第二章 黑客攻击技术-恶意代码-2.pptVIP

2.3 木马技术概述 特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击DoS等特殊功能的后门程序。 它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，通信遵照TCP/IP协议 最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现，系统表现也正常像一个潜入敌方的间谍， 2007年金山病毒报告监测显示，木马攻击占当前网络病毒的70%以上，已经成为当前网络危害最严重的网络病毒，网络上各种种马技术加剧了木马的流行和发展， 由于木马控制了被植入者的计算机，它几乎可以在被植入主机上为所欲为，破坏程度非常巨大 国家互联网应急中心(CNCERT)在2008 年上半年抽样监测，境内外控制者利用木马控制端对主机进行控制的事件中，木马控制端IP 地址总数为280068 个，被控制端IP 地址总数为1485868 个 木马发展历史 第一代木马出现在网络发展的早期，以窃取网络密码为主要任务，这种木马通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。 第二代木马在技术上有了很大的进步，它使用标准的CS/架构，提供远程文件管理、屏幕监视等功能，在在隐藏、自启动和操纵服务器等技术上也有很大的发展。 第三代木马在功能上与第二代木马没有太大差异，隐蔽开放端口，如使用ICMP通信协议进行通信，使用TCP端口反弹技术让服务器端主动连接客户端。 第四代木马在进程隐藏方面做了大改动，让木马服务器运行时没有进程，网络操作插入到系统进程或者应用进程中完成。典型如采用利用远程插入线程技术嵌入DLL线程，另外如rootkit技术 第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。 2.3.2 木马的实现原理与攻击技术 木马欺骗技术：木马欺骗用户安装、欺骗用户运行以及隐藏自己防治被发现关键技术 冒充为图像文件 合并程序欺骗 插入其它文件内部 伪装成应用程序扩展组件? 利用WinRar制作成自释放文件 在Word文档中加入木马文件 攻击步骤 一个木马程序要通过网络入侵并控制被植入的电脑，需要采用以下四个环节： 首先是向目标主机植入木马，也就是当前流行的“种马”技术，通过网络将木马程序植入到被控制的电脑 启动和隐藏木马 服务器端（目标主机）和客户端建立连接， 通知植入者，并被进行远程控制电脑， 植入技术 木马植入技术可以大概分为主动植入与被动植入两类。 主动植入，就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机上，这个行为过程完全由攻击者主动掌握。 被动植入，是指攻击者预先设置某种环境，然后被动等待目标系统用户的某种可能的操作，只有这种操作执行，木马程序才有可能植入目标系统。 主动植入技术 利用系统自身漏洞植入 利用第三方软件漏洞植入 利用通信软件发送伪装的木马文件植入 利用电子邮件发送植入木马 被动植入 软件下载 利用共享文件 利用Autorun文件传播 网页浏览传播：这种方法利用Script/ActiveX控件、/JavaApplet等技术编写出一个HTML网页，当我们浏览该页面时，会在后台将木马程序下载到计算机缓存中 木马的自动加载技术 修改系统文件 修改系统注册表 修改文件打开关联 修改任务计划 修改组策略 命令：gpedit.msc 修改启动文件夹 替换系统自动运行的文件 替换系统DLL 作为服务启动 木马隐藏技术 木马植入目标系统后，为了提高自身的生存能力，木马会采用各种手段伪装隐藏以使被感染的系统表现正常，避免被发现，尽可能延长生存期。对于隐藏技术，主要分为两类：主机保存隐藏和通信过程隐藏。 主机隐藏 主机隐藏主要是指在主机系统上表现为正常的进程，使被植入者无法感觉到木马的存在，甚至即使发现进程，利用欺骗等技术，也不敢删除。 一种采用欺骗的方式伪装成其他文件 是伪装成系统文件 进程隐藏 进程隐藏则存在以下技术，对于那些单独存在的木马进程，可以注册为一个服务，这样在任务管理器中就无法看到。另外隐藏就是不以单独的进程出现，有以下技术 动态链接库注入技术 Hooking API技术 通信隐藏 通信隐藏 复用正常服务端口 采用其他不需要开放端口的协议进行通信 利用“反弹端口”技术 采用嗅探技术 远程控制 如何得到被种马的主机地址 端口扫描 邮件发送 UDP通知 利用qq、msn等通信软件 木马的破坏方式 窃取密码 远程访问控制 DoS攻击 代理攻击 程序杀手 冰河木马 冰河木马包括两个可运行程序，服务器端程序G-server.exe和客户端程序G-