木马病毒的行为分析
西安翻译学院
XI’AN FANYI UNIVERSITY
毕业论文
题 目: 网络木马病毒的行为分析 专 业: 计算机网络技术 班 级: 103120601 姓 名: 彭蕊蕊 指 导 教 师: 朱滨忠
2013年5月
学号:10312060108 院系: 诒华学院 成绩:
目录
1 论文研究的背景及意义...................................................................................... - 3 -
2 木马病毒的概况 .................................................................................................. - 4 -
2.1 木马病毒的定义......................................................................................... - 4 -
2.2 木马病毒的概述......................................................................................... - 4 -
2.3 木马病毒的结构......................................................................................... - 4 -
2.4 木马病毒的基本特征................................................................................. - 5 -
2.5木马病毒的分类.......................................................................................... - 5 -
2.6木马病毒的危害.......................................................................................... - 6 -
3 木马程序病毒的工作机制.................................................................................. - 6 -
3.1 木马程序的工作原理................................................................................. - 6 -
3.2 木马程序的工作方式................................................................................. - 7 -
4 木马病毒的传播技术.......................................................................................... - 7 -
4.1 木马病的毒植入传播技术......................................................................... - 8 -
4.2 木马病毒的加载技术................................................................................. - 9 -
4.3 木马病毒的隐藏技术................................................................................ - 11 -
5 木马病毒的防范技术......................................................................................... - 11 -
5.1防范木马攻击............................................................................................. - 11 -
5.2 木马病毒的信息获取技术...................................................................... - 12 -
5.3 木马病毒的查杀...................................................................................... - 12 -
5.4 反木马软件............................................................................................... - 12 -
6 总结 .................................................................................................................... - 13 -
网络木马病毒的行为分析
彭蕊蕊
西安翻译学院诒华学院计算机网络技术103120601
摘要:随着计算机网络技术的迅速发展和普及,Internet网络使得全世界的人们可以自由的交流和分享信息,极大的促进了全球一体化的发展。但是人们在交往的同时也面临着网络安全的隐患,每天分布在世界各地的计算机无时无刻不在遭受计算机病毒的攻击。其中有一种与病毒相似但有所区别的、基于远程控制的、具有很强的隐蔽性和危害性的工具,这就是特洛伊木马程序。
关键词:“木马”病毒,恶意程序,危害,防范
1 论文研究的背景及意义
随着互联网技术的发展和普及,计算机网络得到了广泛应用,利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势,人们日常的经济和社会生活也越来越依赖互联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁,例如黑客攻击,计算机病毒、特洛伊木马泛滥等。研究在目前开放的网络环境下,如何保证自己的信息安全就显的非常重要。
特洛伊木马(简称木马)是一种具有运行非预期或未授权功能的程序,例如可以记录用户键入的密码,远程传输文件,甚至可以完全远程控制计算机等。一般黑客在攻击目标得手之后,就会在主机上安装后门,即特洛伊木马。特洛伊木马可以在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等,甚至可以远程监控用户的操作,因此,某些行业,如国防、外交和商务部门,特洛伊木马的危害性更大,一旦这些部门被安装了木马,损失就会非常惨重。
人们常常将特洛伊木马看成是计算机病毒,其实,它们之间还是有比较大的区别的。计算机病毒具有数据的破坏性,而特洛伊木马最大的危害在于数据的泄密性,当然不乏有将病毒技术和木马技术结合使用的恶意软件,即利用病毒的传染性使较多的计算机系统植入木马。但特洛伊木马本身一般没有复制能力,不会感染其他的寄宿文件,一般在同一台主机上只有一个特洛伊木马。而病毒具有传染性,会不断感染其他的同类文件,在同一台主机上,会出现很多被感染的文件。
而目前,人们对计算机病毒的研究比较多,而对特洛伊木马的研究要相对滞后。许多的反病毒软件也声称能反特洛伊木马,但是,现在的大多数反病毒软件采用的是特征码检测技术,即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码,放入病毒库中,将待检测的软件与病毒库中的特征码比较,如果吻合则判断为恶意代码。特征码技术对于检测已知恶意代码,非常快捷有效,但是对于检测未知的恶意代码则无能为力。反病毒软件的检测能力总是落后于新的恶意代码的出现的,在这个时间差内,新的恶意代码可能就会泛滥,造成重大损失,特征码技术的这种局限性就决定了其滞后性。
在网络攻击与安全防范日益激烈的对抗中,特洛伊木马攻击技术在不断地完善。现在特洛伊木马攻击手段已成为网络攻击的最常用、最有效的手段之一,是一系列网络攻击活动中重要的组成部分,严重地威胁着计算机网络系统的安全。网络安全迫切需要有效的木马检测防范技术。
2 木马病毒的概况
2.1 木马病毒的定义
木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序。它利用自身所具有的植入功能,或依附其它具有传播能力病毒,或通过入侵后植入等多种途径,进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种敏感信息,接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。
2.2 木马病毒的概述
木马病毒和其他病毒一样都是一种人为的程序,都属于电脑病毒。大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或是为了炫耀自己的技术。木马病毒则不一样,它的作用是赤裸裸的偷偷监视别
人的所有操作和盗窃别人的各种密码和数据等重要信息,如盗窃系统管理员密码搞破
坏;偷窃ADSL上网密码和游戏帐号密码用于牟利;更有甚者直接窃取股票帐号、网
上银行帐户等机密信息达到盗窃别人财务的目的。所以木马病毒的危害性比其他电脑
病毒更加大,更能够直接达到使用者的目的!这个现状就导致了许多别有用心的程序
开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量
木马病毒泛滥成灾的原因。鉴于木马病毒的这些巨大危害性和它与其他病毒的作用性
质的不一样,所以木马病毒虽然属于病毒中的一类,但是要单独的从病毒类型中间剥
离出来,独立地称之为“木马病毒”程序。
2.3 木马病毒的结构
在计算机领域中,木马是一类恶意程序。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服
务端的程序。木马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
2.4 木马病毒的基本特征
木马是病毒的一种,木马程序也有不同种类,但它们之间又有一些共同的特性。
①隐蔽性:当用户执行正常程序时,在难以察觉的情况下,完成危害用户的操作,具有隐蔽性。它的隐蔽性主要体现在以下6个方面,一是不产生图标,不在系统“任务栏”中产生有提示标志的图标;二是文件隐藏,将自身文件隐藏于系统的文件夹中;三是在专用文件夹中隐藏;四是自动在任务管理器中隐形,并以“系统服务”的方式欺骗操作系统;五是无声息地启动;六是伪装成驱动程序及动态链接库。
②自行运行:木马为了控制服务端,必须在系统启动时跟随启动。所以,它潜入在你的启动配置文件中,如Win.ini,System.ini,Winstart.bat以及启动组等文件之中。
③欺骗性:捆绑欺骗,用包含具有未公开并且可能产生危险后果的功能程序与正常程序捆绑合并成一个文件。
④自动恢复:采用多重备份功能模块,以便相互恢复。
⑤自动打开端口:用服务器客户端的通信手段,利用TCP/IP协议不常用端口自动进行连接,开方便之“门”。
⑥功能特殊性:木马通常都有特殊功能,具有搜索cache中的口令、设置口令、扫描目标IP地址、进行键盘记录、远程注册表操作以及锁定鼠标等功能。
2.5木马病毒的分类
木马的种类很多,主要有以下几种:
其一,远程控制型,如冰河。远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连
接,控制者就能任意访问被控制的计算机。
其二,键盘记录型。键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录,然后通过邮件或其他方式发送给控制者。
其三,密码发送型。密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。这类木马程序大多不会在每次都自动加载,一般都使用25端口发送电子邮件。
其四,反弹端口型。反弹端口型木马的服务端使用主动端口,客户端使用被木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连接控制端打开的主动端口。为了隐蔽起见,控制端的被动端口一般开在8O,稍微疏忽一点,用户就会以为是自己在浏览网页。
2.6木马病毒的危害
多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在。但木马有些特殊,它和病毒、蠕虫之类的恶意程序一样,会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户等等。
例如,经常可以看到攻击者霸占被入侵的计算机,控制U盘,用户所有的磁盘空间几乎都
被侵占殆尽。除此之外,木马还有“窃取内容”“远程控制”的特点。木马具有远程控制计算机系统以及捕获用户的屏幕和每一次键击事件、音频、视频的能力,这意味着恶意攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至信用卡、银行账户和个人通信方面的信息。木马病毒危害程度要远远超过普通的病毒和蠕虫。
3 木马程序病毒的工作机制
3.1 木马程序的工作原理
木马程序的结构是典型的客户端/服务器(Client/Server;简称C/S)模式,服务器端程序骗取用户执行后,便植入在计算机内,作为响应程序。所以它的特点是隐蔽,不容易被用户察觉,或被杀毒程序、木马清除程序消灭,而且它一般不会造成很大的危害,计算机还可以正常执行。另外,木马服务器端程序还有容量小的特点,一般它的大小不会超过300KB,最小的木马程序甚至只有3KB,这样小的木马很容易就可以合并在一些可以执行.exe的文件中或网页中而不被察觉,而且这样小的文件也能很快就下载至磁盘中,若是再利用UP)(压缩
技术还可以让木马程序变得更小。
木马的实质只是一个通过端口进行通信的网络客户/服务程序,其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机,一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应程序就会自动应答客户机的请求。木马程序是由客户端和服务端两个程序组成,其中客户端是攻击者远程控制终端程序,服务端程序即木马程序。当木马的服务端程序在被入侵的计算机系统上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被入侵的计算机系统。在客户端和服务端通信协议的选择上,绝大多数木马程序使用的是TCP/IP协议,也有一些木马由于特殊的原因,使用UDP协议进行通信。当服务端在被入侵计算机上运行以后,它尽量把自己隐藏在计算机系统的某个角落里,以防用户发现;同时监听某个特定的端口,等待客户端(攻击者)与其取得连接;为了下次重启计算机时能正常工作,木马程序一般会通过修改注册表或者其他的方法让自己成为固定的启动程序。
3.2 木马程序的工作方式
木马客户端程序是在控制台(黑客的计算机)中执行的,木马服务器端程序必须与客户端程序对应,建立起连接。服务器端程序与客户端建立连接后,由客户端发出指令,然后服务器在计算机中执行这些指令,并源源不断地将数据传送至客户端。木马服务器端与客户端之间也可以不建立连接,因为建立连接容易被察觉,如果再使用连接技术只会自断后路。所以就要使用ICMP来避免建立连接或使用端口。木马服务器端与客户端也可以不要间接通讯,因为直接通讯的目的太明显了,很容易被发现,所以木马服务器端可以与客户端采取间接通讯的专式:在服务器端与客户端之间中间层,服务器端程序先将数据传送至某个网站,客户端程序再从那个网站取得数据。这种方式可以让木马程序达到非常隐蔽的通讯效果,但缺点是通信数据交换的速度变慢了。
4 木马病毒的传播技术
由于木马病毒是一个非自我复制的恶意代码,因此它们需要依靠用户向其他人发送其拷贝。木马病毒可以作为电子邮件附件传播,或者它们可能隐藏在用户与其他用户进行交流的文档和其他文件中。它们还可以被其他恶意代码所携带,如蠕虫。木马病毒有时也会隐藏在从互联网上下载的捆绑免费软件中。当用户安装这个软件时,木马病毒就会在后台被自动秘密安
装。
4.1 木马病的毒植入传播技术
木马病毒植入技术,主要是指木马病毒利用各种途径进入目标机器的具体实现方法。
(1)利用电子邮件进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。
(2)利用网络下载进行传播:一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。
(3)利用网页浏览传播:这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,JavaApplet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。
(4)利用一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。
(5)远程入侵进行传播:黑客通过破解密码和建立IPC远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\WINDOWS\system32或者
C:\WINNT\sys-tem32)中,然后通过远程操作让木马程序在某一个时间运行。
(6)基于DLL和远程线程插入的木马植入:这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL 植入到本系统中。而DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL 的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,增加了隐蔽性的要求。
(7)利用蠕虫病毒传播木马:网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上进行传播、复制,这就加快了木马的传播速度。
4.2 木马病毒的加载技术
当木马病毒成功植入目标机后,就必须确保自己可以通过某种方式得到自动运行。常见的木马病毒加载技术主要包括:系统启动自动加载、文件关联和文件劫持等。
①系统启动自动加载
系统启动自动加载,这是最常的木马自动加载方法。木马病毒通过将自己拷贝到启动组,或在win.ini,system.ini和注册表中添加相应的启动信息而实现系统启动时自动加载。这种加载方式简单有效,但隐蔽性差。目前很多反木马软件都会扫描注册表的启动键(信息),故而新一代木马病毒都采用了更加隐蔽的加载方式。
②文件关联
文件关联,这是通过修改注册表来完成木马的加载。但它并不直接修改注册表中的启动键(信息),而将其与特定的文件类型相关联,如与文本文件或图像文件相关联。这样在用户打开这种类型的文件时,木马病毒就会被自动加载。
修改关联的途径是选择了对注册表的修改,它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目,如冰河木马修改的对象如图所示。如果感染了冰河木马,则在
[HKEY_CLASS_ROOT\txtfile\shell\open\command]中的键值不是
“c:\windows\notopad.exe%1”,而是改为“sysexplr.exe%1”如图1所示:
图1 注册表图例
由图可知,在注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command中的值就是文本文件的关联程序*.exe,缺省“%SystemRoot\%system32\NOTEPAD.EXE%1”,即Windows系统默认为用记事本程序来打开文本文件。如果把这个程序改为木马程序,则每打开一个文件就会执行木马程序,这样,木马就启动,待木马启动后,再打开文本文件,这样对于一般的人来看好像什么事也没发生过。
修改文件打开方式的程序设计算法,如图2所示:
图2 修改文件打开关联的程序流程图
步骤一:打开注册表,如果成功打开,则进入步骤二,否则转步骤八
步骤二:读取某类文件打开方式的键值,如果成功找到,则进入步骤三,否则转步骤五步骤三:修改键值为希望设定的键值,如果成功修改,则进入步骤四,否则转步骤五步骤四:给出成功提示信息,转步骤六
步骤五:给出错误提示信息,进入步骤六
步骤六:关闭注册表,进入步骤七
步骤七:释放变量空间,退出程序
修改文件打开方式的设计界面,如图3所示
图3 修改文件打开方式
③文件劫持
文件劫持,是一种特殊的木马加载方式。木马病毒被植入到目标机后,需要首先对某个系统文件进行替换或嵌入操作,使得该系统文件在获得访问权之前,木马病毒被率先执行,然后
再将控制权交还给相应的系统文件。采用这种方式加载木马不需要修改注册表,从而可以有效地躲过注册表扫描型反木马软件的查杀。这种方式最简单的实现方法是将某系统文件改名,
然后将木马程序改名。这样当这个系统文件被调用的时候,实际上是木马程序被运行,而木马启动后,再调用相应的系统文件并传递原参数。
4.3 木马病毒的隐藏技术
为确保有效性,木马病毒必须具有较好的隐蔽性。木马病毒的主要隐蔽技术包括:伪装、进程隐藏、DLL技术等。
①伪装。从某种意义上讲,伪装是一种很好的隐藏。木马病毒的伪装主要有文件伪装和进程伪装。前者除了将文件属性改为隐藏之外,大多通过采用一些比较类似于系统文件的文件名来隐蔽自己;而后者则是利用用户对系统了解的不足,将自己的进程名设为与系统进程类似而达到隐藏自己的目的。
②进程隐藏。木马病毒进程是它驻留在系统中的最好证据,若能够有效隐藏自己的进程,显然将大大提高木马病毒的隐蔽性。在windows98系统中可以通过将自己设为系统进程来达到隐藏进程的目的。但这种方法在windows2000/NT下就不再有效,只能通过下面介绍的DLL 技术或设备驱动技术来实现木马病毒的隐藏。
③DLL技术。采用DLL技术实现木马的隐蔽性,主要通过以下两种途径:DLL陷阱和DLL 注入。DLL陷阱技术是一种针对DLL(动态链接库)的高级编程技术,通过用一个精心设计的DLL 替换已知的系统DLL或嵌入其内部,并对所有的函数调用进行过滤转发。DLL注入技术是将一个DLL注入到某个进程的地址空间,然后潜伏在其中并完成木马的操作。
5 木马病毒的防范技术
5.1防范木马攻击
①运行反木马实时监控程序可即时显示当前所有运行程序并配有相关的详细描述信
息。另外,也可以采用一些专业的最新杀毒软件、个人防火墙进行监控。
②不要执行任何来历不明的软件
③不要轻易打开不熟悉的邮件
④不要随便在网上下载一些盗版软件,特别是一些不可靠的FTP站点、公众新闻组、论坛或BBS,因为这些地方正是新木马发布的首选之地。
⑤将Windows资源管理器配置成始终显示扩展名,因为一些扩展名为:VBS、SHS、PIF 的文件多为木马程序的特征文件,一经发现要立即删除,千万不要打开。
⑥尽量少用共享文件夹
⑦隐藏IP地址,这一点非常重要。我们在上网时,最好用一些工具软件隐藏自己计算机的IP地址。
5.2 木马病毒的信息获取技术
获取目标机的各种敏感信息,是木马病毒有别于其他病毒或蠕虫的最大特点之一。木马病毒原则上可以获取目标机中所有信息,包括:一是基本信息,如系统版本、用户名、系统目录等;二是利用钩子函数获取用户键入的口令或其他输入;三是对目标机所在局域网中流动的信息包进行嗅探,以获得诸如系统口令或其他敏感信息;四是目标机屏幕截取与传送;五是目标机附近声音信号的采集与传输。
5.3 木马病毒的查杀
木马的查杀,可以采用手动和自动两种方式。最简单的方式是安装杀毒软件,当今国内很多杀毒软件像瑞星、金山毒霸、KV3000等都能删除网络中最猖獗的木马。但杀毒软件的升级通常慢于新木马的出现,因此学会手工查杀很有必要。
5.4 反木马软件
除了以上查杀木马病毒的方法外,我们还可以用一些反木马软件来清除木马病毒。
随着技术的不断发展,木马病毒必定也会以更隐蔽、破坏力更强的方式出现,但“魔高一尺,道高一丈”,相信反病毒方式也会不断进步,从而确保我们的信息安全。
6 总结
近年来,计算机网络获得了飞速的发展。它不知不觉的占据了我们生活的大半部分,成为我们社会结构的一个基本组成部分。从Internet的诞生之日起,就不可避免的面临着网
络信息安全的问题。而随着Internet的迅速发展,计算机网络对安全的要求也日益增高。
越来越多的网站因为安全性问题而瘫痪,公司的机密信息不断被窃取,政府机构和组织不断遭受着安全问题的威胁等等。
计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中,永远没有终点。黑客的攻击手段不断翻新,决定了信息安全技术也必须进行革新,防
火墙与端口扫描技术都是防范黑客攻击的常用手段,但这样的技术必须与当今最前沿的其他安全技术结合在一起,才能更有效地防范各种新的攻击手段。
木马隐蔽性很强,而且非常顽固,是网络安全防范的重点。作为专业的网络安全工作者,如果想找出防御木马进攻的有效途径,就必须认真地研究木马攻击的技术,做到“知己知彼,百战不殆”。
参考文献
[1] 李辉.黑客攻防与计算机病毒分析检测及安全解决方案[M].北京:电子信息技术出版社,2006.
[2] 张友生.计算机病毒与木马程序剖析[M].北京:科海电子出版社,2003.
[3] 邓吉.黑客攻防实战入门(第2版)[M].北京:电子工业出版
社,2007,P175-191
[4] 王建军,李世英.《计算机网络安全问题的分析与探讨》.赤峰学院学报:自然科学版,2009(1).
[5] 胡瑞卿,田杰荣.《关于网络安全防护的几点思考》.电脑知识与技术,2008(16).
木马分析与防范
木马分析与防范 【摘要】本文针对计算机木马攻击这一主题,介绍了计算机木马的产生、含义、发展历程及传播传播途径。文中提出的使用代理隐藏计算机IP地址的方法在实际使用过程中能有效的防止计算机木马程序的攻击,相对于手工查杀和使用软件工具查杀木马更具有主动防范的特点,并且从效果上来看基本上杜绝了计算机木马的攻击和其它的一些黑客攻击,达到了预期的目的。 【关键词】木马;攻击;防范 计算机应用以及计算机网络己经成为现实社会中不可缺少的重要组成部分,在遍及全世界的信息化浪潮的作用下,计算机网络除了影响人们正常生活的名个方面,还对公司管理、发展经济和国家机密起着十分重要的作用。使用计算机木马技术进行非法入侵、控制和破坏计算机网络信息系统,获取非法系统信息,并利用获取的这些信息进行非法行为,是目前公认的计算机网络信息安全问题。 1.木马 1.1木马的产生 最早的计算机木马是从Unix平台上诞生出来的,然后随着Windows操作系统的广泛使用,计算机木马在Windows操作系统上被广泛使用的。最早的Unix 木马是运行在服务器后台的一个小程序,木马程序伪装成登录过程,与现在流行的计算机木马程序是不同的。 当一台计算机被植入了木马程序后,如果计算机用户从终端上用自己的帐号来登录服务器时,计算机木马将向用户显示一个与正常登录界面一样的登录窗口,让用户输入正确的账号。在得到正确的用户名和口令之后,计算机木马程序会把账号保存起来,然后在第二次显示出真的登录界面,计算机用户看到登录界面又出现了,以为之前输入密码时密码输错了,于是计算机用户再次输入相关帐号进入计算机系统,但此时计算机用户的账号已被偷取,计算机用户却不知道。 1.2木马的定义 在计算机网络安全领域内,具有以下特征的程序被称作计算机木马:(1)将具有非法功能的程序包含在合法程序中的:具有非法功能的程序执行不为用户所知功能。(2)表面看上去好象是运行计算机用户期望的功能,但实际上却执行具有非法功能的程序。(3)能运行的具有非法操作的恶意程序。 1.3木马的发展历程 从计算机木马的出现一直到现在,计算机木马的技术在不断发展,木马的发展已经历了五代:
软件大数据脱敏方法与设计方案
本技术公开了一种软件大数据脱敏方法,其特征在于,所述方法包括如下步骤:S1:在数据采集后将采集的数据进行检测,通过预先输入数据库的特征码与采集的数据进行的特征码进行比对,将采集数据的特征码与数据库内预存的特征码一致的数据进行列出;S2:将列出的数据进行的预存特征码进行删除,并保留数据的其他数据源代码,将处理后的数据与原数据进行数据对比,将对比结果输出至外部设备;S3:通过外部设备进行反馈,并根据反馈结果进行下一步操作,若反馈结果为终止,则停止对处理后的数据进行脱敏,直接将处理后的数据发送至数据库内进行存储,若反馈结果需要进行脱敏,进入步骤S4;S4:将处理后的数据中加入数据变形码。 技术要求 1.一种软件大数据脱敏方法,其特征在于,所述方法包括如下步骤: S1:在数据采集后将采集的数据进行检测,通过预先输入数据库的特征码与采集的数据 进行的特征码进行比对,将采集数据的特征码与数据库内预存的特征码一致的数据进行 列出; S2:将列出的数据进行的预存特征码进行删除,并保留数据的其他数据源代码,将处理 后的数据与原数据进行数据对比,将对比结果输出至外部设备; S3:通过外部设备进行反馈,并根据反馈结果进行下一步操作,若反馈结果为终止,则 停止对处理后的数据进行脱敏,直接将处理后的数据发送至数据库内进行存储,若反馈 结果需要进行脱敏,进入步骤S4; S4:将处理后的数据中加入数据变形码,将处理后的数据进行变形,将变形后的数据发 送至数据库内进行存储。 2.根据权利要求1所述的一种软件大数据脱敏方法,其特征在于,所述数据变形码采用分段结构,在采集数据中任意一个字节位置加入一段掩码字节,通过掩码字节对目标数据 代码进行掩藏。
木马病毒的行为分析样本
西安翻译学院XI’AN FANYI UNIVERSITY 毕业论文 题目: 网络木马病毒的行为分析专业: 计算机网络技术 班级: 姓名: 彭蕊蕊 指导教师: 朱滨忠 5月 目录学号: 院系: 诒华
1 论文研究的背景及意义........................... 错误!未定义书签。 2 木马病毒的概况................................. 错误!未定义书签。 2.1 木马病毒的定义............................ 错误!未定义书签。 2.2 木马病毒的概述............................ 错误!未定义书签。 2.3 木马病毒的结构............................ 错误!未定义书签。 2.4 木马病毒的基本特征........................ 错误!未定义书签。 2.5木马病毒的分类............................. 错误!未定义书签。 2.6木马病毒的危害............................. 错误!未定义书签。 3 木马程序病毒的工作机制......................... 错误!未定义书签。 3.1 木马程序的工作原理........................ 错误!未定义书签。 3.2 木马程序的工作方式........................ 错误!未定义书签。 4 木马病毒的传播技术............................. 错误!未定义书签。 4.1 木马病的毒植入传播技术.................... 错误!未定义书签。 4.2 木马病毒的加载技术........................ 错误!未定义书签。 4.3 木马病毒的隐藏技术........................ 错误!未定义书签。 5 木马病毒的防范技术............................. 错误!未定义书签。 5.1防范木马攻击............................... 错误!未定义书签。 5.2 木马病毒的信息获取技术.................... 错误!未定义书签。 5.3 木马病毒的查杀............................ 错误!未定义书签。 5.4 反木马软件................................ 错误!未定义书签。 6 总结........................................... 错误!未定义书签。
木马攻防感想
木马攻防的感想 前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
木马免杀技术
木马免杀技术 一、杀毒软件的查杀模式 杀毒软件的查杀模式分三种 1.文件查杀 2.内存查杀 3.行为查杀 这三种是目前杀毒软件常用的杀毒模式。 所谓的文件查杀就是杀毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有病毒库中的病毒特征代码就给予查杀。 内存查杀是杀毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行比对,发现有文件中带有病毒特征代码就给予查杀。现在最厉害的内存查杀当然是瑞星了,其他杀毒软件也有内存查杀但比不上瑞星的厉害。 行为杀毒是杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如:啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程,还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。行为杀毒的典型杀毒软件—绿鹰PC万能精灵。 二.根据杀毒软件的查杀模式总结出免杀方法 主要针对文件的文件查杀和内存查杀 1.文件查杀 A.加壳免杀 B.修改壳程序免杀 C.修改文件特征代码免杀 D.加花指令免杀 2.内存查杀 A.修改内存特征代码 B.阻止杀毒软件扫描内存 ====================================================== ================ A.加壳免杀建议你选择一些生僻壳、茾@恰⑿驴牵 蛘呒佣嘀乜牵 馍钡氖奔洳怀?可能很快被杀,不过和加密工具配合使用一些杀毒软件是很容易过的但瑞星的内存不过。 B.修改壳程序免杀主要有两种:一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。 C.修改文件特征代码免杀,此方法的针对性是非常强的,就是说一般情况下你是修改的什么杀毒软件的特征代码,那么就只可以在这种杀毒软件下免杀。以前常用的工具有CCL特征码定位器,不过现在用起来不是那么方便了,比如黑防鸽子他有多出特征代码,给新手学习定位增加了一定的难度,现在主要推荐的是MYCCL特征码定位器,个人感觉定位速度快,准确率高,尤其对那些有多处特征码的定位。如黑防鸽子的卡巴文件特征代码: 特征码物理地址/物理长度如下: [特征] 000A0938_00000002 [特征] 000A0B26_00000002 [特征] 000A0E48_00000002
木马攻击技术的概述
目录 一、木马概述 (3) 1.木马的定义及特征 (3) 1.1木马的定义 (3) 1.2木马的特征 (3) 2.木马的工作原理 (4) 3.木马的分类 (5) 4.木马的功能 (6) 5.木马的工作过程 (7) 二、木马的传播方式 (8) 三、木马的清除 (9) 四、如何避免木马攻击 (9) 五、结语 (9) 六、参考文献 (10)
前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
木马后门的追踪分析
电子取证:木马后门的追踪分析 SRAT木马分析 仅以此教程,送给那些整天服务器上到处挂马的朋友。。 每当我们拿下一个服务器的时候,要怎样保持对该服务器的长久霸占呢?很多朋友首先会想到的肯定是远控木马,无论是批量抓鸡,还是其他什么方式,你植入在该计算机中的木马,都会暴漏你的行踪。信息取证的方式有很多,首先我说下最简单的两种方式:(此文章网上早就有了,只不过是自己实践以后,贴出来警醒某些人的。。) 一、网关嗅探,定位攻击者踪迹 网关嗅探定位,是利用攻击者要进行远程控制,必须与被控端建立连接的原理,木马会反弹连接到攻击者的IP地址上,说简单些,就是攻击者当前的上网IP地址上。 例如我们在主控端先配置一个远控马,IP地址我填写的是自己的动态域名: 动态域名:
我的公网IP: 主控机的IP地址为:192.168.1.29 被控主机的IP地址为:192.168.1.251(虚拟机) 在被控主机上,我们可以利用一款小工具《哑巴嗅探器》来进行分析,该工具体积小,比较稳定,中文界面,具体用法我就不介绍了。打开哑巴分析器,对被控主机进行数据分析: 通过上图,我们可以清楚的看到,源IP地址110.119.181.X,正在访问192.168.1.251的被控主机,并且在访问对方的8800端口,而110.119.181.X的主机为主控机,当你的木马与肉鸡相连的时候,可以直接暴漏攻击者当前的上网地址,锁定地理位置,进行定位追踪。 二、分析木马服务端程序进行取证: 无论是什么远控马,其程序代码中都会携带控制端的IP地址、域名或FTP地址信息,以便于主控端进行反弹连接。大部分的木马程序所包含的反弹信息都是未加密的,通过对后门木马进行源代码数据分析,
L003001041-一句话木马测试分析
课程编写 别内容 题名称L003001041-一句话木马测试分析 与要求熟悉一句话木马的原理,掌握一句话木马的使用以及防御方法 (虚拟PC)操作系统类型:windows server 2003和windows XP professional,网络接口:本地连接连接要求PC 网络接口,本地连接与实验网络直连 描述中国菜刀 环境描述1、学生机与实验室网络直连; 2、VPC1与实验室网络直连; 3、学生机与VPC1物理链路连通; 知识 黑客在注册信息的电子邮箱或者个人主页等中插入类似如下代码: <%execute request("value")%> 其中value是值,所以你可以更改自己的值,前面的request就是获取这个值 <%eval request("value")%>(现在比较多见的,而且字符少,对表单字数有限制的地方特别的当知道了数据库的URL,就可以利用本地一张网页进行连接得到Webshell。 (不知道数据库也可以request("value")%>这个文件被插入到哪一个ASP文件里面就可以了。) 这就被称为一句话木马,它是基于B/S结构的。 内容理解该漏洞的实现过程
步骤 学生登录实验场景的操作 1、学生单击“网络拓扑”进入实验场景,单击windows2003中的“打开控制台”按钮,进入目标 我们把windows2003机器作为服务机(ip地址为192.168.1.154,不固定) 2、学生输入账号Administrator ,密码123456,登录到实验场景中的Windows server 2003,在该网站,并且能够正常访问。如图所示:
特洛伊木马工作原理分析及清除方法
特洛伊木马工作原理分析及清除方法 1 什么是特洛伊木马 特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。 2 木马的工作原理 完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet);软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。 2.1 获取并传播木马 木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病毒传播。200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13 312@MM)。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件,并将自己作为邮件的附件,使用不同的名称继续传播。 2.2 运行木马 服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活时,它就进入内存,并开启事先定义的木马端口,准备与控制端建立连接。 2.2 建立连接,进行控制 建立一个木马连接必须满足2个条件:(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。 3 用VB6.0编写的木马程序 下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。 (1)用VB建立2个程序:客户端程序Client和服务器端程序Server。 (2)在Client工程中建立一个窗体,加载WinSock控件,称为Win_Client,协议选择TCP。
木马和计算机病毒的特点
木马和计算机病毒的特点 木马和计算机病毒有什么相同点呢,下面是小编为你整理了相关内容,希望对你有帮助。 木马和病毒的相似点 木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能. 还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马! 木马和病毒的区别
网络渗透攻击实训项目
安全技术及应用实训报告 项目一:网络渗透攻击实训项目 学号:09011319 姓名:雷超 信息技术分院 计算机技术机网络技术
目录 任务1 社会工程学 (1) 1.1 “社会工程学”概述 (1) 1.2 “社会工程学”特点 (1) 1.3“社会工程学”的3个步骤 (1) 1.4 知识运用 (1) 任务2 木马免杀 (1) 2.1 木马免杀概述 (1) 2.2 木马免杀原理 (2) 2.3 木马免杀的实现步骤 (2) 任务3 木马捆绑 (3) 3.1 木马捆绑概述 (3) 3.2 木马捆绑原理 (3) 3.2 实验步骤 (3) 任务4 木马植入 (4) 4.1 木马植入的方式 (4) 4.2 实验步骤 (4) 任务5 远程控制 (5) 5.1 远程控制的概念 (5) 5.2 远程控制原理 (6) 5.3 远程控制运用 (6) 5.4 实验步骤 (6) 任务6 主机发现 (6) 6.1 主机发现概述 (6) 6.2 主机发现原理 (6) 6.3 主机发现的实现 (6) 6.4 实验步骤 (7)
任务7 端口扫描 (7) 7.1 口扫描原理 (7) 7.2 实现步骤 (7) 任务8 漏洞扫描 (8) 8.1 漏洞扫描概述 (8) 8.2 漏洞扫描原理 (9) 8.3 实现步骤 (9) 任务9 缓冲区溢出 (10) 9.1 缓冲区溢出概述 (10) 9.2 缓冲区溢出原理 (10) 9.3 缓冲区溢出危害 (10) 任务10 ARP 欺骗 (11) 10.1 ARP欺骗定义 (11) 10.2 ARP欺骗原理 (11) 10.3 ARP命令解释 (12) 任务11 网络嗅探 (12) 11.1 网络嗅探概述 (12) 11.2 网络嗅探原理 (12) 11.3 实现步骤 (13)
计算机木马病毒的普遍特征及其解决方案
计算机木马病毒的普遍特征及其解决方案 发表时间:2019-08-15T15:04:29.160Z 来源:《信息技术时代》2018年11期作者:王春玲 [导读] 本文介绍了计算机病毒的发展历史,感染用户计算机的的方式。针对目前流行的木马病毒,介绍了其普遍特征,并以“COOL-GAMESETUP病毒为例,描述了主要特点和完整解决方案。阐述了计算机用户针对病毒做好防范的重要性和具体方法。 (乌伊岭区就业局,黑龙江伊春 153038) 摘要:本文介绍了计算机病毒的发展历史,感染用户计算机的的方式。针对目前流行的木马病毒,介绍了其普遍特征,并以“COOL-GAMESETUP病毒为例,描述了主要特点和完整解决方案。阐述了计算机用户针对病毒做好防范的重要性和具体方法。 关键词:COOL—GAMESETUP;计算机病毒;系统注册表;可执行文件 随着计算机科学技术的高速发展,计算机系统功能日渐复杂,对社会及人们的生活产生了巨大的影响,由于计算机用户对病毒了解知识层次高低不同,病毒本身的复杂和隐蔽性,加上现在大部分计算机都连结在网络中,都存在着自然和人为等诸多因素的潜在威胁,病毒扩散、各种计算机病毒层出不穷,计算机病毒造成的安全问题越来越严峻。因此,如何提高计算机用户的防御病毒能力,增强安全意识,已成为当前急需解决的问题。否则计算机病毒会大面积传播,给企业及个人的财产、隐私造成极大损失。 从1986年美国学生弗里德一科恩以测试计算机安全为目的编写首个电脑病毒以来,目前世界上约有6万多种电脑病毒,它们已经从最初给用户带来小麻烦发展到严重威胁电脑和网络的安全。随着用户操作系统、使用软件的更新换代,计算机病毒的发展也经历了从简单到复杂的过程。从计算机病毒的发展过程,可以将计算机病毒分为以下几个阶段: 1、DOS时期命令行用户界面下的病毒 DOS时期的计算机病毒主要是引导型病毒和文件感染病毒。DOS病毒出现在早期,当时计算机功能比较单一,DOS引导病毒利用软盘等移动介质启动计算机时插入,破坏计算机分区表信息、修改系统自动扇区等,导致系统无法启动。文件感染型病毒一般感染exe、com、bat等文件,导致文件无法正常运行。现在绝大多数用户使用的是Windows操作系统。DOS病毒已经成为历史,现在基本已经无法对用户计算机造成损害了。 2、Windows可视化界面下的病毒 随着Windows可视化操作系统的出现和普及,计算机病毒也随即发展到一个新阶段,此阶段的病毒可分为Office文档类宏病毒、文件类PE病毒。宏病毒是专门针对微软MS Office软件的一种病毒,它由MS Office的宏语言编写,只感染MS Office文档,其中以MSWord文档为主。用户在打开含有宏病毒的Office文档后,宏病毒就会自动运行,使计算机中病毒。PE是windows32位系统的一种文件格式,能感染这种文件的病毒都叫PE病毒。PE病毒较以往病毒更加复杂,往往调用Windows系统API函数接口,解决方法也比较复杂。此外,Linux也是操作系统之一,但其桌面易用性不为大多数用户所接受,Linux环境下的病毒也比较少,此处就不做叙述。 3、网络环境下的病毒 在Internet大面积普及的今天,大部分计算机都已经成为了网络世界中的一个节点。网络的流行使得人们交换信息变得更加便捷,同时也给计算机病毒的传播提供了更多的途径。网络环境下的病毒主要传播途径有网络邮件、WEB页面传播和局域网内传播。不明身份者发来的邮件,不明下载点的软件都有可能成为病毒的载体。病毒往往伪装成邮件附件,文件名含以计算机中常用文件后缀名,加以各类命名诱使使用者打开 WEB页面中藏有JS、VBS等恶意代码,使用者一打开该网页,代码立即运行,使使用者计算机病毒。局域网也是病毒传播的温床,公司网络中一旦一台机器中毒,马上蔓延到局域网中其他机器。网络病毒种类繁多,主要以蠕虫类病毒和木马类病毒为主。蠕虫类病毒善于复制自身,能迅速感染到网络类所有计算机,利用操作系统的漏洞等,容易突然爆发,大面积波及。木马类病毒主要插种在软件中,容易导致计算机用户私人隐私外泄,造成个人网络账号、密码、网银账户等的财产损失。 计算机木马病毒在网络条件下传播速度尤其快,一般会导致用户感染后无法使用注册表编辑器、无法查看隐藏文件,无法格式化硬盘,分区格式化也不能操作,无法进入安全模式进行病毒查杀。以“COOL—GAMESETUP”病毒为例,它是一个熊猫烧香的变种,容易伪装成应用程序的图标来迷惑用户,它会下载其他病毒并执行,使得计算机内所有可执行文件(.exe)无法运行,用户计算机感染该病毒后具有以下特征: 后具有以下特征: (1)病毒会删除安全软件的开机启动项目和服务项目 (2)每1秒添加自己的启动项,并将文件隐藏显示注册表键值破坏。 (3)每隔6秒在每个驱动器下(A和B驱动器除外),删除所在的autorun.inf文件或文件夹,并创建autorun.inf和对应的(空格).exe文件。 (4)每隔6秒停止部分安全软件服务,删除部分安全软件的服务和开机自启动项目。 (5)每10秒关闭程序进程。~Navp.exe、rav.exe、rsagent.exe、ravmon.exe、raymond.exe、ravstub.exe、ravtask.exe、ccenter.exe、360tray.exe、360safe.exe等,被关闭的进程大部分为卡巴斯基、瑞星、360安全卫士等防病毒或木马软件进程。 (6)每3O分钟会检测用户是否联网,从指定网站下载一次木马。 (7)病毒会感染扩展名为exe、pf、com、sic的文件,把自己附加到文件的头部,并在扩展名为htm、html、asp、php、Jsp、aspx的文件中添加一网址,用户一旦打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的。且该网页有漏洞,新变种的病毒会被下载并运行。 (8)感染后会在感染目录下创建Desktop~.ini文件,其内写入当前系统时间,减缓计算机运行速度。针对木马病毒的特征和发作严重程度,可执行以下解决方案: (1)拔掉计算机的网线,断开网络连接。将计算机的共享目录设置密码或者取消网络用户的写权限。 (2)如计算机已经无法进入安全模式,即进入安全模式就蓝屏,使用U盘启动盘或光盘启动盘启动,进行纯DOS方式下查杀病毒。另外一种方式是直接使用安装盘进行重新安装或者纯净的Ghcst镜像进行恢复。 (3)纯DOS方式查杀病毒结束或重新安装结束后,进入Win—dows界面。对于“COOL—GAMEsETuP”病毒,需要制作一个bat文件进行运
广外女生木马的分析方法
最近又有一种新的国产木马出现了,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。 由于“广外女生”这个木马的驻留、启动的方法比较具有典型性,下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。 一、所需工具 1.RegSnap v 2.80 监视注册表以及系统文件变化的最好工具 2.fport v1.33 查看程序所打开的端口的工具 3.FileInfo v2.45a 查看文件类型的工具 4.ProcDump v1.6.2 脱壳工具 5.IDA v4.0.4 反汇编工具 二、分析步骤 一切工具准备就绪了,我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。 首先打开RegSnap,从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录,一会儿如果木马修改了其中某项,我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。 然后我们就在我们的电脑上运行“广外女生”的服务器端,不要害怕,因为我们已经做了比较详细的备份了,它做的手脚我们都可以照原样改回来的。双击gdufs.exe,然后等一小会儿。如果你正在运行着“天网防火墙”或“金山毒霸”的话,应该发现这两个程序自动退出了,很奇怪吗?且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap,从file菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。 从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮,这样RegSnap就开始比较两次记录又什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。 看一下Regsnp1-Regsnp2.htm,注意其中的: Summary info: Deleted keys: 0 Modified keys: 15
木马病毒的行为分析
西安翻译学院 XI’AN FANYI UNIVERSITY 毕业论文 题 目: 网络木马病毒的行为分析 专 业: 计算机网络技术 班 级: 103120601 姓 名: 彭蕊蕊 指 导 教 师: 朱滨忠 2013年5月 学号:10312060108 院系: 诒华学院 成绩:
目录 1 论文研究的背景及意义...................................................................................... - 3 - 2 木马病毒的概况 .................................................................................................. - 4 - 2.1 木马病毒的定义......................................................................................... - 4 - 2.2 木马病毒的概述......................................................................................... - 4 - 2.3 木马病毒的结构......................................................................................... - 4 - 2.4 木马病毒的基本特征................................................................................. - 5 - 2.5木马病毒的分类.......................................................................................... - 5 - 2.6木马病毒的危害.......................................................................................... - 6 - 3 木马程序病毒的工作机制.................................................................................. - 6 - 3.1 木马程序的工作原理................................................................................. - 6 - 3.2 木马程序的工作方式................................................................................. - 7 - 4 木马病毒的传播技术.......................................................................................... - 7 - 4.1 木马病的毒植入传播技术......................................................................... - 8 - 4.2 木马病毒的加载技术................................................................................. - 9 - 4.3 木马病毒的隐藏技术................................................................................ - 11 - 5 木马病毒的防范技术......................................................................................... - 11 - 5.1防范木马攻击............................................................................................. - 11 - 5.2 木马病毒的信息获取技术...................................................................... - 12 - 5.3 木马病毒的查杀...................................................................................... - 12 - 5.4 反木马软件............................................................................................... - 12 - 6 总结 .................................................................................................................... - 13 -
木马免杀之汇编花指令技巧(精)
木马免杀之汇编花指令技巧 作者:逆流风 (发表于《黑客X档案》07.07,转载注明出处) 相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到花指令免杀,改壳之类的,而这些需要一定的汇编知识,但是汇编却不是一块容易啃的骨头,所以我写了这篇菜鸟版的免杀汇编教程,帮助小菜们快速入门,掌握免杀必备的汇编知识,改花指令,改特征码的技巧和编写自己的花指令。 一、免杀必备的汇编知识 push 压栈,栈是一种数据结构,记住四个字:先进后出。压栈就是把数据放如栈中,从栈顶放如,出栈的时候也是从栈顶取出,所以会有先进后出的特点!先进后出我们可以这样理解,例如:一个乒乓球筒,我们放入乒乓球,然后取出乒乓球,取出的都是就后放进的球。就如我们放入球的顺序是球1、2、3、4,取出的顺序是球4、3、2、1。 pop 出栈,与push相对应。 mov a,b 把b的值送给a,把它看作编程中的赋值语句就是b赋值给a,这时a的值就是b了。 nop 无作用,就是什么也没做。 retn 从堆栈取得返回地址并跳到该地址执行。 下面是一些算术运算指令: ADD 加法 sub 减法 inc 加1 dec 减1 最后是跳转指令: jmp 无条件跳 je 或jz 若相等则跳
jne或jnz 若不相等则跳 jb 若小于则跳 jl 若小于则跳 ja 若大于则跳 jg 若大于则跳 jle 若小于等于则跳 jge 若大于等于则跳 这些就是我们需要掌握的,怎么样不多吧,一些指令可能看不明白,看了后面的就会清楚了。对了,忘了讲寄存器了,寄存器是中央处理器内的其中组成部份。寄存器是有限存贮容量的高速存贮部件,它们可用来暂存指令、数据和位址。我们需要了解的是8个通用寄存器:EAX,EBX,ECX,EDX,ESI,EDI,EBP,ESP 二、特征码和花指令的修改 特征码我就不多说了,大家都知道的,现在杀毒软件查杀都用特征码查杀,改了木马的特征码,杀毒软件就查不出我们的木马,这样就达到免杀的效果。而花指令是程序中的无用代码,程序多它没影响,少了它也能正常运行。加花指令后,杀毒软件对木马静态反汇编使,木马的代码就不会正常显示出来,加大杀毒软件的查杀难度。花指令的原理是堆栈平衡。前面介绍push说了,堆栈平衡可以这样理解,有进有出,不管花指令怎么写,我们要达到的目的是加花后,堆栈与未加之前一样。 网上的花指令因为是公布出来的,所以免杀周期不长,一般公布出来不久就会被杀毒软件查杀,但是我们只要简简单单的修改一两句就可以达到免杀了。下面我们来看看5种修改方法。(也适用于特征码修改) 我们先看看木马彩衣(金色鱼锦衣花指令 1、push ebp 2、mov ebp,esp 3、add esp,-0C 4、add esp,0C
android手机木马的提取与分析
android手机木马的提取与分析 Android手机木马病毒的提取与分析为有效侦破使用 手机木马进行诈骗、盗窃等违法犯罪的案件,对手机木马病毒的特点、植入方式、运行状态进行了研究,利用dex2jar、jdgui等工具软件查看apk文件源代码。结合实例,讲述了 如何提取关键代码与配置数据,并对手机木马病毒的危险函数、启动方式、权限列表进行分析,证明了该方法的可行性,提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。智能手机给用户带来便利的同时,手机恶意软件也在各种各样的违法活动中充当了重要角色,其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现, 这种恶意短信中附的网址,其实就是诱导下载一个手机软件,安装后手机内并不会显示出该应用,但其中的木马病毒已植入,后台会记录下机主的一切操作,可以随时监控到手机记录。若机主登录网银、支付宝、微信红包等,银行卡账号、密码就都被泄露了,黑客能轻易转走资金。此类案件近期呈现高发的趋势。面对各种各样善于伪装隐藏的手机木马病毒,如何提取分析,并固定证据成为一项重要工作。本文从
Android手机木马病毒的特点入手,讲述了如何提取分析关键代码与配置数据,从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。诈骗、盗窃的目标不变,那就是诱导点击安装短信的链接网址中的木马。木马植入到目标系统,需要一段时间来获取信息,必须隐藏自己的行踪,以确保木马的整体隐藏能力,以便实现长期的目的。主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。然后实现了Android系统下木马攻击的各种功能,主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。1、木马病毒的植入、提取 1.1植入(1)很多用户不希望支付软件费用,含有木马的手机应用的第三方网站通过提供破解版、修改版来诱骗下载。(2)通过发送短信或彩信到用户手机,诱骗手机用户点击短信中URL 或者打开彩信附件,从而达到了植入木马的目的。带网址链接的短信诈骗是目前十分流行的诈骗方式,短信内容不断变化,但对于手机系统来讲,为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。通过对Android运行任务进行检查可以发现是否有可疑程序在运行。 1.2提取提取的方式,一是根据URL链接地址,从互联网上进行提取;二是根据手机存储的位置,找到安装文件进行提取,比较常见的提取位置有:一般存放在根目录下、DownLoad文