木马的工作原理
木马在实质上只是—个网络客户端,服务器程序。
是一种基于远程
控制的黑客工具,木马一般有两部分组成:服务器端,客户端。
在Windows系统中,木马一般是—个网络服务程序,服务器端运行于感
染的机器上监听它的一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。
当该木马相应的客户端程序在此端
口上请求连接时,木马的客户端和服务器端就建立—个TCP连接.这
样客户端就可以控触感染木马的机器,以达到攻击的目的。
1.1利用木马对目标进行攻击。
1.1.1传播木马。
木马的传播方式主要有两种:一种是通过E—MAIL黑客把木马程序以
附件的形式用邮件中发送出去,收信人只要打开附件,系统就会感
染木马:另—种是软件下载,—些非正规的网站以提供软件下载为
名义,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。
现在有专门的捆绑软件,可以把不同功能的软
件捆绑在—起。
1.1.2木马的隐藏方式。
鉴于木马的危害性'很多人对木马知识还是有—定了解的'这对木马
的传播起了一定的抑制作用。
为了使木马不被发现,木马配置程序
会采用诸如修改图标,捆绑文件,定制端口,自我销毁等伪装手段,黑客开发了多种功能来伪装木马。
以达到降低用户警觉欺骗用户的
目的,下面介绍一下常见的几种伪装手段。
a修改图标。
服务器的图标必须能够迷惑目标电脑的主人。
如果木马的图标看上
去象是系统文件,电脑的主人就不会轻易地删除他。
另外在E—mail
的附件中,木马设计者们将木马服务端程序的图标改成HTML,TXT、ZIP等各种文件的图标,这样就有相当大的迷惑性现在这种木马很常见。
b.捆绑文件。
为了启动木马,最容易下手的地方是三个,注册表、win.ini、system.ini,电脑启动的时候,需要装载这三个文件。
还有替换windows启动程序装载的,例如schoolbus 1.60版本。
以上木马的
启动方式都属于非捆绑方式,大部分木马是使用这几种方式启动的。
但是非捆绑方法会在注册表等位置留下痕迹,很容易发现。
如果把
木马捆绑到一般的程序上,启动是不确定的,但是要靠电脑主人启
动被捆绑的程序,木马才会运行。
c出错显示。
有一定木马知识的人
都知道,如果打开—个文件,没有任何反应这很可能就是个木马程序,木马的设计者也意谚固了这个缺陷所以已经有木马提供了—个
叫做出错显示的功能。
当服务端用户打开木马程序时,A弹出一个错误提示框,错误内容可自由定义太多会定制成一些诸如“文件已破坏,无法打开!’’之类的信息,其实却是启动木马。
碇制端口。
很多老式的木马端口都是固定的遗膨导木马隐蔽性较差,只要查一下特定的端口就知道感染了什么木马这样就可以很容易的把它删除。
像nebpy的端口号是7306,冰河的端口号是7626。
现在很多薪式木马已经可以定制端口,控制端用户可以在1024--65535之间任选—个端口作为木马端口(一般不选1024以下的端口),这样要判断所感染木马的类型就不太容易了。
e自我销毁。
这项功能是为了弥补木马的—个缺陷。
我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(O\WIN—DOWS或C:\WINDOWSk.SYSTEM目录n,—般来说原木马文件和系统文件夹中的木马文件的大小是一样的胡绑文件的木马除外四5么中了木马的人只要在近来收到的信件和下载的软件中找到原木马文件然后根据原木马的大小鼓系统目录的文件夹查找相同大小的文件,然后判断哪—个是木马。
而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,给查找、删除木马带来困难。
£木马文件的文件名、存放位置。
在windows系统中木马存放的位置一般是c\windOWS和G\windowsXsys—tern中,主
要是因为这两个目录下面的文件大都是系统文件,并且文件最多。
木马的文件名—般是与一些系统的文件名比较接近,以达到迷惑受害人的目的。
比如木马SubSevenl.7版本的服务器文件名是windowsXKERNELl6.DLL,它与windows中的—个系统文件c\windows、l(ERNEL32DLL很相近。
辱隐蔽运行。
既然是木马,当然不会轻易被看出破绽,对于程序设计人员来说,要隐藏自己所设计的窗口程序,主要途径有:在任务栏中将窗口隐藏。
1.2运行木马。
服务端用户运行木马或捆绑木马的程序后木马就会自动进行安装。
首先将自身拷贝到WINDOWS的系统文件夹中(C:\WIN—DOWS或C:\WINDOWSXSYSTEM目录下、然后在注册表,启动组lE启动组中设置好木马的触发条件烫撵木马的安装就完成了。
木马被激活后,进入
内存,并开启事先定义的木马端口,准备与控制端建立连接。
这时服务端用户可以在MS—DOS方式下,键入netstat—a查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口
开放,你就要注意是否感染木马了。
机器在联网情况下,查看有没有异常的开放端口,如果有的话可能感染了木马。
1.3信息泄露。
—般来说,设计成熟的木马都有—个信息反馈机制。
所谓信息反馈
机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E —MAIL等方式告知控制端用户。
通过邮件可以知道服务端的—些软
硬件信息,包括使用的操作系统,系统目录,硬盘分区状况,系统
口令等。
1.4建立连接。
—个木马连接的建立首先必须满足两个条件:—是服务端已经安装
了木马程序;二是控制端,服务端都要在线。
在此基础上控制端可
以通过木马端口与服务端建立连接。
1。
5远程控制。
木马连接建立后,控制端端口和木马端口之间将会出现一条通道,
控制端上的控制端程序可借助这条通道与服务端上的木马程序取得
联系拼通过木马程序对服务端进行远程控制。
下面介绍一下控制端
具有哪些控制权限。
a窃取密码:一切以明文的形式传输的密码都能
被木马侦察到。
此外很多木马还提供有击键记录功能,它将会记录
服务端每次敲击键盘的动作,所以一旦有木马入侵,密码将很容易
被窃取。
h文件操作:控制端可以远程控制服务端,对文件进行删除、新
建、修改、上传、下载、运行、更改属性等一系列操作'基本涵盖了WINDOWS平台匕所有的文件操作功能。
巴系统操作:这项内容主要是
对服务器端所做的操作,主要有重启或关闭操作系统,断开网络连接,控制的鼠标、键盘,监视桌面操作,查看进程等,客户端甚至可以随时给服务器端发送信息。
__。
