《毕业设计(论文)特洛伊木马程序的设计与实现.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)特洛伊木马程序的设计与实现.doc(51页珍藏版)》请在三一办公上搜索。
1、XXXXXXXXXXX本科生毕业论文(设计)题 目特洛伊木马程序的设计与实现学生姓名 指导教师 学 院信息科学与工程学院专业班级 完成时间2010年5月28日摘 要随着计算机网络技术的飞速发展,黑客技术也不断更新,它对网络安全构成了极大的威胁。特洛伊木马作为黑客工具中重要的一员,其技术日新月异,破坏力之大是绝不容忽视的。因此,对木马技术的研究刻不容缓。本文首先介绍了木马的基本概念,包括木马的结构、行为特征、功能、分类以及木马的发展现状和发展趋势。然后详细介绍了木马的工作原理和木马系统的关键技术。木马的关键技术包括木马的伪装方式、木马程序的隐藏技术、木马的自启动以及木马的通信技术等。另外,本文研
2、究了远程控制技术,包括TCP/IP协议的介绍、Socket通信技术和客户端/服务器模型(C/S)。本文在研究木马技术的基础上设计了一款远程控制木马。该木马程序能够通过客户端对远程主机进行控制和监视,服务端可以自动连接客户端。另外该木马程序还包括远程文件操作(文件复制、拷贝、删除、下载、上传等),远程系统控制(关机、重启,鼠标、屏幕锁定,启动项管理),网络连接控制,远程进程管理和文件传输等功能。最后本文实现了这一款木马程序,并对其进行了测试。测试结果显示该木马程序实现了所有的功能,能够对远程主机进行控制。关键词木马, Socket,远程控制ABSTRACTWith the rapid devel
3、opment of network, the dependence between our society, computer system and information network becomes bigger and bigger. The safety of the internet is especially important. The hackers create a great network security threats, and the currently most available mean of invasion are the Trojan technolo
4、gy. Therefore, this technique has been studied for the Trojan technology.This paper introduces the basic concepts of Trojans, including structure, behavior characteristics, function, classification and Trojans situation and development trend. Then, it also introduces the details of the Trojan works
5、and Trojan key technology. Key technologies include Trojan disguised way, stealth technology of Trojans, Trojans self-running and communication technology. In addition, this paper also studies about the remote control technology, including TCP/IP protocol description, Socket communication technology
6、 and client / server model (C / S). There is a remote control Trojan based on this paper which is studying the Trojan technology. This Trojan horse can control and watch the distance host through the client, and the server can connect with the client automatically. In addition, the Trojan program al
7、so includes a remote file operations (file copy, copy, delete, download, upload, etc.), remote system control (shutdown, restart, mouse, screen lock, startup item management), network connection control, remote process management, file transfer and other functions. Finally, this paper realizes this
8、Trojan horse program, and tests it. Test results show that the Trojan horse program achieves all the functions and it can control the remote host.KEY WORDSTrojan, Socket, Remote control目录摘 要IABSTRACTII第一章绪论11.1木马的研究背景11.2木马发展的现状11.3论文研究的意义和目的21.4论文的研究内容31.5论文章节安排3第二章木马技术基础42.1木马系统结构42.2木马的基本特征52.3木马
9、的功能62.4木马的分类62.5木马的发展趋势7第三章木马工作原理及关键技术93.1 木马的伪装93.2木马的隐藏103.3木马常见的启动方式123.4远程控制技术143.4.1IP协议143.4.2 TCP协议153.4.3套接字(Sockets)技术163.5木马的通信163.5.1端口复用技术173.5.2反弹端口173.5.3潜伏技术183.6客户机/服务器模型18第四章远程控制木马的设计204.1功能分析204.2系统总体设计214.2.1使用环境和拓扑结构214.2.2系统的逻辑模型224.2.3设计思路234.3系统实现的关键技术244.3.1DLL模块化技术244.3.2 钩子
10、技术264.3.3远程线程插入技术274.3.4隐蔽通信技术294.4系统的开发工具30第五章远程控制木马的实现325.1服务端程序的实现325.1.1服务端的自启动325.1.2 通信模块的实现345.1.3服务端管理模块385.2客户端的实现395.2.1远程文件控制395.2.2系统控制405.2.3文件传输42第六章结束语43参考文献44致 谢46第一章绪论1.1木马的研究背景随着网络的快速发展,Internet深入到社会的每个角落,人们充分享受到了其给工作和生活带来的巨大便利,人类社会对计算机系统和信息网络的依赖性也越来越大。工业和信息化部统计数据显示,2009年中国网民规模已达3.
11、84亿;预计2010中国网民规模突破4亿1。由于计算机系统和信息网络系统本身固有的脆弱性,网络入侵工具(如蠕虫、木马等)不断涌现,社会、企业和个人也因此蒙受了越来越大的损失。木马由于它的隐蔽性、远程可植入性和可控制性等技术特点,已成为黑客攻击或不法分子入侵网络的重要工具,目前,不断发生的互联网安全事故中,大部分都有木马的身影。2010年1月,国内最知名的信息网络安全厂商金山安全正式发布2009年中国电脑病毒疫情及互联网安全报告。报告显示, 2009年金山毒霸共截获新增病毒和木马20684223个,与5年前新增病毒数量相比,增长了近400倍。在新增病毒中,木马仍然首当其冲,新增数量多达15223
12、588个,占所有病毒重量的73.6%。全国共有76409010台(约7600万台)计算机感染病毒,与08年的感染量相比增加了13.8%2。计算机病毒猖獗的背后是巨大的经济利益。据中国国家计算机网络应急处理中心估计,目前木马黑色产业链的年产值己超过2.38亿元人民币,造成的损失则超过76亿元。木马经济产业化的一个重要表现就是:制造木马、传播木马、盗窃账户信息、销赃、洗钱,分工明确,形成了一个非常完善的流水性作业程序,这个流水作业程序就是一条黑色产业链3。木马程序使得远程的黑客能够享有系统的控制权。“知己知彼,百战不殆”,如果想找出防御木马攻击的有效途径,就必须认真地研究木马攻击的技术。在研究木马
13、攻防的过程中,如果能够理清木马攻击手段的发展脉络,就有可能进一步找出木马发展的趋势,并提早思考应对策略。1.2木马发展的现状自从世界上出现第一个木马程序(1986年的PC-Write木马)到今天,木马的发展已经历了五代45:第一代木马出现在网络发展的早期,是以窃取网络密码为主要任务,即简单的密码窃取、发送等,在隐藏和通信方面均无特别之处。第二代木马在技术上有很大的进步,使用标准的C/S架构,提供远程文件管理、屏幕监视等功能。但是由于植入木马的服务端程序会打开连接端口等候客户端连接,比较容易被发现。如:“冰河”、“Qmitis”。第三代木马在功能上与第二代木马没有太大差异,它的改变主要在网络连接
14、方式上,它的特征是不打开连接端口进行侦听,而是使用ICMP通信协议进行通信或使用反向连接技术让服务器端主动连接客户端,以突破防火墙的拦截。在数据传递技术上也做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度。如:网络神偷、Peep201等。第四代木马在进程隐藏方面,做了大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI6,实现木马的隐藏。前三代木马,大多都有独立的木马,因此用户可以根据启动项目中的描述内容,很快找到木马,并删除它。但是,第四代木马选择注册表的方式,伪装成DLL文件形式加载到正常的启动程序上,无法通过“任务
15、管理器”查看到正在执行的木马。不过在连接方式上,依然使用第三代木马或第二代木马的连接方式。如:Beast木马。第五代木马实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必象以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马噩梦II。特洛伊木马程序发展到今天已经相当完善了,但随着计算机技术的发展,木马仍会继续演变并运用一些新的技术和方法使其更具有攻击性和破坏性。从现在的趋势来看,木马将在隐藏性、代码的模块化设计、及时通知、跨平台、底层通信以及和蠕虫病毒技术融合等方面有所提升和发展。1.3论文研究的意义和目的由于木马活动的猖獗和其实现技术的不断更新,木马的防范工作也必
16、须与时俱进。只要了解木马的工作原理,借助协议分析工具,就能及时发现蛛丝马迹,降低木马带来的危害;只要熟悉木马的隐藏方法,就能快速找到并彻底清除木马,甚至找到入侵者;如果能够预先了解木马攻击手段,就可以有针对性防范木马主动入侵或攻击。论文通过对木马的原理进行深入分析,总结一些木马的一般规律和最新技术,对于提高木马的防范水平以及网络管理提供了一定的借鉴作用。1.4论文的研究内容本文在研究了木马的关键技术基础上设计实现了一款远程控制木马程序。主要研究内容:一、特洛伊木马的概念、发展过程、分类、特征、功能、发展现状及趋势。二、计算机远程控制技术的基础知识及远程控制的关键技术。三、在Windows平台下
17、实现一种远程控制木马程序,该木马采用能绕防火墙隐蔽地植入受控计算机,并根据控制端的指令进行启动、消亡以及其他各种控制功能。四、系统实时将受控计算机当前屏幕显示的信息、键盘记录、浏览文件等各种信息传输至远程控制端。五、对木马程序进行测试。1.5论文章节安排第一章简要介绍了本文的研究背景和意义,以及论文内容的安排。第二章总结了木马技术基础,包括木马的分类、特征、功能和发展趋势第三章研究了木马的工作原理以及木马实现的关键技术等,包括木马的伪装、隐藏和启动,远程控制关键技术及通信技术等。第四章是远程控制木马程序的设计。包括木马的模型结构及设计思想,关键功能的设计过程。第五章是远程控制木马程序的实现,包
18、括了木马的运行过程和功能测试。 第六章为结束语,总结毕业设计。第二章木马技术基础在计算机领域中特洛伊木马程序是一种未经授权的程序,它包含在一段正常的程序当中,这个未经授权的程序提供了一些用户不知道的功能,其目的是不需要管理员的准许就可获得系统使用权。它可以控制用户计算机系统,造成用户资料的泄漏,甚至造成整个计算机系统崩溃等。特洛伊木马和病毒的区别是它不能自行传播,而要依靠宿主以其它假象出现,冒充一个正常的程序,如Bo、Happy99、sub7、网络神偷、冰河等就是典型的特洛伊木马程序。本章详细论述了木马的分类、特征、功能、工作原理和攻击手段等。木马的全称是“特洛伊木马”,是一种新型的计算机网络
19、病毒程序。在RFC1244安全手册中给出的:“特洛伊木马是这样一种程序,它提供了一些有用的,或仅仅是有意思的功能。但是通常要做一些用户不希望的事,诸如在你不了解的情况下拷贝文件或窃取你的密码”。它利用自身所具有的植入功能,依附其它具有传播能力病毒, 或者通过入侵后植入等多种途径, 进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种敏感信息, 接受植入者指令, 完成其它各种操作,如修改指定文件、格式化硬盘等。2.1木马系统结构一个完整的木马系统由硬件部分、软件部分和具体的连接部分组成7。1、 硬件部分,建立木马连接所必须的硬件实体,分为控制端,服务端和Internet。
20、控制端是对服务进行远程控制的一方;服务端是被控制端远程控制的一方;Internet是控制段对服务端进行远程控制,数据传输的网络载体。2、 软件部分,实现远程控制所必须的软件程序。控制端程序,控制端用以远程控制服务端的程序。木马程序,潜入服务端内部,获取其操作权限的程序。木马配置程序,设置木马的端口号,触发条件,木马名称等,并使其在服务端隐藏的更隐蔽的程序。3、 具体连接部分,通过Internet在服务端和控制端之间建立一条木马通道所必须的一条元素。控制端IP和服务端IP,即控制端和服务端的网络地址,也是木马进行数据传输的目的地。控制端端口和木马端口,即控制端和服务端的数据入口,通过这个端口,数
21、据可以直达控制端程序或木马程序。2.2木马的基本特征综合现在流行的木马程序,它们都具有以下基本特征:1、 隐蔽性木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查来,这样将使得这类木马变得毫无价值。因此可以说隐蔽性是木马的生命。2、 自动运行性木马程序是一个系统启动即自动运行的程序,所以它可能嵌入在启动配置文件(如win.ini、system.ini、winstart.bat等)、启动组或注册表中。3、 欺骗性木马程序要达到长期隐藏的母的,就必须借助系统中已有的文件以防被发现。木马经常类似以常见的文件名或扩展名的名字(
22、如dll、win、sys),或者仿制一些不易被人区分的文件名(如字母“i”和数字“1”,字母“o”和数字“0”),或者伪装成常见的文件图标。以骗取用户的信任。4、 顽固性木马顽固性就是指有效清除木马的易程度。若一个木马在检查出来之后,仍然无法将其一次性有效清除,那么该马就具有较强的顽固性。很多木马程序中的功能模块已不再是单一的文件组成,而是将文件分别存储在不同的位置。这些分散的文件可以相互恢复,因此难以清除。5、 易植入性 任何木马必须首先能够进入目标机器(植入操作),因此易入性就成为木马有效性的先决条件。欺骗性是自木马诞生起最常见的植入手段因此各种好用的小功能软件就成为木马常用的栖息地。利用
23、系统漏洞进行木马入也是木马入侵的一类重要途径。目前木马技术与蠕虫技术的结合使得木马具类似蠕虫的传播性,这也就极大提高了木马的易植入性。从上面对木马特性的分析,可以看到木马的设计思想除了具有病毒和蠕虫的设计思想(即主要侧重于其隐蔽性和传播性的实现),还更多地强调与木马控制端通信能力,和反清除与反检测能力。由于有了控制端的攻击者的指挥,因此木马的行为特征就有了很强的智能化,具有很强的伪装能力和欺骗性。而木马的反清除能力,也使其极为固地和被寄生的系统纠合在一起。要想彻底清除木马,系统也得付出惨痛代价。2.3木马的功能只要在本地计算机上能操作的功能,目前的木马基本上都能实现。木马的控制端可以像本地用户
24、一样操作远程计算机。木马的功能可以概括为以下内容8:1、 窃取数据以窃取数据为目的,本身不破坏计算机的文件和数据,不妨碍系统的正常工作,它以系统使用者难以察觉的方式向外传送数据。2、 接受非法授权操作的指令当网络中的木马被激活后,它可以获取网络服务器系统管理员的权限,随心所欲地窃取密码和各类数据,逃避追踪,同时不会留下任何痕迹。3、 篡改文件和数据对系统文件和数据有选择地进行篡改,使计算机处理的数据产生错误的结果,导致作出错误的决策。有时也对数据进行加密。4、 删除文件和数据将系统中的文件和数据有选择地删除或者全部删除。5、 施放病毒将原先埋伏在系统中但出于休眠状态的病毒激活,或从外界将病毒导
25、入计算机系统,使其感染并实施破坏。6、 使系统自毁包括改变时钟频率、使芯片热崩溃而损坏、造成系统瘫痪等。2.4木马的分类木马的分类多种多样,根据不同的分类标准,木马的种类也有所不同。(一)根据木马程序对计算机的具体动作方式,可以把现在的木马程序分为以下几类:1、 远程控制型:远程控制型木马是现今最广泛的特洛伊木马这种木马起着程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。这种木马在控制端的控制下可以在被控主机上做任意的事情,比如键盘记录,文件上传/下载,截取屏幕,远程执行等。这种类型的木马比较著名的有BO(Back Orific
26、e)和国产的冰河等。2、 密码发送型:密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类木马程序不会在每次Windows系统重启时都自动加载,它们大多数使用25端口发送电子邮件。3、 键盘记录型:键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录。这种木马程序随着Windows系统的启动而自动加载,并能感知受害主机在线,且记录每一个用户事件,然后通过邮件或其他方式发送给控制者。4、 毁坏型:大部分木马程序只是窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动删除受
27、控主机上所有的ini或exe文件,甚至远程格式化受害者硬盘,使得受控主机上的所有信息都受到破坏。总而言之,该类木马目标只有一个就是尽可能的毁坏受感染系统,致使其瘫痪。5、 FTP型:FTP型木马打开被控主机系统的21号端口使每一个人都可以用一个FTP客户端程序来不要密码连接到受控制主机系统,并且可以进行最高权限的文件上传和下载,窃取受害系统中的机密文件。(二)根据木马的网络连接方向,可以分为两类:1、 正向连接型:发起通信的方向为控制端向被控制端发起,这种技术被早期的木马广泛采用,其缺点是不能透过防火墙发起连接。2、 反向连接型:发起通信的方向为被控制端向控制端发起,其出现主要是为了解决从内向
28、外不能发起连接的情况的通信要求,已经被较新的木马广泛采用。(三)根据木马使用的架构,可以分为四类:1、 C/S架构:这种为普通的服务器、客户端的传统架构,一般我们都是采用客户端作控制端,服务器端作被控制端。在编程实现的时候,如果采用反向连接的技术,那么客户端(也就是控制端)要采用Socket编程的服务器端的方法,而服务端(也就是被控制端)采用Socket编程的客户端的方法。2、 B/S架构:这种架构为普通的网页木马所采用的方式。通常在B/S架构下,Server端被上传了网页木马,控制端可以使用浏览器来访问相应的网页,达到对Server端进行控制的目的。3、 C/P/S架构:这里的P是Proxy
29、的意思,也就是在这种架构中使用了代理。当然,为了实现正常的通信代理也要由木马作者编程实现,才能够实现一个转换通信。这种架构的出现,主要是为了适应一个内部网络对另外一个内部网络的控制。但是,这种架构的木马目前还没有发现。4、 B/S/B架构:这种架构的出现,也是为了适应内部网络对另外的内部网络的控制。当被控制端与控制端都打开浏览器浏览这个Server上的网页的时候,一端就变成了控制端,而另外一端就变成了被控制端,这种架构的木马已经在国外出现了。2.5木马的发展趋势特洛伊木马程序发展到今天已经相当完善了,但随着计算机技术的发展,木马仍会继续演变并运用一些新的技术和方法使其更具有攻击性和破坏性。从现
30、在的趋势看,木马在未来大概会向以下方向发展:1、 木马将更注重自身的隐藏性传统的木马开发重点多在如何实现远程控制功能上,随着对木马危害认识的加深和木马查杀工具的普及,木马程序的开发者不得不将更多的精力放在如何更好地隐藏自己上。可以预见,木马会借鉴病毒的开发技术,很快将会出现能够反查杀的变形木马等一批在恶劣的环境下更具生存能力的新型木马。另外,针对依靠监听网络通讯来发现木马踪迹的工具,木马也会使用诸如隐蔽信道之类的手段更好地隐藏自身。2、 更注重代码模块化的设计目前,程序设计的潮流是模块化设计,木马程序现在也具有这种概念。某些木马程序可以在控制的过程中,通过传送较复杂的模块库到被控端以达到自我升
31、级的目的。3、 即时通知目前,网络中很多机器使用的是动态IP,木马程序要想控制目标就比较麻烦,因此,未来的木马程序在这方面会进一步完善。会给木马增添即时通知功能,随时向黑客汇报木马受害者的IP地址。4、 可能会出现跨平台的木马现今木马一般都是基于某种硬件平台或者操作系统开发的,在各种操作系统之间并不具有通用性,对使用者要求较高。随着木马技术的成熟,木马的操作将更为简化,攻击将更为智能化,甚至可能会出现可跨平台工作的木马。5、 木马与蠕虫会相互融合蠕虫和木马是两种不同功能的程序。蠕虫具有自传播性,所以一般将其归为病毒。然而最近己经开始出现具有蠕虫特征的木马程序,这是个危险的信号。我们应该警惕危害
32、更大的此类木马蠕虫,这可能是今后一段时问木马发展的一个重要趋势。6、 未来木马将更注重底层的通讯编程,如针对网卡和Modem的通讯编程,这样可以逃过防火墙的监视和过滤91011。第三章木马工作原理及关键技术木马程序一般分为客户端(Client)和服务器端(Server),服务器端程序是控制者传到目标计算机的部分,骗取用户执行后,便植入计算机,作为响应程序。客户端是用来控制目标主机的部分,安装在控制者的计算机,它的作用是连接木马服务器端程序,监视或控制远程计算机。典型的木马工作原理是:当服务器端在目标计算机上被执行后,木马打开一个默认的端口进行监听,当客户机向服务端提出连接请求,服务器上的相应程
33、序就会自动运行来应答客户机的请求,服务器端程序与客户端建立连接后,由客户端发出指令,服务器在计算机中执行这些指令,并将数据传送到客户端,以达到控制主机的目的。木马程序的工作过程包含了木马程序的伪装、隐藏、启动、通信以及攻击等。3.1 木马的伪装特洛伊木马程序因其功能肯定不被人们所欢迎。因此,它们要想完成其不可告人的“使命”,就必须先将自身隐藏好。就目前我们对已知特洛伊木马程序的了解,特洛伊木马程序的伪装技术主要有以下几种方法12:1、 修改图标特洛伊木马服务端程序常常故意伪装成了各种网页或图片等图标。用户往往误认为这些程序对系统是无害的,因此很容易诱使其打开并将其运行。2、 捆绑于正常文件中这
34、种伪装手段有些类似于传统的计算机病毒程序。攻击者常常将特洛伊木马程序常捆绑到一个正常程序上。这样,一旦用户运行了这个正常程序运行,身藏其中的特洛伊木马程序就会在用户毫无察觉的情况下,偷偷地进入了系统运行。被捆绑的文件一般是可执行文件,例如,EXE、COM等类型的文件。3、 显示出错信息一些特洛伊木马程序的设计者意识到,如果用户打开一个文件而没有任何反应,用户很可能认这就是一个特洛伊木马程序。所以,一些特洛伊木马程序会故意显示一些出错显示。当被攻击者打开特洛伊木马程序时,往往会弹出一个错误提示框(当然这是假的,只是在迷惑用户,使其误认为这是一个正常、已被损坏的、不能轻易删除的文件)。错误内容可自
35、由定义,大多会定制成一些诸如文件已破坏,无法打开!之类的信息,当被害用户信以为真时,特洛伊木马程序就悄悄侵入了系统中。4、 自我销毁当用户打开含有特洛伊木马程序的邮件或其它文件后,其中的特洛伊木马程序就会将自己拷贝到Windows的系统文件夹中(即C:windows或C:windowssystem目录下)。但是,如果特洛伊木马程序只是如此简单的拷贝,就会造成源特洛伊木马程序文件和系统文件夹中的特洛伊木马程序文件长度的大小是一样的。那么,中了特洛伊木马程序的受害者只要检查一下近来收到的信件和下载的软件,并从中找到源特洛伊木马程序文件,然后根据源特洛伊木马程序文件的大小去系统文件夹找相同大小的文件
36、,判断一下哪个是特洛伊木马程序文件并将其删除就行了。特洛伊木马程序的此种伪装方式恰恰就是在于弥补自身的这种缺陷。因此,具备这种伪装功能的特洛伊木马程序会在将自身安装在被害系统后,将源特洛伊木马程序文件自动销毁。这样,被害用户就很难找到特洛伊木马程序的来源了,在没有查杀特洛伊木马程序工具帮助下,就很难删除木马了。5、 更改文件名特洛伊木马程序的编写者一定要在每次传播时,用一个与以往不同的文件名进行伪装。不过,大多特洛伊木马程序会选用一个与正常的系统文件名十分近似的文件名来故意误导用户,使用户误认为是正常的系统文件。例如,有的特洛伊木马程序会把名字改为window.exe。3.2木马的隐藏木马的隐
37、蔽性是木马能否长期存活的关键,为了达到隐蔽目的,木马开发者总是采用各种先进技术来实现木马的隐藏。木马隐藏的主要方式12:1、 在任务栏里隐藏这是最基本的隐藏方式。要实现在任务栏中隐藏的功能,在编程时是很容易实现的。以VB为例,在VB中,只要把form的Visible属性设置为False,ShowlnTaskBar设为 False,程序就不会出现在任务栏里。2、 隐藏端口一台机器有65536个端口,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势:当然也有占用1024以下端口的木马,但这些端口是常用端口,占用这些端口可能会造成系统不正常,木马容易暴露。现在已经有一种方法可以实现
38、端口的使用差异比较法对木马程序进行防杀的技术探讨复用,即一个端口既可以实现正常功能,又可以用于木马通信,采用这种技术的木马特意把自己的端口设成常用端口(如:80、23等端口),达到更好的隐蔽效果。3、 在任务管理器里隐藏查看正在运行的进程的最简单方法就是按下 Crtl+Alt+Del时出现的任务管理器。在WIN98中木马把自己设为“系统服务”就可以轻松地实现在任务管理里隐藏;在WINNT、WIN2000和WINXP中木马开发人员采用了一种更好的隐藏方式:即把木马写成动态链接库文件(dll文件),运行时将自己插入另一个进程(一般是系统进程,如explorer.exe)中,这样木马就是以线程形式而
39、不是以进程存在的,从而实现任务管理器里的隐藏,而且,当查看当前使用的端口时,木马打开的端口对应的进程不是木马本身,而是被插入的进程,即一个正常的进程,从而也实现了端口隐藏的目的。4、 隐藏通信隐藏通信也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通信连接:或者通过即时连接,如攻击者通过客户端直接接入被植入木马的主机;或者通过间接通信,如通过电子邮件的方式,木马将目标主机的敏感信息传给攻击者。目前大部分木马都是采用TCP连接方式使攻击者控制主机的,这些木马在植入主机后一般会在 1024以上不易发现的高端口上驻留;也有些木马采用端口复用技术,不打开新的通信端口,而选择一些常用的端口(如
40、80)实现通信,在收到正常的HTTP请求仍然把它交与Web服务器处理,只有在收到一些特殊约定的数据包后,才调用木马。现在有些木马采用ICMP协议转输,通过IMCP数据包进行通信控制,这样除非分析数据包里面的内容,否则很难发现木马连接。还有些木马只有收到特定的数据包才开始通信,平时处于休眠状态。5、 隐藏启动方式木马启动的方式多种多样,但殊途同归,都为了达到一个目的:使木马的服务端程序自动运行。常见木马启动的方式有:加载程序到启动组;将程序启动路径写到注册表的HKEY_LOCAL_ CHINESoftwareMicrosoftWindowsCurrentVersionRun (以及Runonce
41、等):修改Boot.ini:通过注册表中的输入法键值真接挂接启动;修改Explorer.exe启动参数以及在win.ini和System.ini中的load节中添加启动项;在Autoexe.bat中添加程序等;或采用了文件关联实现木马的启动(如:冰河木马);也可利用DLL木马替换系统原有的动态连接库,使系统在装载这些连接库时启动木马(如:著名的GINA木马);还可以采用与其他可执行文件捆绑的方式,在运行捆绑文件时在后台运行。但随着计算机技术的发展,还会有更多、更隐蔽的启动方式出现。6、 隐藏传播方式与病毒不同,木马大多没有主动传播的功能。因此,如何将木马成功植入目标主机是木马成功运行的关键。目
42、前大多数木马采用的传播途径仍然电子邮件,但近几年,随着木马的流行,用户对木马的认识不断提高,大多用户都清楚一些关于木马和如何防治的基本知识,这种方法己经很难凑效。随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,Javascript、VBScript、ActiveX几乎每一个新功能都会导致木马的快速进化。再一个就是,利用系统漏洞进行木马传播,随着技术的不断发展,这种方法将逐步成为木马植入的主流。如通过在邮件内容内嵌WSH(Windows Script Host)脚本,用户无需打开附件,仅仅浏览邮件内容,附件中的木马就会被执行。即使用户删除了WSH功能,攻击者仍然能通过其他的系
43、统漏洞(如MIME漏洞),在用户浏览邮件时将木马植入到计算机中运行。目前,邮件木马已经从附件走向了正文,简单的浏览也会中毒,一个Guest用户也可以很容易的通过修改管理员的文件夹设置获得管理员权限。7、 最新隐身技术通过修改虚拟设备驱动程序 (VXD)或修改动态链接库(DLL)来加载木马。这种方法基本上摆脱了原有的木马模式一监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马将修改后的DLL替换系统原来的DLL,并对所有的函数调用进行过滤。对于常用函数的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特殊情况,木马会自动执行。一般情况下,DLL只是进行监听,
44、一旦发现控制端的请求就激活自身。这种木马没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它。在正常运行时,木马几乎没有任何踪迹,只有在木马的控制端向被控制端发出特定的信息后,隐藏的程序才开始运行。3.3木马常见的启动方式木马程序也和其它的计算机软件或程序一样,也必须把自己从硬盘或网上下载下来,调入系统中运行,从而实际其功能。总体上说来,特洛伊木马程序主要有以下几种启动方式14:1、 随正常的程序启动而启动一些特洛伊木马程序为隐藏自己,将自己与其它一些正常应用程序捆绑在一起。一旦用户运行被捆绑文件,特洛伊木马程序就会进入系统运行。甚至一些木马程序将自身捆绑进入系统文件。
45、这样每次系统启动,特洛伊木马程序也会随着启动。2、 隐藏在配置文件(Autoexec.bat和Config.sys)中在Windows系统中,Config.sys文件主要是设置一些启动参数和加载驱动程序。而Autoexec.bat是系统开机自动运行的批处理文件。在特洛伊木马程序出现的前期,一些狡猾的特洛伊木马程序知道,一般用户平时使用的是图形化界面的操作系统,对于那些重要的系统配置文件几乎是一窍不通,故而也不曾亲身接触过。这样,这些系统配置文件恰好成为了这些特洛伊木马程序一处绝好的藏身之地。而且特洛伊木马程序还利用配置文件的特殊功能,很容易就能使自己在系统中运行、发作,从而偷窥、监视被害者的秘
46、密或控制被害用户的计算机系统。3、 潜伏在Win.ini中在windows系统中,Win.ini文件中提供了WIN 16程序需要的字体设置、文件关联等信息,主要完成GUI(图形用户接口)的相应的环境配置。特洛伊木马程序要想达到控制或者监视计算机的目的,就必须要运行,然而又不指望用户自运行特洛伊木马程序。所以,特洛伊木马程序就必须在系统中找一个既安全能在统启动时自动运行的地方。而在Windows系统中,Win.ini文件是特洛伊木马程又一经常隐藏的地方。在Win.ini文件的windows字段中,它有两行启动命令,一行是“load=”,另一行是“run=”。在一般情况下,这两个字段的“”后面是空
47、白的。如果它们有后跟程序,比如说,run=c:windowsfiles.exe或load=c:windowsfiles.exe。这个file.exe就很可能是特洛伊木马程序了。4、 在System.ini中藏身在windows系统中,System.ini是WIN 16的系统硬件配置文件,WIN 9X又为其增加了一些新的设置,以保证WIN 16和WIN 32相互协调,使WIN 16可以调用VXD(虚拟设备驱动程序),这一点在W提供的系统调试参数中已充分体现。另外GUI(图形用户接口)的外壳程序(SHELL,即界面程序)、鼠标、显示器等驱动程序必须通过System.ini设置才能加载使用。这些均决定了SYSTEM.INI是绝对不能删除的。这也充分证明了WIN 9X是一个WIN 16和WIN 32的混合系统,也揭示了WIN 9X系统先天脆弱的根本原因。Windows安装目录下的System.ini也是特洛伊木马最喜欢隐蔽的地方之一。在这个文件中,有一个boot字段,这个字段也是特洛伊木马程序经常用来自启动的地方。另外,在System.ini中,386Enh字段中的“driver=路径程序名”,也有可能被特洛伊
链接地址:https://www.31ppt.com/p-2401946.html