木马免杀技术
木马免杀技术
一、杀毒软件的查杀模式
杀毒软件的查杀模式分三种
1.文件查杀
2.内存查杀
3.行为查杀
这三种是目前杀毒软件常用的杀毒模式。
所谓的文件查杀就是杀毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有病毒库中的病毒特征代码就给予查杀。
内存查杀是杀毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行比对,发现有文件中带有病毒特征代码就给予查杀。现在最厉害的内存查杀当然是瑞星了,其他杀毒软件也有内存查杀但比不上瑞星的厉害。
行为杀毒是杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如:啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程,还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\Installed
Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。行为杀毒的典型杀毒软件—绿鹰PC万能精灵。
二.根据杀毒软件的查杀模式总结出免杀方法
主要针对文件的文件查杀和内存查杀
1.文件查杀
A.加壳免杀
B.修改壳程序免杀
C.修改文件特征代码免杀
D.加花指令免杀
2.内存查杀
A.修改内存特征代码
B.阻止杀毒软件扫描内存
====================================================== ================
A.加壳免杀建议你选择一些生僻壳、茾@恰⑿驴牵 蛘呒佣嘀乜牵 馍钡氖奔洳怀?可能很快被杀,不过和加密工具配合使用一些杀毒软件是很容易过的但瑞星的内存不过。
B.修改壳程序免杀主要有两种:一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。
C.修改文件特征代码免杀,此方法的针对性是非常强的,就是说一般情况下你是修改的什么杀毒软件的特征代码,那么就只可以在这种杀毒软件下免杀。以前常用的工具有CCL特征码定位器,不过现在用起来不是那么方便了,比如黑防鸽子他有多出特征代码,给新手学习定位增加了一定的难度,现在主要推荐的是MYCCL特征码定位器,个人感觉定位速度快,准确率高,尤其对那些有多处特征码的定位。如黑防鸽子的卡巴文件特征代码:
特征码物理地址/物理长度如下:
[特征] 000A0938_00000002
[特征] 000A0B26_00000002
[特征] 000A0E48_00000002
[特征] 000A1300_00000002
[特征] 000A14F4_00000002
[特征] 000A1520_00000003
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[----------------MM--------------------------------]
主要方法是:1.修改字符串大小写法
2.直接修改特征码的十六进制法
3.指令顺序调换法
4.通用跳转法
5.等价替换法
D.加花指令免杀此方法通用性强,而且效果好。主要有两种:加区加花和去头加花。
修改内存特征代码
---------------------------------------------------------------------
A.目前内存杀毒的杀毒软件强的并不多。比如:KV 虽然有内存杀毒但是它的内存病毒库是非常弱的,基本没有什么东西。卡巴斯基的内存杀毒其实不是真正意义上的内存杀毒,木马在卡巴斯基下一但文件免杀,内存也就免杀了。内存杀毒强的我个人认为还是我们国内的杀毒软件瑞星。修改内存特征代码对于初学免杀的朋友来说,难点应该是在内存特征代码定位上。以前常用的工具有CCL特征码定位器,不过现在用起来不是那么方便了,比如黑防鸽子他有多出特征代码,给新手学习定位增加了一定的难度,现在主要推荐的是MYCCL特征码定位器,个人感觉定位速度快,准确率高,尤其对那些有多处特征码的定位。至于修改内存特征码的方法有跳转修改法和直接修改法。
B. 阻止杀毒软件扫描内存,现在常用的工具是免疫007,不过效果不算太完美。
这些是现在较常用的免杀方法,当然还有其他的方法后续吧。
木马程序是如何实现隐藏的
木马程序是如何实现隐藏的 木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。 3、潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。 4、伪装在普通文件中 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图
特洛伊木马病毒的隐藏技术_李军丽
特洛伊木马病毒的隐藏技术 李军丽 云南大学信息学院 云南 650031 摘要:隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。 关键词:木马病毒;网络安全;隐藏技术 0 引言 随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全的隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁;据调查,目前在国内,68.26%的用户怀疑受到过木马病毒的攻击,63%的电脑用户曾受到过木马病毒攻击。隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。 1 木马的隐藏技术 木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。木马的隐藏技术主要包括以下几个方面:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。 1.1 本地文件伪装隐藏 木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。 1.2 木马的启动隐藏方式 (1) 本地文件伪装 最常用的文件隐藏是将木马病毒伪装成本地文件。木马病毒将可执行文件伪装成图片或文本----在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG.,不注意的人一点击这个图标就在无意间启动了木马程序。 (2) 通过修改系统配置来实现木马的启动隐藏 利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。像Autoexec.bat和Config.sys。特别是系统配置文件MSCONFIG.SYSMSCONFIG.SYS中的系统启动项—— system.iniwindow.ini是众多木马的隐藏地。Windows安装目录下的system.in的[boot]字段中,正常情况下为boot=“Explorer.exe”,如果后面有其他的程序,如这样的内容,boot=“Explorer.exe file.exe”,这里的file.exe,可能就是木马服务端程序。另外,在System.ini中的[386enh]字段,要注意检查在此段内的driver=路径\程序名。这里也有可能被木马所利用。再有System.ini中的[drivers],[drivers32],[mci]这3个字段,也是起到加载驱动程序的作用,因此也是增添木马程序的好场所。 (3) 利用系统路径遍历优先级欺骗 Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在的盘符的根目录开始向系统目录深处递进查找,而不是精确定位;这就意味着,如果有两个同样名称的文件分别放在“C:\”和“C:\WINDOWS”下,WINDOWS会执行C:\下的程序,而不是C:\WINDOWS下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件里,并复制到比原文件要浅一级的目录里,WINDOWS就会想当然的执行这个木马程序。要提防这种占用系统启动项而作到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。 (4) 替换系统文件 木马病毒就利用系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序INTERNAT.EXE。让动态链接库可以像程序一样运行的RUNDLL32.EX等。木马程序会替换掉原来的系统文件,并把原来的系统文件名改成只有它自己知道的一个偏僻文件名。只要系统调用那个被替换的程序,木马就能继续驻留内存了。木马作为原来的程序被系统启动时,会获得一个由系统传递来的运行参数,木马程序就把这个参数传递给被改名的程序执行。1.3 进程隐藏 进程隐藏有两种情况,一种隐藏是木马程序的进程仍然存在,只是不在进程列表里;采用APIHOOK 技术拦截有关作者简介:李军丽(1980-),女,云南大学信息学院05级硕士研究生,研究方向:计算机网络安全,嵌入式系统。
木马检测与防护技术的发展
Computer Science and Application 计算机科学与应用, 2015, 5(12), 429-435 Published Online December 2015 in Hans. https://www.360docs.net/doc/1f4322100.html,/journal/csa https://www.360docs.net/doc/1f4322100.html,/10.12677/csa.2015.512054 Study of Trojans Detection and Prevention Technology Shaohua Wu, Yong Hu College of Electronics and Information Engineering, Sichuan University, Chengdu Sichuan Received: Dec. 5th, 2015; accepted: Dec. 25th, 2015; published: Dec. 28th, 2015 Copyright ? 2015 by authors and Hans Publishers Inc. This work is licensed under the Creative Commons Attribution International License (CC BY). https://www.360docs.net/doc/1f4322100.html,/licenses/by/4.0/ Abstract Based on reverse analysis of many current popular Windows’ Trojans behavior, the new technolo-gies used by Trojans were summarized, including program hidden, process hidden, communica-tion pattern and means to avoid killing. Combined with the current mainstream security software to detect the Trojan, some new technologies and opinions against the Trojan threat were present. Keywords Trojan, Masquerading Technology, Process Hidden, Communication Protocol, Avoid Killing, Trojan Detection 木马检测与防护技术的发展 吴少华,胡勇 四川大学电子信息学院,四川成都 收稿日期:2015年12月5日;录用日期:2015年12月25日;发布日期:2015年12月28日 摘要 通过对大量当前流行的windows木马程序进行逆向,分析木马在伪装技术、程序隐藏方式、进程隐藏方
木马的隐藏方式
木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中木马的工作原理,木马查杀。-电脑维修知识网 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 2、隐藏在配置文件中木马的工作原理,木马查杀。-电脑维修知识网 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在 Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 3、潜伏在Win.ini中木马的工作原理,木马查杀。-电脑维修知识网 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 4、伪装在普通文件中木马的工作原理,木马查杀。-电脑维修知识网 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为 *.jpg, 不注意的人一点这个图
国内外木马研究现状
国外研究背景: 快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。网络战争战场将成为未来信息作战风格。木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。 1.有关国外的隐藏技术 (1)木马的P2P网络模型 木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。木马隐藏技术主要分为两类:主机隐藏和隐藏通信。设计一个新的木马主机隐藏DLL陷阱技术在Windows SPI接口,木马没有隐藏的过程。通信隐藏使用P2P技术控制网络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。 (2)Bootkit Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,从而得到无限制的访问整个电脑,甚至可以绕过满卷加密,因为主引导记录不加密。主引导记录包含密码解密的软件要求和解密开车。 国内研究现状: 计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。其中特洛伊木马的破坏最大,它能在高隐蔽性的状态下窃取网民的隐私信息。通常被感染木马的计算机用户并不知道自己的计算机已被感染。这是由于木马程序具有很高的隐蔽性,它能在看似无任何异常的情况下,秘密操控远程主机,进行破坏活动。 1.木马隐藏相关技术 (1)程序隐蔽 木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。程序捆绑方式是将多个exe 程序链接在一起组合成一个exe 文件,当运行该exe 文件
木马通信的隐蔽技术
多媒体技术及其应用本栏目责任编辑:唐一东木马通信的隐蔽技术 张春诚,路刚,冯元 (解放军炮兵学院计算中心,安徽合肥230031) 摘要:服务器和客户机如何通信是木马研究的一个核心技术,该文讲述了如何利用网络协议躲避了防火墙和系统工具的检查,成功实现了木马的隐蔽通信,给出的源代码均调试通过。 关键词:木马通信;隐藏通信 中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)35-2481-03 Covert Technologies on Communications of Trojan Horse ZHANG Chun-cheng,LU Gang,FENG Yuan (PLA Artillery Academy Computer Center,Hefei 230031,China) Abstracr:The communications between server and client is a kernel technology to research Trojan.This paper describes how to hide out inspect of firewall and system tools through network protocol,and successful implement on covert communications of Trojan.These sound codes are all debugged and passed. Key words:communications of trojan horse;covert communications 1引言 木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP 通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP 端口与控制端进行通信。通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP 端口。早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。 2木马通信形式的隐蔽技术 木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。 2.1端口寄生 端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP 80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。在Windows 9X 系统中进行此类操作相对比较简单,但是在Windows NT/2K 系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。 2.2反弹端口 反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。为了隐蔽起见,控制端的被动端口一般开在TCP80。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP USERIP :1026CONTROLLERIP :80ESTABLISHED 这种情况,用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP 的第三方存储空间来进行控制端IP 地址的传递。 下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。 CServerSocket *pMy;//CServerSocket 是CAsyncSocket 的派生类 …… //初始化是开始连接,同时建立定时器 BOOL CServiceDlg::OnInitDialog(){CDialog::OnInitDialog();pMy=NULL;SetTimer(199,30000,NULL);pMy=new MySock;pMy->Create();pMy->Connect(m_ip,80);//连接目标的80端口,让人感觉在上网 收稿日期:2008-07-02 作者简介:张春诚(1982-),男,硕士,研究方向:网络安全;路刚(1983-),男,硕士,研究方向:计算机人工智能;冯元(1983-),男,硕 士,研究方向:计算机网络技术。 ISSN 1009-3044 Computer Knowledge And Technology 电脑知识与技术 Vol.4,No.8,December 2008,pp.2481-2483E-mail:eduf@https://www.360docs.net/doc/1f4322100.html, https://www.360docs.net/doc/1f4322100.html, Tel:+86-551-569096356909642481
木马攻击技术的概述
目录 一、木马概述 (3) 1.木马的定义及特征 (3) 1.1木马的定义 (3) 1.2木马的特征 (3) 2.木马的工作原理 (4) 3.木马的分类 (5) 4.木马的功能 (6) 5.木马的工作过程 (7) 二、木马的传播方式 (8) 三、木马的清除 (9) 四、如何避免木马攻击 (9) 五、结语 (9) 六、参考文献 (10)
前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
木马通信的隐蔽技术
引言 木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP端口与控制端进行通信。通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。2木马通信形式的隐蔽技术 木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。 2.1端口寄生 端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。在Windows9X系统中进行此类操作相对比较简单,但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。 2.2反弹端口 反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。为了隐蔽起见,控制端的被动端口一般开在TCP80。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCPUSERIP:1026CONTROLLERIP:80ESTABLISHED这种情况,用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP的第三方存储空间来进行控制端IP地址的传递。 下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。CServerSocket*pMy;//CServerSocket是CAsyncSocket的派生类…… //初始化是开始连接,同时建立定时器 BOOLCServiceDlg::OnInitDialog(){ CDialog::OnInitDialog();pMy=NULL; SetTimer(199,30000,NULL);pMy=newMySock;pMy->Create(); pMy->Connect(m_ip,80);//连接目标的80端口,让人感觉在上网ComputerKnowledgeAndTechnology} //在定时器中检查是否有连接,否则试图重新连接V oidCServiceDlg::OnTimer(UINTnIDEvent){ If(nIDEvent=199){ If(pMy->Send(“test”,4)=SOCKET_ERROR){pMy->Detach();deletepMy;pMy=NULL; pMy=newMySock;pMy->Create(); pMy->Connect(m_ip,80);}} CDialog::OnTimer(nIDEvent);} 2.3潜伏技术 ICMP(互联网控制报文协议)是IP协议的附属协议,用来传递差错报文以及其他需要注意的消息报文。它是由内核或进程直接处理而不会打开通信端口。采用潜伏技术进行通信的木
隐藏病毒木马的常用处理方法
自从VISTA开始内核管理策略做了很大调整,WINDOWS 7上更是如此,审查和分级会越来越严格,现在广泛流行的ROOTKIT、HOOK内核等技术,要在VISTA和WINDOWS 7上运用自如已经不是一件简单的事情。 当然了,道告一尺魔高一丈,办法总是有的,但对病毒作者的编程水平要求也越来越高,半道出家的病毒“名人”也将会越来越少,除非是发现了系统的重大漏洞,至少他应该熟悉汇编、C、内核管理、内存管理等方面的知识,同时为了支撑病毒或木马的传播,还需要具备网络基础、网络语言等知识,更多请阅读: 编写一个病毒木马程序不是那么容易的事情,但是要想杀掉一个病毒木马要要简单的多,很多人感到困难是因为没有能力判断出正确的病毒文件。 一、病毒木马的典型外部特性 1、商业利益企图 该类病毒或木马只要上身后,都会有明显的一些特征,比如莫名弹窗、修改首页、莫名访问(肉鸡)、浏览器插件等等,大部分特征我们都可以从WINDOWS 窗口和防火墙、浏览器上体现出来,如果是被装上灰鸽子或后台窃号木马,如果杀毒软件没有提示可能根本“看不出来”,只能通过系统使用感觉、防火墙规则以及可疑模块等方式判断。 还有以攻击或协助攻击为主要目标的木马程序,这类程序不是一般病毒木马程序,单纯是为了窃取用户资料或协助攻击,一般事情做完之后会自动卸掉所有可能的蛛丝马迹,普通用户一般没这个运气碰上。 2、损人不利己和恶作剧 这类程序现在已经很少了,90年代的时候最多,后来这些作者都钻到钱眼里头去了,现在少有闲人在做。
下面看一下常用的处理方法,只根据经验尽可能的多列一些,实际使用都需要综合运用。 二、面向新手的方法 1、安全模式下启动杀毒软件扫描,一般发现或提示病毒,请记住该病毒的文件名(如果可以的话),如果重启机子后没有清理掉,可以查看该文件是否仍然存在,如果还存在就使用下面方式针对性的删除。 2、使用流氓软件清理软件,网上很多大师、助手之类的都可以使用,这个根据个人习惯选用,下载时候注意来源最好官方,如果可以升级病毒库,最好先升级后再查杀。 4、如果上面的两个方法还是不行,一般来讲,你想更换杀毒软件是很难的,病毒大都会检测防病毒程序的安装启动情况,可以直接KILL掉,即使你GHOST还原系统分区也未必就可以清理掉,所以也只能说声抱歉,最好还是找找身边懂电脑的朋友,实在找不到就再试一下: 三、稍有经验的网友 1、首先定位病毒文件,把驱动器根目录下的文件包括隐藏文件检查一下,回想一下刚刚防病毒程序的提示,根据中毒前操作情况检查IE TEMP目录、WINDOWS TEMP目录下的临时可执行程序,把能看到的可以程序都放回收站去,然后开始干干净净检查任务管理器是否存在可疑进程或使用tasklist和taskkill,尽量在机子未重启时候清理,有些非即插即用驱动类病毒不启动机子也没办法生效的。如果有可疑进程,应先终止进程删除文件,下面方法可以综合运用,目的就是干掉进程文件。
如何预防木马-结合木马的藏身之所,隐藏技术,总结清除木马的方法.
如何预防木马?结合木马的藏身之所,隐藏技术,总结 清除木马的方法. 篇一:《计算机病毒》复习思考题20XX 20XX《计算机病毒》复习思考题 第一手资料:教材、教学PPT 必读参考资料: 1.金山毒霸20XX-20XX中国互联网安全研究报告.doc 2.中国互联网站发展状况及其安全报告(20XX年).pdf 3.瑞星20XX年上半年中国信息安全报告.pdf 4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc 5.★★★木马防治之“葵花宝典”.doc 6.★★★深层病毒防护指南.doc 7.专题:★★★手动杀毒综合篇.doc 8.打造安全U盘(实验).doc 9.打造安全、流畅、稳定的系统.ppt 10.HiPS主机入侵防御系统.ppt 11.关于HoSTS文件.doc 12.病毒触发条件.doc 第一章计算机病毒概述 1.简述计算机病毒的定义和特征。
2.如何通过病毒的名称识别病毒的类型? 3.计算机病毒有哪些传播途径? ?查找相关资料,试述计算机病毒发展趋势与特点。 ?研究计算机病毒有哪些基本原则?搭建病毒分析的环境有哪些方法? 第2章预备知识 1.硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区? 2.低级格式化、高级格式化的功能与作用是什么?高级格式化(FoRmaT)能否清除任何计算机病毒?为什么? 3.doS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改? 4.针对PE文件格式,请思考:win32病毒感染PE文件,须对该文件作哪些修改? 第3章计算机病毒的逻辑结构与基本机制 1.文件型病毒有哪些感染方式? 2.计算机病毒的感染过程是什么? 3.计算机病毒一般采用哪些条件作为触发条件? ?试述计算机病毒的逻辑结构。 第4章doS病毒的基本原理与doS病毒分析 1.试述引导型病毒的启动过程。
木马隐藏技术分析
木马隐藏技术分析 郜多投 (山东大学山东省济南市250100) 摘要:文章首先介绍了木马的原理和特征,然后对木马所实现的功能做了简单的介绍,最后从木马的文件隐藏,进程隐藏和通信隐藏三个方面着重进行了分析。 关键词:木马;木马隐藏;通信隐藏 [引言]木马,是一种通过潜入对方电脑进非法操作的计算机成程序,是目前黑客惯用的一种攻击手段,和一般的恶意软件不同,木马不主动进行自我复制和传播,破坏其他程序,然而,木马的潜伏性是超前的,为了看起来和正常程序一样,在进入系统之前,对自身的程序进行了伪装,使被感染的系统看起来一切正常,从而严重威胁计算机网络安全。 1.木马的原理和特征 一个完整的木马程序包含两部分内容,服务端和控制端,服务端程序是通过远程计算机网络植入对方电脑,而黑客通过客户端进入运行了服务端的受控电脑,通常运行了服务端的计算机会生成一个类似于系统文件的进程,此时端口被暗中打开,电脑中保存的各类数据会向控制端进行发送,黑客也可以通过这些暗中打开的端口进入目标电脑,此时,电脑中更多的隐私将会遭受更大的泄露。 木马一般具有以下特征: 一,隐藏性,隐藏性是木马的最显著特征,比如,改写进程名称使其和系统文件高度相似,隐藏在任务管理器中的进程,减少程序大小,减少暗中打开端口的流量。 二、自动运行性,可以随电脑启动而启动,比如潜入启动配置文件win.ini,winstart。Bat等,有的也可嵌入正常软件,随软件的运行而启动。 三、欺骗性:木马为了防止被发现,通常伪装成为系统中本身存在的文件,比武将文件名中的“O”改为“0”,“1改为I”等容易混淆是非的字符,或者有的系统中本身的文件名也可被木马直接套用,只不过是保存在不同的系统路径下,另外,有的木马将自己改装成为ZIP压缩文件,当用户解压时,直接运行。四、自我恢复性。目前大多数木马程序的功能模块已不是单一的组件构成,而是自动复制到电脑其他路径做备份,在子木马或者主木马被删除时,都可以再自动生成。 2.木马的功能 木马的作用不仅限于窃取密码,对文件进行操作。一个功能强大的木马程序,一旦潜入计算机系统,黑客对于受控计算机的操作就如同和自己自己的一样。木马的功能主要分为以下几个方面:窃取密码。这是早期木马最根本的一个功能,大多数木马具有键盘按键记录功能,一旦木马植入计算机,任何输入键盘的密码将很容易被窃取,然而并没有鼠标记录功能,所以,通过鼠标适当的造作来改变击键顺序可以有效的防止密码泄露。此外,木马程序也可以记录其他的明文以及缓存Cache记录。 远程监控。攻击者可以对目标电脑进行屏幕图
完整版木马分析.doc
完整版-木马分析 一个木马的分析 第一次详细分析木马,不足之处请见谅。 这个木马一共4KB,是个比较简单的程序,所以分析起来也不是很难。下面开始正式分析。 这是程序的主题函数,一进来就是三个初始化的call,然后就是一个大的循环,程序就是在这个循环之中不停的运行着。 跟进第一个call: 函数首先创建了一个hObject变量~用于存放创建的互斥对象句柄。mov [ebp+hObject], start proc near eax就是将创建的互斥句柄传送到 call sub_401481hObject中。这里是创建了一个名为 call sub_401092 H1N1Bot的互斥对象。然后调用 call sub_4011AE loc_4014C4: GetLastError得到错误码~这里加 call sub_4013D5 入程序已经有一份实例在运行了~则 call sub_40143F push 0EA60h ; 这个互斥对象就是创建过了的~就是dwMilliseconds 得到错误代码为0B7h的值。通过查 call Sleep 询msdn发现:0b7h含义是Cannot jmp short loc_4014C4 start endp create a file when that file already exists.所以这样就防止了木马程序同时打开了多份。当返回值是 0B7h的时候~调用ExitProcess退出程序。总结来说这个call就是检查程序是否已经打开~要是打开过了就退出。
进入401092的call,由于这hObject = dword ptr -4 个函数代码过多,就不贴详细的.text:00401481 代码了。函数定义了两个局部字.text:00401481 push ebp 符串数组ExistingFileName,.text:00401482 mov ebp, esp String2(这里是ida分析给出的名.text:00401484 add esp, 0FFFFFFFCh 字)和一个文件指针。函数先将.text:00401487 push offset Name ; 这两个数组用零填充,然后调用"H1N1Bot" GetModuleFileNameA得到当前.text:0040148C push 0 ; 程序的完整路径,并将结果存放bInitialOwner 在ExistingFileName中。在调用.text:0040148E push 0 ; SHGetFolderPathA并将结果存lpMutexAttributes 放在String2中。 .text:00401490 call CreateMutexA SHGetFolderPathA可以获.text:00401495 mov [ebp+hObject], eax 取系统文件夹,这里他的参数值.text:00401498 call GetLastError 是0x1c。 .text:0040149D cmp eax, 0B7h Const .text:004014A2 jz short loc_4014A6 CSIDL_LOCAL_APPDATAH1C调用ExitProcess退出程序. (用户)\本地设置\应用程序数.text:004014A4 leave 据。即如果以administration身.text:004014A5 retn 份登录获得的是C:\DocumentsandSettings\Administrator\Local Settings\Applicaton Data\路径。 然后调用lstrcatA这个函数在String2的后面加上\\winvv.exe。然后比较String2和ExistingFileName是否相同,不同则把自身复制到ExistingFileName 中,最后运行复制
(完整版)木马攻击技术彻底剖析毕业论文
毕业论文(设 计) 论文(设计)题目:木马攻击技术彻底剖析 学院:理工学院 专业(方向):计算机科学与技术(网络工 程) 年级、班级:网络1101 学生姓名: 指导老师:
2015 年 5 月 15 日
论文独创性声明 本人所呈交的毕业论文(设计)是我个人在指导教师指导下进行的研究工作及取得的成果。除特别加以标注的地方外,论文中不包含其他人的研究成果。本论文如有剽窃他人研究成果及相关资料若有不实之处,由本人承担一切相关责任。 本人的毕业论文(设计)中所有研究成果的知识产权属三亚学院所有。本人保证:发表或使用与本论文相关的成果时署名单位仍然为三亚学院,无论何时何地,未经学院许可,决不转移或扩散与之相关的任何技术或成果。学院有权保留本人所提交论文的原件或复印件,允许论文被查阅或借阅;学院可以公布本论文的全部或部分内容,可以采用影印、缩印或其他手段复制保存本论文。 加密学位论文解密之前后,以上声明同样适用。 论文作者签名: 年月日
木马攻击技术彻底剖析 摘要 如今是大数据的时代,有效的信息能够带来巨大的效益,它作为一种普遍性、共享性、增值型、可处理性和多效用性的资源,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或网络信息传输中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。信息安全是一个不容忽视的国家安全战略,任何国家、政府、部门、行业都不可避免的问题。因此,在计算机信息安全领域,对计算机木马技术的研究已成为一个重点和热点。本文对计算机木马攻击技术进行了系统的分析和研究,主要工作如下: 1.对木马的基本概念进行说明、攻击机制进行剖析。 2.采用“冰河”实例进行剖析说明。 3.在研究了木马隐蔽技术的基础上,提出了一个动静特征相结合的行为木马特征检测技术基本框架。尽最大能力去检测与防范木马攻击。 【关键词】木马攻击,计算机信息安全,木马检测,木马防范
Windows下内核级木马隐藏技术研究
微 处 理 机 M I CROPROCESS ORS ?微机网络与通信? W indo ws 下内核级木马隐藏技术研究 刘 德,甘早斌 (华中科技大学计算机科学与技术学院,武汉430074) 摘 要:木马技术是网络安全的重要方面,也是网络攻击中获取信息的重要途径。隐藏技术是 木马的关键技术之一,其直接决定木马的生存能力。从Rootkit 的原理分析出发,深入的研究W indows 下内核级木马的隐藏技术,并在此基础上实现一个内核级木马原型,最后介绍内核级木马的检测和应对策略。 关键词:特洛伊木马;内核Rootkit;隐藏技术中图分类号:TP309 文献标识码:A 文章编号:1002-2279(2009)01-0041-04 R e sea rch o n Co ncea l m en t Techno l o gy o f Ke rne l -ba sed Tro jan Ho rse U nde rW indow s L I U De,G AN Zao -B in (D ept .of Co m puter Science,Huazhong U niversity of Science and Technology,W uhan 430074,China ) Abstract:Tr ojan horse technol ogy is an i m portant part in the research of net w ork security,and it ’s als o an i m portant way t o get infor mati on fr om the net w ork .This paper mainly analyzes the conceal m ent and detecting technol ogy of windows Rootkit -based tr ojan horse .A kernel -level Tr ojan horse syste m is i m p le mented as well .Finally,s ome ways t o detect Tr ojan horse are described in detail . Key words:Tr ojan horse;Rootkit;Conceal m ent 1 引 言 特洛伊木马是网络攻击的主要手段之一,它可 以伪装欺骗进入目标系统,并在进入目标系统后继续保持对它的控制。木马的首要特征是它的隐蔽性。为了提高自身的生存能力,木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。木马的隐藏包括启动隐藏、文件隐藏、进程隐藏、通信隐藏等方面的内容。随着安全技术的进步,木马的开发者也在不断寻找新的木马隐藏和自我保护技术。 Rootkit 是一种特洛伊后门工具,通过修改现有的操作系统软件,使攻击者获得访问权并隐藏在计算机中。Rootkit 最初是为了攻击UN I X 系统而开发的。自从1999年Greg Hoglund 开发了第一个针对W indo ws 的Rootkit (即NTRootkit )以来,W indo ws Rootkit 受到了人们的广泛关注并得到了很大的发展。目前流行的W indows Rootkit 有NTRootkit,Hacker Defender,AFX Rootkit,P W S -Pr ogent,F U Rootkit 等等。 针对当前W indo ws 下内核级木马的隐藏技术进 行深入的研究,分析和总结内核级木马的隐藏和检测技术,并利用相关技术开发了一个内核级木马原型BOES,通过实验测试该木马达到良好的隐藏效果。 2 W indows Rootkit 技术分析 W indows 系统服务是由操作系统提供的一组函 数,应用程序接口使得开发者能够直接或者间接的调用系统服务,操作系统以动态连接库的形式提供应用程序接口。用户程序所调用的AP I 一些是直接来自相应的系统服务,另一些则依赖其他多个系统服务调用。系统服务调用是操作系统向用户提供硬件设备服务和请求内核服务的接口。在用户态执行时为了与W indows 系统交互,要执行各种对W in32子系统DLL 文件的AP I 函数调用(W in32系统服务调用机制如图1所示)。M icr os oft 提供了大量AP I 函数,它们被组织到不同的DLL 文件中,包括U ser32.dll 、kernel32.dll 等。当用户程序执行,向W in32DLL 发出函数调用请求时,这些请求并非被DLL 直接发送给内核,而是首先通过N tdl1.dll 文件。N tdl1.dll 利用详细记录的函数调用把这些函数 作者简介:刘德(1982-),男,湖南攸县人,硕士研究生,主研方向:网络安全和电子商务。 收稿日期:2006-12-19 第1期2009年2月 No .1 Feb .,2009