1、湖南工程学院毕业设计(论文) 毕 业 设 计题 目: 木马的原理分析与处理方案 学院: 计算机与通信学院 专业:计算机科学与技术 班级:0802 学号:200803010216学生姓名: 周晓平 导师姓名: 刘铁武 完成日期: 2012年6月5日 诚 信 声 明本人声明:1、本人所呈交的毕业设计(论文)是在老师指导下进行的研究工作及取得的研究成果;2、据查证,除了文中特别加以标注和致谢的地方外,毕业设计(论文)中不包含其他人已经公开发表过的研究成果,也不包含为获得其他教育机构的学位而使用过的材料;3、我承诺,本人提交的毕业设计(论文)中的所有内容均真实、可信。作者签名: 日期: 年 日毕业设计
2、(论文)任务书 题目:木马的原理分析与处理方案 姓名 周晓平 系 计算机与通信学院 专业 计算机科学与技术 班级 计算机0802 学号 200803010216 指导老师 刘铁武 职称 副教授 教研室主任 刘洞波 一、 基本任务及要求:木马(特洛伊木马的简称)实质上是一种在远程计算机之间建立连接,使远程计算机能通过网络控制本地计算机的程序。一般地,木马程序由服务器端与客户端程序构成,其server端安装在被控制对象的计算机上,client端由控制者使用,一旦server与 client实现了连接,这种控制与被控制的关系就已形成。课题的基本任务是通过查阅大量资料以获得木马的原理、特征、危害等方面
3、相对系统的知识;在此基础上,追踪木马实例进行验证和研究,提出预防,检测、清除方案或策略。基本要求:具备相关基础知识(如计算机网络)的前提下,进行深入的理论学习与研究;在此基础上,综述木马的相关理论,自成系统;面向实例说明处理策略和方案。二 进度安排及完成时间:第1周 老师集中指导,分析并明确课题任务与要求,学习资料收集检索方法,并搜索收集所需中英文资料。第23周 阅读资料、书籍,学习所需知识,撰写文献综述。第45周 毕业实习、完成毕业实习报告撰写。第6周 建立毕业设计实验环境;初步拟订设计方案;完成开题报告。第7周 完成总体设计。第813周 具体设计、调试、修改、实现。第1415周 撰写毕业论
4、文(说明书)。第16周 完成毕业答辩资格审查、毕业答辩准备第17周 毕业答辩目 录目 录1木马的原理分析与处理方案1Trojan horse principle analysis and treatment scheme2前 言1第1章 绪论11.1 木马概述11.2 木马的分类21.4 木马的功能4第2章 木马原理分析52.1 木马的工作原理52.2 木马的种植原理62.3 木马的隐藏原理62.4 木马的通信原理92.5 木马的启动技术10第3章 木马开发平台与相关技术133.1平台开发的相关技术133.2 TCP/IP协议概述143.2.1 TCP/IP模型143.2.2 UDP概述153
5、.2.3 TCP概述163.2.4 端口173.3 工作原理Windows Sockets程序设计173.3.1 Socket的基本概念173.3.2 Windows Socket程序设计20第4章 木马的实例研究294.1冰河病毒相关背景294.2功能分析294.3木马系统总体分析304.4木马系统实现的关键技术304.5远程控制木马的实现过程314.5.1木马系统的组成314.5.2服务端与客户端324.5.3冰河木马远程控制的实现37第5章 木马的处理方案405.1 对木马处理方案的研究的必要性分析405.2 针对冰河的处理方案415.3 一般木马处理方案425.3.1中木马后出现的状况
6、425.3.2常用的清除木马的方法425.3.3几种对付木马的处理方法435.3.4 日常中应注意事项44结束语45参考文献46致 谢47附录:48木马的原理分析与处理方案摘要:随着计算机网络技术的高速发展,Internet已伸向了世界的每一个角落,正在对人们的生活方式和工作方式产生着前所未有的影响。互联网在给人民群众的生活带来便利的同时,也给犯罪分子利用计算机网络从事犯罪活动提供了便利。今天,利用计算机网络实施的智能犯罪日益猖撅,对社会造成的危害也越来越大,网络犯罪的发展对新时期信息时代的安全工作提出了新的挑战。在某些特定的时间、地点,公安民警通过诸如木马程序对利用互联网实施犯罪、逃避打击的
7、犯罪嫌疑人的目标计算机进行远程监控,掌握犯罪嫌疑人的活动情况及犯罪证据,从而更好的打击犯罪,维护国家安全和保障人民群众安居乐业,这就是本文研究的出发点。本论文对目前较为流行的木马技术的实现方式、工作原理及远程控制的关键技术进行系统的研究,重点对木马程序的进程实现、受控端与控制端通信进行剖析。在研究Windows平台下特洛伊木马关键技术的基础上,给出一种木马对远程计算机进行有效实时监控的系统设计与实现。关键词:木马技术,木马原理,远程控制 Trojan horse principle analysis and treatment schemeAbstract:With the rapidly g
8、rowing of computer network technology,the reach of Internet has extended to every comer in the world,and it has all unprecedented influence on peoples life styles and the work waysThe internet gives the public convenience;meanwhile,it provides criminals chances to engage in criminal activities throu
9、gh using the network Today,the intelligent crimes,by means of the computer network become frantic day by day,which caused more and more harms to the society,so the increase of network crimes proposed new challenges to network security in the information ageIn a certain time and place,police should c
10、arry out remote control on suspects target computer through which the criminals commit crimes via the internet and get rid of attacksThey should master the suspects activities and crime evidence in order to crack down on crimes to protect the nation and peoples securityAll of these are the starting
11、point of this essay This essay takes research on realizing ways of popular Trojan horse technology,the principle of working and the remote-control system controlling technologyThe important aspects lie in the explanation of Trojans process realizing,the communication between controlling port and con
12、trolled portThis essay is under the platform of Window studies,on the basis of the Trojan essential technological foundation,produces one kind of system design and realization of an effective real-time monitoring on remote computers,which is unified the performance Trojan horseKeywords:Trojan horse
13、principle.Trojan horse technology.Remote control59前 言随着信息技术的飞速发展,计算机和计算机通信网络己经成为当今社会不可缺少的基本组成部分,依托瓦联网技术的全球信息化浪潮冲击和深刻影响着人类政治、经济、社会的方方面面,对经济发展、国家安全、国民教育和现代管理都起着重要的作用。随着网络技术和信息化应用范围的不断扩大,网络信息应用领域开始从传统的、小型业务系统逐渐向大型、关键业务系统扩展,如政府部门业务系统、金融业务系统、教育科研系统等等。但随着网络应用的增加,以计算机信息系统为犯罪对象和犯罪工具的各类新型犯罪活动不断出现。网络安全风险也不断暴露
14、出来,网络信息安全问题已经成为制约各类网络信息系统实用化和进一步发展的不可忽视因素,对一些关系国民经济的重要信息系统和关系国家安全的网络信息系统,己经到了非解决不可的地步。其中,利用木马技术入侵、控制和破坏网络信息系统,是造成网络信息安全问题的典型表现之一。木马是一种基于C/S模式的远程控制技术,能在被监控对象毫无察觉的情况下渗透到对方系统并隐藏在合法程序中的计算机程序。一旦植入和触发成功,控制端与被控制端之间就能遵照TCP/IP协议进行数据通信,从而使得控制者获取被控制者的相关信息。它们通常以欺骗为手段,在用户不知情的情况下进行安装,并暗中把所获的机密信息发送给第三者,威胁用户电脑中的数据安
15、全并侵犯个人隐私,严重影响了人们正常工作和生活。2008年1月至l0月,瑞星公司共截获新病毒样本930余万个,其中绝大部分(776万)是盗号木马、后门程序,专门窃取网游帐号、网银帐号等虚拟财产,具有极其明显的经济利益特征。因此,社会上己经掀起一个木马研究的热潮,成为全社会探讨的热门话题,这也是本论文研究的出发点。世界各国计算机安全应急响应小组(computer emergency response team.CERT)以及国内外各反病毒公司及厂商均对木马检测、清除和防范方面做了大量研究。美国New Haven大学的Fred cohen博士等人首先对病毒进行了深入研究,他们将木马作为计算机病毒的
16、一种特例,并给出了病毒和木马的数学模型,英国Middlesex大学的Harold Thim bleby等人对病毒和木马的模型框架进行了研究。国内有中国科学院信息安全技术工程研究中心对木马技术进行了理论研究和原型开发,西北工业大学对木马在信息战的应用进行了研究,西安电子科技大学从人工免疫的角度对木马的检测与防御进行了研究,中国人民解放军信息工程大学对Windows NT平台下的木马启动与反跟踪技术进行了研究。未来,木马将更注重底层的通讯,以便有效对抗相关查杀工具如防火墙的监视和过滤;将广泛采用非TCPUDP的IP包和寄生TCP端口方式作为信息传递的手段,从而达到更加隐的目的。因此,研究和分析各种
17、木马的工作原理和功能、木马种植的技巧和思路、木马自启动以及隐藏的方法,进而针对一些典型的木马攻击提出了相应的解决方法,建立相对完善的防御体,是我们-丰动防范木马入侵或攻击的有方法之一。本论文就是对木马的原理进行深入地分析,从中总结一些木马的一般规律和最新技术,让人们更深入的了解木马,提高自我防范意识。第1章 绪论1.1 木马概述木马全称特洛伊木马,其名称源于古希腊神话中的特洛伊木马记。在公元前12世纪,希腊向特洛伊城宣战,交战了十年也没有取得胜利。最后,希腊军队撤走了,并在特洛伊城外留下很多巨大的木马。这些木马是空心的,里面藏了希腊最好的战士。特城人把木马搬进了城。当晚,希腊战士从木马中钻出来
18、与城外的希腊军队合力夺下了特洛伊城,这就是特洛伊木马名称的由来。因此,特洛伊木马一般伪装成合法程序植人系统中,对系统安全构成威胁。完整的木马程序一般由两个部份组成一个是服务器被控制端程序,一个是客户端控制端程序。黑客主要利用控制端连接到服务器端来实现控制目标主机服务器端所在主机的目的,从而执行用户不知道或不期望的行为。最初网络还处于以UNIX平台为主的时期,木马就产生了。当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。而后随着WINDOWS平台的日益普及,一些基于图形操
19、作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。从木马的发展技术来看,总共可以分为四代:第一代木马出现在网络发展的早期,是以窃取网络密码为主要任务,即简单的密码窃取、发送等,在隐藏和通信方面均无特别之处。第二代木马在技术上有很大的进步,使用标准的C/S架构,提供远程文件管理、屏幕监视等功能。但是由于植入木马的服务端程序会打开连接端口等候客户端连接,比较容易被发现。如:“冰河”、“Qmitis”。第三代木马在功能上与第二代木马没有太大差异,它的改变主要在网络连接方
20、式上,它的特征是不打开连接端口进行侦听,而是使用ICMP通信协议进行通信或使用反向连接技术让服务器端主动连接客户端,以突破防火墙的拦截。在数据传递技术上也做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度。如:网络神偷、Peep201等。第四代木马在进程隐藏方面,做了大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI6,实现木马的隐藏。前三代木马,大多都有独立的木马,因此用户可以根据启动项目中的描述内容,很快找到木马,并删除它。但是,第四代木马选择注册表的方式,伪装成DLL文件形式加载到正常的启动程序上,无法通过“任务管
21、理器”查看到正在执行的木马。不过在连接方式上,依然使用第三代木马或第二代木马的连接方式。如:Beast木马。 第五代木马实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必象以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马噩梦II。1.2 木马的分类为了更方便地研究木马,并采取适当的防范措施,可对木马进行分类,快速了解新出现的木马,便于制订有效的防御措施将它拒之门外,或通过一些规则找到木马并清除。(一)根据木马程序对计算机的具体动作方式,可以把现在的木马程序分为以下几类:第一类远程控制型:远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单
22、,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。这种木马在控制端的控制下可以在被控主机上做任意的事情,比如键盘一记录,文件上传/下载,截取屏幕,远程执行等。第二类密码发送型:密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类木马程序不会在每次windows系统重启时都自动加载,它们大多数使用25端口发送电子邮件。第三类键盘记录型:键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录。这种木马程序随着Windows系统的启动而自动加载,并能感知受害主机在
23、线,且记录每一个用户事件,然后通过邮件或其他方式发送给控制者。第四类毁坏型:大部分木马程序只是窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动删除受控丰机上所有的ini或exe文件,甚至远程格式化受害者硬盘,使得受控主机上的所有信息都受到破坏。总而言之,该类木马目标只有一个就是尽可能的毁坏受感染系统,致使其瘫痪。第五类FTP型:FTP型木马打开被控主机系统的2l号端121(FTP服务所使用的默认端口),使每一个人都可以用一个FTP客户端程序来不要密码连接到受控制主机系统,并且可以进行最高权限的文件上传和下载,窃取受害系统中的机密文件。(二)根据木马的网络连接方向
24、,可以分为两类:第一类正向连接型:发起通信的方向为控制端向被控制端发起,这种技术被早期的木马广泛采用,其缺点是不能透过防火墙发起连接。第二类反向连接型:发起通信的方向为被控制端向控制端发起,其出现丰要是为了解决从内向外不能发起连接的情况的通信要求,已经被较新的木马广泛采用。(三)根据木马使用的架构,可以分为四类:第一类C/S架构:这种为普通的服务器、客户端的传统架构,一般我们都是采用客户端作控制端,服务器端作被控制端。在编程实现的时候,如果采用反向连接的技术,那么客户端(也就是控制端)要采用Socket编程的服务器端的方法,而服务端(也就是被控制端)采用Socket编程的客户端的方法。第二类B
25、/S架构:这种架构为普通的网页木马所采用的方式。通常在B/S架构下,Server端被上传了网页木马,控制端可以使用浏览器来访问相应的网页,达到对Server端进行控制的目的。第三类C/P/S架构:这里的P是Proxy的意思,也就是在这种架构中使用了代理。当然,为了实现正常的通信,代理也要由木马作者编程实现,才能够实现一个转换通信。这种架构的出现,主要是为了适应一个内部网络对另外一个内部网络的控制。但是,这种架构的木马目前还没有发现。第四类B/S/B架构:这种架构的出现,也是为了适应内部网络对另外的内部网络的控制。当被控制端与控制端都打开浏览器浏览这个Server上的网页的时候,一端就变成了控制
26、端,而另外一端就变成了被控制端,这种架构的木马己经在国外出现了。、(四)根据隐藏方式,可以分为几类隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。木马的隐藏技术主要包括以下几类:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。(五)根据木马存在的形态不同,可将木马分为以下几种:第一种传统EXE程序文件木马。这是最常见、最普通形态的木马,就是在目标电脑中以一般EXE文件运行的木马。第二种传统DLL/VXD木马。此类木马自身无法运行,它利用系统启动或其他程序运行(如:El或资源管
27、理器)一并被载入运行,或使用Rundl123.exe来运行。第三种替换关联式DLL木马。这种木马本质上仍然是DLL木马,但它却是替换某个系统DLL文件并将它改名第四种嵌入式DLL木马。这种木马利用远程缓冲区溢出的入侵方式,从远程将木马写入目前正在运行的某程序的内存中,然后利用更改意外处理的方式来运行木马代码。这种技术在操作上难度较高。第五种网页木马。即利用脚本等设计的木马。这种木马利用IE等漏洞植入到目标主机,传播范围广。第六种溢出型木马。溢出型木马既是将缓冲区溢出攻击和木马相结合的木马实现手段,其实现方式有很多特点和优势,属于一种较新的木马类型。1.4 木马的功能木马的功能木马的功能可以概括
28、为以下内容:(1)、远程文件管理功能对被控主机的系统资源进行管理,如:复制文件,删除文件,查看文件,以及上传/下载文件等。(2)、打开未授权的服务为远程计算机安装常用的网络服务,让它为黑客或其他非法用户服务。如:利用木马设定为FTP文件服务器后的计算机,可以提供FTP文件传输服务;为客户端打开文件共享服务,这样可以轻松获取用户硬盘上的信息。(3)、远程屏幕监视功能实时截取屏幕图象,可以将截取到的图象另存为图文件;实时监视远程用户目前正在进行的操作。(4)、控制远程计算机通过命令或通过远程监视窗口,直接控制远程计算机。例如在远程计算机执行程序、打开文件或向其他计算机进行攻击等。(5)、窃取数据以
29、窃取数据为目的,本身不破坏计算机的文件和数据,不妨碍系统的正常工作。它以系统使用者很难察觉的方式向外传送数据。例如键盘和鼠标操作记录型木马。第2章 木马原理分析特洛伊木马程序其实是一种客户机服务器程序,服务器端(被攻击的计算机)的程序在运行之后,黑客可以使用相应的客户端工具直接控制它,在网络上,有一个基本的漏洞,就是在本机直接肩动运行的程序拥有与使用者相同的权限,假设你是以管理员的身份使用机器,那么你从本地硬盘启动一个应用程序,这个程序就有权享有机器的全部资源。但对从外部(假如Internet上的某一站点)来的程序,则一般没有对硬盘操作的权利,这个规定是现今的这种网络结构注定的,这个规定给大家
30、带来方便的同时,也带来安全隐患,如果不小心运行了一个可以接收外部指令的恶意程序之后,那么这台计算机就被别人控制了。2.1 木马的工作原理木马是一类特殊的计算机程序,其作用是在一台计算机上监控被植入木马的计算机的情况。所以木马的结构是一种典型的客户端服务器(Client/Server)简称c/s)模式。木马程序一般分为客户端(Clinet)和服务器端(Server),服务器端程序是控制者传到目标计算机的部分,骗取用户执行后,便植入计算机,作为响应程序。客户端是用来控制目标主机的部分,安装在控制者的计算机,它的作用是连接木马服务器端程序,监视或控制远程计算机。典型的木马工作原理是:当服务器端在目标
31、计算机上被执行后,木马打开一个默认的端口进行监听,当客户机向服务器端提出连接请求,服务器上的相应程序就会自动运行来应答客户机的请求,服务器端程序与客户端建立连接后,由客户端发出指令,服务器在计算机中执行这些指令,并将数据传送到客户端,以达到控制主机的目的。木马服务器端与客户端之间也可以不建立连接。由于建立连接容易被察觉,因此就要使用ICMP来避免建立连接或使用端口。使用ICMP来传送封包可让数据直接从木马客户端程序送至服务器端。如图2.1 指令结果 木马服务器端 木马客户端图2.1 客户端与服务端的交互这是木马程序的基本工作原理,其中还包括了木马的种植,隐藏,通信等等。下面分别就相关技术原理展
32、开论叙。2.2 木马的种植原理特洛伊木马大都采用客户机服务器模式:客户端程序是在你自己的PC机上运行服务器端程序是安装在目标丰机上。如果你不能把服务器端程序植到目标主机上那么你的特洛伊木马程序功能再完善,也没有办法启动木马的功能。通常特洛伊木马的植入技术有以下几种:(1).通过电了邮件附件件夹带的方式。这是用得最广和最多的方法。控制端将木马程序以附件或者图标等的形式夹在邮件中发送出去,倒如漂亮的网页或电子贺卡等。当用户点击这些图标的同时也下载了特洛伊木马程序。(2).夹带在一些共享软件中。黑客经常把特洛伊木马程序做在这些软件中,这种方式用得比较多且成功的概率也大。比如,他们常常称之为某个共享软
33、件的升级版或者是系统补丁等,大多数人都希望自己用的是最新的版本,这样当用户下载时相应的也把木马程序下载到自己的机器上了。(3).通过网页脚本程序植入。木马和网页捆绑在一起,当用户浏览到该网页,就会在不知不觉中下载其捆绑的木马并执行。其中网页是网页木马的核心部分,特定的网页代码使得网页被打开时,木马能随之下载和执行。木马就是普通的木马文件,被捆绑在网页里,能够跟随网页自动打开,实现各种木马功能。有利用ACTIVEX控件实现的网页木马;也有欺骗型网页木马;更多的网页木马是利用IE浏览器的漏洞来实现的。2.3 木马的隐藏原理 (1).本地文件伪装隐藏:木马文件通过将木马文件设置为系统、隐藏或是只读属
34、性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。(2).木马的启动隐藏方式: 1).本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。木马病毒将可执行文件伪装成图片或文本一在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为JPG.EXE。由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为JPG,不注意的人一点击这个图标就在无意间启动了木马程序。 2).通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用,木马
35、很容易就能在大家的计算机中运行。像Autoexecbat和Config.sys。特别是系统配置文件MSCONFIG.SYS,MSCONFIG.SYS中的系统启动项-system.ini,window.ini是众多木马的隐藏地。Windows安装目录下的system.ini的boot字段中,正常情况下为boot=“Explorer.exe”,如果后面有其他的程序,如这样的内容,boot=“Explorer.exefile.exe”,这里的file.exe,可能就是木马服务端程序。另外,在System.ini中的386enh字段,要注意检查在此段内的driver=路径程序名。这里也有可能被木马所利
36、用。再有System.ini中的drivers,drivers32,mci这3个字段,也是起到加载驱动程序的作用,因此也是增添木马程序的好场所。 3).利用系统路径遍历优先级欺骗Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里的规则,它会由系统所在的盘符的根目录开始向系统目录深处递进查找,而不是精确定位;这就意味着,如果有两个同样名称的文件分别放在“C:和“C:WINDOWS”下,WINDOWS会执行C:下的程序,而不是C:WINDOWS下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件里,并复制到比原文件要浅一级的目录里,WINDO
37、WS就会想当然的执行这个木马程序。要提防这种占用系统启动项而作到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。 4).替换系统文件木马病毒就利用系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序INTERNAT.EXE。让动态链接库可以像程序一样运行的RUNDLL32.EXE等。木马程序会替换掉原来的系统文件,并把原来的系统文件名改成只有它自己知道的一个偏僻文件名。只要系统调用那个被替换的程序,木马就能继续驻留内存了。木马作为原来的程序被系统启动时,会获得一个由系统传递来的运行参数,木马程序就把这个参数传递给被改名的程序执行。(
38、3).进程隐藏进程隐藏有两种情况,一种隐藏是木马程序的进程仍然存在,只是不在进程列表里;采用APIHOOK技术拦截有关系统函数的调用实现运行时的隐藏,替换系统服务等方法导致无法发现木马的运行痕迹。另外一种方法是木马不以一个进程或者服务的方式工作。将木马核心代码以线程或DLL的方式插入到远程进程中,由于远程进程是合法的用户程序,用户又很难发现被插入的线程或DLL,从而达到木马隐藏的目的。在Windows系统中常见的真隐藏方式有:注册表DLL插入、特洛伊DLL、动态嵌入技术、CreateProcess插入和调试程序插入等。(4).内核模块隐藏有些木马在运行时能够删除自身启动运行及存在的痕迹,当检测
39、到操作系统重新启动再重新在系统中设置需要肩动自身的参数,这类木马存在的问题:当系统失效时(如断电、死机时)无法再次恢复运行。内核模块隐藏,使木马程序依附到操作系统部件上,或成为操作系统的一部分。(5).原始分发隐藏软件开发商可以在软件的原始分发中植入木马。其主要思想是:(1)修改编译器的源代码A,植入木马,包括针对特定程序的木马(如login程序)和针对编译器的木马。经修改后的编译器源码称为B。(2)用干净的编译器C对D进行编译得到被感染的编译器D。(3)删除B,保留D和A,将D和A同时发布。以后,无论用户怎样修改login源程序,使用D编译后的目标login程序都包含木马。而更严重的是用户无
40、法查出原因,因为被修改的编译器源码B已被删除,发布的是A,用户无法从源程序A中看出破绽,即使用户使用D对A重新进行编译,也无法清除隐藏在编译器二进制中的木马。相对其它隐藏手段,原始分发的隐藏手段更加隐蔽。(6).通信隐藏主要包括通信内容、流量、信道和端口的隐藏。木马常用的通信隐藏方法是对传输内容加密,隐藏通信内容。采用网络隐蔽通道技术隐藏通信信道。在TCP/IP协议族中,有许多信息冗余可用于建立网络隐蔽通道。木马可以利用这些网络隐蔽通道突破网络安全机制,比较常见的有:ICMP畸形报文传递、HTTP隧道技术,自定义TCP/UDP报文等。采用网络隐蔽通道技术,如果选用一般安全策略都允许的端口通信,
41、如80端口,则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。通信流量的隐藏,当存在其他通信流量时,木马程序也启动通信。当不存在任何其他通信流量时,木马程序处于监听状态,等待其他进程通信。有些木马为了能更好地实现隐藏,达到长期潜伏的目的,通常融合多种隐藏技术,如采用多线程方式,线程间相互实时保护,一旦一方被删除,另一方可以通过备份恢复并远程启动。或是通过一个木马程序(称为“主木马”),在局域网内部繁殖生产“子木马”,统一协调完成工作。各子木马根据主木马分派的任务,各自负责一独立任务。达到相互之间的保护,同时可以分散传输数据量,达到H的地址接受数据,增大追查源地址的难度
42、。而且主木马和子木马寄牛于不同主机并且相瓦联系,增强了木马的抗查杀的能力。(7).最新隐身技术通过修改虚拟设备驱动程序(VXD)或修改动态链接库(DLL)来加载木马。这种方法基本上摆脱了原有的木马模式一监听端口,而采用替代系统功能的方法(改写VXD或DLL文件),木马将修改后的DLL替换系统原来的DLL,并对所有的函数调用进行过滤。对于常用函数的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,木马会自动执行。一般情况下,DLL只是进行监听,一旦发现控制端的请求就激活自身。这种木马没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它。在正常
43、运行时,木马几乎没有任何踪迹,只有在木马的控制端向被控制端发出特定的信息后,隐藏的程序才开始运行。2.4 木马的通信原理木马通信的方法很多,最常见是用TCP、UDP协议,这种方法的隐蔽性比较差,容易查到,例如,用netstat命令就可以查看到当前活动的TCP、UDP连接。为了增加隐藏性,又出现了反弹端口,利用ICMP协议通信,端口复用等新技术进行通信。(1) TCP/IP木马通信原理 木马客户端 木马服务器端(202.102.48.3:2020)(10.4.162.23:2568)图2.4.1如上图所示对于客户端来说要与服务器端建立连接必须知道服务器端的端口和IP地址,由于客户端端口是人事先设
44、定的,为己知项,所以最重要的是如何获得服务器端的IP地址。获得服务器端的IP地址的方法主要有两种:信息反馈和IP扫描。所谓信息反馈是指木马成功安装后会收集一些服务端的软硬件信息,并通过EMAIL或ICQ的方式告知控制端用户。从这封邮件中可以知道服务端的IP等。另一种获取IP的方法是IP扫描,通过IP扫描才能确定服务器端的IP地址。因为服务器端装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在客户端只要扫描IP地址段中2568端口开放的主机就行了,这个IP就会被添加到列表中。这时客户端机就可以通过木马的控制端程序向服务器端发出连接信号,服务器端中的木马程序收到信号后立即作出响应,当
45、客户端收到响应的信号后,开启一个随机端口2020与服务器端的木马端口2568建立连接,到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址。(2).ICMP木马通信原理ICMP木马技术便是为了摆脱端口的束缚而出现的,ICMP报文由系统内核或进程直接处理而不通过端口,如果木马将自己伪装成一个Ping进程,系统就会将ICMP.ECHOREPLY(Ping的回应包)的监听、处理权交给木马进程,一旦事先约定好的ICMP-ECHOREPLY包出现(这样的包经过修改的ICMP包头,加入了木马的控制字段),木马就会接受、分析并从报文中解析出命令和数据。防火墙一般不对ICMP.ECHOREPLY报文进行过滤,因为过滤ICMP.ECHOREPLY报文就意味着主机无法对外进行Ping等路由诊断操作。(3).反向连接技术从本质上来说,反向连接和正向连接的区别并不大。在正向连接的情况下,服务器端也就是被控制端,在编程实现的时候是采用服务器端的编程方法的,而控制端,在编程实现的时候是采用客户端的编程方法。当采用反向连接技术编程时,实际上就是将服务器端变成了采用客户端的编程方法,而将控制端变成了采用服务器端的编程方法。由于防火墙一般对于连入的链接会进行严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马采
浙ICP备2021020529号-1 | 浙B2-20240490 
