时间:2023-05-30 10:45:41
关键词:木马 基因
1 木马程序简介
木马是一种新型的计算机网络病毒程序。它利用自身所具有的植入功能,或依附其它具有传播能力的病毒,或通过入侵后植入等多种途径,进驻目标计算机,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种信息,并能接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。当木马被应用在入侵和攻击方面时,它显示出巨大的危害性。一个典型的木马程序通常具有以下四个特点:有效性、隐蔽性、顽固性和易植入性。
(1)有效性:是指入侵的木马能够与其控制端建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息;(2)隐蔽性:木马病毒必须有能力长期潜伏于目标机器中而不被发现:(3)顽固性:是指有效清除木马病毒的难易程度;(4)易植入性:木马病毒有效性的先决条件。木马技术与蠕虫技术的结合使得木马病毒具有类似蠕虫的传播性,这也极大提高了木马病毒的易植入性。
2 木马病毒的新发展
2.1加壳技术
所谓“壳”就是专门压缩的工具。是针对exe、tom和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,称之为程序的壳。程序的壳有以下作用:(1)保护程序不被修改和反编译;(2)对程序专门进行压缩,以减小文件大小,方便传播和存储。
目前的防火墙和杀毒软件虽然也具有了一定的脱壳能力。但病毒加壳又使用了新技术。
(1)加多层壳。这个加壳方法就是用两种相同或者不同的加壳工具对木马进行双重加壳,这样就等于将木马程序进行了两次压缩计算,自然就会逃脱杀毒软件和防火墙的第一层过滤。使用的加壳算法越多,逃脱防火墙和杀毒软件查杀的几率就越高。
(2)换壳。就是把原来的壳脱了换另一种壳。如FSG就是使用这种方法。还有就是用GUW32脱了再加壳,对于脱壳不干净的软件用UPXpr技术处理再加壳,也可以定制加壳软件和定制壳。
2.2多态和变形技术
病毒多态是使病毒能够改变自身存储形式的技术,使传统的依靠特征值检测的技术失效。变形则在多态的基础上更进一步。对整个病毒体都进行处理,使不同病毒实例的代码完全不同,不但没有固定的特征码,而且也无需还原成没有任何变化的病毒体。
3 引入基因机制检测木马病毒
目前,木马程序的查杀主要还是使用特征码的查杀毒方法,但是它的弊端也是众所周知的。在入侵检测领域,无论是基于统计的入侵检测还是基于规则的入侵检测,它们的数据源都是从病毒的攻击或者是表象出发,首先获得病毒或者黑客的攻击表象,然后提取出特征,再抽取表达成模式或者规则,供入侵检测系统进行检测和识别。对这种杀毒机制而言,高频的升级都是滞后的。并且难以发现未知的木马模式,也是制约它们进一步发展的瓶颈。我们必须透过病毒程序的表象看到它们的本质特征,即借鉴生物体的生物机理和机制,将基因机制引入信息安全领域。针对病毒的变形和多态,可以追溯到病毒和恶意软件的本质,即运行时的核心序列和动作,如系统调用序列等,也就是基因层。在基因层面上,部分多态病毒和恶意软件,有的基因一样,有的能从它们的相似度上面找到多态和变形病毒程序之间的亲缘关系,找到查杀抑制病毒的多态和变形的方法,指导一条切实可行,而且高效的途径。对于基因机制引入病毒检测和防护领域,包括以下几个方面:
(1)表象到本质(基因)。从病毒的表象出发,找出病毒程序的本质或者是深层次的根源如系统调用序列,提取出类似生物体中的基因片段,每一个基因片段都对应一个或者多个病毒表象。
(2)单个基因入手。找出病毒基因,关注基因变异(称病毒的基因片段为病变基因,相应的正常程序那部分为正常基因),进而使用基因疗法,用好的基因来置换和修复病变基因、基因修饰和基因失活。
(3)基因片段组合入手。恶意软件中对应的一些基因片段,孤立地看它们都是正常的,但是当它们组合以后,便是一个恶意程序,如木马程序。在这种情况下,我们关注的是基因片段之间的关联关系,打破这种关联,也就可以达到防止这些恶意软件的目的。
(4)已知基因到未知基因。对基因进行诱发变异,产生新的基因。使用的具体方法是:一是定向诱变,就是使用一些领域的知识进行启发式诱变;二是表型诱变,对未知基因进行诱变,发现新的显性和隐性基因突变体及功能改变。
4 引入基因机制的可行性分析
(1)计算机病毒单基因存在的可行性:在信息安全中有些病毒或者恶意程序自身的复制能力很强,也就是具有自我复制性。
针对这类病毒,如果能够找出它们自我复制的那部分基因片段或者强行向EXE文件中写入代码的基因片段,就可以借鉴生物上面的基因疗法,首先是报警,然后可以用正常的基因片段来对病变基因进行替换,从根本上达到检测和防治病毒的目的。所以引入单个计算机病毒基因机制是可行的。
(2)计算机病毒基因组存在的可行性:计算机中的程序基因从单个基因角度看时是正常程序也拥有的基因片段,但是它们组合后产生的症状就是恶意程序的典型表现。
关键词 木马 计算机病毒 木马病毒防治 木马原理
中图分类号:TP309.5 文献标识码:A
0 前言
每一个上网的用户都会和计算机病毒打交道,其中木马病毒也是最常见的病毒之一,今天让我们揭去它神秘的面纱,看看他到底是什么真面目。
木马病毒全称为特洛伊木马病毒,名字来自于古老的古希腊传说,在《荷马史诗》中的木马计中以特洛伊指代了特洛伊木马,木马的英文全称Trojan,也是取自于木马计的故事。
之所以将此种病毒命名为木马,是因为它的特点和木马计中的特洛伊木马极其相似,在木马计中,特洛伊木马是为了隐藏破坏,里应外合的,而这种计算机程序也起到了相同的作用,他不会自我繁殖,仅仅在计算机中以独立的个体存在,不会主动去感染其他文件,所以从表面上看来,它是一个十分安静的病毒。它会以各种方式吸引受害者去下载执行,进而控制受害者的电脑,向木马病毒施种者提供打开被种者电脑的门户,让施种者可以对被种者的电脑内的任何文件进行破坏,窃取等恶意操作。如果条件允许的情况下,木马病毒的施种者可以直接对被施种者电脑进行控制操作。
1 木马的原理及发展
1.1 木马病毒的原理
这种卑鄙的程序原理其实十分简单,对于一个完整的木马程序成品,会具有两个部分,即服务端(服务器部分)和客户端(控制器部分)。木马病毒的使用者会使用一切手段将服务端(服务器部分)植入被害者电脑,而其自身操作客户端来控制服务端。当被害者运行了服务端后,木马自身会伪装产生一个用于迷惑被害者的名称进程,进而打开向指定地点发送数据的端口。当然,如果条件允许的话,木马施种者也可以通过这些开放的端口来进入被害者的电脑,对被害者电脑系统进行破坏。
但是这种程序不能自动运行,这也是其一大特点,一般的木马施种者会把它伪装成一种对被害者有用的东西或者一份十分有趣的计划,木马则暗含在一些用户下载的文档中,当被害者选择运行这些文档程序的时候,连带着激活了木马程序,只有这样才能使木马病毒开始运行,对被害者的文件和重要资料进行窃取和破坏。虽然它具有对文件的窃取功能,但从定义上来讲,木马和后门程序之间还是有本质的区别的,后门是指隐藏在程序内部,为后门操作者日后随时进入被害者计算机系统而留下的设置程序。
1.2 木马病毒的发展
木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了六代的改进:
第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能,开始了木马程序的开端。
第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。
第三代,主要改进在数据传递技术方面,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度,出现了ICMP等类型的木马,代表性的木马是ICMP监控型木马。“ICMP木马”监控,木马程序英文名字Win32.Troj.IcmpCmd,该木马可以向指定的已经被植入该木马的IP地址发送命令,可以直接对感染的计算机进行口令修改,获得最高管理权,实现重启计算机打开远程SHELL、注入远程SHELL等,会给用户的机器带来不可预知的破坏。
第四代, 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。
第五代,驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。
第六代,随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。
1.3 木马病毒的未来可能发展趋势
1.3.1 关于winPE的发展方面的发展
R0级内核攻防的技术不断进化,现在发展了内核驱动(各种HOOK)木马,MBR病毒以及BIOS病毒。只要被病毒或木马成功运行一次,整个系统的核心防线就会被直接打穿,瞬间就会导致崩溃。现在,感染了恶性病毒或木马后,基本上都会选择进入WinPE环境下进行查杀和修复。那问题来了:
会不会木马或病毒不仅在正常的Windows环境下可以运行,在WinPE环境一样可以运行,然后进行各种破坏?
预计发展进程:内核驱动木马MBR病毒BIOS病毒PE病毒
1.3.2 关于不被广大用户注意的硬件木马
目前的广大计算机木马病毒制造者都会把硬件方面的主要目标定位在CPU等重要硬件,但是2013年NVIDIA显卡驱动爆出漏洞,引起人们注意。未来,除CPU以外的如显卡,声卡,网卡等以前不太惹人注意的硬件设备会被木马病毒利用,所以不被广大用户注意的硬件会成为木马的目标。
2 伪装手段
首先最常见的还是修改图标和捆绑文件,起一种方式的伪装效果不是很好,一般情况下,木马病毒程序制造者会使用一些手段把木马的服务端的图标改成TXT,ZIP,HTML等看似没有什么伤害的各种文件图标,但是此种方法如果在显示扩展名的系统文件显示条件下,伪装就会暴露自己,因为文件后面和图标不符的扩展名就会暴漏自己。而后一种方法捆绑文件,一般会将木马程序绑在一种可执行性文件上,也可以防止看出扩展名带来的问题,当这种程序和被捆绑的程序一起运行时,就可以开始工作了
当然,木马设计者还会找出更好的方法,因为木马程序在运行的时候会出现点击文件后无响应,这样很容易暴漏自己,所以设计者会设计出一个文件出错的方法,当运行这个文件后就会有显示一个错误提示框,当被害者认为是真的时候,设计者的目的就达到了。也有的设计者会选择对木马进行更名,将木马安装成功后就对木马的文件名进行自由定制的权限放开,使用户难辨真伪。
更高端的伪装还有自我销毁和定制端口两者方法,自我销毁则是为了解决很多老木马病毒的缺点,即在木马运行后将自身销毁,使用户无法找到源文件。而定制端口方式是为了解决老木马病毒端口固定的问题,控制端的木马施种者可以在1024-65535之间随意定制,作为木马病毒的端口,但一般不选择1024以下的端口,因为不方便于隐藏。
3 木马病毒的分类与隐藏手段
3.1 木马病毒的分类
常见的为网游木马和即时通讯木马,面对当下网游的普及和对QQ等即时通讯工具软件的使用,木马设计者对网游下手,以盗取网游账号密码为目的,常见的为键盘记录,HOOK游戏进程API函数等手段。因为目前网游在中国处于上升的发展阶段,加上不法人员对木马病毒生成器和一些不法网站对木马病毒的公开销售,使该种病毒的种类和数量一直处于顶峰。而即时通讯类木马则目的多种,常见的有发送消息型,盗号型和传播自身型,主要用于发送有毒链接,偷窃聊天记录,倒卖账号,传播自身病毒等目的,也是目前种类和数量排名前列的木马种类。
还有一部分木马病毒和个人习惯有关,比如专门研制为了盗取网银的网银木马病毒,喜欢在网页中点击窗口的人则容易成为网页点击型木马的攻击目标,但此类木马一般是为了赚取较高的推广流量,所以设计简单。还有些伪装性较强,如下载类木马将自身安装成功后向被害者电脑中下载各种其他病毒程序或广告插件。类木马则在本机开启HTTP,SOCKS等服务功能,实现了跳板效果。面对FTP型木马,则控制21号端口,是每个人可以用一个FTP客户端程序不用密码就可以连接到受控计算机,并上传,下载,窃取其机密文件,在近些年的FTP木马中部分加入了密码功能,只有攻击者自身才能进入受害者计算机。
3.2 木马病毒的隐藏手段
对于木马,伪装不但要有表面功夫,还要找到合适的地点,所以计算机中很多阴暗角落就成了良好的隐藏的地点,现在就让我们一起发现他们,把他们拉到光天化日之下吧。
木马设计者采用很多种方法隐藏自己的程序,常见方法并不多。第一项,把自己的木马程序放入集成程序中,这也是目前广泛使用的方法,将自身和一款应用程序捆绑,如和操作系统绑住,那么只要运行了WINDOWS就可以自动运行了。第二项,木马可以藏身在Win.ini中,在win.ini中Windows字段后面如有启动命令“Load=”和“Run=”,一般“=”后面为空白的,若有其他文件,则有可能为木马程序。第三项,藏身于注册表,这种方法主要是利用注册表的复杂性,这着实让人痛苦。也有的木马会伪装到普通文件中,将自身后缀修改成“XXX.EXE”,也可以迷惑一些对计算机并不了解的人。类似的,木马也可以在Autoexec.bat和Config.sys中加载,利用配置文件运行自己。当然,有的木马设计者会在自己的网站上安置恶意代码,引诱受害者点击。
4 查杀木马
从专杀的角度来说,因为就木马自身很多本质性特点来讲,它不完全具备一个标准病毒的完整属性含义,所以从某种角度上来讲,木马不属于病毒,所以将其从广大病毒大军中剥离出来。现在大多软件制造者单独制作木马专杀,这样可以有效提高查杀效率,毕竟节约时间就是保护机密文件和信息不被泄漏的最好方式,越早处理,损失就越少。像瑞星,江民等大型杀毒案件公司单独制作的木马专杀工具已经基本普及,而类似于“木马杀客”等专业查杀木马的软件也毫不逊色。
从自身手动查杀角度讲,可以利用计算机上的命令提示符录入一些指令,也可以完成自己查杀的效果。首先在命令提示符中录入netstat-an命令,观察计算机上的链接。其次,利用net start找到不明服务项,利用net stor serve来禁用。
5 木马病毒的正常防范
5.1 木马病毒防范基本原理
经常使用木马专杀对系统内文件进行全盘检查,并且安装防火墙,过滤掉网上的一些危险文件包和不明恶意代码。另外不随意访问来历不明的网站,不用来历不明的软件,及时对系统的漏洞进行修复更新等,虽然我们手中握着杀死木马的利器,但是防范于未然,提高自身防范意识,才能让木马设计制造者无机可乘。
5.2 木马病毒防范细节
在面对木马病毒的防范,有一些小细节当然也需要注意:
(1)禁用OE自动收发邮件功能。
(2)安装杀毒软件,并及时更新。
(3)禁用文件系统对象FILESYSTEM OBJECT.
木马特征码与免杀
木马免杀才是木马个性化的意义所在,否则界面外观再漂亮的木马程序,被杀毒软件查杀后,等于是一个中看不中用的废品。一般来说,杀毒软件查杀木马,靠的是识别木马程序中几个特殊字符,也就是所谓的“木马特征码”。如果在检测程序中,发现了程序中包含特征码,那么则判定此程序文件为木马。而普通的给木马加壳,也是通过加壳压缩过程,达到变换特征码的目的,从而实现免杀的效果。不过现在杀毒软件的脱壳能力非常强了,普通加壳方法不能实现免杀,因此只有手工修改木马特征码,才能实现真正的木马免杀!
定位木马特征码
如何定位木马特征码呢?可以采用手工的方法。不过太过于麻烦,这里我们使用一个叫作MyCCL V1.1Build 58的工具,实现半自动定位木马特征码,下面以免杀上兴木马V4.2为例进行介绍:
生成无加壳的木马服务端
首先,当然是生成一个上兴木马服务端程序了,具体配置不是本文的重点。就不多讲了。但是要注意的是,在生成木马服务端程序时,不要勾选“是否加壳压缩服务端”,否则生成的木马将会被压缩加壳,调试查找特征码时比较麻烦。
配置MYCCL定位参数
运行MyCCL V1.1 Build 58程序,点击“文件”按钮,浏览指定生成的木马服务端程序,将自动调入程序并进行PE头分析。在“目录”中设置免杀生成文件的保存路径,比较重要的是下面的几个参数:
“分块个数”用于设置对程序进行的分块数目,应先少量划分。确定特征码所在的大范围,一般可设置为10;“单位长段”可使用默认;“填充”处设置为“00”,表示用数据00填充程序块。
“开始位置”处默认设置为“EO”;“分段长度”也可采用默认的;点击“正向”按钮,可修改分段填充顺序为正向或反向,哪个方向都可以;“结束位置”处会自动检测出程序的结束地址,所以也可以用默认的。
最后是选择“复合定位”或“单一定位”项,由于不知道木马有几处特征码,因此―般最好选择“复合定位”。
分块定位
点击界面中的“生成”按钮。MYCCL会生成10个木马程序文件,每个文件中都有1/10的代码段数据被填充为00。生成的文件位于MYCCL目录下的“OUTPUT”文件夹中,文件名是对应的数据块填充地址范围。使用杀毒软件对生成的文件进行查杀,保留下来的都是没有包含特征码的程序块。
再次分块定位
返回MYCCL界面,点击“二次处理”按钮,会自动对记录的特征码地址段再次进行分块操作。在生成分块文件时,会自动检测到特征码所在的位置并进行提示,由于我们选择的是“复合定位”,所要查找的特征码位置可能不止一处。所以在弹出的提示对话框中点击“是”按钮,继续进行分块处理。
查杀完毕后,再次用杀毒软件查杀“OUTPUT”目录下的文件夹。自动查杀清除掉包含特征码的文件块。如果杀毒软件提示没有查找到病毒,那么可结束操作,否则的话,再次点击“二次处理”按钮,再进行杀毒软件扫描查杀,直到提示无病毒为止。此时在MYCCL下方的信息框中,会显示出木马的特征码来。可知上兴木马V4.2服务端的病毒特征码,是位于“0008D1C0_00011A1C”地址段处)。这里上兴是单一特征码,所以只有一处特征码地址;如果是其它的复合特征码木马的话,可会有多处特征码地址显示。
精确定位
找到的特征码位置段范畴还是太大,如何精确的定位特征码地址呢?点击MYCCL界面上的“特征码区间”按钮,在弹出的侧边栏中可看到所有查找保存的特征码地址在弹出的侧边栏中右键点击“0008D1CO_00011AlC”地址段。在弹出菜单中选择“复合定位此处特征码”命令。然后在MYCCL中将“分块个数”设置为100,再次点击“生成”按钮,将自动对找到的特征码范围进行分块,生成100个文件,再用KV20071进行查杀。
可看到此次清除掉了36个病毒,也就是说,还有36个地址段中可能是精确的特征码位置。点击“二次处理”按钮,重复前面的操作,直到查杀不出病毒为止。看看特征码范围是否还很大,可看到现在特征码范围是“00098640_000002D2”。还是不够精确,可重复上面的操作,经过多次操作后,最后得到了精确的木马特征码地址“000988CA-00000002”。
修改特征码
找到特征码地址,就可进行修改实现免杀了。运行二进制编辑软件“UltraEdit-32 V13.00”,载入上兴木马服务端程序文件,找到地址“000988CA”处,可看到对应的代码为“3c”,我们将其改为“00”。修改后保存文件,再用KV2007查杀一下修改过的木马,可以发现KV2007已经对上兴木马视而不见了!
一、什么是免杀?
免杀是个相对词,针对目前的技术而言,多数木马都不能避免会被杀毒软件监控到并杀掉的危险,于是木马的实用性就低很多。为了能避开杀毒软件的识别,黑客们开始从木马下手,通过各种手段“重新包装”木马,让它在杀毒软件的眼皮底下蒙混过关,这就是所谓的免杀。
二、制作免杀木马
下面我们来看看黑客们是通过何种方法制作完成免杀木马的:
我们首先制作一个普通的灰鸽子木马服务端取名mmsetup.exe,然后登录省略/zh-cn/网站把mmsetup.exe灰鸽子木马服务端上传过去,通过多引擎系统中扫描,你可以发现,绝大多数的杀毒引擎都能够识别出该木马程序,木马成功率只有10%简直可以忽略了,木马也就没意义了!(如图1)
同时,针对这个mmsetup.exe我们对它进行免杀设置,一般常用的免杀方法为加密代码、花指令、加壳、修改程序入口以及手工DIY PE,至于纯手工操作并不推荐,因为这种方法制作出的程序效果虽好,但太过复杂,需要很强的汇编语言基础,并对Windows内核有一定认识。
1、代码修改法
MaskPE内含多种信息模块,可以方便的修改程序指令,打乱源代码,针对利用代码识别病毒的安全软件很有效果。
下载Maskpe2.0运行起来,点击“LoadFile”按钮,通过路径选择桌面上的mmsetup.exe木马,然后在“Select Information”项里选择“PE Information”项,接着点击“Make File”在新生成的木马名字里填上“mmsetup1.exe”,最后单击“保存”按钮完成木马修改。(如图2)
接下来把这个修改过的mmsetup1.exe在本机上测试运行并查看黑鸽子服务端是否能正常连接,我们发木马能正常运行并启用。最后把这个免杀木马发到省略/zh-cn网站测试免杀效果,发现明显要比没做免杀前效果好很多,这样就增大了木马的运行成功率!
2、花指令添加法
花指令就是一些汇编指令,原本用在Crack中,但目前更多的引入到木马修改上。这种方法使得杀毒软件不能正常的判断病毒文件的构造,对于采用文件头提取特征码的杀毒软件有特殊的杀伤力。
从网上下载一款加花器,然后运行加花器并点击“open go”按钮,从路径中选择刚才新生成的mmsetup1.exe木马,最后单击“加花”按钮,软件会提示你加花成功,确定后你的mmsetup.exe便被加过花了。(如图3)
3、加壳法
其实目前的加壳对于很多杀毒软件的防范用处并不大,不仅仅是由于杀毒软件自身识壳能力增强,更多的是加壳后对木马本身的伤害很大,尤其是有些木马的服务端默认已经作过加壳操作,如果进行二次加壳,很有可能造成程序启动异常,所以我们在选择加壳软件对木马进行加壳后,一定要在自己的机器上测试木马是否能正常运行再确定是否使用。
流行的方法可以选择一些非常规壳:比如NsPack或者PESpin v1.3.exe,下面我们采用PESpin v1.3.exe对木马服务端进行处理。打开PESpin,单击“打开文件”按钮,选择自己的木马mmsetup1.exe,然后在PESpin中单击“设置”选项卡,把“保护选项”和“高级选项”中的内容全部勾选上,然后把“创建备份文件”也勾选上,这样是为了防止加壳过重引起木马失效而做的准备。最后单击“pe spin”选项卡,单击“保护文件”即可完成加壳。(如图4)
4、入口点修改法
最后修改程序入口点,它的目的和加壳相似,就是让杀毒软件无法从黑客程序的入口点来获取源代码。修改方式可以使用FEPB、Ollydbg或者PEditor等,载入程序后找到“入口点”信息,接着在原来的数值的基础上加上个整数值后保存。打开“FEPB”软件,单击“Target…”然后选择要修改的木马mmsetup1.exe,然后选择“Break In”按钮,此时会弹出一个窗口寻问是否确认这步操作,单击“确定”完成修改。(如图5)
做到这里,我们的木马经过四层免杀设置基本上已经完成了免杀过程,接下来把它再次送进VirusTotal网扫描,你发现能识别为病毒的杀毒引擎已经不多了,免杀的目的就达到了。
三、免杀木马的防范:
免杀木马固然厉害,能骗过一些杀毒软件的眼睛。那如何防范免杀木马呢:
1、对于防范免杀木马的最好办法就是安装主动型防御软件。
2、使用Ewido防木马软件,对未知的程序进行查杀,它能查出很多免杀木马,威力惊人,但仅针对木马查杀能力强,其它方面不推荐。
[关键词] 木马 木马攻击 激活方式 防范木马
木马,又名特洛伊木马,其名称取自古希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己、加载运行的目的。让我们一起来看看网络中木马惯常的生存方式
虽然黑客攻击的过程复杂多变,但是仍然具有规律可循。总体来说,网络攻击过程可划分为7个步骤,具体见表1所示。
其中,第一步和第二步属于攻击前的准备阶段,第三步属于攻击的实施阶段,最后两步属于攻击的善后阶段。在第一步中,常用的攻击手段就是植入木马程序。在网络个体中植入木马后,黑客们可以通过激活木马程序,来达到他们的目的,他们常用的手段有如下几种:
(1)在Win.ini中启动;
(2)修改关联文件;
(3)捆绑文件;
(4)在System.ini中启动;
(5)利用注册表加载运行;
(6)在Autoexec.bat和Config.sys中加载运行;
(7)在Winstart.bat中启动;
(8)“反弹端口”型木马的主动连接方式。
下面,让我们一起来详细看一下木马常用的激活方式。
1.在Win.ini中启动
在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果后面跟着程序,比如: run=c:\\windows\\file.exe load=c:\\windows\\file.exe这个file.exe很可能就是木马程序!
2.修改文件关联
修改文件关联是木马们常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说,正常情况下TXT文件的打开方式为Notepad.exe文件,但一旦中了文件关联木马,则TXT文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河。“冰河”就是通过修改HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command下的键值,将“C:\\WINDOWS\\NOTEPAD.EXE %1”改为“C:\\WINDOWS\\SYSTEM\\SYSEXPLR.EXE %1”,这样当你双击一个TXT文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了!请大家注意,不仅仅是TXT文件,其它诸如HTM、EXE、ZIP、COM等都是木马的目标,要小心。对付这类木马,只能经常检查HKEY_CLASSES_ROOT\\文件类型\\shell\\open\\command主键,查看其键值是否正常。
3.捆绑文件
实现这种触发条件,首先,要控制端和服务端已通过木马建立连接;然后,控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
4.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer.exe file.exe,注意这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所。
5.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所以,在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。
6.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.省略并加载了多数驱动程序之后开始执行(这一点可通过启动时按[F8]键再选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此,木马完全可以像在Autoexec.bat中那样被加载运行。
7.“反弹端口”型木马的主动连接方式
什么叫“反弹端口”型木马呢?经过分析防火墙的特性后可以发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机发出的连接却疏于防范(当然有的防火墙两方面都很严格)。于是,与一般的木马相反,“反弹端口”型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在赶快链接我吧”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP服务端的IP地址:1026,客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,大概没有哪个防火墙会不给用户向外连接80端口吧。这类木马的典型代表就是“网络神偷”。由于这类木马仍然要在注册表中建立键值,因此只要留意注册表的变化就不难查到它们。
总之,千万不要随便留下你的个人资料,因为你永远不会知道是否有人会处心积虑收集起来。
参考文献:
[1]卢开澄.计算机密码学――计算机网络中的数据保密与安全.清华大学出版社,2004.
[2]陈明.网络设计教程.清华大学出版社,2004.
作为山东省检察机关办理的该省首例提供非法控制计算机信息系统程序案,此案在社会上引起了强烈的反响,同时也向人们揭开了“网络黑客”的犯罪内幕。
“数学天才”编出三种木马程序
1973年出生的王岳峰,毕业于重庆大学数学系,曾经是大家公认的数学天才。
大学期间,王岳峰就对电脑产生了浓厚的兴趣,并对编写计算机程序表现出极大的天赋。他购买了大量的工具书,通过自学,熟练掌握了用DOS系统编写计算机程序。
当时的王岳峰在重庆大学的校园里已经小有名气。通过帮助别人编写一些小程序,他赚到了不少生活费。
毕业后,王岳峰应聘到济南小鸭集团,从事市场营销工作。工作之余,王岳峰一直痴迷于计算机程序的编写,对电脑的浓厚兴趣,使他愈发地感到市场营销工作的枯燥。1998年,王岳峰从小鸭集团辞职,跳槽到北大方正济南分公司工作。新的工作环境,使他对计算机程序的天赋得到了充分的展示。他仅仅用了2个月的时间就学会了DELPHI语言(一种计算机编程工具)。
妻子没有工作,孩子上学、老人生病住院都需要钱。王岳峰感到,在公司给别人打工,不如自己干赚钱快。2007年6月,他从北大方正公司辞职,独自在家编写程序,希望能利用自己的一技之长改变家里的生活条件。
8月的一天,王岳峰在网上碰到一个网名叫“黑色网络”的人,说急需一款具有“定向弹窗”点击功能的程序。
正是这个人的出现,改变了王岳峰的生命轨迹。
在一周时间里,王岳峰按照“黑色网络”的要求制作了一款程序,并根据程序的功能取名为“霸王插件”。这款程序的出售给王岳峰带来了一笔不小的收入。随后的一段时间里,他又陆续接到类似的客户需求。王岳峰在“霸王插件”的基础上做了适当的修改,卖给了不同的客户。家里的生活条件随着购买者的增多有了很大的改善,同时,王岳峰也开始思索,为什么会有人花高价买这样的计算机程序。
通过对客户需求的分析,王岳峰发现,凡是购买“霸王插件”的客户,都是希望通过不正当的途径来提高自己网站的点击率,增加流量,骗取广告费或者从事其他非法活动。想到这些,王岳峰突然觉得,自己出售这样的程序没有损害好人的利益,而且收入非常可观,这也促使他在犯罪的道路上走得更远。
在随后的一段日子里,王岳峰在“霸王插件”的基础上不断完善,又先后编写出了“霸王QQ包”、“霸王下载者”两种木马程序,并建立了专门的宣传网站宣传和出售“霸王”木马程序。
在短短的三个月的时间里,王岳峰通过因特网向全国各地的100多人出售“霸王”木马程序,获利60多万元。王岳峰用出售程序赚来的钱,在龙口市买了两处房产,为家人买了保险。
由于购买木马程序的人计算机水平有限,王岳峰一般会为购买者提供后台维护的服务,每次维护的费用大概在100至200元不等。
随着买家的增多,“霸王”木马程序产生的社会危害也在日益扩大。
“致富”美梦的破灭
法网恢恢,疏而不漏。2009年4月,济南市公安民警在办案过程中发现了一种名叫“霸王”的木马程序,通过给用户发送虚假的中奖信息,实施网络诈骗,购买者遍布全国各地,给社会造成严重的危害。山东省公安厅高度重视,将此案列为重点督办案件。
2009年5月22日22时,在济南市舜玉住宅小区,当警察敲开王岳峰的家门时,他正通过QQ和购买“霸王”木马程序的人一起聊得火热,向有关“客户”仔细介绍购买“木马程序”的售后服务。
看到眼前的警察,王岳峰意识到,自己的“致富”美梦彻底破灭了。在犯罪的道路上,他已经走得太远了。
承办此案的检察官告诉记者,此案的涉案人员遍及全国,而最终只有4人被提起公诉,这从一个侧面看出打击非法控制计算机信息系统程序犯罪的难度之大。此案是山东省检察机关以涉嫌提供非法控制计算机信息系统程序罪、非法控制计算机信息系统程序罪追究被告人刑事责任的首例案件,属于利用高科技手段犯罪案件,具有隐蔽性强、涉案人员多且居住分散、作案手段科技化等特点。取证难是办理此案面临的最大问题。在该案审查工作中,由于仅有犯罪嫌疑人的口供,缺乏相应的电子证据,影响了对其他的涉案犯罪嫌疑人的追诉。
随着社会经济的发展和计算机网络知识的普及,不法计算机程序的使用给社会带来的危害不言而喻。办案检察官提醒人们,在使用网络的过程中,千万不要相信类似“QQ中奖”之类的诈骗信息。同时,当计算机自动弹出网页或广告信息时,很有可能是由于木马程序的侵入造成的。定期修复操作系统漏洞,不随意打开来历不明的电子邮件,及时对系统进行重装,在很大程度上可避免木马程序带来的危害。■
“霸王插件”:自动弹出不良广告
家住重庆的张大海,年仅20岁,初中二年级就辍学回家,2007年底,自己注册了一个网络公司,并在网上开设了一家卖成人保健用品的商店。
2008年1月,张大海通过朋友介绍,知道了王岳峰出售的“霸王插件”木马程序,他看中了这款软件的“定向弹窗”功能。为了增加自己网站的流量和成人保健品商店的点击率,他通过QQ联系到王岳峰,花1500元购买了“霸王插件”木马程序。
在王岳峰的指导下,张大海把“霸王插件”木马程序放在了自己的电脑空间里,只要有网友访问这个空间,就会被种植木马程序,感染病毒后的计算机在开机运行时,就会自动弹出张大海设定好的广告页面,就会增加广告的点击率。
2009年6月12日,张大海在重庆家中被抓获归案。他在一年多的时间,向20多万台计算机种植了“霸王”木马程序,非法收入5万余元。
“霸王QQ包”:弹出虚假中奖信息
王继飞购买的“霸王QQ包”木马程序成为他实施网络诈骗的工具。
2009年初,家住海南省的王继飞,通过王岳峰的网站看到了“霸王”木马程序的介绍,了解到“霸王QQ包”程序可以使计算机自动弹出虚假的QQ对话框。
王继飞觉得,可以通过虚假的“QQ中奖”信息实施诈骗。于是他通过银行汇款的形式,花3000元从王岳峰处购买了“霸王QQ包”木马程序。
关键词:机理;网络安全;特洛伊木马;端口
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-911-02
The Attack and Protection of TrojanHorse
WANG Fu-qiang1, CHEN Yan2, REN Zhi-kao1
(1.Qingdao University of Science and Technology, the College of Information Science and Technology, Qingdao 266061, China ;2.The 2nd Vocational Middle School of Baoding City of Hebei Province, Baoding 071000, China)
Abstract: Have defined TrojanHorse and have set forth whose reason, have come true using the VC Winsock control to compile and compose the network customer/ serving pattern procedure, the mechanism having discussed the TrojanHorse job, has analysed whose principal character , has moved and detecting and the software while you're at it checking the method weakening bilayer protecting damage must take TrojanHorse seriously as TrojanHorse method having made investigation and discussion , having suggested that need to defend the consumer information and the network safety reinforcing protection thereby.
Key words: Mechanism; Network Security; TrojanHorse; Port
1 引言
“特洛伊木马”也称trojanHorse,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户系统被破坏、信息丢失甚至系统瘫痪。
“特洛伊木马”的本质是一个程序,自动获取计算机相关系统信息和安全信息的程序,随计算机自动启动而启动,附在某一端口侦听目标计算机。其实质只是一个通过端口进行通信的网络客户/服务程序。
2 实现原理与控制原理
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程。对于“特洛伊木马”,被控制端是一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_cliet.exe是客户端应用程序。
2.1 实现原理
可以VC的Winsock控件来编写网络客户/服务程序, 实现如下:
服务器端: G_Server.LocalPort=7626(冰河的默认端口,可修改);G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626(设远程端口为冰河的默认端口)
(在这里分配一个本地端口给G_Client,也可让计算机自动分配)
G_Client.Connect(调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close(关闭连接)
G_Server.Listen (再次监听)
End Sub
客户端上传一个命令,服务端解释并执行命令。
2.2 控制原理
以用户权限运行的木马程序主要功能进行简单的概述, 主要使用Windows API函数。
1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event模拟一个键盘动作;mouse_event模拟一次鼠标事件 ;mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags; MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置 ……
2)记录各种口令信息
keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名
3)获取系统信息
(a) 取得计算机名 GetComputerName ;(b) 更改计算机名 SetComputerName
(c) 当前用户 GetUserName ;(d) 系统路径
Set FileSystem0bject = CreateObject("Scripting。FileSystemObject")(建立文件系统对象)
Set SystemDir = FileSystem0bject。getspecialfolder(1)(取系统目录) ……
4)限制系统功能
(a) 远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
当uFlags=EWX_LOGOFF 中止进程,然后注销
=EWX_SHUTDOWN 关掉系统但不关电源
=EWX_REBOOT 重新引导系统
=EWX_FORCE强迫中止没有响应的进程
=EWX_POWERDOWN 关掉系统及关闭电源
(b) 让对方掉线 RasHangUp
(c) 终止进程 ExitProcess
5)远程文件操作 :删除文件(File delete);拷贝文件(File copy);共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)
6)注册表操作:
在VB中设置Set RegEdit=CreateObject ("WScript.Shell"),开放以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)
TrojanHorse控制某些端口或链接某个端口,如20端口,21端口和80端口……,TrojanHorse通过远程控制、发送密码、记录键盘甚至发动Dos攻击等对源机实施泄漏、盗取账号和密码等破坏行为,故要引起高度重视,有效预防。
3 危害与基本特征
“特洛伊木马”程序一般分为服务器端程序和客户端程序两个部分,以寻找后门、窃取密码为主。 “特洛伊木马”通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。
隐蔽性:“特洛伊木马”隐藏在系统中,通过修改注册表和ini文件依附在其他程序中,下一次启动后仍能载入木马程序(或者有把服务器端和正常程序通过exe-binder绑定程式完成入侵,甚至把自身的.exe文件和服务器端的图片文件绑定)等等。
自动运行性:当系统启动时即自动运行,潜入在相关系统启动文件中如win.ini、system.ini、winstart.bat以及启动组等。
欺骗性:“特洛伊木马”借助系统中已有文件或常见文件名或扩展名,如“dll\win\sys\explorer等字样,仿制一些不易被人区别的文件名,甚者借用系统文件中已有的文件名,另行保存或者设置ZIP文件式图标等等实现对机器和管理员的欺骗。
具备自动恢复功能:“特洛伊木马”功能模块不再是由单一的文件组成,而是具有多重备份,可相互恢复。
能自动打开特别的端口:“特洛伊木马”的目的是为了获取系统中有用的信息,一旦与远端客户通讯,“特洛伊木马”就会记录关键信息造成外泄。
功能的特殊性:“特洛伊木马”具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能特殊性。
如今为了防备被跟踪追查,“特洛伊木马”一般采用只有服务器端的“小”木马:把系统关键信息如密码等发到一个邮箱里,通过后续步骤完成对系统的控制,为此需要手动和软件查杀双层防护。
4 防护方法
1)软件查杀:现在对病毒的查杀,习惯于软件查杀,常用的反“特洛伊木马”软件有瑞星杀毒软件、木马克星、360安全卫士等它们对“特洛伊木马”都有一定的防护功能和查杀功能。建议:在使用杀毒软件查杀“特洛伊木马”时,一要保持杀毒软件的及时升级和更新,二要在断开网络在安全模式下完成查杀。
2)手动检测:根据“特洛伊木马”的特征,在注册表,文件名和端口以及进程等方面可以进行手动检测:
查找“特洛伊木马”特定文件 : “特洛伊木马”的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,删除了这两个文件,就等于关闭了“特洛伊木马”。
检查注册表 :“特洛伊木马”可以通过注册表启动(大部分的“特洛伊木马”都是通过注册表启动的),故通过检查注册表搜索注册表的蛛丝马迹。
端口扫描与查看连接: 扫描程序尝试连接某个端口或某个连接, 如果成功, 则说明端口(连接)开放;如果失败或超过某个特定的时间(超时), 则说明端口(连接)关闭。
Windows的“系统文件检查器”:对于驱动程序/动态链接库木马,通过Windows的“系统文件检查器”,“开始”“程序”“附件”“系统工具”“系统信息”“工具”“运行”“系统文件检查器”检测操作系统文件的完整性。如果这些文件损坏,检查器将其还原,甚至完成从安装盘中解压缩已压缩的文件(如驱动程序等)。如果驱动程序或动态链接库在没有升级的情况下被改动了,就有可能是“特洛伊木马” (或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。
任务管理器:通过查看空闲下性能状态:CPU和内存的使用率以及进程的开放量,检测是否多占用或超运作,完成检测。
5 结束语
随着信息技术的发展,“特洛伊木马”的变种也在日新月异,对系统造成的危害也在进一步加大,需要防患于未然。但只要在使用系统过程中,访问安全网站,对不信任的ActiveX控件不做连接尝试,并升级杀毒软件,使用正确的软件查杀,并定期进行手动检测,相信“特洛伊木马”必将无所遁形,用户信息的安全必将得到维护,系统的稳定性也必将得到保证。
参考文献:
[1] 闫峰,刘淑芬.基于逃避行为检测的特洛伊木马技术研究[J].吉林大学学报(信息科学版),2007,25(6):641-645.
[2] 匡立人,杨宇.“木马”原理及其VB简单实现分析[J].现代商贸工业,2007,(12):259-260.
[3] 张新宇,卿斯汉,马恒太,等.特洛伊木马隐藏技术研究[J].通信学报,2004,25(7):153-159.
[4] 林小进,钱江.特洛伊木马隐藏技术研究[J].微计算机信息,2007,(33):59-60.
[5] 张颖卓.特洛伊木马分析与防范[J].现代计算机(下半月版),2007,(11):79-80.
关键词:木马;远程控制;VC;Windows Socket
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)23-5573-02
以Internet为代表的全球性信息化浪潮日益高涨,信息网络技术的应用正日益普及,伴随网络的普及,安全问题日益成为影响网络效能的重要问题。该文详细分析了远程监控模式的木马的工作原理和设计方法,对木马技术有详细的认识,能够为预防和治理黑客入侵有极大的帮助。
1系统总体设计
本程序利用VC6.0++这一集成开发平台,在Windows环境下开发的一个基于远程控制的简单木马实现。木马编写采用C/S结构,包括服务端Server和客户端Client。Client上单击每一个按钮,就向Server端发送一个字母消息,Server端收到对应的字母消息后,用相应的函数进行判断,根据收到的具体字母,Server端调用相应的函数来具体实现每一个功能。系统客户端和服务端通信如图1所示。
图1
程序中将对远程被控主机实现以下操作:获取远程被控计算机系统基本信息、锁定远程被控计算机的鼠标操作、锁定远程被控计算机的键盘操作、注销重启和关闭被控计算机、隐藏并开启被控计算机的任务栏、向被控计算机发送消息、获取并杀死远程被控计算机的进程。
2具体功能实现
当Server先在被控计算机上启动以后,Client输入被控计算机IP如:192.168.0.5,就可以连接上服务端,Client端单击获取信息按钮,Server端收到Client发过来的消息并响应,然后Server端调用四个API函数:调用函数GetSystemInfo()来返回当前系统的信息,调用函数GlobalMemoryStatus()来获得当前可用的物理和虚拟内存信息,调用函数GetVersionEx()来返回当前操作系统的版本信息,调用函数GetSystemMetrics()来返回与Windows环境有关的信息。Server通过调用以上函数,得到系统消息,并返回给Client. Client端收到Server返回的消息并显示在文本框中如图2所示。
当Client接收到Server返回的系统信息和进程信息以后,单击Client上面的清除信息按钮就可以清除掉文本框中的信息。本功能不需要要Server和Client进行通信,client通过调用成员函数CClientDlg::OnClean(){}中的函数CClientDlg::OnClean(){}就可以实现。
注销、重启和关机这三个功能都是调用ExitWindowsEx函数实现,所不同的是远程重启和关机所需要的权限较高,需要把程序进程提权。远程重启和关机的实现比较类似,只是ExitWindowsEx的调用不同(重启EWX_REBOOT,关机EWX_SHUTDOWN)。服务端添加注销计算机函数LogOff(),重启计算机函数Reboot()和关机函数poweroff()。
当server与client连接以后,在client的文本框中写入“你中木马了”,然后单击client的发送消息按钮,就可以将“你中木马了”发送到server端。Client可以不断向server端发送消息,来干扰server端用户的正常工作。Server接收到这条消息后通过调用API函数AfxMessageBox(),将“你中木马了”显示到屏幕上。
对木马程序进行伪装主要是希望不被杀毒软件或网络防护程序找出来,同时也不希望被有经验的用户一眼就看出来,如此才能顺利的进行黑客任务。利用压缩工具对木马进行伪装易容是非常有技巧的应用。
对木马进行伪装易容的方法和工具有很多种,但是有些木马使用用所工具后仍然会被杀毒软件查出来,由于他们是木马伪装的帮凶,因此杀毒软件把这些工具也列入追捕之列。这里用软件ASPack对服务端程序server.exe进行第一次压缩易容,杀毒软件不会将此工具当作病毒。使用此工具的作用是其一改变杀server.exe的大小,其二逃避杀毒软件查杀。
4结论
本毕业设计主要实现用Visual C++6.0制作的一个基于远程控制模式的木马的设计。本木马主要是对远程控制模块的设计方法和设计环境进行详细的介绍。主要运用了MFC中的Socket编程技术设计的远程控制技术的木马,实现的功能比较多,主要起到了控制远程计算机的操作,并妨碍远程计算机正常运行的作用。同时由于时间和水平的限制,该程序还是有很多不足:1).如果操作系统装有防火墙,木马就无法运行。2).该程序忽视了木马的植入技术的实现,在功能设计方面还需要多加改进,如:窃听键盘信息等,这样可以使木马的功能更丰富。
参考文献:
[1]程秉辉,霍克.木马攻防全攻略[M].北京:中国铁道出版社,2005.
[2]黄维通.Visual C++面向对象与可视化程序设计[M].北京:清华大学出版社,2003.
[3]付慧青,黎圣,冯庆辉,李刚.黑客日记[M].济南:山东电子音像出版社,2005.
[4]孙鑫,余安萍.VC++深入详解[M].北京:电子工业出版社,2006.
你一定感到很奇怪,既然是木马文件,为什么安全软件没有拦截呢?
木马攻击流程分析
1. 当用户双击运行“阿里巴巴.exe”之后,它会加载执行ClinetModule.dll,由后者释放RSA.dll、AES.dll、MouseKeyHook.dll等文件,以及alipay.ini配置文件;
2. RSA.dll木马行为:①当dll运行后首先会去木马制作者设定好的网址获取配置信息,用于配置木马盗取到的金额转向哪个第三方收钱账户;②监视浏览器访问的网址,当用户进行网上支付操作时启动劫持;③在用户支付表单将要发送出去的时候,木马截获表单数据的同时启动另一个在点卡购买网上几乎同步的游戏点卡交易,购买与中招用户付款金额几乎等值的游戏点卡等虚拟商品,再把交易中要求输入的验证码显示在中招用户面前,由用户自己辨识输入。这样木马就能得到验证码。 最后,“支付大盗”把中招用户的交易金额转到了自己的账户,对木马作者来说,等于花别人的钱给自己买了游戏点卡,从而销赃获利。
看过了解析我们就会明白,其中dll文件才是病毒的主体部分,真正的dll文件已经被替换。由于该exe程序有有效的数字签名,所以该加载dll的动作也被视为安全的。因此安全软件没有拦截,杀毒软件和防火墙在此时形同虚设。
可以说这是一个木马病毒利用可信程序进行破坏的典型案例。“白加黑”技术是一个方面,另一方面,整个过程与正常支付流程、界面更加相似,“用户体验”更加流畅、真实。
“白加黑”入侵原理
这类病毒中可信程序一般被称为Loader,该类木马经常使用的Loader有老版本的好压和暴风影音等,病毒作者之所以选择它们作为病毒Loader,是因为它们在运行时会加载其对应的动态链接库,这个和DLL劫持又有相似之处。它们利用了Windows系统中加载DLL的一个特点。一个exe程序要加载DLL文件是在磁盘上搜索DLL文件,而不是按照指定路径加载。如果DLL文件被替换的话,可能会造成一定的问题,如犇牛病毒,软件目录下会出现大量的usp10.dll文件。
在现有防御体系中,究竟有哪些结构上的漏洞,导致“白加黑”的入侵成为可能?
为了减少误报,杀软大多将含有有效数字签名的文件特殊对待。这些文件一般都是由可信的公司所。另外,许多含有数字签名的程序其实就是系统程序,而系统程序的权限高,行为复杂,更加难以和病毒行为区分开来。为了避免误报造成系统崩溃,安全软件对这类程序一般都是直接放行。
另外最近出现了能自己导入数字签名根证书的病毒。这类病毒一般带有自己签发的数字签名,但是在系统中没有相应的根证书,所以该数字签名是不受信任的。而病毒自己导入根证书之后,木马文件的数字签名就变成有效的了,这又给安全软件出了个大难题。怎么才能平衡查杀率和误报,这是安全软件公司要考虑的问题。
Abstract: Starting from the concept of Trojan, through the classification of prevention technology for the network Trojan invasion, the author analyzes the Trojan invasion and defense technology of network server.
关键词: 网络服务器;木马入侵;防御技术
Key words: network server;Trojan invasion;defense technology
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2014)17-0211-02
0 引言
随着互联网技术的发展,木马病毒越来越多,木马入侵防御技术是一种全新的计算机安全保卫技术,它的出现,能够有效保证计算机的安全稳定运行。在本文中,笔者将从木马的概念入手,系统分析木马入侵防御技术。
1 木马的概念
1.1 木马的概念 特洛伊木马又被称之为远程管理工具,也就是RATS。网络木马的概念,简单来说就是包含在合法程序中的不合法程序。该非法程序会自动隐匿执行,用户并不知情,黑客就是利用这些木马对用户的计算机进行控制或者是破坏。
1.2 木马的相关特征 木马也是一种电脑病毒,它的种类非常多,一般而言,根据环境和时期的不同,其通常具有以下特征:隐蔽性、自动运行以及其欺骗性和自动回复功能。
1.2.1 隐蔽性 木马的隐蔽性特征和其他病毒是相同的,这也是所有病毒的首要特征。木马病毒能够隐蔽在合法的程序中,因而用户也就不易发现。木马和远程控制系统的一个关键区别也就在于此,远程控制系统是通过用户授权的,而木马是在用户不知情的情况下藏匿到程序中去的。
1.2.2 欺骗性 木马病毒程序被很多人称之为“骗子程序”,这主要是因为木马病毒本身所具有的欺骗性。但是木马如果想长期隐蔽,就需要借助系统文件,其本身不能直接藏匿在用户的电脑中。一般情况下,木马病毒会藏匿在后缀是dll、exe和bat的文件中。
2 木马入侵对计算机的危害分析
木马对计算机有着非常强大的控制能力,同时它也对计算机有着异常强大的破坏能力,其不仅能偷偷窃取用户计算机的密码,而且还可以控制并操作用户的计算机。如果一个破坏性非常强的木马被植入到用户的电脑系统,那么攻击者或者是黑客就能够对用户的计算机进行任意的操作,其可操作的能力和范围常常能够超过用户本人。其中,不仅用户的电脑密码、隐私等文件资料可以被任意的删除或者是复制,而且在操作中,用户是不容易察觉到的。对个人来说,木马病毒有着非常大的危害,对国家的一些军事设备而言,其危害性更大,可以说军队的内部网站一旦遭到木马病毒的破坏,其后果可能是致命性的。因此,木马是网络安全运行的一大毒瘤,如何防御木马病毒,已经成为个人和企业,乃至国防部门的一个头疼问题。
3 网络服务器木马入侵防御技术的分类
在检测到木马入侵的行为之后,可以采取一定的技术对木马的入侵进行防御。根据IDS在网络拓扑中的位置,再综合考虑采用的防御技术等因素,其防御技术可以分为间接防御技术和直接防御技术两类。
3.1 间接防御技术 间接防御技术入侵检测系统如图1所示。
从图1我们可以看出,一般情况下,入侵检测系统处于数据传输的线路旁,收集系统所监控的网络中的数据,然后对收集到的数据进行相关的检测。在这种配置下,一般无需对网络和线路做任何的变化,也不会给所监控的网络带来传输延迟的问题。
使用间接防御技术的入侵检测系统通常有以下几类:
①入侵检测系统对包含有木马病毒的网络连接发出RST数据包,切断相关的网络连接,以此达到防止木马入侵的目的;②入侵检测系统检测到有木马病毒的攻击源时,对攻击源发出预定目的地不可到达的信息,从而有效阻止攻击数据到达目标地址;③入侵检测系统和防火墙联动,当入侵检测系统发现带有木马病毒之后,与防火墙进行相关的通信,由防火墙来阻止木马病毒的入侵行为。
3.2 直接防御技术 直接防御技术入侵检测系统的网络拓扑图图2所示。
从图2中我们可以清楚看到,在这种入侵检测模式下,入侵检测系统在网络拓扑中的位置改为由原来的旁路监听,由系统检测改为线路检测,在达到预定的目标地址之前,数据包必须经过入侵系统的严格检测。当检测到木马病毒时,入侵检测系统会自动把藏匿有木马病毒的数据包丢弃,从而也就有效阻止了木马病毒的入侵行为。
在检测木马病毒时,采用直接的入侵检测系统,不仅可以对数据包进行监测,而且还可以参与数据包的下载和转发,因此该系统可以及时有效地抵御木马病毒的入侵。更为确切地说,直接防御系统也就是木马入侵的防御系统。
总的来说,直接防御技术是一种全新的木马防御技术,在入侵检测时,不仅能够对数据包进行监测,而且还可以参与数据包的下载和转发,但检测到带有攻击性的数据包时,可以将其快速的丢弃,从而也就有效阻止其到达预定目标位置的目的。直接防御技术克服了间接防御技术在技术方面的缺点,但在网络正常运行的环境下,如果想要更好的发挥其性能,还需要解决一系列问题。
4 网络木马入侵的防范问题
4.1 军事联网设备要重视木马病毒的防御 互联网技术的发展,给互联网研发单位和军队提出了新的要求,要求其转变自身的管理理念,根据移动互联网技术的实际情况,要制定合乎互联网发展规律的规定,给互联网技术的发展提供明确的技术标准。而互联网企业,也要根据本企业经营发展的实际,制定相关的绩效管理标准,对于那些在木马病毒入侵技术研发上取得突破的技术员工,要进行一定的奖励,同时也要积极学习其他互联网企业在网络研发方面的优秀做法,促进企业技术和经济效益的双丰收。
4.2 硬件技术设施的更新换代 对于网络技术研发所需要的技术设施,要做到合理的分配。同时要加大资金的投入,引进最新的网络开发技术设备,并把其应用到实际的研发工作当中去;资金雄厚的军工企业要加大技术设备的研发力度,加强自主创新能力建设,以提高企业的生产技术水平。
4.3 不打开“身份不明”的邮件 当前,我们的生活节奏变得越来越快,在这种快节奏的生活中,网络邮件得到了广泛的应用。但同时,这也是木马病毒传播的一个很好的途径。因此,在日常查收邮件时,对于那些“身份不明”的邮件,不要轻易打开,最好是直接放到回收站里,彻底删除。在查看邮件时,最好是使用第三方邮件程序,个人认为OutLook安全系统的漏洞多,也是黑客攻击的首选对象。
5 结语
网络计算机的发展,在开阔人们视野和推动社会进步的同时,也给人们的生活带来了一些困扰。因此,为了确保网络的正常运行,就必须研发木马入侵防御技术和入侵检测系统,本文即分析了网络服务器木马入侵的防御技术和入侵检测系统。
参考文献:
[1]杨志红.网络服务器木马入侵与防御技术[J].信息与电脑(网络技术),2013(2).
一、学伯乐 认马识马
木马这东西从本质上说,就是一种远程控制软件。不过远程控制软件也分正规部队和山间土匪。正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如Windows XP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确地告诉用户当前系统处于被控制状态;而木马则属于山间土匪,他们会偷偷潜入你的电脑进行破坏,并通过修改注册表、捆绑在正常程序上的方式运行,使你难觅其踪迹。
二、寻根溯源 找到引马入门的罪魁祸首
作为一个不受欢迎的土匪,木马是如何钻进你系统的呢?一般有以下几种主要的传播方式:
最常见的就是利用聊天软件“杀熟”,例如你的QQ好友中了某种木马,这个木马很有可能在好友的机器上运行QQ,并发一条消息给你,诱使你打开某个链接或运行某个程序,如果你不慎点击或运行,马儿就会偷偷跑进来;另外一种流行的方法是买一“送”一,木马会与一些正常的文件捆绑,如与图片文件捆绑,当你浏览图片的时候,木马也会偷偷溜达进来;网页里养马也是一种常见的方法,黑客把做好的木马放到网页上,并诱使你打开,你只要浏览这个页面就可能中招;最后一种常用方法是网吧种植,网吧的机器安全性差,黑客还可以直接在机器上做手脚,所以网吧中带马的机器很多。在网吧上网时受到木马攻击的几率也很大。而且上边这些方法可能还会联合行动,组合在一起对你进行攻击。
三、亡羊补牢 如何查杀木马
我们如何判断机器里是否有木马呢?下面有一些简单的方法可以尝试。
第一步:查看开放端口,作为远程控制软件,木马同样具备远程控制软件的特征。为了与其主人联系,它必须给自己开道门(即端口),因此可以通过查看机器开放的端口,来判断是否有木马经过。选择“开始运行”,输入“CMD”后回车,打开命令行编辑界面,在里边输入命令“netstat an”(见图),其中“ESTABLISHED”表示已经建立连接的端口,“LISTENING”表示打开并等待别人连接的端口。在打开端口中寻找可疑分子,如7626(冰河木马),54320(Back Orifice 2000)等。
第二步:查看注册表,为了实现随系统启动等功能,木马都会对注册表进行修改,我们可以通过查看注册表来寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,定位到:HKEY_ CURRENT_USER\ Software\ Microsoft\Windows\ Current Version\Explorer下,分别打开Shell Folders、User Shell Folders、Run、RunOnce和RunServices子键,检查里边是否有可疑的内容。再定位到HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Explorer下,分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序,就要提高警惕了,很可能木马曾经到此一游。
第三步:查看系统配置文件,很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”,回车后会打开“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如“load=file.exe,run=file.exe”这样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默认应为“Shell=Explorer.exe”,如果是其他程序则也可能是中了木马。
除此之外,你还可以通过查看系统进程和使用专用木马检测软件的方法,来推断系统中是否存在木马。
很多朋友都有过(密码n_12345)为例来介绍“邮箱收信”模式时的配置,并进行下文中的测试。此外,在“收信箱(靓)”和“收信箱(普)”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器,这里是。最后填入发信箱的帐号、密码、全称即可。设置完毕后,我们可以来测试一下填写的内容是否正确,点击下方“测试邮箱”按钮,程序将会出现邮箱测试状态。如果测试的项目都显示成功,即可完成邮箱信息配置。“网站收信”配置:除了选择“邮箱收信”模式之外,我们还可以选择“网站收信”模式,让盗取的QQ号码自动上传到指定的网站空间。当然,在使用之前,也需要做一些准备工作。用FTP软件将爱永恒,爱保姆qq.asp上传支持ASP脚本的空间,运行alaqq.exe,在“Asp接口地址”中输入爱永恒,爱保姆qq.asp所在的URL地址,那么,当木马截获QQ号码信息后,就会将其保存于爱永恒,爱保姆qq.asp同目录下的qq.txt文件中。
2、设置木马附加参数接下来我们进行高级设置。如果勾选“运行后关闭QQ”,对方一旦运行“啊拉QQ大盗”生成的木马,QQ将会在60秒后自动关闭,当对方再次登录QQ后,其QQ号码和密码会被木马所截获,并发送到盗号者的邮箱或网站空间中。此外,如果希望该木马被用于网吧环境,那就需要勾选“还原精灵自动转存”,以便系统重起后仍能运行木马。除这两项外,其他保持默认即可。
3、盗取QQ号码信息 配置完“啊拉QQ大盗”,点击程序界面中的“生成木马”,即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏,或者和其他软件捆绑后进行传播。当有人运行相应的文件后,木马会隐藏到系统中,当系统中有QQ登录时,木马便会开始工作,将相关的号码及密码截取,并按照此前的设置,将这些信息发送到邮箱或者网站空间。
二、练就慧眼,让木马在系统中无处可逃现在,我们已经了解了“啊拉QQ大盗”的一般流程,那么如何才能从系统中发现“啊拉QQ大盗”呢?一般来说,如果碰到了以下几种情况,那就应该小心了。·QQ自动关闭。 ·运行某一程序后其自身消失不见。 ·运行某一程序后杀毒软件自动关闭。 ·访问杀毒软件网站时浏览器被自动关闭。·如果杀毒软件有邮件监控功能的,出现程序发送邮件的警告框。 ·安装有网络防火墙(例如天网防火墙),出现NTdhcp.exe访问网络的警告。出现上述情况的一种或多种,系统就有可能已经感染了“啊拉QQ大盗”。当然,感染了木马并不可怕,我们同样可以将其从系统中清除出去。1、手工查杀木马。发现系统感染了“啊拉QQ大盗”后我们可以手工将其清除。“啊拉QQ大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件,并在注册表的启动项中加入木马的键值,以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”,结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”,选择其中的“查看”标签,将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹,将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值,该键值位于HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentversionRun。2、卸载木马。卸载“啊拉QQ大盗”很简单,只要下载“啊拉QQ大盗”的配置程序,运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。
三、以退为进,给盗号者以致命一击 忙乎了半天,终于把系统中的“啊拉QQ大盗”彻底清除,那么,面对可恶的盗号者,我们是不是应该给他一个教训呢?
1、利用漏洞,由守转攻 这里所谓的“攻”,并不是直接入侵盗号者的电脑,相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手,从而给盗号者一个教训。 那么这个漏洞是什么呢?从此前对“啊拉QQ大盗”的分析中可以看到,配置部分填写了收取QQ号码信息邮件的邮箱帐号和密码,而邮箱的帐号和密码都是明文保存在木马程序中的。因此,我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱,让盗号者偷鸡不成反蚀把米。提示:以上漏洞仅存在于将QQ号码信息以邮件发送方式的木马,如果在配置“啊拉QQ大盗”的过程中选择使用网站接收的方式则不存在该漏洞。
2、网络嗅探,反夺盗号者邮箱当木马截取到QQ号码和密码后,会将这些信息以电子邮件的形式发送到盗号者的邮箱,我们可以从这里入手,在木马发送邮件的过程中将网络数据包截取下来,这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我们可以使用一些网络嗅探软件,这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。 ·x-sniff x-sniff是一款命令行下的嗅探工具,嗅探能力十分强大,尤其适合嗅探数据包中的密码信息。将下载下来的x-sniff解压到某个目录中,例如“c:”,然后运行“命令提示符”,在“命令提示符”中进入x-sniff所在的目录,然后输入命令“xsiff.exe -pass -hide -logpass.log”即可(命令含义:在后台运行x-sniff,从数据包中过滤出密码信息,并将嗅探到的密码信息保存到同目录下的pass.log文件中)。嗅探软件设置完毕,我们就可以正常登录QQ。此时,木马也开始运行起来,但由于我们已经运行x-sniff,木马发出的信息都将被截取。稍等片刻后,进入x-sniff所在的文件夹,打开pass.log,便可以发现x-sniff已经成功嗅探到邮箱的帐户和密码。 ·sinffer可能很多朋友对命令行下的东西都有一种恐惧感,所以我们可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的sinffer。 运行sinffer之前,我们需要安装WinPcap驱动,否则sinffer将不能正常运行。运行sinffer。首先我们需要为sinffer.exe指定一块网卡,点击工具栏上的网卡图标,在弹出的窗口中选择自己使用的网卡,点“OK”后即可完成配置。确定以上配置后,点击sinffer工具栏中的“开始”按钮,软件即开始了嗅探工作。接下来,我们正常登陆QQ,如果嗅探成功,就会在sinffer的界面中出现捕获的数据包,其中邮箱帐号密码信息被很清晰得罗列了出来。得到盗号者的邮箱帐号和密码以后,我们可以将其中的QQ号码信息邮件全部删除,或者修改他的邮箱密码,给盗号者一个教训,让我们菜鸟也正义一把。