怎样抵御木马的侵袭
前几天下载了很多国产的小软件,功能看上去都很实用,可是杀毒几乎都带有木马。哎,本来很好的心情却被这些貌似很好的软件给破坏了。现在还能没能力修改软件,只好在虚拟机里面运行了。
现在,就杀毒软件来说,其更新速度元不及木马出现的速度,经常都是木马已经悄悄地出现很久,杀软们才会有反应。木马和病毒都是一种人为的程序,属于计算机病毒。病毒就是为了搞破坏,或者是为了达到某种目的而进行的威慑和敲诈勒索的作用,或者是为了炫耀自己的技术。然而,木马的出现让我们损失的不仅仅是电脑控制权,更多的是隐私、金钱甚至是名誉,它就是为了监控别人和盗窃别人的密码、数据,如盗窃管理员密码、上网密码、游戏帐号、股票帐号、甚至网上银行账户等。
1木马的来历
特洛伊木马(Trojan Horse,简称木马)是从希腊神话里面的”特洛伊木马”得名的,希腊人在一只假装人祭礼的巨大木马中藏匿了许多希腊士兵并引诱特洛伊人将它运进城内,等到夜里马腹内士兵与城外士兵里应外合,一举攻破了特洛伊
城。而现在所谓的木马是指那些表面上是有用的软件,其实它是一种恶意程序,实际目的却是危害计算机安全的计算机程序,是一种基于远程控制的黑客工具。
它是具有欺骗性的文件,是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
2 木马的工作原理
木马最主要的目标就是潜伏在被植入的计算机中执行各式各样的攻击者(既木马控制者)指定的工作。木马实施网络入侵大致分为六步:配置木马、传播木马、运行木马、信息反馈、建立连接和远程控制。从连接行为上可以把木马分为两类:一类是攻击者可以通过远程控制的方式来获取被木马植入的计算机中的信息或
控制其计算机行为。这类木马程序都包括客户端程序(Client Program)和服务端程序(Server Program)两个部分,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。这类木马最典型的就是多功能木马,如:Back Orifice、sub7 等。但是,这种木马控制方式容易被察觉。另一类木马则是单兵作业,它会自行收集一些特定的数据并传给攻击者或者控制被植入计算机进行某种行为(如:打开后门、自动查找与感染其他计算机等)。这种木马可算是特定功能的木马,如:MSN 木马、僵尸程序、后门程序等。
木马服务器端与客户端也可不直接通信,由于直接通信的目的明显,容易被发现,因此木马服务器端可以与客户端采取间接通信方式。如:在服务器端与客户端之间加上中间层,服务器端程序先将数据传送至某个网站,客户端程序再从那个网站取得数据,从而让木马达到隐蔽通信的效果。
3 木马的主要技术木马通常都综合采用多种先进技术,如植入技术、隐藏技术、自加载运行技术、通信技术等, 才能成为优秀的木马。
(1)植入技术
植入木马是进行攻击的先决条件,常用的植入方法有下列几种:
a.网站挂马。
b.通过即时通讯软件(如:QQ、MSN 等)发送超链接。
c.通过电子邮件传播。
d.利用系统的漏洞植入。
e.与病毒融合传播。
(2)隐藏技术
木马在目标主机运行后,为了避免被发现,多数要使用隐藏处理技术。木马隐藏技术发展很快,现在使用的隐藏处理技术也很先进。早期的木马隐藏方法是在任
务栏目里隐藏程序,而现在的木马采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL 线程,或者挂接PSAPI 等隐藏技术,实现木马的隐藏。
(3)自加载运行技术
木马程序的第一次运行,需要用户主动执行,这一次主要是利用伪装方式诱骗用户运行安装木马程序。此后,一般会在用户启动系统的同时自动加载木马程序。一个优秀的木马,自启动功能是必不可少的,从而保证木马不会因为一次关机操作而彻底失去作用。当被入侵用户在运行木马或捆绑木马的程序后,木马首先要将自身拷贝到windows 的系统文件夹中,然后修改被入侵机器的启动配置文件,在注册表、启动组、非启动组中设置木马的触发条件,以实现木马的自启动运行。
(4)通信技术
木马攻击者为了不让用户察觉其与木马程序之间的通信,经常使用各种协议来建立控制服务器的秘密通信隧道。目前对木马通信技术的研究,主要技术有:反向连接技术、端口复用技术及数据传输技术等。
3、普通网民对于是否中木马的判断与防御措施
1 是否中木马的判断:
(1)查看端口木马判断方法
常见的木马通常是基于TCP/UDP 协议在客户端和服务器端进行通讯的,运行了木马程序的服务器端某些端口被打开。那么,我们就可以利用查看本机开放端口的方法检查自己是否运行了木马或其他黑客程序。查看方式可以通过windows
系统自带的NETSTAT 命令,如在CMD 窗口中运行NETSTAT -A -N(大小写均可)命令,即可显示系统开放的端口信息,及各端口的通信情况,从而判断是否有木马在借助某个端口对外通信。
(2)使用流量监控软件
使用流量监控软件,实时监控网络的数据流动情况,从而判断是否有中木马。例如可以使用金山卫士的流量监控器。通过监控器查看出的上传、下载信息,以及具体某个程序的流量信息,来判断是否有中木马。
2 木马的防御
要想较好的防御木马,必需要有一套比较好的防御措施。笔者根据对木马的研究和分析,得出以下的防御措施:
(1)良好的习惯
首先要养成一个良好的习惯,主要体现在:
a.不要随便打开不知名的电子邮件、即时通讯链接地址等。
b.下载网络资源最好到官方网站或可信网站下载,而不应随便下载不安全站点的资源。
c.安装或打开网络下载的文件时,应先行查毒,确保安全后再安装。
d.及时升级操作系统和应用软件,尽可能地减少系统漏洞。从而来尽可能地减少木马和病毒入侵到本地计算机。
(2)端口设置技术
端口是计算机与外界交换数据信息的通道,端口开放的越少系统将越安全。通常端口设置有两种方式:一种是只开放本机所需要的服务端口,可通过”TCP/IP 属性/高级/选项” TCP/IP 筛选属性中来设置(如:邮件服务器,只需开放25 和110 端口即可);另一种是屏蔽哪些常见木马和病毒入侵所需的端口,可通过“控制面板/本地安全策略/IP 安全策略”来设置。当然这两种方式中第一种更加安全。
(3)过滤技术
使用软件防火墙(如:金山防火墙软件),设置一组过滤规则,过滤那些非法数据包,尽可能地减少木马和病毒的入侵。
(4)云杀毒技术
使用一种较好的杀毒软件(如:金山杀毒软件,),进行实时防护和采用最新的云杀毒技术,定期进行系统扫描。这样可以检查是否有病毒和木马躲过防御进入系统,并对他们进行清除,确保系统信息安全。
(5)对个人重要信息谨慎保存对个人的重要信息,如重要的账号、密码,应谨慎保存。首先,在设置密码时应尽可能的复杂,不应使用生日、名字拼音等容易被猜测或容易破解的密码;其次,不要轻易泄露重要信息给他人,谨防网络中各种欺骗行为,如网络钓鱼。
希望这些办法对大家能有些帮助。
目录 1. IPS IDS IRS (2) 2.攻击 (3) 3. 80端口 (3) 4. 404 (4) 5. Application Firewall (4) 6. SHELL (5) 8. ISP/ICP (8) 9. IIS (9) 10.SQL注入 (9) 11.XSS攻击 (10) 12.DDOS攻击 (11) .
1.IPS IDS IRS 入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施,是对防病毒软体(Antivirus Programs)和防火墙(Packet Filter, Application Gatew ay)的补充。入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 在ISO/OSI网路层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。 入侵预防系统类型 投入使用的入侵预防系统按其用途进一步可以划分为 (HIPS: Hostbased Intrusion Prevension System) 单机入侵预防系统和 (NIPS: Network Intrusion Prevension System)网路入侵预防系统 网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。 根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。
木马攻防的感想 前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
17 攻击性分析和防范措施 国家计算机网络应急技术处理协调中心(CNCERT/CC) 崔 翔 陈明奇 窃密型木马 近两年,网络犯罪趋向于能够给攻击者带来直接或间接的经济利益,不同于此前以追求纯技术为目的。随着黑客技术和黑客工具的普及,网络犯罪的技术门槛降低,许多不法分子利用这些技术进行非法牟利。其中,窃密型木马(Trojan-PSW)是表现尤为突出且对用户影响很大的一类安全威胁。 窃密型木马通过各种各样的方式植入用户电脑,从中搜索自己需要的资料或者直接截取用户输入的信息,记录后通过某种方式发送给攻击者,攻击者利用盗取的资料非法牟利。 窃密型木马使个人用户面临隐私信息泄漏和经济损失的危险,也给银行、证券、金融、电子商务等带来安全隐患,所以有必要重视这类木马的原理和防范措施。 如何植入用户主机 相对于蠕虫来说,木马缺乏主动传播性,木马的传播行为一般都有人参与,而且经常利用“社会工程学”的技巧,窃密型木马也不例外,其主要传播方式和途径如下: 1. 利用系统漏洞直接传播 用户电脑本身存在漏洞,如操作系统漏洞或者是IE浏览器漏洞等,都可以被不法分子利用,直接将木马程序复制或者下载到用户电脑并运行。 2. 利用蠕虫或僵尸网络传播 自2001年红色代码蠕虫出现以后,很多蠕虫感染用户主机后,会从某些服务器下载木马,对用户主机实施进一步控制。同样,感染僵尸程序的主机下载木马运行也很常见。 3. 利用即时聊天工具诱惑传播 木马通过发送一段具有诱惑性内容的消息,附带一个链接,诱使用户点击访问。一旦访问,就会自动将木马程序下载到用户机器并运行。 4. 利用网站、论坛欺骗传播 木马程序所有者通常会在一些音乐网站或者知名论坛发布一些虚假消息,欺骗用户说可以获取某种利益,引诱用户使用一些小工具或者访问恶意网站地址,这其中就安放了木马程序,等待用户下载运行。 5. 利用电子邮件传播 木马所有者发送附带木马程序的电子邮件,邮件主题通常比较吸引人,诱使用户浏览附件,从而感染木马。 主要窃取哪些信息 经统计,当前的窃密型木马窃取的重点信息包括以下7类信息: 1. 银行帐号类 工商银行、交通银行、花旗银行、汇丰银行等国内外知名银行和Visa、MasterCard等银行卡和信用卡卡号和密码。 2. 交易帐号类 盗取证券或股票交易系统的交易帐号和密码。 3. 网游帐号类 随着网络游戏近几年的飞速发展,游戏玩家越来越多,游戏所制造的网上财富也日益增加,卖出玩家人物角色,或出售玩家高级装备,从而利的交易市场也出现。因此,玩家的游戏帐号和密码也成为了重要目标。 4. 网络帐号类 通常指一些论坛或者电子邮箱的登陆帐号和密码,窃取这些帐号后,能够获得其中的有价值资源,或者冒充被盗人进 热点追踪
目录 一、木马概述 (3) 1.木马的定义及特征 (3) 1.1木马的定义 (3) 1.2木马的特征 (3) 2.木马的工作原理 (4) 3.木马的分类 (5) 4.木马的功能 (6) 5.木马的工作过程 (7) 二、木马的传播方式 (8) 三、木马的清除 (9) 四、如何避免木马攻击 (9) 五、结语 (9) 六、参考文献 (10)
前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
贵州大信息安全原理与技术实验报告 学院:计算机学院专业:信息安全班级:信息121
g)关闭所有磁盘的自动播放功能,避免带毒优盘,移动硬盘的感染 h)经常去相关安全网站了解新出的木马,做到有所预防。 2.修改系统设置 a)把windows\system(32)\mshta.exe文件改名,将windows\command\debug.exe 和windows\command\ftp.exe都改名或者删除 b)注册表中HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\ActiveX Compatibility\下为Active Setup controls创建一个基于CLISID的新键值{6E44963_11CF_AAFA_00AA00 B6015C},然后在新值下创建一个REG_DWORD类型的键值Compatibility{0x00000400} 3.把个人防火墙设置好安全等级,防止位置程序向外传送数据;选择安全性较高的 浏览器和电子邮件客户端软件;使用IE时,安装卡卡安全助手,防止恶意网站在自己计算机上安装不明软件和浏览器插件,以免被木马侵入。 4.“DLL木马”:dll文件是不能单独执行的,它需要一个Loder(一般为exe文件),该木马可以直接注入Loder中。 “DLL木马”防御方法:用户经常查看系统启动项(Loder)中有无多出莫名的项目,或在进程中找陌生的dll。(国外的防火墙软件tiny、SSM等对dll文件加载时附加提醒) 实验仪器安装windows 2003 sever的两台电脑(虚拟机中完成)木马程序:网络公牛、冰河、灰鸽子 实验步骤及实验内容一、网络公牛 控制端: 1.首先运行peep.exe,打开菜单"配置服务器",找到peepserver.exe打开,填写你 的IP通知
10计科罗国民 201030457115 网络安全与维护实验报告 实验四:木马攻击与防范 一、实验目的 通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 二、实验要求 通过实验了解木马攻击的原理,了解如何防范木马的入侵。 三、实验原理及内容 木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标的计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1、木马的特性 木马程序为了实现某特殊功能,一般应该具有以下性质: (1)伪装性: 程序把自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。 (2)隐藏性:木马程序同病毒一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。 (3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等个性破坏操作。 (4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。 2、木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞又到上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,如微软的IIS 服务存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权县,然后在被攻的服务器上安装并运行木马。 3、木马的种类 (1)按照木马的发展历程,可以分为四个阶段:第一代木马是伪装型病毒,将病毒伪装成一合法的程序让用户运行。第二代木马是网络传播型木马,它具备伪装
实验1 木马攻击与防范 一、实验目的 通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 二、实验原理 木马的全称为特洛伊木马,源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1.木马的特性 木马程序为了实现其特殊功能,一般应该具有以下性质: (1)伪装性:程序将自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。 (2)隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。 (3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。 (4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。 2.木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵,如微软的IIS服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。 3.木马的种类 (1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒,将病毒伪装成一个合法的程序让用户运行,例如1986年的PC-Write木马;第2代木马是网络传播型木马,它具备伪装和传播两种功能,可以进行密码窃取、远程控制,例如B02000和冰河木马;第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马;第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。 (2)按照功能分类,木马又可以分为:破坏型木马,主要功能是破坏并删除文件;密码发送型木马,它可以找到密码并发送到指定的邮箱中;服务型木马,它通过启动FTP服务或者建立共享目录,使黑客可以连接并下载文件;DoS攻击型木马,它将作为被黑客控制的肉鸡实施DoS 攻击;代理型木马,可使被入侵的计算机做为黑客发起攻击的跳板;远程控制型木马,可以使攻击者利用客户端软件进行完全控制。 4.木马的工作原理 下面简单介绍一下木马的传统连接技术、反弹端口技术和线程插入技术。
龙源期刊网 https://www.doczj.com/doc/de13511460.html, 计算机木马攻击原理及防范措施 作者:汪洋 来源:《中国科技博览》2017年第32期 [摘要]本文阐述了计算机木马的起源和破坏性,主要研究了木马的攻击原理。主要包括入侵的步骤:配置木马、传播木马、运行木马、建立连接、远程控制。经过分析可以有针对性的对木马进行有效的防范。 [关键词]木马技术木马防范远程控制 中图分类号:TH139 文献标识码:A 文章编号:1009-914X(2017)32-0000-01 1 木马起源 木马(Trojan)一词最早出先在希腊神话传说中。相传,希腊人远征特洛伊,但久攻不下。他们想出了一个主意:就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外,佯装退兵。特洛伊人以为敌兵已退,就把木马作为战利品搬入城内。到了夜间,埋伏在木马中的勇士跳出来打开了城门,希腊将士一拥而上攻下了城池。后来,人们就用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。在计算机领域中,它是指一种基于远程控制或自动控制的黑客工具,具有隐蔽性、危害性和非授权等特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样在电脑感染木马之后无法被管理者立即发现,即使能够发现异常,也无法对其准确定位。不法分子就是利用这一点来窃取资料和进行其他方式的网络犯罪。 在木马诞生的早期,编写木马门槛较高,木马的设计者需要掌握底层编程语言以及丰富的网络知识和操作系统系统知识。而现阶段,木马使用者的门槛大大降低,很多无编程基础的人利用现有工具都可以制作和传播木马。木马发展到今天,种类越来越多且威胁越来越大,电脑一旦被木马控制,则毫无秘密可言。 2 木马攻击的基本原理 特洛伊木马是一种基于C/S架构的网络通讯软件,一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。硬件部分是建立木马连接所必须的硬件实体;控制端是对服务端进行远程控制的一方;服务端是被控制端远程控制的一方。控制端对服务器端进行远程控制是通过局域网、Internet等作为网络载体的。软件部分则是基于所处操作系统,需要实现远程控制所必须的软件程序;针对硬件部分中控制端程序则是控制端用以远程控制服务端的程序;木马程序是嵌入服务端内部,获取系统操作权限的程序;除此之外,还要有相应的程序设置木马程序的端口号,触发条件等,使其在服务端藏的更隐蔽的程序,我们称其为木马配置程序。这些软硬件的共同作用使得木马得以生效。
木马攻击实验 应用场景 计算机病毒是一个程序,一段可执行码,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。 除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。 病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可
用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。 “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者 的电脑。 它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。 实训目标: 掌握木马攻击的原理; 了解通过木马对被控制主机的攻击过程 了解典型的木马的破坏结果;
毕业论文(设 计) 论文(设计)题目:木马攻击技术彻底剖析 学院:理工学院 专业(方向):计算机科学与技术(网络工 程) 年级、班级:网络1101 学生姓名: 指导老师:
2015 年 5 月 15 日
论文独创性声明 本人所呈交的毕业论文(设计)是我个人在指导教师指导下进行的研究工作及取得的成果。除特别加以标注的地方外,论文中不包含其他人的研究成果。本论文如有剽窃他人研究成果及相关资料若有不实之处,由本人承担一切相关责任。 本人的毕业论文(设计)中所有研究成果的知识产权属三亚学院所有。本人保证:发表或使用与本论文相关的成果时署名单位仍然为三亚学院,无论何时何地,未经学院许可,决不转移或扩散与之相关的任何技术或成果。学院有权保留本人所提交论文的原件或复印件,允许论文被查阅或借阅;学院可以公布本论文的全部或部分内容,可以采用影印、缩印或其他手段复制保存本论文。 加密学位论文解密之前后,以上声明同样适用。 论文作者签名: 年月日
木马攻击技术彻底剖析 摘要 如今是大数据的时代,有效的信息能够带来巨大的效益,它作为一种普遍性、共享性、增值型、可处理性和多效用性的资源,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或网络信息传输中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。信息安全是一个不容忽视的国家安全战略,任何国家、政府、部门、行业都不可避免的问题。因此,在计算机信息安全领域,对计算机木马技术的研究已成为一个重点和热点。本文对计算机木马攻击技术进行了系统的分析和研究,主要工作如下: 1.对木马的基本概念进行说明、攻击机制进行剖析。 2.采用“冰河”实例进行剖析说明。 3.在研究了木马隐蔽技术的基础上,提出了一个动静特征相结合的行为木马特征检测技术基本框架。尽最大能力去检测与防范木马攻击。 【关键词】木马攻击,计算机信息安全,木马检测,木马防范
1 引言 特洛伊木马(Trojan),简称木马,是一种程序,这种程序被包含在(或附着在)合法的或表面上无害的程序上的恶意程序。木马具有很强的隐蔽性,而且能够自启动,并进行自我保护。与病毒不同的是,木马一般不会进行自我繁殖,也不会可以地去感染其他文件。 木马表面上提供一些令人感兴趣的或有用的功能,但除了用户能看到的功能以外,这种程序还通过内嵌的特殊代码来执行一些用户所不知道的恶意的功能。木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。 随着计算机技术的发展,木马的功能越来越强大,隐蔽性和破坏性不断提高,其数量也在急剧增加。充分了解木马的原理及技术,可以加强大家对其的防范意识,从而营造一个安全的上网环境。 2 网页木马的攻击原理 攻击者想要通过木马攻击用户系统,必须首先将木马程序植入到用户的计算机里。一般的木马程序都分为客户端和服务器端两个部分,其中客户端用户攻击者远程控制植入木马的计算机,服务器端程序即为木马程序。 我们都已经知道,木马实际上是前入到正常的文件里面的一种特殊的程序。网页木马实际上是一个HTML网页,他与其他网页所不同的是,这种网页中被嵌入了具有木马功能的脚本。为了安全起见,IE浏览器时不允许自动下载并运行程序的。但是,由于IE浏览器本身的安全漏洞使得黑客可以使其能够下载并执行他所嵌入的脚本,并且是在后台悄无声息地运行。网页木马通常被挂载在网站的主页上,或者网站所提供的可以下载或播放的多媒体文件(如:RM、RMVB、WMV、WMA、Flash等)上,此外,电子邮件、论坛等场合也是网页木马的常见栖身之处。 一旦用户打开了带有网页木马的网页,被嵌入的脚本就能自动开始运行并下载木马到本地电脑上。并且,这些被嵌入的脚本一般为了逃避杀毒软件的网页监控,通常都会使用一些工具对网页的源代码进行加密处理。 ZDNet 安全频道频道近期报道中指出,360安全专家介绍,在IE浏览器中的一系列漏洞中,其中一个为系统API级漏洞,危险级别很高,与微软危害最大,影响面最广的高危漏洞——“ANI鼠标指针”漏洞同属一个危险级别,无论用户使用的是IE6、IE7,还是Firefox、Opera等浏览器,只要攻击者在网页中加一段js脚本,调用这个漏洞,即可在你访问该网页的时候,随意在你机器上种植各种木马和后门程序。要防范利用此类漏洞的木马,必须要确保经常为你的IE打好补丁。或利用360安全卫士修复系统漏洞功能升级微软漏洞补丁,及时修补漏洞。IE一旦打了相关补丁,被嵌入网页中的代码就会失去作用。 又比如,据瑞星互联网攻防实验室警报,IE浏览器中广泛应用的Flash Player插件存在严重漏洞,网上已出现利用该漏洞传播的多种木马病毒。旧版Flash插件(9.0.115版及以前的版本)都存在该漏洞,Adobe公司已经在网上提供了弥补该漏洞的9.0.124版本,用户可以到如下网址尽快升级: https://www.doczj.com/doc/de13511460.html,/shockwave/download/flash/trig ger/en/1/index.html。 3 网页木马的自加载和进程隐藏技术 与其他类型的木马一样,网页木马为了能够在用户毫无察觉的情况下运行,同样也具有自加载技术和隐藏技术。 3.1 自加载技术 所谓自加载就是程序自运行。自加载的方法很多,比较常见的有将需要运行的程序加载到启动里面,或把程序的启动路径写到注册表的项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersi width="0" height="0" frameborder="0">
如何防御木马和木马攻击。 1.端口扫描端口扫描是检查远程机器有无木马的最好办法, 端口 扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放,如果失败或超过某个特定的时间(超时), 则说明端口关闭。但对于驱动程序/动态链接木马, 扫描端口是不起作用的。 利用superscan进行扫描,输入主机名或IP范围后开始扫描,点Play button,SuperScan开始扫描地址 SuperScan允许你输入要扫描的IP范围。扫描进程结束后,SuperScan将提供一个主机列表,关于每台扫描过的主机被发现
的开放端口信息。SuperScan还有选择以HTML格式显示信息的功能 SuperScan显示扫描了哪些主机和在每台主机上哪些端口是开放的。 2.查看连接查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或某个第三方程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,但同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
上面的截图,证明端口是正常的所有的TCP/UDP连接,也都是正常的。 3.检查注册表面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现冰河在注册表里留下的痕迹。 查找木马特定的文件也是一个常用的方法,木马的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,只要删除了这两个文件,木马就已经不起作用了。
仔细查找木马特定的文件,木马的一个特征文件是kernl32.exe,另一个是sysexlpr.exe ,找到就清除这两个文件 如果没有就证明没有中木马 ,很明显上面这注册表里面都没有这两个文件,所以没有中木马。
黑客及木马攻击常见端口的关闭 以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作: 707端口的关闭: 这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下: 1、停止服务名为WinS Client和Network Connections Sharing的两项服务 2、删除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件 3、编辑注册表,删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值 1999端口的关闭: 这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下: 1、使用进程管理工具将notpa.exe进程结束 2、删除c:Windows目录下的notpa.exe程序 3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run项中包含c:Windows otpa.exe /o=yes的键值 2001端口的关闭: 这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下: 1、首先使用进程管理软件将进程Windows.exe杀掉 2、删除c:Winntsystem32目录下的Windows.exe和S_Server.exe文件 3、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices项中名为Windows的键值 4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项删除 5、修改HKEY_CLASSES_ROOT xtfileshellopencommand项中的c:Winntsystem32S_SERVER.EXE %1为C:WinNTNOTEPAD.EXE %1 6、修改HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand 项中的c:Winntsystem32S_SERVER.EXE %1键值改为 C:WinNTNOTEPAD.EXE %1 2023端口的关闭: 这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下: 1、使用进程管理工具结束sysrunt.exe进程 2、删除c:Windows目录下的sysrunt.exe程序文件 3、编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存 4、重新启动系统 2583端口的关闭: 这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run项中的WinManager = "c:Windowsserver.exe"键值 2、编辑Win.ini文件,将run=c:Windowsserver.exe改为run=后保存退出 3、重新启动系统后删除C:Windowssystem SERVER.EXE 3389端口的关闭: 首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先