木马攻击和防范技.doc

1、 木马攻击与防范技术 姓名： 焦伟 班级：08级电子信息工程技术 学号：2008113014 当你在网上尽情畅游之时，你是否知道网上正有不少窥探者正伺机窃取你的个人隐私、破坏你的机器呢？网上有陷阱，网上有窃贼，这已经不是一个危言耸听的话题，而是实实在在发生在你我身边的事。了解一些木马入侵的手段，采取一定的防范措施 关键字：木马、木马原理、木马攻击、木马防范 一、木马程序的技术原理 木马程序也叫特洛伊（Trojan）木马程序，来源于希腊神话中的希腊士兵藏在木马内进入特洛伊城从而占领它的故事。 木马程序是一种基于客户机/服务器架构的网络通信软件，与正规的远程控制软件相比，它存在着

2、隐蔽安装、非授权操作、破坏用户机器、窃取个人信息等特征，是一种危害极大的程序。一般将受害计算机称作服务器端，对受害计算机进行远程控制的计算机称作客户机端，真正建立联系后，二者的角色是可以互换的。木马程序依托的网络环境一般为采用TCP/IP协议的计算机网络。 木马程序相应分为客户端程序和服务器端程序两部分，其中服务器端在目标计算机上驻留，获取目标计算机的操作权限，完成对目标计算机的操控；客户端由控制者操纵，向服务器端传输指令，用以控制远程目标计算机。通常情况下，服务器端程序通过隐蔽手段驻留目标计算机后，篡改本机的网络设置，开放本地网络端口，通过一定的手段向客户端传递宿主计算机的网络信息，如IP

3、地址、网络端口等，并实时监听网络连接请求；客户端程序获得受害计算机的相关信息后，主动向服务器端程序发出连接请求，建立通信关系，实现对目标计算机进行操控，也有由服务器端主动向客户端发出连接请求并建立通信关系的。 　一旦服务器端和客户机端建立通信联系，服务器端计算机就完全处于木马程序的控制之下，客户端可以通过预先约定好的命令来操控服务器程序执行非授权的行为，如删除文件、修改注册表、打开或关闭服务、重启计算机、监视宿主机的操作、传输宿主机上的相关资料等，也可以以受控计算机为跳板，向网络上其它主机发起攻击。 二、木马攻击方式 木马的攻击方式，在本文主要是知其如何地进行感染与渗透，并且进行自身的

4、隐藏，以及进行资料的搜集或者破坏等活动。木马其攻击过程的一个典型过程如下：当服务器端在目标计算机上被执行后，这时木马程序开启默认的端口从而实现监听，而在客户机给服务器的程序发出链接请求要求时，就进行响应：有关程序开始运行实现对答客户机的应答，这样就建立了服务器端程序跟客户端之间的连接。建立链接以后，指令从客户端来发出，而服务器中则进行指令的分析与执行，并将数据传送到客户端，以达到控制主机的目的。 （一）目标的感染与植入 向目标主机成功植入木马是木马成功运行、发挥作用的前提。这一过程通常包含伪装、捆绑、漏洞利用等一切可能利用的技术手段。这个过程主要有：1.脚本种植技术。利用网页木马，网页

5、木马就是当用户浏览某网页时，自动下载并运行某“木马”程序。2.利用脚本方式植入。通过script、activex及asp、cgi交互脚本的方式植入。3.利用系统漏洞植入。利用系统的其他一些漏洞进行植入。4.远程安装。通过一定的方法把木马执行文件传送到目标主机的电脑里再进行远程安装。 （二）自动加载 在自动加载过程，本身也是一个隐藏着的行为。这需要在操作系统启动的时候同步地启动自身，以此达到让木马在宿主机中自动运行的目的。常见的木马启动方式有：启动项加入注册表；win.ini和system.ini中的load节中添加启动项；autoexe.bat中添加；修改boot.ini的配置；修改exp

6、lorer.exe参数等等。 （三）进程隐藏以及文件隐藏 早期的木马进程的隐藏采取的措施比较简单，windows9x系统要实现进程的隐藏可以通过把木马程序注册为服务的方式来达到。在windows nt/2000下，有些进程名字改得和系统进程非常相似，迷惑使用的人；也有的利用hook api技术修改函数的入口点欺骗列举本地进程的api函数；当然更好的是使用rundll32.exe设计技术运行木马本身，这样在进程列表中显示出来的就是rundll而非木马的可执行文件名，文件管理器中不能正确地列出木马的可执行文件。除了进程隐藏，还需要对静态文件的隐藏于保密，这里不赘述了。 总而言之，各怀鬼胎

7、的木马通过以上隐秘的方式，实现了对计算机的攻击。 三、木马程序的植入过程 　 木马程序有着巨大的破坏性，它首先要千方百计地把服务器端程序隐蔽植入目标计算机中。木马程序主要有以下几种植入方法： 　１．利用电子邮件进行传播。攻击者将木马程序伪装成电子邮件附件的形式发送出去，收信方只要查看邮件附件就会使木马程序得到运行并安装入系统。 ２．通过即时通信软件传播。利用ＱＱ，ＭＳＮ等即时通信软件，向目标机器传送文件，并在受骗用户接收藏有木马程序的文件时自动完成木马的植入。 ３．利用网络下载进行传播。攻击者把木马捆绑到其它正常文件上，以提供软件下载为名诱使上网者下载运行，只要运行这些程序，木马

8、就会自动安装。 ４．通过脚本程序传播。由于微软的IE浏览器在执行Script脚本程序时存在一些漏洞，攻击者可以通过编制CGI程序在被攻击的目标主机上执行木马程序。攻击者也可利用脚本语言编写出一个动态网页，当上网用户浏览该页面时，木马程序将在后台下载到受害者计算机中，安装和运行。 ５.利用系统漏洞进行传播。如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即可把IIS服务器崩溃，并且同时在受控服务器执行木马程序。 ６．远程入侵进行传播：黑客通过破解密码和建立IPC$远程连接后登陆到目标主机，将木马服务端程序拷贝到目标计算机中，然后通过远程操作让木马程序在某一个时间运行。 ７

9、．其它手段。例如在一些来路不明的光盘中隐藏，一旦用户运行使用，木马就悄然植入。 四、木马防范及应对 1、木马防范技术的现状 目前防范木马的手段主要是依靠杀毒软件和网络防火墙所附加的检查功能。杀毒软件主要依靠对木马文件本身的特征以及木马对系统进行修改的行为特征来识别木马,而防火墙软件主要通过对网络通信 的控制实现对木马通信的封锁。木马与病毒的工作原理不同,实现技术也不同,因此,防御的方法也不一样。杀毒软件是病毒的克 星,对木马却不一定有效。一些高级的木马大都是单独使用,其曝光的几率小,这些木马即使长时间使用也不会被发现,对这样的木马,杀毒软件无能为力。特别是,随着反弹端口木马和注入式木

10、马的出 现,防火墙软件也难以阻止木马的入侵。 2、木马的防范措施 （一）意识层面 （1）.警惕网络陷阱，增强自身的防范意识。随着互联网的发展，网上不仅有众多的黑客站点，汇集着专业、详细的黑客教程，手把手教人制作各种病毒和木马程序，而且还有大量的开放源码、黑客工具、木马配置程序，即使不懂程序设计的普通人利用这些工具制作木马程序也不是一件难事，况且还有许多外部势力成立了专门机构，瞄准我网上信息进行疯狂的探测和攻击，所以要树立“网上有陷阱”的观念，克服侥幸疏忽的麻痹思想，提高风险和防范意识。 （２）养成良好的上网习惯。无论木马程序多么恶意和隐蔽，其服务器端程序必须成功驻留在上网用户机器里，

11、才能达到窃取和破坏的作用，拒绝木马程序在本地驻留是防止信息泄露的根本方法。为诱骗用户安装，木马程序一般都披着诱人的外衣，所以在平时登录互联网时，要养成良好的上网习惯，自觉抵制不良信息的诱惑，不登录色情、反动网站，不轻信任何中奖、返物广告的引诱；不随意安装不可信的插件，不随意接受陌生人的文件，特别是可执行文件；浏览电子邮件时，对于附件要特别慎重，不随意打开可执行文件的附件。 （二）技术层面 (1)．采取必要的防范技术措施。首先要安装防病毒和防火墙软件，并且要实时进行更新。防病毒软件能够实时监控系统关键区域（系统文件、启动项目、注册表等）、内存、网络运行状态等，自动对下载文件、网页和邮件进行侦

12、测和过滤，一旦发现可疑苗头，及时进行拦截和处理，并向用户发出警报。防火墙软件可以对IP数据包进行过滤检查，拒绝来源和去向不明的数据包，在适当规则的限制下，对通讯端口也进行一定的限制，即使木马植入成功，防火墙也可有效拦截攻击者的行动。目前一些安全防护软件已经把防病毒和防火墙功能集成在一起，使用起来更加方便。其次要做好系统的防护设置。资源管理器查看选项要打开文件的后缀名显示（查看文件类型与后缀名类型是否一致）；每次打开怀疑文件前，要察看文件的创建、修改、访问时间；要经常查看注册表启动项是否有可疑程序启动。系统管理员用户名要换掉默认名字，并设置随机密码。再次要做好系统的漏洞堵塞，及时下载和安装操作系

13、统升级补丁，杜绝安全漏洞。 (2)．发现木马苗头要及时处理。一旦发现计算机感染了木马病毒，要及时断开网络连接，切断病毒和盗取信息的传播路径，对计算机进行彻底的查杀，防止病毒通过网络进一步扩散，造成更严重的灾难。对恶意软件入侵事件，要总结经验教训以避免重复受害 结语 自人类诞生的那一刻起，人类便拥有了一项本能的思想——欲望。起初，人类为了满足自己的生存欲望，便残杀了一些不属于同类的生命；接着，人类在满足自己生活的欲望后，便想着去建立自己的势力、拥有自己的土地，从而引发了一场又一场的战争；人类在拥有了自己的土地和钱财后，便对身心上的享受产生了兴趣，从而推进了科技的发展...随着经济的日益发展、科技取得的极大成就，人类在属于自己的世界里便开始得不到满足，从而便创造了另一个空间——网络。 经历过这个空间内的各种风雨，才渐渐感觉到文明、道德的重要，只有让所有游览者共同维护空间内的安宁，共同创造空间内的诚信，才能在满足自己欲望的同时也促进社会的快速发展。网络文明，你我共创。