基于邮件的网页木马的攻防技术研究 .doc

上海理工大学 计算机与电气工程学院 本科优秀毕业论文（设计） 基于邮件的网页木马的攻防技术研究 计算机科学与技术 05级 张X 指导教师： 陈家琪 教授 一 内容简介 此研究的目的是分析邮件植入木马的原理手段，给出攻防示例综合防范措施。 二 问题的提出 通过分析基于邮件植入网页木马的原理，发现邮件网页木马其实是在发E-mail时，以HTML格式发送内嵌网页木马的邮件，这样一来邮件本身就成为网页木马。只要内嵌的代码能穿过邮件服务器的过滤，点击浏览该邮件，木马就会自动下载运行。这种靠浏览邮件来打开木马网页，其实是通过引入跳转代码──一种新型的转向入侵的代码来实现的。跳转代码是邮件网页木马的关键，为了使跳转代码有效，具体有以下几种方法：运用 、 和 的窗口弹出法；自动跳转法； 法； 框架法。通过这些方法，就能完成基于邮件的网页木马的植入，它的传播速度、范围和危害性是可想而知的。不过，国内外的差距还是存在的，许多国内的邮件服务器还都未对此进行全部的过滤，国外的邮件服务器虽有些过滤，但也不是密不透风的，漏洞还是存在的。 对此，除了需要一些必要的综合防范措施与方法外，还可从电子邮件系统的收发入手，实现攻防的目的。电子邮件是一种存贮转发式的服务，意味着邮件可以通过一系列的服务器发送到最终目的地。邮件的收发是基于SMTP和POP3协议的，有些服务器还具有支持ESMTP协议的身份验证功能。SMTP协议是一个请求/响应协议，命令和响应都是基于ASCII码的，用户可使用SMTP协议将电子邮件发送到服务器，也可以使用代理从服务器发送电子邮件。SMTP协议在发送方和接收方之间的会话，是靠发送方的 SMTP命令和接收方反馈的应答来完成的。对于身份验证功能，可以在NMSMTP控件里的Connect事件里加一些代码来实现。 电子邮件最终会被送到收件人所在的POP3服务器上的用户电子邮箱中。收件人利用邮件客户端软件，连接到邮件服务器上，并从自己的邮箱中接收邮件。POP3的会话过程是发送文本来完成的，过程为交互式的请求应答模式，命令也是文本形式的命令。每次会话，服务器总是返回一定的响应码，表示客户端的请求是否被正确地回应，会话过程是有一定顺序的，这些在客户端软件设计中都有所体现。 客户端软件是本次研究的重点，修改和调用SMTP协议、POP3协议、BASE64等函数功能及相关协议的组件，并结合控件，实现电子邮件客户端软件的主窗体，发送、接收和查杀等基本功能。而且，为了更好的防范木马攻击，采用以文本方式查看邮件内容，并结合Richedit控件的查找函数以及流式文件的一些具体方法来完成实现特征码的查杀功能，这在有些客户端软件中是没有的。 三 网页木马的防范技术实现 无论研究结果是什么，都需要一个能具体实现攻防的软件工具——客户端邮件收发检测程序。该程序界面风格简洁、稳重大方、操作简便，主界面分为三个页面，分别代表收件箱、查看邮件和发件箱。查看邮件页面上可以查看已接收的邮件，在邮件显示的页面上，还有检测、查杀字符串和在选定范围内查杀文件的功能。发件箱还带有发送附件的功能，而且基于现在许多服务器需要身份验证来收发邮件，故添加了编码和身份验证功能。 其中，最重要的是在表单上放置NMPOP3ReplaceDialog控件，在这个程序里，NMPOP3是与服务器通讯的核心Base64要求把每三个8Bit的字节转换为四个6Bit的字节3*8? ?4*6? ?24 ，然后把6Bit再添两位高位0，组成四个8Bit的字节，On Connect事件，在On Connect事件里我增加了身份认证功能，包括Base64编码的调用和具体会话的实现。这里主要利用了NMSMTP从PowerSock中继承的一些基本网络通讯函数，如果身份认证成功，就可以继续进行邮件发送。否则，提示错误信息，断开网络连接。在建立连接的基础上，给出了PostMessage邮件相关内容和欲添加的附件列表之后，调用NMSMTP控件的SendMail 方法邮发送件。其中，为了更好的实现网页木马的攻击示例，选用以HTML格式来发送邮件。 接收查看邮件 NMPOP3控件在给定用户登录属性之后，点击调用NMPOP3的Connect方法建立连接，随后在Connect 中调用List方法可以得到服务器上的邮件列表，列表中的每一个项将触发一次OnList事件。在用MailNumber参数选定邮件序号后，调用GetMailMessage和GetSummary方法显示邮件具体信息。调用DeleteMailMessage函数和Reset 函数来删除指定的邮件和恢复邮件。当一个文件附件将要被解码，并且要保存到磁盘上时，将触发OnDecodeStart事件。 查杀邮件 选用了可视化构件库中的ReplaceDi