计算机_木马_原理及其入侵处理

󰀁卷󰀂󰀁󰀁知󰀂󰀁第乃󰀁期󰀂󰀁琼州大学学报󰀂󰀁󰀁󰀂󰀁󰀁󰀂󰀁󰀁󰀁󰀁󰀁󰀁󰀁󰀁󰀁󰀁󰀁󰀁󰀁󰀁󰀁 󰀁󰀂 󰀁󰀁年󰀁󰀁󰀁󰀁󰀁月󰀁󰀂日󰀁󰀁󰀁󰀂幻󰀁计算机木马原理及其人侵处理王槐源󰀁琼州大学物理系海南五指山“”󰀁󰀂 !󰀁󰀁摘󰀁要在剖析计算机木马的实现原理及其入侵计算机系统基本过程的基础上提出针对木马入侵的防范侦测和清除的基本方法󰀁关键词木马󰀁原理󰀁防范󰀁清除中图分类号󰀁󰀁󰀂召󰀁󰀂󰀁文献标识码󰀁󰀁文章编号󰀁󰀁󰀁󰀁一󰀁󰀁󰀂󰀁󰀂󰀁󰀁󰀁󰀁󰀂 一以科󰀁一󰀂󰀁”在互联网迅速发展并得到普及的形势下󰀁󰀁向目标主机传播木马“基于网络化的电子商务电子政务远程教育从攻击者向目标主机传播木马指攻击者通过各种方式将木马程序传达目标主机的过程主要有󰀁主要是等应用也得到很大的推广同时利用网络窃的服务器端取机密数据和非法控制攻击他人计算机的网从实现方式上看󰀁络人侵事件也不断地发生在各种侵人手段󰀁中最容易使用和使用频率最高的就是借助于一种利用网络实现人侵和远程控制他人计算电子邮件󰀁󰀁一 󰀂󰀁󰀁󰀂󰀁一󰀁进行传播攻击者将木马程序伪装成 󰀂󰀁󰀂󰀁附件的形式发机的黑客工具目前国产比较有名的木马有—木马送出去收信人只要查看邮件附件就会使木󰀁冰河马程序得到运行并安装进入系统󰀁网络神偷广外女生网络公牛火凤网络下载进行传播一些非正规的网站󰀁凰等󰀁国外出名的则有󰀂󰀁󰀁󰀂󰀁󰀁󰀁󰀁刀。‘󰀁󰀂 !以提供软件下载为名将木马程序捆绑在其加󰀁当木马被植人目标机器后攻击者可以撇󰀁 服󰀂枷󰀁󰀁󰀂刀呷󰀁󰀂等他软件安装程序上当用户下载安装时木马程序也自动安装进系统。通过它获得强大的控制和破坏能力可以窃取网页浏览传播前两种方法需要我们󰀁系统密码控制系统的运行进行有关文件的操作随心所欲地对被控机器进行使用也可以躲在暗处静静地监控你对自己机器的所有主动地安装木马这一方法却会让我们在浏览网页享受冲浪乐趣的同时无知地受害了这种方法利用󰀁󰀂󰀁叨󰀁 编写出一个󰀂勺󰀁界操作木马对计算机系统和网络的安全危害相当大了解分析它的工作原理对防范和󰀂󰀁网页当我们浏览该页面时 󰀂󰀁󰀁月即󰀁 󰀂会在后台将木马程序下载到计算机缓存中然后修改系统注册表使指向木马程序󰀁清除木马具有很大的帮助󰀁“”木马的实现原理利用矶山。系统自身漏洞进行传播刀󰀁从本质上看计算机木马不一例外都是网络客户󰀁服务󰀁󰀁衍󰀁󰀂󰀁这是一种主动攻击的方式󰀁攻击者利用所了󰀂󰀁二󰀁󰀁󰀁程序组合常由解的󰀁󰀂󰀁󰀂哪系统的安全漏洞及其特性主动出击一个可由攻击者用来控制被侵计算机的客户如端程序和一个运行在被控机器端称为服务器端程序组成月侣万叱󰀁󰀂服务器的溢出漏洞通过一个󰀁的攻击程序就可使󰀁󰀂服务器崩溃当攻击者要利用木马进行网并同时在被攻击服务器执行木马程序󰀁󰀁络人侵一般都需完成向目标主机传播木马启动和隐藏木马“”󰀁节启动和隐藏木马一服务器端󰀁目标主机󰀁木马程序在被植人目标主机后不可能和客户端建立连接󰀁进行远程控制等环寄希望于用户双击其图标来运行启动只能不动声色地自动启动和运行并将第三环节所需󰀁巧收稿日期󰀁《󰀂󰀁󰀂󰀁󰀁󰀁作者简介王槐源󰀁󰀁󰀁󰀁一一一󰀁男海南乐东人琼州大学物理系讲师主要从事教育技术应用教学第󰀁期王槐源󰀁计算机木马原理及其人侵处理的一些信息主动地传送给攻击者攻击者才能以此为依据侵人被侵主机完成控制󰀁,󰀁󰀂󰀁。,二󰀂󰀁。󰀁输人法程序󰀁󰀁 󰀂󰀂󰀁󰀂󰀁󰀁󰀂󰀁。󰀁同时󰀁󰀂。󰀂󰀁󰀁注册表检查程序󰀁助󰀁酬󰀂计划任务木马还须注意隐藏自己潜伏下来使自身召󰀁󰀂󰀁󰀂󰀁󰀁程序󰀁󰀁󰀂󰀁电源管理程序等这为不被主机合法用户所发现为此木马程序恶意程序提供了机会通过覆盖相应文件就可以获得自动启动的机会而不必修改系统任何使用了纷繁复杂的技巧来达到目的在󰀁󰀂󰀁󰀂要有󰀁󰀁叨󰀁系统中󰀁木马的启动方式主设置󰀁利用󰀁󰀂。注即󰀁 󰀂󰀁󰀁咖󰀁启动利用或妞󰀂󰀁修改󰀁󰀁󰀁󰀂󰀂󰀁󰀁。󰀂󰀁󰀁等批处理文件来实现󰀁󰀁󰀂󰀁󰀁”儿页面附带的󰀁󰀂二自动启动常通过修改󰀂󰀁󰀁󰀂󰀂󰀁󰀁󰀂󰀁‘󰀂比俄砒󰀁 󰀂柳󰀁公󰀁󰀂巾󰀁后台或下下载木马程序到系统缓存然后修改注册表󰀂󰀁󰀁󰀂󰀁󰀁󰀂󰀁󰀂󰀁‘等三个批处理文件来实现自使注册表指向其程序󰀁动启动通过󰀁󰀁󰀂修改配置文件󰀁系统配置文件应用程󰀁了 󰀂󰀁󰀁󰀂󰀁启动也称为󰀁瓦陷阱技术常的󰀁󰀁这种方法通过替换俄󰀂二￡系统中正刀此序配置文件󰀁实现通过修改󰀁󰀂诉俄力󰀁󰀁󰀁,文件󰀁󰀂󰀁󰀁文件如切󰀁󰀂󰀁󰀁刀乙乙文件󰀁动态链接库文件󰀁如果是系统文件或应用程序的正常的调用请求它就把请求转到原先的进行处理如果是约定的木马操作则该文件中相关部分来实现如在俄󰀁󰀁󰀁󰀁󰀁󰀁󰀁󰀁中󰀁叨󰀁󰀁‘󰀂」󰀂󰀁󰀁段下的󰀁󰀁󰀁󰀁󰀁󰀁󰀂程序名和󰀁“程序名是要害位置文件就实现木马服务器端的功能󰀁在程序名位置写人木马程序名就可实现自动运行“通过以刀启动这种方法直接把木马󰀁程序写成为以刀文件的形式进行加载进而在 󰀂󰀁󰀁󰀁󰀁󰀁󰀁󰀁文件中󰀁󰀂 󰀁󰀁」段下‘󰀂󰀁󰀁󰀁󰀁直接控制俄󰀁󰀂。系统底层非常具有隐蔽󰀁程序名位置就是木马常用的藏匿之处的表达应是正确性它们一般在注册表󰀁与刀人󰀁醉󰀁󰀁󰀁仅󰀂吞乃󰀁‘󰀁󰀁󰀂。女󰀁󰀁肠󰀁󰀁󰀁 󰀂󰀁󰀁󰀁󰀂󰀁󰀁󰀁󰀂󰀁󰀁刀了脚󰀁󰀁󰀁󰀁󰀁如果不是󰀁󰀁󰀂󰀁󰀂󰀁󰀁󰀁󰀂󰀁󰀁󰀁󰀁󰀂󰀁󰀁󰀂󰀁诚󰀁󰀁项 󰀂󰀁󰀂󰀁󰀁󰀁󰀂󰀁。而是其他的写法则主机已被目中加载启动使用这种技术的木马目前比植入木马不疑。较罕见通过注册表中的󰀁󰀁乙󰀁相关项启动通一󰀁计算机木马除了使用上述所列方式启动和隐藏自己之外常常还使用字符相近相似过在俄󰀁󰀂󰀂󰀁󰀁二、系统注册表中刀人石󰀁󰀁忆艺七󰀂󰀁󰀁󰀁󰀁󰀂󰀁“󰀁󰀂󰀂󰀁󰀁口万丫󰀁六负沂󰀁󰀂󰀂动󰀁󰀁下面󰀁的󰀁󰀁󰀂󰀁󰀁󰀂娇󰀁矶山。󰀁󰀂脚以。󰀁󰀂󰀁󰀁󰀁󰀁󰀂󰀁󰀁󰀁󰀁󰀁󰀂󰀂󰀁󰀁性和运行假像等骗术来达到目的木马成功获得启动和隐藏后它必须把󰀂󰀁󰀁󰀂󰀂󰀁󰀂󰀁󰀂󰀁󰀁和󰀁󰀁󰀂󰀁󰀁󰀁󰀁项中添加键值可以容人侵主机的信息如主机名主机的󰀁󰀂地址木马植人的端口易地实现木马程序的启动如果在带有号等发送给攻击者一般采󰀁 󰀂󰀁的项中添加木马则更具隐蔽性因用的方式有发送电子邮件给攻击者也有采用发送的为带有󰀁󰀁󰀁󰀂。的项中的键值在程序运行后将之刃尸或了󰀁乃少尸数据包的方式通知攻击者被系统自动删除攻击者在获得这些信息后才能利用木通过修改文件关联属性来实现启动这󰀁马客户端与服务端建立起连接进行里应外是木马最为常用的方法国产木马冰河用的就是这种方式文件合的攻击󰀁󰀁。󰀁文件󰀁通常修改的是󰀂󰀂服务器端和客户端建立连接 󰀂󰀁文件和󰀁󰀂󰀁 󰀁二󰀂未知󰀁文件的关联来󰀁在网络客户󰀁服务工作模式中必须具有一台主机提供服务󰀁服务器󰀁另一台主机接受服务󰀁客户端󰀁这是最起码的硬件必需也是实现。󰀁󰀁󰀁。利用系统自动运行的程序在俄󰀂系统中有很多程序是可以自动运行的如在木马人侵的硬件基础对磁盘进行格式化后总是要运行磁盘扫描󰀂󰀁程序󰀁󰀁󰀂󰀁󰀂 󰀁、建立连接时作为服务器的主机会打开一󰀂󰀁。󰀂按下󰀁󰀁󰀁键时系统将运系统栏个默认的端󰀂󰀁󰀁󰀂󰀂󰀁‘口󰀁󰀁󰀁如果有客户进行侦听󰀁几󰀁󰀂󰀁。󰀁切󰀂󰀁或行󰀁󰀂󰀂󰀁󰀂。、。打开帮助文件󰀁系统机向服务器的这一端口󰀁󰀂提出连接请求󰀁󰀁󰀂二󰀁启动时系统将自动启动程序󰀁服务器上的相关程序󰀁木马服务器端󰀁琼州大学学报󰀁第󰀁󰀂卷󰀁󰀁󰀁 󰀂󰀁就会自动运行并启动一个守护进程来应答客对于从端口号为0125至49151的注册端口户机的各种请求其实现原理我们可以在󰀁󰀂(及goteerJ几南)和端口与为49152至65535的中用矶。󰀂󰀁控件来模仿实现󰀁󰀁其中‘󰀁󰀂󰀁二󰀁󰀂动态或私有端口(场namicrorP动以。oP巾)则常一󰀁常被木马程序所相中和‘必󰀁󰀂均为󰀁󰀂󰀁󰀂󰀁󰀁控件󰀁用于建立与木马客户端服务端󰀁的连接从而实现网络人侵‘一󰀁󰀂󰀁󰀂󰀁肠󰀁󰀁󰀁󰀁󰀂󰀁比=7626木马计划打(进行远程控制常见木马使用的端口开的默认端口可以按需改为别的值)表1中列出‘一&川.re肠tne(等待连接)端口号木马软件端口号木马软件8102网络神偷网络公牛客户端:心‘一.aicnteRDmte从〕“二es二erIP(设远20(K)黑洞2(又X)31338BaekOr沙e端地址为服务器地址)2(洲〕1黑洞20119191蓝色火焰G一lcint.CeReomtOP材二762631339刀(设远6267广外女生七饰了刀天程端口为前面所设的默认端口在这里可以分73网络精灵3.006“P少3.021hT。314095配一个本地端口给Ga记心如果不分配计桌7626冰河Ne肠句岁机将会自动分配一个)8011艘Y赖小子‘_aic瓜.火凤凰B口jamnez成必阮方‘oCnnect(调用矶n-络公牛nosck控件的连接方法)23月闷4网配tb之成cIQTroaj一旦服务端接到客户的连接请求concen-木马连接建立后客户端端口t和服务端口勿neR叼tseu就接受连接客户端程序可籍这条尸瓦‘以esub‘一反,r之间将会出现一条通道一ocn切nqtcen及seu(ByVla通道与服务端上的木马程序取得联系并通过qerusetDI击肠ng)木马程序对服务端进行远程控制具体的控‘一反邝er.Acc甲忿rqe乙seuDI制包括:窃取合法密码文件操作修改注册E耐Sub表系统操作等基本可以获取被控主机的所客户机端用‘_aic耐.凡刀d刀。ta发送命有操作权限只要攻击者愿意可以为所欲为!令而服务器在公Se_D以e2“~A沉影。事件中接木马”入侵防范侦测和破解由于绝大多数木马受并执行命令(几乎所有的木马功能都在这个都是必须采用直接事件处理程序中实现)通讯的方式进行连接所以设立防火墙是防范如果客户断开连接则关闭连接并重新侦木马人侵的最好途径防火墙方式不仅适听端口用于rC尸数据包还能够阻止〔尾护汉涌阴等尸月翻以es动‘_反欣r_曰。eso其它IP数据包的通讯控制通过对防火墙设‘一,;.置数据包过滤检查在适当规则下反如对.coles(关闭连接)通讯端口进行只允许系统接受限定几个‘一&,er场etn(再次监听)端口的数据请求这样即使木马植入成功攻E刀JSub击者也无法进人系统从而挫败其人侵意图其他的部分可以用命令传递来进行客户手工进行木马的防范和侦测时我们可端上传一个命令服务端解释并执行命令以通过下列方法进行处理:在建立连接过程中对目标主机空闲端口A.端口扫描的侦听是木马赖于建立连接的根本目前所端口扫描是检查远程机器有无木马的最知的木马程序基本都要用到侦听主机端口这好办法通常进行端口扫描的工具采用的是一技术在计算机的6万多个端口中通常把端口扫描软件也称为端口扫描器利用端端口号为1024以内的端口称为公认端口(俄“口扫描器尝试连接某个端口如果成功则说为功。n些系统服务oP出)它们紧密绑定于一明端口开放如果失败或超过某个特定的时间木马程序很少应用到此类端口进行连接而(超时)则说明端口关闭第5期:王槐源计算机木马原理及其人侵处理.B查看连接查看连接使用的是俄而讹系统自身的拈八飞at刀息和当前示了C尸/IP网络的连接情况如下图所命令利用该工具可以显示有关统计信:t一t格式是e参数1一参数2Nsa:其中a参数显示所有与该机建立连接的端口信息迹并将其键值及木马文件主体进行删除来清除人侵的木马查找文件显示以太网的统计信息一般与参数:共同使用n以数字格式显示地址和端口信C材尸查找系统中已知木马的特征文件并将其删除也是清除木马常用的方法“”计算机木马的未来发展息显示罗C尸J及Z刃尸协议的统计情况表2服务器默认使用的端口服务类型cEcEohoh〕在经过多年的斗智斗勇后未来计算机:木马的发展可能会朝着两个方向发展a)传统的犷乙尸端对端连接会被抛弃未来木马将广泛采用非据包或寄生了乙尸132957301491罗C尸/口刀尸的IP族数默认端7口服务类型aaDD默认端口端口(也称为端口反弹的nle乞i〕咐方式作为信息传递的手段从而更具隐蔽性FTI5肘2180734591eZnTetin诬eT刀八5iFnger未来木马将更注重底层的通讯编程PT。环乳sie。的通讯编程这样可以有如针对网卡和oMd效逃过防火墙的监视和过滤参考文献.〔l]周锋知识工程地计算机反病毒技术中的应用.M〕上海:上海科学技术文献出版社【Qr矽he伴WW尸O尸3了双C一(a刀刃TPtetsa在本地机上通过n程序)查看所有的或某个第三方的连接信息然后与0罗匕尸/刀刀尸口一l(拼.表2所列默认打开的端进行对照发现有不2」刃配之Je〔.ekrsiVc4sialBau月Pl0M〕北程序设计【.属于表中所列常用端口时应提高警惕检查注册表..3〕M〕北京:胡存生庄洪林计算机反病毒技术【【:京机械工业出版社一46.1在讨论木马的启动方式时已经提到木马可以通过注册表启动反过来我们同样可以8人民邮电出版社..4」M〕北京:清张汉亭计算机病毒与反病毒技术〔〔0一.华大学出版社00一.116通过检查注册表相关位置来发现木马的踪