木馬的偽裝是多種多樣的，圖片和視頻往往是木馬寄生的地方。下面我們就先來(lái)看看這方面幾個(gè)比較典型的木馬。最后再簡(jiǎn)單介紹一下網(wǎng)馬掛站的方式。

實(shí)驗(yàn)程序：ANI網(wǎng)馬生成器

木馬下載地址：http://218.86.126.77/Cpcfan/2007/3/lxl.rar

補(bǔ)丁發(fā)布時(shí)間：2007年4月

補(bǔ)丁下載地址：http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx?pf=true

Windows在處理畸形的動(dòng)畫圖標(biāo)文件(.ani)時(shí)存在緩沖區(qū)溢出漏洞，遠(yuǎn)程攻擊者可能利用此漏洞控制用戶機(jī)器。從Windows2000 SP4到Vista都存在這漏洞，目前該漏洞正在被名為TROJ_ANICMOO.AX的木馬積極地利用。隨著生成工具的日益完善，ANI網(wǎng)馬非常有可能成為今年的熱門網(wǎng)馬。該木馬的生成步驟如下：

1)下載一個(gè)Ani網(wǎng)頁(yè)木馬生成器。

2)運(yùn)行“Ani木馬生成器”，輸入“網(wǎng)頁(yè)木馬遠(yuǎn)程存放地址”中填入的將要存放的網(wǎng)頁(yè)服務(wù)器地址，如：http://218.86.126.77/cpcfan/2007/3。

3)輸入木馬程序存放的地址，如：httP://218.86.126.77/cpcfan/2007/3/mm/exe。

4)Ani木馬生成器通常生成三個(gè)文件：index.htm，z1.jPg，z2.jpg。

5)把這三個(gè)文件傳到http://218.86.126.77/cpcfan/2007/3目錄下，在虛擬機(jī)上訪問(wèn)http://218.86.126.77/cpcfan/2007/3/index.htm，你的計(jì)算機(jī)就會(huì)自動(dòng)下載mm.exe并運(yùn)行。

實(shí)驗(yàn)程序：Real木馬制作工具

2005年3月，RealPIayer暴出安全漏洞，它是一個(gè)基于緩沖區(qū)溢出的漏洞，肇事者是多媒體綜合語(yǔ)言(smil)文件形式語(yǔ)法分析程序，漏洞允許攻擊者在一臺(tái)機(jī)器上運(yùn)行任意的代碼。受影響的播放器主要是RealPlayer及Realone的各種版本。目前的Real木馬制作工具就是惡意的smil文件生成器，網(wǎng)上有現(xiàn)成的代碼。用戶在看電影時(shí)利用播放器本身漏洞直接中馬，漏洞利用和IE無(wú)關(guān)，而且打RealPlayer補(bǔ)丁的人少之又少，成功率還是很高的。只要裝有RealPlayer或暴風(fēng)影音支持smil格式等播放器的用戶都會(huì)中招。具體的操作步驟如下：

1)在虛擬機(jī)上運(yùn)行real.exe生成1個(gè)1.smil文件，注意如果你對(duì)網(wǎng)絡(luò)上下載的real.exe程序有疑慮，可以安裝VC6，使用現(xiàn)成的溢出代碼自己編譯。

2)運(yùn)行RealPlayer打開這個(gè)1.smil

3)進(jìn)入dos命令符下，運(yùn)行netstat-an，可以看到計(jì)算機(jī)打開了13579端口。

4)在主機(jī)上運(yùn)行telnet 192.168.1.2 13579，可以看到主機(jī)得到了虛擬機(jī)的cmdshell的權(quán)限。

現(xiàn)在就是利用此漏洞來(lái)制做成網(wǎng)頁(yè)木馬，讓用戶打開網(wǎng)頁(yè)后就會(huì)打開本機(jī)的13579端口。也就是在網(wǎng)頁(yè)中調(diào)用生成的smil文件。什么是smil文件呢?它就是RealPlayer連續(xù)播放影音文件的一種調(diào)用方法。舉個(gè)簡(jiǎn)單的例子，如果想連續(xù)播放兩首MP3，網(wǎng)頁(yè)代碼如下：

對(duì)于網(wǎng)頁(yè)木馬的預(yù)防，沒(méi)有永久有效的措施，只有時(shí)時(shí)刻刻保持警惕，不要隨便訪問(wèn)任何未經(jīng)過(guò)確認(rèn)的圖片、文檔、多媒體文件，即使是QQ好友發(fā)過(guò)來(lái)的也要多驗(yàn)證，最重要的是要及時(shí)給系統(tǒng)打上安全補(bǔ)丁，及時(shí)把你的殺毒軟件升級(jí)到最新的版本。

通過(guò)前面的實(shí)驗(yàn)，多數(shù)人已經(jīng)可以自己制作出一個(gè)網(wǎng)頁(yè)木馬并掌握一些加密的技巧，那么黑客是怎樣把網(wǎng)頁(yè)掛在正規(guī)的網(wǎng)站呢?通常黑客會(huì)利用服務(wù)器的漏洞入侵服務(wù)器，然后把自己做的網(wǎng)頁(yè)木馬傳到服務(wù)器上，通過(guò)修改網(wǎng)站的首頁(yè)或某個(gè)重要頁(yè)面，把木馬悄悄的隱藏在頁(yè)面的某個(gè)角落里，下面列舉其中幾個(gè)途徑。

作為網(wǎng)站的管理者，要時(shí)刻注意網(wǎng)站重要頁(yè)面的檢查，特別是首頁(yè)連接的檢查，經(jīng)常搜索頁(yè)面中是否出現(xiàn)frame這類關(guān)鍵字。

攻防挑戰(zhàn)題目：

下載服務(wù)器上的一個(gè)偽木馬程序，利用這個(gè)程序成功制作一個(gè)MS06-014網(wǎng)頁(yè)，要求有一定的免殺功能!