第八章计算机木马防范.pptVIP

主讲人:于长青 邮件地址：xaycq@163.com 西安工业大学北方信息工程学院 第八讲 计算机木马防范 本讲的目标 了解计算机木马的工作原理 掌握查杀计算机木马的方法（手动方式、专用工具）； 授课建议 了解计算机木马的工作原理 掌握查杀计算机木马的方法（手动方式、专用工具）； 木马程序的利用与监测 “木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。 木马原则上和Laplink、PCanywhere 等程序一样，只是一种远程管理工具 木马本身不带伤害性，也没有感染力，所以不能称之为病毒 (也有人称之为第二代病毒) 计算机木马种类 键盘记录型木马 主要用来截取用户的密码资料信息，类似于QQ、msn、魔兽世界等大多网游或即使通讯程序的密码，当然，对于用户网上银行的资料记录，这类木马也能够记录下来。 远程监控型木马 Dos攻击木马 木马技术的发展 第一代木马 个将自己伪装成特殊的程序或文件的软件，如本身伪装成一个用户登陆窗口，当用户运行了木马伪装的登陆窗口，输入用户名与密码后，木马将自动记录数据并转发给供给者，入侵者借此来获得用户的重要信息，达到自己的目的。 第二代木马 有能够进行的远程控制操作 第三代木马 由原来的服务端被动连接变为服务端主动连接 第四代木马 远程线程插入技术，将木马线程插入DLL 线程中，增加了隐藏进程技术 典型的C/S结构， 隐蔽性差 隐藏、自启动和操纵服 务器等技术上有长足进步 隐藏、自启动和数据传递技术上 有根本性进步，出现了以ICMP进行数 据传输的木马 采用改写和替换系统文件的做法 木马连接方式 传统方式 端口反弹方式 计算机木马工作原理运行机制 木马运行机制 第一步：木马客户端会将自己的IP 地址以及监听端口发送给一个“中间机器”，如某网页文件，/ip.txt， 第二步：木马服务端会连接“中间机器”，获取服务端目前的IP 地址和端口信息。 第三步：木马服务端主动向客户端发出连接请求，直至双方建立连接成功 计算机木马的工作原理欺骗方式 捆绑欺骗 把木马服务端和某个游戏，或者flash 文件捆绑成一个文件 邮件冒名欺骗 压缩包伪装 网页欺骗 利用net send 欺骗 木马隐藏 在任务栏里隐藏 任务栏中隐藏文件图标 在任务管理器隐藏 把木马设置为“系统服务”， 通信端口的隐藏 加载方式 必威体育精装版隐身技术 通过修改虚拟设备驱动程序(VXD)或修改动态链接库 (DLL)来加载木马 特洛伊木马隐身方法 主要途径有 躲避（改成重要的系统文件名） 绑定器（将木马和合法程序混合在一起产生一个可执行的程序） 在任务栏中隐藏自己 “化妆”为驱动程序 使用动态链接库技术 木马启动方式 在win.ini中启动 在system.ini中启动 通过启动组实现自启动 *.ini 修改文件关联 捆绑文件 反弹技术 木马潜伏时的常见症状 网速突然很慢，系统性能显著下降 系统进程中出现陌生进程 浏览器经常弹出网页窗口 计算机莫名重启或关机 手工查杀木马 1. 查看计算机启动时启动的所有程序有无陌生进程 2. 查看系统服务，有无非自身安装的服务。 3. 找到上述两种方式查找出的木马以及其相关程序路径。 4. 结束木马进程，删除木马启动项以及木马本身。 灰鸽子的特征 灰鸽子木马使用了“线程插入”技术以及“Rootkit 隐藏”技术。其进程在“任务资源管理器”上无法被发现。其次在“服务”列表中也隐藏了起来。 灰鸽子木马的客户端在执行后，会将其自身拷贝到系统目录（C:\windows\system32）下，紧接着，会释放出两个dll 文件。比如我们设定的客户端名称是Setup.exe，那么运行该客户端后，会在系统目录下新增Setup.exe、Setup.dll、Setup_Hook.dll 三个文件。 其中，Setup.exe 是灰鸽子服务端主程序，Setup.dll 文件实现后门功能，与灰鸽子控制端进行通信。Setup_Hool.dll 则是通过拦截API 调用来隐藏病毒。因此，中了灰鸽子后，我们看不到灰鸽子文件，也看不到灰鸽子在注册表以及服务项里的键值。随着灰鸽子服务端设置的不同，Hook.dll 会插入explorer.exe（或者Iexplore.exe）进程中。 由于灰鸽子拦截了API 调用，在常规下，木马程序文件和它注册的服务项均被隐藏，即使用户设置了“显示所有隐藏文件”，在系统目录下你也看不到它们。所以，要清除灰鸽子，用户首先得进入安全模式下。 手动清除灰鸽子木马 清除灰鸽子的服务； 删除灰鸽子程序文件，重启系统，进入“安全模式” 设置显示所有文件 在系统目录下，找到Setupdll.dll和Setupap