木马攻击研究毕业论文毕业设计(论文)word格式.doc
《木马攻击研究毕业论文毕业设计(论文)word格式.doc》由会员分享,可在线阅读,更多相关《木马攻击研究毕业论文毕业设计(论文)word格式.doc(28页珍藏版)》请在三一办公上搜索。
1、序言 早期的防病毒思想并不盛行,那时候的网民也比较单纯,使用网络防火墙的人也只有少数,所以那时候的入侵者可以算是幸福的,他们只需要一点简单的社会工程学手段就能把木马程序传输给对方执行,这一时期的木马种植手段(如今的普遍称谓为“下马”)基本上不需要牵涉到技术,也许唯一需要的技术就是如何配置和使用一个木马,因为那时候木马也还是个新产物而已。那时候的网民,只能依靠自己的判断和技术,才能免受或摆脱木马之害。因此,当木马技术刚在国内开始的时候,任意一个IP段都有可能存在超过40%的受害计算机开放着大门等待入侵者进攻,可以毫不夸张的说,那时候是木马的第一黄金时期,唯一美中不足的制约条件就是当时的网络速度普
2、遍太慢了。随着时间的流逝,木马技术发展日益成熟,但网民的安全意识也普遍提高,更出现了初期的病毒防火墙概念,这个时期的入侵者必须掌握更高级的社会工程学手段和初期的入侵技术才能让对方受害了,这时期的木马虽然隐蔽性有了相对提高,但仍然是基于客户端寻找连接服务器端的模式。由于出现了病毒防火墙,网民判断和查杀木马的效率大大提高,而且大部分人也知道“人心不古”了,不再轻易接收陌生人给的程序,使得木马不再像上时期那样肆无忌弹的横行,但是因为病毒防火墙是个新兴产物,仍然有相对多的人没有安装使用,以至于许多老旧的木马依然可以横行无忌。 再后来,随着网络防火墙技术诞生和病毒防火墙技术的成熟,木马作者被迫紧跟着防病
3、毒厂商的脚步更新他们的作品以避免马儿过早“殉职”,同时由于网络防火墙技术的出现,让计算机与网络之间不再直接,尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核内部程序访问网络请求”的策略,导致大部分木马纷纷失效,这时期的木马逐渐分裂成两个派别:一种依然采用客户端连接服务器端的方式,只是改为了其他传输途径,如E-MAIL、FTP等,或者在内部除掉网络防火墙,以便自己畅通无阻;另一种则改变了入侵的思维,把“客户端连接服务器端”变为“服务器端连接客户端”,再加上一点社会工程学技术,从而突破了网络防火墙的限制,也因此诞生了一种新的木马技术“反弹型”木马。这一时期里,入侵者与受害者之间的战争终于提升
4、到技术级别,若想保护自己,除了安装网络防火墙和病毒防火墙,以及接触网络攻防技术以外别无他法,这个“基础互动”一直保持到今天的XP时代。到了XP时代,网络速度有了质的飞跃,黑客攻防战更是越来越多的浮上水面,因为系统变了,一个专门为网络应用而诞生的操作系统,必定会存在与网络有关的缺陷。没错,WinXP相对于Win9x的弱点就是它的网络漏洞太多了,无论是利用MIME漏洞传播的信件木马,还是通过LSASS溢出而放下的木马,都能在XP系统上分到一块肉。你也许会说,Win9x同样有许多漏洞,但是为什么它没有XP的烦恼?这是因为Win9x的网络功能太弱了,几乎没有什么系统组件需要依靠网络运行!所以现在的用户
5、,除了使用网络防火墙和病毒防火墙把自己包裹得严严实实以外,还要三天两头去微软的系统更新站点安装各种漏洞修复程序 特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害。木马攻击研究目录摘要.1 关键词.1第一章 木马概述1.1什么是木马.11.2 木马的危害.11.3 释放木马的常规方法.11.4 症状.2第二章 木马植入技术 2.1 木马的植入.4 2.2 了解木马的加载方式.5 2.3 木马的自动运行.5第
6、三章 木马的隐藏和伪装技术 3.1木马的伪装方式.63.2 常规伪装技术.7第四章 木马的攻击示例 4.1 入侵的方式.15 4.2 用自解压包入侵的方法.15 4.3 通过QQ木马入侵(例如盗取QQ号).16 4.4 rootkit木马攻击原理.17第五章 木马的防范与清除 5.1 木马的清除.20 5.2 抵抗图片型木马的方法.20 5.3 木马万能查杀法.20第六章和 木马的种类同时与计算机病毒、蠕虫有什么区别6.1木马程序的种类.216.2计算机病毒、蠕虫有什么区别.23结 论.25致 谢.26参考文献.26摘要特洛伊木马(以下简称木马),英文叫做“Trojan horse”,其名称取
7、自希腊神话的特洛伊木马记。 古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动盗密报卡解绑过程关键词电脑,病毒,木马,计算机病毒,计算机安全第一章 木马概述1.1什么是木马“木马”一词,已不再是新名称;木马的流行,已不再是新鲜的事儿;但是木马的
8、危害,却始终是困扰众多使用者的根源;中了木马的计算机,可谓来无影,藏无踪; 轻则让用户计算机速度发生异常、网络速度变慢、甚至系统崩溃,重则往往让用户丢失游戏、银行帐户密码等等与个人息息相关的重要信息,不仅苦不堪言,还后悔莫及;种种恶果,种种恶行,种种懊悔,不仅木马传播者应承担一定责任,就连个人而言,或多或少也应该负点小小的责任;不良事件的发生,皆由我们太不了解木马所致;本文,旨在谈一下木马相关知识和研究,希望对阁下有所帮助!木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户
9、,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。1.2 木马的危害相信木马对于大家来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方
10、可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在! (木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日,一个黑客入侵了美国微软的门户网站,而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面!) (大家比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作方法和强大的控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。)1.3 释放木马的常规方法(1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马
11、程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。(2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。1.4 症状(1)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改
12、成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。 (2)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(EXE,COM一类的文件)。 (3)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木马程序时,会弹出一个如下图所示的错误提示框(这当然
13、是假的),错误内容可自由 定义,大多会定制成一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了 系统。 (4)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带来了麻烦。 (5)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到WINDOWS的系统文件夹中(C:
14、WINDOWS或C:WINDOWSSYSTEM目录下),一般来说原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。 (6)木马更名 安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很
15、多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。第二章 木马植入技术2.1 木马的植入通过网上邻居(即共享入侵)要求:对方打开139端口且有共享的可写目录.用法:直接将木马放入即可.通过IPC$要求:双方均需打开IPC$且需要有对方的一个普通用户的帐号(具有写权限)用法:先用NET命令连上对方电脑 net use IPIPC$ 密码 /user:用户名再用COPY命令将木马复制到对方电脑net copy本地木马路径 远程木马路径+木马名字 通过网页植入要求:对方IE需要是IE未打补丁版本用法1:利用IE的IFRAME漏洞入侵.用法2:利用IE的DEBUG代码
16、入侵.用法3:通过JS,VBS代码入侵用法4:通过ActiveX或Java程序入侵.通过OE入侵.要求:对方OE未打补丁.用法:与中的用法1,3,4相同.通过WORD/EXCEL/ACCESS入侵要求:对方未对宏的运行做限制.用法:编写恶意的宏,夹杂木马,一运行office文档便植入主机中.用法2:通过OFFICE的帮助文件漏洞入侵.通过Unicode漏洞入侵要求:对方有Unicode漏洞用法(举例): _blankhttp:/x.x.x.x/scripts/.%c1%1c./winnt/system32/cmd.exe?+COPY+本地木马路径+远程路径+木马名通过FTP入侵要求:对方的FT
17、P可以匿名登陆而且可写入用法:直接将木马传上去即可.通过TELNET入侵要求:具有对方的一个具有写权限的帐号用法:用TELNET命令将木马传上去.EXE合并木马要求:无(但用于合并木马的EXE文件体积应该尽量小,而且应该是比较熟悉的程序.)用法:用EXE文件合并器将两个EXE合并即可.winrar木马入侵要求:对方安装了Winrar用法:将压缩包设置为自解压格式,并设置自动运行的选项,再将RAR图标更改.文件夹惯性点击法要求:无用法:将一个木马伪装成文件夹的图标,再将其放于几层目录中.2.2 了解木马的加载方式加载方式:定位于System.ini和Win.ini文件System.ini(位置C
18、:windows)boot项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时,都会自动加载。boot项修改后配置:“shell=explorer C:windowsxxx.exe”(xxx.exe假设一木马程序)。Win.ini(位置C:windows) windows项原始值配置:“load=”;“run=”,一般情况下,等号后无启动加载项。windows项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。解决办法:执行“运行msconfig”命令,将System.ini文件
19、和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改。加载方式:隐藏在注册表中(此方式最为隐蔽)。注意以下注册表项:HKEY LOCAL MACHINESoftwareclassesexefileshellopencommand原始数值数据:%1%被修改后的数值数据:C:systemxxx.exe %1%原注册表项是运行可执行文件的格式,被修改后就变为每次运行可执行文件时都会先运行C:systemxxx.exe
20、这个程序。例如:开机后运行QQ主程序时,该xxx.exe(木马程序)就先被加载了。解决办法:当通过防火墙得知某端口被监听,立即下线,检查注册表及系统文件是否被修改,找到木马程序,将其删除。所谓“病从口入”感染源还是在于加载了木马程序的服务器端。目前,伪装可执行文件图标的方法很多,如:修改扩展名,将文件图标改为文件夹的图标等,并隐藏扩展名,因此接收邮件和下载软件时一定要小心。许多木马程序的文件名很像系统文件名,造成用户对其没有把握,不敢随意删除,因此要不断增长自己的知识才可防备万一。2.3 木马的自动运行由自启动激活木马 自启动木马的条件,大致出现在下面6个地方: 1.注册表:打开HKEY_LO
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 木马 攻击 研究 毕业论文 毕业设计 论文 word 格式
链接地址:https://www.31ppt.com/p-4025640.html