4：QQ挂马全功略

文章作者:rosicky311

信息来源:黑基论坛

由于QQ在中国即时通讯软件的特殊地位，决定了其非凡的商业价值，但在这背后，也有更多的人开始深入研究QQ这款软件，以下介绍的是几种我所知道的利用QQ挂马的方法，技术含量不高，为什么利用QQ，完全是因为QQ的关注程度高~~~

1 QQ群内挂马

⑴前阵子，群内发马闹的挺火，不过后来由于用的人多了，知道的人也多了，再加上QQ安全中心的默认设置的关系，这样发马的成功率已经非常低了~~当然，也不排除有些刚刚入门的朋友还会继续利用这个不怎么高明的手段来种马

⑵群内挂马是现在利用比较多的，可以直接将木马的服务端程序挂到群共享，不过此种方法也比较好确认，一般的群管理员都可以发现，一个几十K的可执行文件，有点网络基础的人都知道应该注意~~

⑶群内论坛发马，这个的隐蔽性相对于前两种来说就好多了，详细讲一下这个操作吧~~

在挂马前，首先准备木马，（废话~，没马挂什么~~）至于什么马完全根据您个人喜好了，我不多介绍了，生成木马服务端程序后，（暂定名为123.exe），将服务端上传到自己的网盘里之后得到地址，比如www.123.com/123.exe

找一个网页木马生成器（个人推荐南域剑盟的），在中间的URL添入上面的连接地址，之后点生成，可以在生成器的目录里出现一个文本，打开文本之后，复制文本内的代码，（南域的这个生成器生成的代码是加过密的，所以一般人很难看出来），复制所有代码，然后将代码插入到任意一个正常的网页中，就哦了~~注意：在正常的网页中，插入代码位置一般位于“”标记中间

还有个方法是利用群论坛可以加FLASH的设置来挂马，在以前的群论坛里只要发个图就可以挂马，可现在新版的QQ不支持了~哎郁闷~~不过FLASH还是可以的~

动手前，下载一个FLASH到本地，打开SWF插马工具，在插入代码中插入上面木马的那个地址，www.123.com/123.exe，之后生成新的FLASH，这样只要对方打开FLASH，自动访问木马并在后台下载运行木马，

QQ挂马全功略

，

到此之后的工作就简单多了，到群内论坛发表一篇帖子，然后插入已经绑好马的FLASH就大功告成了~~当别人看文章的时候，自动播放的FLASH就会让我们肉鸡多多了~

⑷补充几点，为加强稳定性，应该尽量做好隐蔽工作，不能做的太明显，个人建议，最好是群的管理员，一是别人信任度高，2是可以随意在qq.com/“ target=_blank>group.qq.com内对群进行设置，呵呵，这可是挂网页马最好的地方~~~还有，加FLASH的时候，最好发的文章和FLASH是配套的，这样就很少有人怀疑了~~呵呵~~

2 QQ 空间挂马

⑴18号TX发了通知，宣称一些人利用QQ空间挂马，盗取他人QQ号码，为防止恶意传播，暂停自定义代码一个月，哎，其实说实话，用空间挂马的人少的可怜，我不知道为什么，应该是个不错的选择，可是很少人用，我在这做下介绍，希望一个月恢复空间自定义代码的时候还可用~

当然，如果不可用了，就当做下研究~~~

空间挂马和群挂马基本一样，也有两种选择，一是网页，二是FLASH，以前的方法是利用代码，CTRL+J 打开自定义，去掉两个HTTP：//，之后在评论内加代码。空间3.0由于不支持拖拽模块到屏幕中心外面，只能换个方法：把新模块弄小点，然后放在一个原有的大模块之上，比如日记，然后点自定义，模块管理，取消日记在把日记点出，这样新的模块就被“压”在了日记下面，达到了效果~~~

代码如下：

网页：

FLASH：';”>

⑵对于以上的方法，这一个月可能用不了，不过下面的方法绝对可用~

新版的3.0空间现在虽然加不了代码，可仍然可以新建模块，并支持FLASH直接上传，呵呵，说到这，您应该知道我接下来要做什么了吧？？哈~~

最后补充下，为了隐蔽性更好，可以将空间内的新模块隐藏，这样就神不知鬼不觉了~~~

还有现在有很多网站开始做空间互访的那个服务~~~呵呵~

如果你将你挂了马的空间申请了互访~~一天至少200的流量~~~~

呵呵想想就诱人啊~~~

其实以上所写的关于QQ群和空间的挂马方法很简单，只要你肯动手，我保证你肉鸡不断，还不敢快动手尝试下？？~~~