目 录
一、引言……………………………………………………………………………1-1
二、“特洛伊”木马程序的发作表现及其发展历史……………………………1-5
三、“特洛伊”木马的组成……………………………………………………… 5-5
四、“特洛伊”木马攻击原理分析……………………………………………… 5-10
五、“特洛伊”木马检测技术……………………………………………………10-11
内 容 摘 要
随着网络技术的不断发展,上网已成了人类生活中不可缺少的一部分,但在人们享受网络给人类带来便利的同时,另一类可怕的东西—“木马”已把魔爪伸向了网络。本文先主要介绍了“特洛伊木马”这个词的由来,接着向大家讲述“特洛伊”木马程序的发展历史和发作表现,意在引起大家在日常工作和生活中的注意,然后介绍了“特洛伊”木马的组成并详细介绍了它的攻击原理,最后向大家讲述应如何检测“特洛伊”木马,发现了“特洛伊”木马如何处理。希望通过此文能对大家的工作和生活带来便利。
特洛伊木马程序攻击机理分析和检测技术
木马是一个计算机的词汇,但是他却是来源于古希腊。古希腊神话《木马屠城记》记录有这样的故事,说的是有一个美丽而妖艳的女孩嫁给了希腊的王子,但是最终却被Trojan City(特洛伊城) 的王子吸引并私奔回到了特洛伊城,希腊人于是把发兵把该城围住,但是围了十年都没有攻下,后来希腊人想出了一条计策,他们把士兵藏在一匹匹木头做的马(这就是木马的来历)里面,并且引诱特洛伊人把这些木马当成战利品夺回城中,到了半夜,这些木马的士兵跳出来,和城外的希腊士兵里应外合,最终把特洛伊城攻下了。后世称这只大木马为“特洛伊木马”。 一、引言
特洛伊木马是一种基于C/S架构的网络通信软件 ,一般情况下可分为客户端程序和服务器端程序两部分,其中服务器端在目标计算机上驻留,客户端被控制者操纵。通常情况下,由客户端程序通过某种方法,主动与服务器端程序连接并建立通信关系,对目标计算机进行操纵。现在比较流行的“反弹端口” 的木马, 由服务器端主动向客户端发出建立连接的请求并建立通信关系。著名的木马“灰鸽子”就采用了这种技术。
特洛伊木马可以通过多种方法与特定的程序进行关联, 当目标计算机系统启动后,如果用户不幸打开了被木马用来关联的程序,则木马的服务器端程序将被激活,并开始打开端口,建立与远程对应的客户端程序的通信。通过打开的端口,服务器端程序对目标计算机进行未授权的侦听。在侦听过程中,它可接收并执行来自客户端的指令,诸如删除文件、重启计算机等非法操作,并将目标计算机的一些秘密信息送往客户端。
可见,特洛伊木马对网络上的计算机的安全性和信息的秘密性构成了极大的威胁。计算机一旦被植入木马,攻击者便可进行远程控制, 目标计算机将毫无安全和秘密可言。
二、特洛伊木马程序的发作表现及其发展历史
如果用户计算机中了木马,那么发作时的情况多种多样,常见表现如下:
1.计算机有时死机,有时又重新启动;
2.莫名其妙地读写硬盘或软驱,光驱莫名其妙地开仓;
3.用户并没有运行大的程序,系统速度变慢,系统资源占用变多;
4.在任务管理器中出现一些陌生且奇怪的进程名,它们明显不应该出现在这里。出现上述现象,说明用户计算机有可能中了木马,当然,也有可能是其他病毒在作怪。特洛伊木马具有隐蔽性,这是木马程序的一大特点,同时也是它与远程控制类软件(如Windows自带的“远程桌面连接”)的主要区别。
特洛伊木马程序发展至今,已经经历了4代:
(1)第一代木马,即是简单的密码窃取,发送等;
(2)第二代木马,在技术上有了很大的进步,“冰河”是典型代表之一;
(3)第三代木马在数据传输技术上做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度;
(4)第四代木马在进程隐藏方面做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI,实现木马程序的隐藏。
木马的种类:
1.破坏型
惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件。
2.密码发送型
可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密 码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从 中寻找有用的密码。
在这里提醒一下,不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中,那用户就大错特错了。别有用心的 人完全可以用穷举法暴力破译用户的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历,通过窗口标题查找密码输入和 出确认重新输入窗口,通过按钮标题查找我们应该单击的按钮,通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送 WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中,把密码保存在一个文件中,以便在下一个序列的密 码再次进行穷举或多部机器同时进行分工穷举,直到找到密码为止。此类程序在黑客网站上唾手可得,精通程序设计的人,完全可以自编一个。
3.远程访问型
最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。
程序中用的UDP(User Datagram Protocol,用户报文协议)是因特网上广泛采用的通信协议之一。与TCP协议不同,它是一种非连接的传输协议,没有确认机制,可靠性不如TCP,但 它的效率却比TCP高,用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端,只区分发送端和接收端,编程上较为简单,故选用了UDP协议。本程序 中用了DELPHI提供的TNMUDP控件。
4.键盘记录木马
这种特洛伊木马是非常简单的。它们只做一件事情,就是 记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验,这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项,顾名思 义,它们分别记录用户在线和离线状态下敲击键盘时的按键情况。也就是说用户按过什么按键,下木马的人都知道,从这些按键中他很容易就会得到用户的密码等有用信 息,甚至是用户的信用卡账号哦!当然,对于这种类型的木马,邮件发送功能也是必不可少的。
5.DoS攻击木马
随着 DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当用户入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为用户DoS 攻击的最得力助手了。用户控制的肉鸡数量越多,用户发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可 以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
6.代理木马
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马 最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。
7.FTP木马
这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。
8.程序杀手木马
上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用。
9.反弹端口型木马
木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在 80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,用户就会以为是自己在浏览网页。
