21科技资讯
科技资讯 SCIENCE & TECHNOLOGY INFORMATION2011 NO.35SCIENCE & TECHNOLOGY INFORMATION信 息 技 术
木马是指隐藏在正常程序中的具有特殊功能的恶意代码,它具备破坏和删除文件、发送密码、记录键盘和攻击等功能,使用户被破坏甚至瘫痪。大家对木马都很熟悉,很多人也都中过木马,但是木马是怎么样侵入系统的,又是如何进行破坏的,很多人并不清楚,下面,本文就沿着木马的入侵路径一步步讲起。1 木马的隐藏木马病毒之所以会造成很大的损失,其根本原因就是在于它很强的隐藏性,木马病毒的隐藏性非常强,这也是它最大的特点。1.1通过修改图标来隐藏木马可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标,让你误以为它是一个文本文档,而轻易地点击,尤其是有些木马在修改图标的同时,还会修改文件名称,比如“我的账单”、“我的重要资料”,这有相当大的迷惑性。1.2通过伪装成系统文件来隐藏木马病毒会想方设法把自己伪装成不起眼的文件或者正规的系统文件,并把自己隐藏在系统文件夹中,与系统文件混在一起。例如文件microsoft.sys和文件micorosoft.sys,第一个文件是系统文件,第二个文件是木马程序,木马通过调整文件名字母的顺序来迷惑用户。1.3通过捆绑文件的方式来隐藏木马通常将自己捆绑在一个安装程序上,当安装程序运行的时候,木马也在用户毫不知情的情况下悄悄进入系统。木马在捆绑文件时对文件也是有所选择的,最受木马欢迎的是exe文件和com文件。1.4通过自动备份的方式来隐藏为了避免自己在被发现后被用户清除掉,有些木马会进行自动备份,甚至有些木马还会采用自我销毁的方式来保护备份,达到隐藏的目的。1.5通过出错显示的方式来隐藏当用户打开一个木马程序时,会弹出一个出错提示框,比如提示“文件已损坏,无法打开”等等,用户以为真的是文件损坏了,也就不再多想了,而正是这个时候,木马悄悄地潜入了用户的计算机。1.6定制端口很多老式木马的端口都是固定的,这给我们判断是否感染了木马带来了方便,只要查看一下特定的端口就能知道是否感染木马,感染了哪种木马。1.7通过root kits技术欺骗杀毒软件root kits是一种技术手段,它可以将木马程序隐藏起来,就像是给木马穿上了隐形衣一样,使杀毒软件发现不了木马的存在1.8先发制人主动攻击杀毒软件有些木马采用以攻为守的方式,先发制人,攻击杀毒软件,木马启动后在进程中搜索反病毒软件的进程,找到后就将其杀死,并且将反病毒软件的相应文件和注册服务删除。2 木马的传播2.1以网站挂马的形式传播网站“挂马”是计算机用户感染木马最常见的途径之一,黑客通过在网站上“挂马”使网页浏览者感染“网页木马”。2.2以邮件附件的形式传播控制端将木马程序伪装后以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马。2.3以软件下载的形式传播一些非正式的网站以提供软件下载的名义,将木马捆绑在软件安装程序上,程序下载后只要一运行这些程序,木马就会自动安装。2.4通过即时通讯软件进行传播例如通过QQ的“文件传送”功能,发送一张名为“我的照片”的带毒图片,用户在不知情的状况下打开图片就会感染木马。3 木马的激活木马既可以通过自启动方式激活,也可以通过触发方式激活。3.1自启动方式激活说到自启启动方式就不得不说说自启动项,自启动项就是程序在系统的某处进行登记之后,每次开机系统会自动将程序运行,而程序登记的项,就叫做自启动项,木马就是通过加载自启动项来激活自身的。木马是不会甘心只运行一次就结束的,它肯定是想在你的电脑中安家,每次开机都运行起来,所以木马通常都会加载多个自启动项,这样,才能达到自我保护且正常进行木马工作的目的。3.2触发方式激活触发式木马是当进行某一操作时会触发木马的启动机制,使得木马启动。另一种触发方式是修改文件关联。在注册表中,图片文件已经与看图程序关联在了一起,相应的,音乐文件与播放器关联在了一起,大多数类型的文件都与某一特定程序有关联。这样,系统才知道,打开什么样的文件需要调用什么程序。狡猾的木马就是把某一特定类型文件的关联改为了与它自己关联,这时你一旦打开这一类型的文件就会触发木马的启动。4 木马的连接木马被激活后进入内存,并开启事前定义好的端口,准备与控制端建立连接,木马的连接要满足两个条件:一是服务器端已经安装了木马程序;二是客户端和服务器端都要在线。通常有两种连接方式,一种是主动连接,一种是反弹连接。主动连接就是黑客控制的客户端主动去连接服务器端,目标电脑中了木马之后,就会对指定的端口进行监听,客户端则发送连接指令到相应的端口,一旦连接指令被监听到,连接就建立起来了。早期的木马都是通过主动连接的方式来运行的,比如非常有名的国产木马冰河,但是这种连接存在一个问题,就是很容易被防火墙所拦截。防火墙能阻止外部连接,但是却阻挡不了内部向外连接。只要木马检测到系统有一个活动的网络连接,其服务器端就会主动按照攻击者设置的方式去连接攻击者所在的客户端,防火墙对这种发自内部的连接请求是不予拦截的,反弹连接就是使利用这原理来穿破防火墙的。大名鼎鼎的“灰鸽子”木马就是使用这种方式来连接的,它现在也是木马的主流连接方式。5 木马的控制木马连接建立后,控制端端口和木马端口之间将会出现一条通道,控制端上的控制端程序可藉这条通道与服务器端上的木马程序取得联系,并通过木马程序对服务器端进行远程控制。控制端都能取得哪些权限呢?让我们来看一下。5.1窃取密码一切以明文形式、*号显示形式和缓存在CACHE中的密码都能被木马侦测到,除此之外,还有很多木马具有键盘记录功能,它会记录用户每次敲击键盘的动作,当然也包括用户每次输入的用户信息和密码。5.2文件操作控制端可藉由远程控制对用户计算机上的文件进行删除、新建、修改、上传、下载、运行、更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。有的时候,你的文件莫名其妙不见了,说不定就是木马帮你删掉了。5.3修改注册表控制端可任意修改用户的注册表,包括删除、新建或修改主键、子键、键值。5.4屏幕监控捕捉用户计算机屏幕的图像,在控制端计算机的显示器上显示。5.5硬件控制重启或关闭计算机,断开网络连接,远程操控鼠标、键盘、打印机、摄像头等硬件设备。通过隐藏、传播、激活、连接、控制等一系列动作,黑客就把你的计算机完完全全地掌握在了手里。浅析计算机木马的工作原理王静(武警政治学院教育技术中心 上海 200435)摘 要:本文从隐藏、传播、激活、连接、控制几个方面分析了木马的工作原理,进一步加深了对木马攻击计算机过程的理解。关键词:木马 网络安全中图分类号:TP32文献标识码:A文章编号:1672-3791(2011)12(b)-0021-01