实验1 木马攻击与防范
一、实验目的
通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理
木马的全称为特洛伊木马,源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性
木马程序为了实现其特殊功能,一般应该具有以下性质:
(1)伪装性:程序将自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2)隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。
(4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2.木马的入侵途径
木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,如微软的IIS服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。
3.木马的种类
(1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒,将病毒伪装成一个合法的程序让用户运行,例如1986年的PC-Write木马;第2代木马是网络传播型木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制,例如B02000和冰河木马;第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。
(2)按照功能分类,木马又可以分为:破坏型木马,主要功能是破坏并删除文件;密码发送型木马,它可以找到密码并发送到指定的邮箱中;服务型木马,它通过启动FTP服务或者建立共享目录,使黑客可以连接并下载文件;DoS攻击型木马,它将作为被黑客控制的肉鸡实施DoS 攻击;代理型木马,可使被入侵的计算机做为黑客发起攻击的跳板;远程控制型木马,可以使攻击者利用客户端软件进行完全控制。
4.木马的工作原理
下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。
(1)木马的传统连接技术一般木马都采用C/S运行模式,因此它分为两部分,即客户端和服务器端木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出连接请求,服务器端的木马程序就会自动运行,来应答客户端的请求,从而建立连接。C/S木马原理如图1-1所示。
第1代和第2代木马都采用的是C/S(客户机,服务器)连接方式,这都属于客户端主动连接方式。服务器端的远程主机开放监听端目等待外部的连接,当入侵者需要与远程主机连接时,便主动发出连接请求,从而建立连接。
(2)木马的反弹端口技术随着防火墙技术的发展,它可以有效拦截采用传统连接方式从外部主动发起连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接,第3代和第4代“反弹式”木马就是利用这个缺点,其服务器端程序主动发起对外连接请求,再通过某些方式连接到木马的客户端,就是说“反弹式”木马是服务器端主动发起连接请求,而客户端是被动的连接。根据客户端IP地址是静态的还是动态的,反弹端口连接可以有两种方式,如图1-2和图1-3所示。
图1-1 C/S木马原理
图1-2反弹端口连接方式一
图1-3反弹端口连接方式二
反弹端口连接方式一要求入侵者在设置服务器端的时候,指明客户端的IP地址和待连接端口,也就是远程被入侵的主机预先知道客户端的IP地址和连接端口。所以这种方式只适用于客户端IP地址是静态的情况。
反弹端口连接方式二在连接建立过程中,入侵者利用了一个“代理服务器”保存客户端的IP地址和待连接的端口,在客户端的IP地址是动态的情况下,只要入侵者更新“代理服务器”中存放的IP地址与端口号,远程被入侵主机就可通过先连接到“代理服务器”,查询最新木马客户端信息,再和入侵者(客户端)进行连接。因此,这种连接方式适用于客户端和服务器端都是动态IP地址的情况,并且还以穿透更加严密的防火墙。
表1-1总结了反弹端口连接方式一和反弹端口连接方式二的使用范围。
表1-1 反弹端口连接方式及其使用范围
反弹端口连接方式使用范围
方式一1.客户端和服务器端都是独立IP;
2.客户端独立IP,服务器端在局域网内;
3.客户端和服务器都在局域网内
方式二1.客户端和服务器端都是独立IP
2.客户端独立IP,服务器端在局域网内
(3)线程插入技术我们知道,一个应用程序在运行之后,都会在系统之中产生一个进程,同时,每个进程分别对应了一个不同的进程标识符(Process ID,PID)。系统会分配一个虚拟的内存空间地址段给这个进程,一切相关的程序操作,都会在这个虚拟的空间中进行。一个进程可以对应一个或多个线程,线程之间可以同步执行。一般情况下,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。“线程插入”技术就是利用了线程之间运行的相对独立性,使木马完全地融进了系统的内核。这种技术把木马程序作为一个线程,把自身插入其它应用程序的地址空间。而这个被插入的应用程序对于系统来说,是一个正常的程序,这样,就达到了彻底隐藏的效果。系统运行时会有许多的进程,而每个进程又有许多的线程,这就导致了查杀利用“线程插入”技术木马程序的难度。
综上所述,由于采用技术的差异,造成木马的攻击性和隐蔽性有所不同。第2代木马,如“冰河”,因为采用的是主动连接方式,在系统进程中非常容易被发现,所以从攻击性和隐蔽性来说都不是很强。第3代木马,如“灰鸽子”,则采用了反弹端口连接方式,这对于绕过防火墙是非常有效的。第4代木马,如“广外男生”,在采用反弹端口连接技术的同时,还采用了
“线程插入”技术,这样木马的攻击性和隐蔽性就大大增强了,可以说第4代木马代表了当今木马的发展趋势。
三、实验环境
两台运行Windows 2000/XP 的计算机,通过网络连接。使用“冰河”和“广外男生”木马作为练习工具。
四、实验内容和任务
任务一 “冰河”木马的使用
1.“冰河”介绍
“冰河”是国内一款非常有名的木马,功能非常强大。“冰河”一般是由两个文件组成:G_Client 和G_Server ,其中G_Server 是木马的服务器端,就是用来植入目标主机的程序,G_Client 是木马的客户端,就是木马的控制端,我们打开控制端G_Client ,弹出“冰河”的主界面,如图1-4所示。
图1-4“冰河”主界面
快捷工具栏简介(从左至右):
(1)添加主机:将被监控端IP 地址添加至主机列表,同时设置好访问口令及端口,设置将保存在Operate.ini 文件中,以后不必重输。如果需要修改设置,可以重新添加该主机,或在主界面工具栏内重新输入访问口令及端口并保存设置。
(2)删除主机:将被监控端IP 地址从主机列表中删除(相关设置也将同时被清除)。
(3)自动搜索:搜索指定子网内安装有冰河的计算机。 (4)查看屏幕:查看被监控端屏幕。
(5)屏幕控制:远程模拟鼠标及键盘输入。
(6)“冰河”信使:点对点聊天室。
(7)升级1.2版本:通过“冰河”来升级远程1.2版本的服务器程序。
(8)修改远程配置:在线修改访问口令、监听端口等服务器程序设置,不需要重新上传整个文件,修改后立即生效。
(9)配置本地服务器程序:在安装前对G_Server.exe 进行配置(例如是否将动态IP 发送到指定信箱、改变监听端口、设置访问口令等)。
2.使用“冰河”对远程计算机进行控制
我们在一台目标主机上植入木马,在此主机上运行G_Server ,作为服务器端;在另一台主
添加的
远程主
机列表 若出现盘符,则表示连接成功
机上运行G_Client,作为控制端。
打开控制端程序,单击快捷工具栏中的“添加主机”按钮,弹出如图1-5所示对对话框。
图1-5添加计算机
“显示名称”:填入显示在主界面的名称。
“主机地址”:填入服务器端主机的IP地址。
“访问口令”:填入每次访问主机的密码,“空”即可。
“监听端口”:“冰河”默认的监听端口是7626,控制端可以修改它以绕过防火墙。
单击“确定”按钮,即可以看到主机面上添加了test的主机,如图1-6所示。
图1-6添加test主机
这时单击test主机名,如果连接成功,则会显示服务器端主机上的盘符。图1-6显示了test 主机内的盘符,表示连接成功。
这时我们就可以像操作自己的电脑一样操作远程目标电脑,比如打开C:\WINNT\system32\config目录可以找到对方主机上保存用户口令的SAM文件。
“冰河”的大部分功能都是在这里实现的,单击“命令控制台”的标签,弹出命令控制台界面,如图1-7所示。
图1-7命令控制台界面
可以看到,命令控制台分为“口令类命令”、“控制类命令”、“网络类命令”、“文件类命令”、“注册表读写”、“设置类命令”。
3.删除“冰河”木马
删除“冰河”木马主要有以下几种方法:
(1)客户端的自动卸载功能在“控制类命令”中的“系统控制”里面就有自动卸载功能,执行这个功能,远程主机上的木马就自动卸载了。
(2)手动卸载这是我们主要介绍的方法,因为在实际情况中木马客户端不可能为木马服务器端自动卸载木马,我们在发现计算机有异常情况时(如经常自动重启、密码信息泄漏、桌面不正常时)就应该怀疑是否已经中了木马,这时我们应该查看注册表,在“开始”的“运行”里面输入regedit,打开Windows注册表编辑器。依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\M icrosoft\Windows\CurrentVersion\Run。
在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这就是“冰河”木马在注册表中加入的键值,将它删除。
然后再依次打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices,如图1-13所示。
在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe,这也是“冰河”木马在注册表中加入的键值,将它删除。上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自动启动的程序,一般病毒程序、木马程序、后门程序等都放在这些子键目录下,所以要经常检查这些子键目录下的程序,如果有不明程序,要着重进行分析。
然后再进入C:\WINNT\System32目录,找到“冰河”木马的两个可执行文件Kernel32.exe 和Sysexplr.exe文件,将它们删除。
修改文件关联也是木马常用的手段,“冰河”木马将txt文件的缺省打开万式由notepad.exe改为木马的启动程序,除此之外,html、exe、zip、com等也都是木马的目标。所以,在最后需要恢复注册表中的txt文件关联功能,只要将注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的C:\Windows\System\Sysexplr.exe%1改为正常情况下的C:\Windows\notepad.exe%1即可。
再重新启动计算机即可,这样我们就把“冰河”木马彻底删除了。
(3)杀毒软件查杀大部分杀毒软件都有查杀木马的功能,可以通过这个功能对主机进行全面扫描来去除木马。
任务二“广外男生”木马的使用
“广外男生”是广外程序员网络小组精心制作的远程控制以及网络监控工具。它采用了“端口反弹”和“线程插入”技术,可以有效逃避防火墙对木马程序的拦截。
1.“广外男生”的客户端和服务器端的配置及连接
(1)打开“广外男生”的主程序,主界面如图1-10所示。
图1-10“广外男生”主界面
(2)进行客户端设置。依次单击“设置” “客户端设置”,弹出客户端设置界面,如图1-11所示。在窗口中我们可以看到它采用“反弹端口+线程插入技术的提示。
图1-11客户端设置
在“客户端最大连接数”中填入允许多少台客户端主机来控制服务器端,注意不要填入太大的数字,否则容易造成服务器端主机死机。在“客户端使用端口”填入服务器端连接到客户端的那个端口,这是迷惑远程服务器端主机管理员和防火墙的关键,填入一些常用的端口,会使远程主机管理员和防火墙误以为连接的是个合法的程序。比如使用端口80,就会使管理员以为自己连接在远程的Web服务器上。选择“只允许以上地址连接”选项,使客户端主机IP地址处于默认的合法控制IP地址池中。
(3)单击“下一步”按钮,设置木马的连接类型,弹出如图1-12所示的对话框。
图1-12 设置连接类型
如果使用反弹端口方式二,则选择“使用HTTP网页IP通知”,如果使用反弹端口方式一,则选择“客户端处于静态IP(固定IP地址)”,在此选择第2项。
单击“下一步”按钮,显示出完成设置的对话框,单击“完成”按钮就结束了客户端的设置。
(4)进行服务器端设置。依次单击“设置” “生成服务器端”,这时,会弹出“广外男生”服务器端生成向导,直接单击“下一步”按钮,弹出常规设置界面,如图1-13所示。
图1-13 常规设置选项
在“EXE文件名”和“DLL文件名”中填入加载到远程主机系统目录下的可执行文件和动态连接库文件,在“注册表项目”中填入加载到远程主机注册表中的Run目录下的键值名。这些文件名都是相当重要的,因为这是迷惑远程主机管理员的关键所在,如果文件名起的非常有隐蔽性,如sysremote.exe,sysremote.dll,那么就算管理员发现了这些文件,也不知道这些文件就是木马文件而轻易删除它们。
注意:把“服务器端运行时显示运行标识并允许对方退出”前面的对勾去掉,否则服务器端主机的管理员就可以轻易发现自己被控制了。
(5)单击“下一步”按钮,弹出网络设置对话框,如图1-14所示。
图1-14网络设置
由于我们选择的是反弹端口连接方式一,所以选择“静态IP”选项,在“客户端IP地址”中填入入侵者的静态IP地址,“客户端用端口”填入在客户端设置中选择的连接端口。
(6)再单击“下一步”按钮,弹出生成文件的界面,如图1-15所示。
图1-15生成文件位置选择
在“目标文件”中填入所生成服务器端程序的存放位置,如D:\hacktest.exe这个文件就是需要植入远程主机的木马文件。单击“完成”按钮即可完成服务器端程序的设置,这时就生成了一个文件名为hacktest.exe的可执行文件。
(7)在目标主机上执行木马程序hacktest.exe,当然在实际情况中,在远程主机中植入木马程序是很复杂的事情,这涉及到社会工程学、文件伪装等技术。由于采用了反弹端口技术,在服务器端主机上执行木马程序后,需要在客户端主机上等待服务器端主机主动连接过来,过了一段时间后,客户端主机“广外男生”显示界面如1-16所示,表示连接成功。
图1-16 连接成功界面
这时,就可以和使用了第二代木马“冰河”一样控制远程主机,主要的控制选项有“文件共享”、“远程注册表”、“进程与服务”、“远程桌面”等。
2.“广外男生”的检测
(1)由于使用了“线程插入”技术,所以在Windows系统中采用任务管理器查看线程是发现不了木马的踪迹的,只能看到一些正常的线程在运行,所以我们要使用两个强大的工具fport 和tlist。fport是第三方提供的一个工具,可以查看某个具体的端口被哪个进程所占用,并能查看PID。tlist是Windows资源工具箱中提供的工具,功能非常强,我们利用它查看进程中有哪些动态链接库正在运行,这对于检测插入在某个正常的进程中的线程是非常有用的。
(2)在服务器端主机上依次单击“开始” “运行”,输入cmd,进入命令行提示符,在这里输入netstat -an,查看网络端口占用状态,如图1-17所示。
在显示的结果,反亮的部分我们发现了一个可疑的IP地址(就是客户端的IP地址)与本机建立了连接,这是需要我们注意的地方,记住本机用于连接的端口号1404,1405,1406,1407。
图1-17查看网络状态
(3)接着在提示符下输入fport(注意,要在有fport.exe的目录中运行fport),显示结果如图1-18所示。
图1-18查看进程占用端口情况
在显示结果中,找到端口号1404,1405,1406,1407,发现木马插入的进程是Explorer.EXE,记住此进程的PID号848。
(4)在提示符下输入tlist 848,查看在Explorer.EXE中运行的动态链接库,显示结果如图1-19所示。
在众多的动态链接库文件中,我们发现木马的dll文件gwboydll.dll,在实际情况中,这个文件名是可以改变的,所以一定要仔细检查,看是否有可疑文件,查看时可以找一台正常的主机进行对比。
图1-19查看动态链接库
(5)在命令行提示符下输入tlist -m gwboydll.dll查看木马是否还插入其它的进程,显示结果如图1-20所示。
图1-20查看插入的进程
在显示结果中,我们发现木马插入了两个进程,Explorer.EXE、ctfmon.exe,这是木马的高级之处,如果一个进程被杀,另一个进程还会运行并且立即再在其它进程中插入木马文件。
3.手动删除“广外男生”木马
“广外男生”木马除了可以采用防病毒软件查杀之外,还可以通过手动方法删除,具体手动删除步骤如下:
(1)依次单击“开始” “运行”,输入regedit进入注册表,依次展开到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在里面找到木马自启动文件进行删除,如图1-21所示。
图1-21删除注册表中木马文件
图1-22删除注册表中木马文件
在实际情况中,这个文件名是可以改变的,应该在Run目录下仔细检查是否有可疑文件,对可疑文件进行删除,注意删除之前先做好注册表的备份。
(2)进入C:\WlNNT\System32,按文件大小进行排列,搜索木马文件,将文件删除。
(3)在注册表中,依次单击“编辑” “查找”,查找文件名为gwboydll.dll的文件,找到后将相关的注册表项全部删除。
(4)重新启动主机,按F8进入带命令行提示的安全模式,再进入C:\WINNT\System32中,输入del gwboydll.dll删除木马的动态链接库文件,这就彻底把木马文件清除了。
任务三木马的防范
木马的危害性是显而易见的,通过以上实验知道了木马的攻击原理和隐身方法,我们就可以采取措施进行防御了,主要方法有以下几种:
(1)提高防范意识,不要打开陌生人传过来的可疑邮件和附件,即使是熟人传过来的,也要确认来信的源地址是否合法。
(2)如果网速变的很慢,这是因为入侵者使用的木马抢占带宽。这时可以双击任务栏右下角的连接图标,仔细观察一下“已发送字节“项,如果数字比较大的话,比如lkb/s~3kb/s,几乎可以确认有人在下载你的硬盘文件,除非你正在使用FTP等协议进行文件传输。
(3)查看本机的连接,在本机上通过netstat -an(或第三方程序)查看所有的TCP/UDP连接,当有某些IP地址的连接使用不常见的端口(一般大于1024)与主机通信时,这一连接就需要进一步进行分析。
(4)木马可以通过注册表启动,所以可以通过检查注册表来发现木马在注册表里留下的痕迹。
(5)使用杀毒软件和防火墙。许多杀毒软件有清除木马的工程,可以不定期在脱机的情况下进行检查和清除。另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在攻击者远程执行用户主机上的文件时,提供报警或让执行失败,使攻击者向用户主机上传可执行文件后无法正确执行,从而避免了进一步的损失。防火墙则可以运行IP规则编辑器关闭某些端口的通信,只要利用防火墙关闭木马常用的一些端口,就可以阻止一些木马的入侵。当然,木马也可以随时改变利用的端口。
五、实验要求
(1)利用“冰河”的命令控制台:“口令类命令”、“控制类命令”、“网络类命令”、“文件类命令”、“注册表读写”、“设置类命令”进行远程控制。记录下主要功能。
(2)记录删除“冰河”木马过程中遇到的问题及其解决办法。
(3)记录利用“广外男生”进行远程控制的主要功能
(4)学习并记录如何使用fport、tlist等工具(在命令行提示符下输入参数/?即可查看详细的使用帮助)检查木马的进程、网络连接和动态链接库。
(5)试分析“冰河”、“广外男生”二者的异同。
(6)安装或启动一款杀毒软件,对中了木马的主机进行全面扫描,查看在哪些目录下存在木马文件,木马文件都是什么,加深对木马文件驻留主机位置和原理的认识。
补充:实验报告内容:
一、实验目的
二、实验原理(适当简写)
三、实验环境
四、实验步骤和结果
木马分析与防范 【摘要】本文针对计算机木马攻击这一主题,介绍了计算机木马的产生、含义、发展历程及传播传播途径。文中提出的使用代理隐藏计算机IP地址的方法在实际使用过程中能有效的防止计算机木马程序的攻击,相对于手工查杀和使用软件工具查杀木马更具有主动防范的特点,并且从效果上来看基本上杜绝了计算机木马的攻击和其它的一些黑客攻击,达到了预期的目的。 【关键词】木马;攻击;防范 计算机应用以及计算机网络己经成为现实社会中不可缺少的重要组成部分,在遍及全世界的信息化浪潮的作用下,计算机网络除了影响人们正常生活的名个方面,还对公司管理、发展经济和国家机密起着十分重要的作用。使用计算机木马技术进行非法入侵、控制和破坏计算机网络信息系统,获取非法系统信息,并利用获取的这些信息进行非法行为,是目前公认的计算机网络信息安全问题。 1.木马 1.1木马的产生 最早的计算机木马是从Unix平台上诞生出来的,然后随着Windows操作系统的广泛使用,计算机木马在Windows操作系统上被广泛使用的。最早的Unix 木马是运行在服务器后台的一个小程序,木马程序伪装成登录过程,与现在流行的计算机木马程序是不同的。 当一台计算机被植入了木马程序后,如果计算机用户从终端上用自己的帐号来登录服务器时,计算机木马将向用户显示一个与正常登录界面一样的登录窗口,让用户输入正确的账号。在得到正确的用户名和口令之后,计算机木马程序会把账号保存起来,然后在第二次显示出真的登录界面,计算机用户看到登录界面又出现了,以为之前输入密码时密码输错了,于是计算机用户再次输入相关帐号进入计算机系统,但此时计算机用户的账号已被偷取,计算机用户却不知道。 1.2木马的定义 在计算机网络安全领域内,具有以下特征的程序被称作计算机木马:(1)将具有非法功能的程序包含在合法程序中的:具有非法功能的程序执行不为用户所知功能。(2)表面看上去好象是运行计算机用户期望的功能,但实际上却执行具有非法功能的程序。(3)能运行的具有非法操作的恶意程序。 1.3木马的发展历程 从计算机木马的出现一直到现在,计算机木马的技术在不断发展,木马的发展已经历了五代:
实验四木马的攻击与防范 1.实验目的 通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 2.实验原理 “木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。 1>.入侵原理 一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)
和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。 特洛伊木马程序不能自动操作,一个特洛伊木马程序是包含或者安装一个存心不良的程序的,它可能看起来是有用或者有趣的计划(或者至少无害)对一不怀疑的用户来说,但是实际上有害当它被运行。特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。 3.实验环境 两台运行windows2000/XP的计算机,通过网络连接,使用“冰河”木马作为练习工具。 4.实验内容和任务 任务一“冰河”木马的使用
实验指导5 木马攻击与防范实验 1.实验目的 理解和掌握木马传播和运行的机制,掌握检查和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 2.预备知识 2.1木马及木马技术的介绍 (1)木马概念介绍 很多人把木马看得很神秘,其实,木马就是在用户不知道的情况下被植入用户计算机,用来获取用户计算机上敏感信息(如用户口令,个人隐私等)或使攻击者可以远程控制用户主机的一个客户服务程序。这种客户/服务模式的原理是一台主机提供服务(服务器),另一台主机使用服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应守护进程就会自动运行,来应答客户机的请求。通常来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供预定的服务。 (2)木马的反弹端口技术 由于防火墙对于进入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80 ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。 (3)线程插入技术 木马程序的攻击性有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。这样木马的攻击性和隐藏性就大大增强了。 2.2木马攻击原理 特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。
山东华宇工学院 《网络攻击与防御》 课程教学大纲 适用专业:计算机网络工程 编制单位:网络教研室 编制日期:2017年7月20日 电子信息工程学院制
《网络攻击与防御》课程教学大纲 一、教学目标 《网络攻击与防御》通过本课程的教学,使学生能熟练掌握信息安全的基本概念、框架和技术,使学生掌握常见的信息安全技术、加密技术、防火墙技术、入侵检测与预警技术、防病毒技术、拒绝服务攻击、欺骗攻击、常见的系统漏洞等安全方面的内容。通过学习,学生能够主动构建信息安全框架,并从内容安全和管理安全的角度掌握信息安全的方法和技术。通过该课程的学习,学生可以了解到信息安全的发展现状和网络安全的各种相关技术,通过实验还可以学会有关网络安全方面的分析与设计。 二、本课程与专业人才培养目标的关系——网络工程专业 三、学时安排
课程内容与学时分配表 四、课程教学内容与基本要求 第一章信息安全概述 教学目的与要求:通过本章的学习,了解信息的概念,性质与功能会计的产生、信息技术与信息安全的关系、息安全主要事件及形势的严峻性、信息安全的含义。 主要知识点: 1.信息与信息技术概述 2.网络体系结构与协议基础 3.信息安全的重要性与严峻性 4.信息安全的目标 教学重点与难点:信息与信息技术概述、信息安全的目标 第二章攻击信息安全的行为分析 教学目的与要求:通过本章的学习,了解信息安全问题的起源及常见威胁、了解影响信息安全的人员分析、理解网络攻击的手段与步骤、熟悉常见的网络攻击技术、熟悉网络
防御与信息安全保障的相关知识。 主要知识点: 1.信息安全问题的起源和常见威胁 2.影响信息安全的人员分析 3.网络攻击的手段与步骤 4.网络攻击技术 5.网络防御与信息安全保障 教学重点与难点:网络攻击的手段与步骤、网络攻击技术 第三章信息安全体系结构 教学目的与要求:熟悉开放系统互连安全体系结构,了解安全体系框架三维图、了解信息安全技术的相关知识、了解信息安全的等级划分及认证方法。 主要知识点: 1.开放系统互连安全体系结构 2.信息安全体系框架 3.信息安全技术 4.信息安全的产品类型 5.信息系统安全等级保护与分级认证 教学重点与难点:信息安全体系框架、信息系统安全等级保护与分级认证 第四章物理安全技术 教学目的与要求:了解物理安全的定义,掌握计算机房场地环境的安全要求,掌握电源安全技术的实现方法,掌握电磁防护的常用方法,理解通信线路安全的概念和保护方法。 主要知识点: 1.物理安全概述 2.物理安全等级要求 3.设备安全技术要求 4.环境安全技术要求 5.系统物理安全技术要求 教学重点与难点:物理安全等级要求 第五章灾难备份与恢复技术 教学目的与要求:掌握灾难恢复的关键技术,熟悉灾难恢复的规划与实施,了解灾难备
西安翻译学院XI’AN FANYI UNIVERSITY 毕业论文 题目: 网络木马病毒的行为分析专业: 计算机网络技术 班级: 姓名: 彭蕊蕊 指导教师: 朱滨忠 5月 目录学号: 院系: 诒华
1 论文研究的背景及意义........................... 错误!未定义书签。 2 木马病毒的概况................................. 错误!未定义书签。 2.1 木马病毒的定义............................ 错误!未定义书签。 2.2 木马病毒的概述............................ 错误!未定义书签。 2.3 木马病毒的结构............................ 错误!未定义书签。 2.4 木马病毒的基本特征........................ 错误!未定义书签。 2.5木马病毒的分类............................. 错误!未定义书签。 2.6木马病毒的危害............................. 错误!未定义书签。 3 木马程序病毒的工作机制......................... 错误!未定义书签。 3.1 木马程序的工作原理........................ 错误!未定义书签。 3.2 木马程序的工作方式........................ 错误!未定义书签。 4 木马病毒的传播技术............................. 错误!未定义书签。 4.1 木马病的毒植入传播技术.................... 错误!未定义书签。 4.2 木马病毒的加载技术........................ 错误!未定义书签。 4.3 木马病毒的隐藏技术........................ 错误!未定义书签。 5 木马病毒的防范技术............................. 错误!未定义书签。 5.1防范木马攻击............................... 错误!未定义书签。 5.2 木马病毒的信息获取技术.................... 错误!未定义书签。 5.3 木马病毒的查杀............................ 错误!未定义书签。 5.4 反木马软件................................ 错误!未定义书签。 6 总结........................................... 错误!未定义书签。
17 攻击性分析和防范措施 国家计算机网络应急技术处理协调中心(CNCERT/CC) 崔 翔 陈明奇 窃密型木马 近两年,网络犯罪趋向于能够给攻击者带来直接或间接的经济利益,不同于此前以追求纯技术为目的。随着黑客技术和黑客工具的普及,网络犯罪的技术门槛降低,许多不法分子利用这些技术进行非法牟利。其中,窃密型木马(Trojan-PSW)是表现尤为突出且对用户影响很大的一类安全威胁。 窃密型木马通过各种各样的方式植入用户电脑,从中搜索自己需要的资料或者直接截取用户输入的信息,记录后通过某种方式发送给攻击者,攻击者利用盗取的资料非法牟利。 窃密型木马使个人用户面临隐私信息泄漏和经济损失的危险,也给银行、证券、金融、电子商务等带来安全隐患,所以有必要重视这类木马的原理和防范措施。 如何植入用户主机 相对于蠕虫来说,木马缺乏主动传播性,木马的传播行为一般都有人参与,而且经常利用“社会工程学”的技巧,窃密型木马也不例外,其主要传播方式和途径如下: 1. 利用系统漏洞直接传播 用户电脑本身存在漏洞,如操作系统漏洞或者是IE浏览器漏洞等,都可以被不法分子利用,直接将木马程序复制或者下载到用户电脑并运行。 2. 利用蠕虫或僵尸网络传播 自2001年红色代码蠕虫出现以后,很多蠕虫感染用户主机后,会从某些服务器下载木马,对用户主机实施进一步控制。同样,感染僵尸程序的主机下载木马运行也很常见。 3. 利用即时聊天工具诱惑传播 木马通过发送一段具有诱惑性内容的消息,附带一个链接,诱使用户点击访问。一旦访问,就会自动将木马程序下载到用户机器并运行。 4. 利用网站、论坛欺骗传播 木马程序所有者通常会在一些音乐网站或者知名论坛发布一些虚假消息,欺骗用户说可以获取某种利益,引诱用户使用一些小工具或者访问恶意网站地址,这其中就安放了木马程序,等待用户下载运行。 5. 利用电子邮件传播 木马所有者发送附带木马程序的电子邮件,邮件主题通常比较吸引人,诱使用户浏览附件,从而感染木马。 主要窃取哪些信息 经统计,当前的窃密型木马窃取的重点信息包括以下7类信息: 1. 银行帐号类 工商银行、交通银行、花旗银行、汇丰银行等国内外知名银行和Visa、MasterCard等银行卡和信用卡卡号和密码。 2. 交易帐号类 盗取证券或股票交易系统的交易帐号和密码。 3. 网游帐号类 随着网络游戏近几年的飞速发展,游戏玩家越来越多,游戏所制造的网上财富也日益增加,卖出玩家人物角色,或出售玩家高级装备,从而利的交易市场也出现。因此,玩家的游戏帐号和密码也成为了重要目标。 4. 网络帐号类 通常指一些论坛或者电子邮箱的登陆帐号和密码,窃取这些帐号后,能够获得其中的有价值资源,或者冒充被盗人进 热点追踪
电子取证:木马后门的追踪分析 SRAT木马分析 仅以此教程,送给那些整天服务器上到处挂马的朋友。。 每当我们拿下一个服务器的时候,要怎样保持对该服务器的长久霸占呢?很多朋友首先会想到的肯定是远控木马,无论是批量抓鸡,还是其他什么方式,你植入在该计算机中的木马,都会暴漏你的行踪。信息取证的方式有很多,首先我说下最简单的两种方式:(此文章网上早就有了,只不过是自己实践以后,贴出来警醒某些人的。。) 一、网关嗅探,定位攻击者踪迹 网关嗅探定位,是利用攻击者要进行远程控制,必须与被控端建立连接的原理,木马会反弹连接到攻击者的IP地址上,说简单些,就是攻击者当前的上网IP地址上。 例如我们在主控端先配置一个远控马,IP地址我填写的是自己的动态域名: 动态域名:
我的公网IP: 主控机的IP地址为:192.168.1.29 被控主机的IP地址为:192.168.1.251(虚拟机) 在被控主机上,我们可以利用一款小工具《哑巴嗅探器》来进行分析,该工具体积小,比较稳定,中文界面,具体用法我就不介绍了。打开哑巴分析器,对被控主机进行数据分析: 通过上图,我们可以清楚的看到,源IP地址110.119.181.X,正在访问192.168.1.251的被控主机,并且在访问对方的8800端口,而110.119.181.X的主机为主控机,当你的木马与肉鸡相连的时候,可以直接暴漏攻击者当前的上网地址,锁定地理位置,进行定位追踪。 二、分析木马服务端程序进行取证: 无论是什么远控马,其程序代码中都会携带控制端的IP地址、域名或FTP地址信息,以便于主控端进行反弹连接。大部分的木马程序所包含的反弹信息都是未加密的,通过对后门木马进行源代码数据分析,
10计科罗国民 201030457115 网络安全与维护实验报告 实验四:木马攻击与防范 一、实验目的 通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 二、实验要求 通过实验了解木马攻击的原理,了解如何防范木马的入侵。 三、实验原理及内容 木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标的计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1、木马的特性 木马程序为了实现某特殊功能,一般应该具有以下性质: (1)伪装性: 程序把自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。 (2)隐藏性:木马程序同病毒一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。 (3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等个性破坏操作。 (4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。 2、木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞又到上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,如微软的IIS 服务存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权县,然后在被攻的服务器上安装并运行木马。 3、木马的种类 (1)按照木马的发展历程,可以分为四个阶段:第一代木马是伪装型病毒,将病毒伪装成一合法的程序让用户运行。第二代木马是网络传播型木马,它具备伪装
特洛伊木马工作原理分析及清除方法 1 什么是特洛伊木马 特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。 2 木马的工作原理 完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet);软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。 2.1 获取并传播木马 木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病毒传播。200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13 312@MM)。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件,并将自己作为邮件的附件,使用不同的名称继续传播。 2.2 运行木马 服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活时,它就进入内存,并开启事先定义的木马端口,准备与控制端建立连接。 2.2 建立连接,进行控制 建立一个木马连接必须满足2个条件:(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。 3 用VB6.0编写的木马程序 下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。 (1)用VB建立2个程序:客户端程序Client和服务器端程序Server。 (2)在Client工程中建立一个窗体,加载WinSock控件,称为Win_Client,协议选择TCP。
Computer Science and Application 计算机科学与应用, 2015, 5(12), 429-435 Published Online December 2015 in Hans. https://www.doczj.com/doc/8915552593.html,/journal/csa https://www.doczj.com/doc/8915552593.html,/10.12677/csa.2015.512054 Study of Trojans Detection and Prevention Technology Shaohua Wu, Yong Hu College of Electronics and Information Engineering, Sichuan University, Chengdu Sichuan Received: Dec. 5th, 2015; accepted: Dec. 25th, 2015; published: Dec. 28th, 2015 Copyright ? 2015 by authors and Hans Publishers Inc. This work is licensed under the Creative Commons Attribution International License (CC BY). https://www.doczj.com/doc/8915552593.html,/licenses/by/4.0/ Abstract Based on reverse analysis of many current popular Windows’ Trojans behavior, the new technolo-gies used by Trojans were summarized, including program hidden, process hidden, communica-tion pattern and means to avoid killing. Combined with the current mainstream security software to detect the Trojan, some new technologies and opinions against the Trojan threat were present. Keywords Trojan, Masquerading Technology, Process Hidden, Communication Protocol, Avoid Killing, Trojan Detection 木马检测与防护技术的发展 吴少华,胡勇 四川大学电子信息学院,四川成都 收稿日期:2015年12月5日;录用日期:2015年12月25日;发布日期:2015年12月28日 摘要 通过对大量当前流行的windows木马程序进行逆向,分析木马在伪装技术、程序隐藏方式、进程隐藏方
第2章网络攻击与防范 练习题 1. 单项选择题 (1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。 A.机密性B.完整性 C.可用性D.可控性 (2)有意避开系统访问控制机制,对网络设备及资源进行非正常使用属于( B )。 A.破环数据完整性B.非授权访问 C.信息泄漏D.拒绝服务攻击(3)( A )利用以太网的特点,将设备网卡设置为“混杂模式”,从而能够接受到整个以太网内的网络数据信息。 A.嗅探程序B.木马程序 C.拒绝服务攻击D.缓冲区溢出攻击(4)字典攻击被用于( D )。 A.用户欺骗B.远程登录 C.网络嗅探D.破解密码 (5)ARP属于( A )协议。 A.网络层B.数据链路层 C.传输层D.以上都不是 (6)使用FTP协议进行文件下载时( A )。 A.包括用户名和口令在内,所有传输的数据都不会被自动加密 B.包括用户名和口令在内,所有传输的数据都会被自动加密 C.用户名和口令是加密传输的,而其它数据则以文明方式传输 D.用户名和口令是不加密传输的,其它数据则以加密传输的 (7)在下面4种病毒中,( C )可以远程控制网络中的计算机。 A.worm.Sasser.f B.Win32.CIH C.Trojan.qq3344 D.Macro.Melissa
2. 填空题 (1)在以太网中,所有的通信都是____广播____________的。 (2)网卡一般有4种接收模式:单播、_____组播___________、_______广播_________、______混杂__________。 (3)Sniffer的中文意思是_____嗅探器___________。 (4)____DDoS____________攻击是指故意攻击网络协议实现的缺陷,或直接通过野蛮手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃, (5)完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。中了木马就是指安装了木马的_______服务器端_________程序。 3. 综合应用题 木马发作时,计算机网络连接正常却无法打开网页。由于ARP木马发出大量欺骗数据包,导致网络用户上网不稳定,甚至网络短时瘫痪。根据要求,回答问题1至问题4,并把答案填入下表对应的位置。 【问题1】 ARP木马利用(1)协议设计之初没有任何验证功能这一漏洞而实施破坏。 (1)A.ICMP B.RARP C.ARP D.以上都是 【问题2】 在以太网中,源主机以(2)方式向网络发送含有目的主机IP地址的ARP请求包;目的主机或另一个代表该主机的系统,以(3)方式返回一个含有目的主机IP地址及其MAC 地址对的应答包。源主机将这个地址对缓存起来,以节约不必要的ARP通信开销。ARP协议(4)必须在接收到ARP请求后才可以发送应答包。 备选答案: (2)A.单播B.多播C.广播D.任意播 (3)A.单播B.多播C.广播D.任意
实验1 木马攻击与防范 一、实验目的 通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 二、实验原理 木马的全称为特洛伊木马,源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1.木马的特性 木马程序为了实现其特殊功能,一般应该具有以下性质: (1)伪装性:程序将自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。 (2)隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。 (3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。 (4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。 2.木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,如微软的IIS服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。 3.木马的种类 (1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒,将病毒伪装成一个合法的程序让用户运行,例如1986年的PC-Write木马;第2代木马是网络传播型木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制,例如B02000和冰河木马;第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。 (2)按照功能分类,木马又可以分为:破坏型木马,主要功能是破坏并删除文件;密码发送型木马,它可以找到密码并发送到指定的邮箱中;服务型木马,它通过启动FTP服务或者建立共享目录,使黑客可以连接并下载文件;DoS攻击型木马,它将作为被黑客控制的肉鸡实施DoS 攻击;代理型木马,可使被入侵的计算机做为黑客发起攻击的跳板;远程控制型木马,可以使
目录 一、木马概述 (3) 1.木马的定义及特征 (3) 1.1木马的定义 (3) 1.2木马的特征 (3) 2.木马的工作原理 (4) 3.木马的分类 (5) 4.木马的功能 (6) 5.木马的工作过程 (7) 二、木马的传播方式 (8) 三、木马的清除 (9) 四、如何避免木马攻击 (9) 五、结语 (9) 六、参考文献 (10)
前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
最近又有一种新的国产木马出现了,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。 由于“广外女生”这个木马的驻留、启动的方法比较具有典型性,下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。 一、所需工具 1.RegSnap v 2.80 监视注册表以及系统文件变化的最好工具 2.fport v1.33 查看程序所打开的端口的工具 3.FileInfo v2.45a 查看文件类型的工具 4.ProcDump v1.6.2 脱壳工具 5.IDA v4.0.4 反汇编工具 二、分析步骤 一切工具准备就绪了,我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。 首先打开RegSnap,从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录,一会儿如果木马修改了其中某项,我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。 然后我们就在我们的电脑上运行“广外女生”的服务器端,不要害怕,因为我们已经做了比较详细的备份了,它做的手脚我们都可以照原样改回来的。双击gdufs.exe,然后等一小会儿。如果你正在运行着“天网防火墙”或“金山毒霸”的话,应该发现这两个程序自动退出了,很奇怪吗?且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap,从file菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。 从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮,这样RegSnap就开始比较两次记录又什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。 看一下Regsnp1-Regsnp2.htm,注意其中的: Summary info: Deleted keys: 0 Modified keys: 15
西安翻译学院 XI’AN FANYI UNIVERSITY 毕业论文 题 目: 网络木马病毒的行为分析 专 业: 计算机网络技术 班 级: 103120601 姓 名: 彭蕊蕊 指 导 教 师: 朱滨忠 2013年5月 学号:10312060108 院系: 诒华学院 成绩:
目录 1 论文研究的背景及意义...................................................................................... - 3 - 2 木马病毒的概况 .................................................................................................. - 4 - 2.1 木马病毒的定义......................................................................................... - 4 - 2.2 木马病毒的概述......................................................................................... - 4 - 2.3 木马病毒的结构......................................................................................... - 4 - 2.4 木马病毒的基本特征................................................................................. - 5 - 2.5木马病毒的分类.......................................................................................... - 5 - 2.6木马病毒的危害.......................................................................................... - 6 - 3 木马程序病毒的工作机制.................................................................................. - 6 - 3.1 木马程序的工作原理................................................................................. - 6 - 3.2 木马程序的工作方式................................................................................. - 7 - 4 木马病毒的传播技术.......................................................................................... - 7 - 4.1 木马病的毒植入传播技术......................................................................... - 8 - 4.2 木马病毒的加载技术................................................................................. - 9 - 4.3 木马病毒的隐藏技术................................................................................ - 11 - 5 木马病毒的防范技术......................................................................................... - 11 - 5.1防范木马攻击............................................................................................. - 11 - 5.2 木马病毒的信息获取技术...................................................................... - 12 - 5.3 木马病毒的查杀...................................................................................... - 12 - 5.4 反木马软件............................................................................................... - 12 - 6 总结 .................................................................................................................... - 13 -
android手机木马的提取与分析 Android手机木马病毒的提取与分析为有效侦破使用 手机木马进行诈骗、盗窃等违法犯罪的案件,对手机木马病毒的特点、植入方式、运行状态进行了研究,利用dex2jar、jdgui等工具软件查看apk文件源代码。结合实例,讲述了 如何提取关键代码与配置数据,并对手机木马病毒的危险函数、启动方式、权限列表进行分析,证明了该方法的可行性,提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。智能手机给用户带来便利的同时,手机恶意软件也在各种各样的违法活动中充当了重要角色,其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现, 这种恶意短信中附的网址,其实就是诱导下载一个手机软件,安装后手机内并不会显示出该应用,但其中的木马病毒已植入,后台会记录下机主的一切操作,可以随时监控到手机记录。若机主登录网银、支付宝、微信红包等,银行卡账号、密码就都被泄露了,黑客能轻易转走资金。此类案件近期呈现高发的趋势。面对各种各样善于伪装隐藏的手机木马病毒,如何提取分析,并固定证据成为一项重要工作。本文从
Android手机木马病毒的特点入手,讲述了如何提取分析关键代码与配置数据,从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。诈骗、盗窃的目标不变,那就是诱导点击安装短信的链接网址中的木马。木马植入到目标系统,需要一段时间来获取信息,必须隐藏自己的行踪,以确保木马的整体隐藏能力,以便实现长期的目的。主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。然后实现了Android系统下木马攻击的各种功能,主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。1、木马病毒的植入、提取 1.1植入(1)很多用户不希望支付软件费用,含有木马的手机应用的第三方网站通过提供破解版、修改版来诱骗下载。(2)通过发送短信或彩信到用户手机,诱骗手机用户点击短信中URL 或者打开彩信附件,从而达到了植入木马的目的。带网址链接的短信诈骗是目前十分流行的诈骗方式,短信内容不断变化,但对于手机系统来讲,为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。通过对Android运行任务进行检查可以发现是否有可疑程序在运行。 1.2提取提取的方式,一是根据URL链接地址,从互联网上进行提取;二是根据手机存储的位置,找到安装文件进行提取,比较常见的提取位置有:一般存放在根目录下、DownLoad文