特洛伊木马病毒的隐藏技术_李军丽
特洛伊木马的工作原理
特洛伊木马的工作原理
特洛伊木马是一种常见的恶意软件,它通过伪装成正常的程序或文件来欺骗用户,使其被安装和运行在受感染的系统中。
特洛伊木马的工作原理包括以下几个步骤:
1. 伪装: 特洛伊木马会伪装成一个吸引人的程序、文件或链接,以引起用户的兴趣和点击。
这个伪装可以是一个看似合法的软件安装包、电子邮件附件、社交媒体链接等等。
2. 欺骗: 当用户执行了特洛伊木马的安装或打开操作时,它会
欺骗用户认为它是一个正常的程序或文件,并且可能对用户做出各种误导性的提示或界面交互,让用户相信这是一个可信的应用。
3. 潜伏: 一旦特洛伊木马成功地安装在系统中,它会开始在后
台运行,并潜伏于系统的各个角落,隐藏自己的存在,使用户难以察觉。
4. 攻击: 特洛伊木马会利用系统漏洞或用户权限不足的安全弱点,通过自身的程序代码或网络通信进行攻击。
这可能包括窃取用户的个人信息、密码、银行账号等敏感信息,操控受感染系统进行恶意活动,或者打开后门,为黑客提供远程访问受感染系统的权限。
5. 传播: 一旦特洛伊木马成功感染了一个系统,它还可能通过
网络传播到其他主机,利用电子邮件、即时通信软件、共享文件等方式,将自身复制到其他电脑上,进一步传播。
总之,特洛伊木马通过伪装成正常的程序或文件,欺骗用户安装并潜伏于系统中,然后利用系统漏洞进行攻击和传播。
用户需要提高警惕,并采取安全措施来预防和检测特洛伊木马的存在。
特洛伊木马原理分析
特洛伊木马原理分析特洛伊木马是如何工作的一般的木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序他所做的第一步是要把木马的服务器端。
攻击者要通过木马攻击你的系统,程序植入到你的电脑里面。
目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,利用的途径有邮件附件、下载软件中等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个木马执行文件,是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。
一般的木马执行文件非常小,大部分都是几K到几十K,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。
木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入,由于微软的浏览器在执行Senipt脚本存在一些漏洞。
攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。
前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。
如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马目录。
此外,木马还可以利用系统的一些漏洞进行植人,如微软著名的US服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并且同时攻击服务器,执行远程木马执行文件。
当服务端程序在被感染的机器上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。
在客户端和服务端通信协议的选择上,绝大多数木马使用的是TCP/IP协议,但是也有一些木马由于特殊的原因,使用UDP协议进行通讯。
当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;同时监听某个特定的端口,等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。
木马程序是如何实现隐藏的
木马程序是如何实现隐藏的木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。
有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。
下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟!1、集成到程序中其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。
而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。
不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。
当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe这时你就要小心了,这个file.exe很可能是木马哦。
木马程序隐身技术剖析
木马程序潜入 电脑 中的 目的不只是为 了破坏系统 , 更是为
了获取 系统 中有 用的信息 , 把信 息传递 出去 , 并 以便黑客们 控
木马可以隐藏在系统之 中, 在服务器端运行的时候利用 各 制 电脑 系统 , 或实施更加进一步的入侵 。 种手段 隐藏 自己 , 例如修 改注册表和 ii n 文件 以便机器 在下一 16 功 能 的 特殊 性 . 次启动时能运行 。它不是 自己生成一个启动程 序 , 而是依附在 软件 (x- i e绑定程式 ) ee bn r d 。
BI Xi o d n a—o g
( h n eh ooy Is tt o cn m ,H n zo,Z ea g 3 0 1 ,C ia Z  ̄ag Tcn l ntue f Eo o y a ghu hj n 1 0 8 hn ) g i i
Abtat Wi te o uai o nent s nw cmp tr e r i s rjn os cue moe h r o he o ue s c: t h p p l t f lt e,a a e r h ry r o ue nt k vr Toa h re a ss wo u r am t t cmp tr
i f r a i n e o r e n n t o k n io me t a o h r vi s s n o m to r s u c s i e w r e v r n nt h n t e r e .Th s pa e s u i p r ums p a d r s a c e e t at e h l g s d by u n e e r h s t se l t c no o y u e h h
Toa os rga n e n o p rt g ss m. r n h repormsu drWid wso ea n yt j i e
特洛伊木马攻击技术与防范策略
特洛伊木马攻击技术与防范策略敬晓芳(中国工程物理研究院化工材料研究所,绵阳629100)摘要:特洛伊木马是一种程序,它驻留在目标计算机里,随计算机自动启动并在某一端口进行侦听,对接收的数据识别后,对目标计算机执行特定的操作。
其隐蔽性强,种类数量繁多,危害性很大。
本文介绍了木马的攻击原理、常用攻击技术以及防范策略。
关键词:特洛伊木马;驻留;攻击技术;防范策略1引言特洛伊木马(Trojan Horse),简称木马,是一种程序,这种程序被包含在合法的或表面上无害的程序上的恶意程序。
其实质只是一个通过端口进行通信的网络客户/服务程序。
木马具有很强的隐蔽性,而且能够自启动,并进行自我保护。
木马属于“外来代码”的范畴,它表面上提供一些令人感兴趣的有用的功能,但除了用户能看到的功能以外,这种程序还通过内嵌的特殊代码执行一些用户所不知道的恶意的功能。
木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。
对攻击者而言,使用外来代码的关键优势之一就是,通过将非本地代码或二进制代码引入操作系统环境,从而断绝与系统或网络管理员所控制资源的依赖性。
相比较而言,添加或修改系统帐户,或直接操纵其他系统资源,可能被警惕性高的管理员发现,而安装一个“外来代码”则可以在一段时间内不被发现,尤其是通过对操作系统做广泛的修改可使其隐蔽性更好。
随着计算机技术的发展,木马的功能越来越强大,隐蔽性和破坏性不断提高,其数量也在急剧增加。
2木马的原理和种类自木马程序诞生至今,己经出现了多种类型,常见的有玩笑型、破坏型、密码发送型、远程访问型、键盘记录型、代理木马、反弹端口型木马等。
大多数的木马都不是单一功能的木马,它们往往是很多种功能的集成品,因此,此处也只能给出一个大致的分类。
(1)玩笑型玩笑木马程序不造成损坏,但会从计算机的扬声器中发出惹人讨厌的声音,让计算机屏幕看起来七扭八歪,或在屏幕上显示吓人的信息,如“现在正在格式化硬盘!”虽然这类木马程序非常气人,让人厌烦,但它们是无害的,很容易删除。
特洛伊木马原理介绍
1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。
古希臘有大軍圍攻特洛伊城,逾年無法攻下。
有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。
城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。
到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。
後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。
特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。
而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。
原因是如果有人不當的使用,破壞力可以比病毒更強。
iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。
木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
e2/基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。
作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。
對於特洛伊木馬,被控制端就成為一台伺服器。
特洛伊木马隐蔽性研究
在 wn x时代 ,注册 为系统进 程就可 以从任务栏中消 i9
失 , 就 实 现 了 隐 藏 。 可 是 在 Widw 00 流行 的 今 天 , n o 20 在 A mns a r 面 ( t+ h D 1 可 以看 到 所 有 正 在运 行 的 d iirt 下 t o Cr A + e) l
候是没有任 何异常 的, 如冰河 、 U S V N等 。这一点和反 SBE E 弹式木马有很大的相似之 处。
中 图 分 类 号 : T 3 95 P 0 .
文献标 识 码 : A 文 章编 号 :0 2 2 2 2 0 0 — 0 4 0 10 — 4 2( 0 7) 5 0 0 - 2
Ree rh o oa re Co caig sa c n Trjn Hos n el n
Me g L i n e Ab t a t s r c:
进程 , 从而发现木马的进程 , 也就意味着可 以删除它。
进程隐藏 是指把木马写入驱动和 内核的级别 ,通过拦 截系统 调用 的服务 , 替代 系统功 能 ( 用 改写驱动程序 或动 态链接库 )或者说是嵌入式 的方法 , 来达到隐蔽 的 目的 , 从
而 逃 过 系 统 对 木 马 的 监 测 。例 如 : 如 果 系 统运 行 wno s idw .
上 的 IMP木 马 会 严 格 地 使 用 IMP协 议 来 进 行 数 据 和 控 C C
制 命令 的传 递 ( 数据放在 I M C P的报 文中 ) 在整个过程中 ,
是 不可 见 的 。
马 的具 体位置 , 因此没有办 法删 掉。 本文重点研究了木 马的
隐 蔽性 。
这 两 种 方法 都 是 被 动 式 的 , 过 察 看 进 程 , 者察 看 注 通 或
特洛伊木马
概述
特洛伊木马(简称木马)是隐藏在系统中的用以完成未授权功能的非法程序,是黑客常用的一种攻击工具,它 伪装成合法程序,植入系统,对计算机络安全构成严重威胁。区别于其他恶意代码,木马不以感染其它程序为目 的,一般也不使用络进行主动复制传播。
特洛伊木马是基于C/S(客户/服务器)结构的远程控制程序,是一类隐藏在合法程序中的恶意代码,这些代码 或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。通常,使用木马的过程大致分两步首先,把 木马的服务器端程序通过络远程植入受控机器,然后通过安装程序或者启动机制使木马程序在受控的机器内运行。 一旦木马成功植入,就形成了基于C/S结构的控制架构体系,服务端程序位于受控机器端,客户端程序位于控制 机器端。
5、时效性越来越强,挖矿木马团伙在利益的驱使下,往往会不断集成更有效的1/N D ay漏洞来感染更多 主机资源,从而获取更多的收益。
感谢观看
功能
只要在本地计算机上能操作的功能,现如今的木马基本上都能实现。木马的控制端可以像本地用户一样操作 远程计算机。木马的功能可以概括为以下内容。
1、窃取用户文件。 特洛伊木马在目标计算机中潜伏,当遇到感兴趣的文件时就会将相关文件传输给提前设定的目的地而不会被 用户发现。 2、接受木马释放者的指令。 特洛伊木马一旦感染互联中的服务器就会窃取较高权限,随意地控制和监视通过该服务器的数据和账户。 3、篡改文件和数据。 根据指令对系统文件和数据进行修改,使目标计算机的数据和文件产生错误,导致作出错误的决策。 4、删除文件和数据。 将目标计算机操作系统中的文件和数据随意地删除。 5、施放病毒。
3、端口
一台机器有个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大 多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马,但这些端口是常 用端口,占用这些端口可能会造成系统不正常,这样的话,木马就会很容易暴露。
特洛伊木马病毒的隐藏技术_李军丽
特洛伊木马病毒的隐藏技术李军丽云南大学信息学院 云南 650031摘要:隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。
本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
关键词:木马病毒;网络安全;隐藏技术0 引言随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全的隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁;据调查,目前在国内,68.26%的用户怀疑受到过木马病毒的攻击,63%的电脑用户曾受到过木马病毒攻击。
隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。
本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
1 木马的隐藏技术木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。
木马的隐藏技术主要包括以下几个方面:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。
1.1 本地文件伪装隐藏木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。
或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。
1.2 木马的启动隐藏方式(1) 本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。
木马病毒将可执行文件伪装成图片或文本----在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。
由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG.,不注意的人一点击这个图标就在无意间启动了木马程序。
(2) 通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。
像Autoexec.bat和Config.sys。
特洛伊木马的隐藏技术浅析
特洛伊木马的隐藏技术浅析王海青【摘要】文章着重从木马的文件隐藏、进程隐藏、通信隐藏三个方面系统分析了木马的隐藏技术.【期刊名称】《甘肃广播电视大学学报》【年(卷),期】2010(020)002【总页数】2页(P63-64)【关键词】木马;文件隐藏;进程隐藏;通信隐藏【作者】王海青【作者单位】甘肃广播电视大学,继续教育学院,甘肃,兰州,730030【正文语种】中文【中图分类】TP393.8随着病毒编写技术的发展,木马程序对用户的威胁越来越大,为了不被目标系统用户及管理员发现,木马通过各种技术手段把自己的运行形式进行隐蔽。
1.文件隐藏木马程序植入目标系统后,会在目标系统的磁盘上加以隐蔽欺骗用户。
隐藏、保护木马文件的主要方式有:(1)嵌入隐藏。
采用此隐蔽手段的木马通常有以下两种形式:插入到某程序中和与某程序捆绑到一起,一旦运行程序就会启动木马。
如绑定到系统文件中,在系统启动时木马也跟随启动;或者捆绑常用程序,这样程序一旦被点击木马就会运行加载,使用户难以防范。
(2)伪装隐藏。
利用自身外部特征的多变性进行伪装,以单独的文件存在,同时定制好了文件名,修改与文件系统操作有关的程序,伪装成正常的文件或者非可执行文件,再将文件属性修改为系统隐蔽或者只读。
如木马文件把图标改成Windows 的一些非可执行文件的默认图标,再把文件名改为*.jpg.exe、*.txt.exe等,由于Windows默认设置是“不显示已知的文件后缀名”,因此木马文件将会显示为*.jpg、*.txt等。
(3)替换隐藏。
木马通过修改自身的DLL替换目标文件的系统DLL文件,替换的基础上不增加新的文件,也不需要打开新的端口或者监听端口,替换之后,对于正常的系统调用还照常进行,只有在木马的控制端向被控制端发出指令后,隐藏的程序才开始运行。
2.进程隐藏木马将自身作为DLL插入别的进程空间后,用查看进程的方式无法找出木马的踪迹,看到的仅仅是一些正常程序的进程,但木马却已经偷偷潜入其中了。
恶意代码题库2-0-8
恶意代码题库2-0-8问题:[单选]著名特洛伊木马“网络神偷”采用的隐藏技术是()A.反弹式木马技术B.远程线程插入技术C.ICMP协议技术D.远程代码插入技术问题:[单选]以下代码所展示的挂马方式属于()A.框架挂马B.js挂马C.网络钓鱼挂马D.伪装挂马问题:[单选]以下关于宏病毒说法正确的是()A.宏病毒主要感染可执行文件B.宏病毒仅向办公自动化程序编制的文档进行传染C.宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区D.CIH病毒属于宏病毒(森林舞会游戏 https://)问题:[单选]作为一类曾经非常流行的病毒,以下()不属于宏病毒的主要特点。
A.制作方便、变种多B.传播极快C.目前仅对Windows平台起作用D.地域性以及版本问题影响宏病毒的传播范围问题:[单选]可支持宏病毒的应用系统不包括()A.Adobe公司的AdobeReaderB.Inprise公司的LotusAmiPro字处理软件C.美国计算机科学家莱斯利•兰伯特开发的一种基于TeX的排版系统LaTeXD.Microsoft公司的WORD、EXCEL、Access、PowerPoint、Project、Visio等产品问题:[单选]为什么说蠕虫是独立式的()A.蠕虫不进行复制B.蠕虫不向其他计算机进行传播C.蠕虫不需要宿主计算机来传播D.蠕虫不携带有效负载问题:[单选]哪一项不是蠕虫病毒的传播方式及特性()A.通过电子邮件进行传播B.通过光盘、软盘等介质进行传播C.通过共享文件进行传播D.不需要用户的参与即可进行传播问题:[单选]下列病毒中()不是蠕虫病毒。
A.冲击波B.震荡波C.CIHD.尼姆达。
信息安全实验报告
信息安全实验报告南昌航空大学实验报告课程名称:信息安全实验名称:共五次实验班级:姓名:同组人:指导教师评定:签名:实验一木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理木马的全称为特洛伊木马,源自古希腊神话。
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性(1)伪装性(2)隐藏性(3)破坏性(4)窃密性2.木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
3.木马的种类(1)按照木马的发展历程,可以分为4个阶段:第1代木马是伪装型病毒,第2代木马是网络传播型木马,第3代木马在连接方式上有了改进,利用了端口反弹技术,例如灰鸽子木马,第4代木马在进程隐藏方面做了较大改动,让木马服务器端运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。
(2)按照功能分类,木马又可以分为:破坏型木马,主要功能是破坏并删除文件;服务型木马; DoS攻击型木马;远程控制型木马三、实验环境两台运行Windows 2000/XP的计算机,通过网络连接。
使用“冰河”和“广外男生”木马作为练习工具。
四、实验内容和结果任务一“冰河”木马的使用1.使用“冰河”对远程计算机进行控制我们在一台目标主机上植入木马,在此主机上运行G_Server,作为服务器端;在另一台主机上运行G_Client,作为控制端。
打开控制端程序,单击快捷工具栏中的“添加主机”按钮,弹出如图1-5所示对对话框。
特洛伊病毒
特洛伊病毒引言在当今数字化世界中,计算机病毒已经成为网络安全的重要问题之一。
特洛伊病毒是一种恶意软件,它伪装成有害或有用的程序,在用户不知情的情况下进入系统,并窃取、损坏或破坏敏感信息。
特洛伊病毒得名于希腊神话中的特洛伊木马,其目的是通过欺骗用户进入其系统并对其进行攻击。
本文将探讨特洛伊病毒的工作原理、影响和预防措施。
一、特洛伊病毒的工作原理1.伪装成合法程序特洛伊病毒通常会伪装成合法的程序或文件,例如游戏、影音软件等。
用户下载、安装并运行这些程序时,特洛伊病毒就会开始在系统中活动。
2.隐藏恶意代码特洛伊病毒通常会隐藏自己的恶意代码,使其难以被发现。
它可以在系统的注册表、启动项、系统文件等关键位置嵌入自己的代码,以便能够在系统启动时自动运行。
3.远程控制特洛伊病毒一旦进入系统,攻击者就可以远程控制受感染的计算机。
攻击者可以通过特洛伊软件远程访问文件、操控系统、监视用户活动等,而用户则完全不知情。
二、特洛伊病毒的影响1.数据窃取特洛伊病毒可以窃取用户的个人信息,如账户名、密码、信用卡信息等。
这些信息可能被用来进行金融欺诈、身份盗用等非法活动。
2.文件损坏或删除特洛伊病毒还可以损坏或删除用户的文件和数据。
它可以破坏硬盘驱动器、操作系统文件和应用程序,导致系统不稳定或无法正常工作。
3.操控系统特洛伊病毒给攻击者提供了远程操控计算机的能力。
攻击者可以在用户不知情的情况下操纵计算机执行不法行为,例如发起DDoS攻击、散布垃圾邮件等。
三、特洛伊病毒的预防措施1.安装可信的安全软件为了避免特洛伊病毒的感染,用户应该安装一个可信的安全软件,如杀毒软件和防火墙。
这些软件可以帮助检测和阻止病毒、恶意软件的入侵。
2.谨慎下载和安装软件用户在下载和安装软件时应格外谨慎。
应只从官方网站或可信的下载平台下载软件,并确保软件的完整性和正当性。
3.定期更新操作系统和软件及时更新操作系统和软件是防止特洛伊病毒侵入的重要步骤。
更新可以修复安全漏洞,并添加新的防御机制来阻止病毒的入侵。
特洛伊木马隐藏技术研究及实践
1引言特洛伊木马(简称木马)是指一类伪装成合法程序或隐藏在合法程序中的恶意代码,这些代码或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。
木马的首要特征是它的隐蔽性,为了提高自身的生存能力,木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。
FredCohen等人[1,2]对病毒进行了深入研究,他们将木马作为病毒的一种特例,并给出了病毒和木马的数学模型,但未对木马的隐藏特征进行分析。
HaroldThimbleby等人[3]对病毒和木马模型框架进行了研究,给出了木马的形式化模型,对木马隐藏的特征进行了描述,但未对木马协同隐藏进行描述和分析。
张新宇等人[4]仅对Linux环境下的木马隐藏(包括协同隐藏)进行了研究,但未涉及Windows环境。
笔者在对木马隐藏技术归纳研究的基础上,深入分析研究了协同隐藏,并针对现有木马对抗实时检测的缺陷和通信隐藏能力的不足,提出两种基于该思想的新型木马结构,深化了协同隐藏思想,提高了木马的隐藏能力和生存能力。
2隐藏技术木马程序与普通远程管理程序的一个显著区别是它的隐藏性。
木马被植入后,通常利用各种手段来隐藏痕迹,以避免被发现和追踪,尽可能延长生存期。
隐藏技术是木马的关键技术之一,笔者从本地隐藏、通信隐藏和协同隐藏3个方面对木马隐藏技术进行分析研究。
2.1本地隐藏本地隐藏是指木马为防止被本地用户发现而采取的隐藏手段,主要包括启动隐藏、文件隐藏、进程隐藏、内核模块隐藏、原始分发隐藏等。
这些手段可以分为三类:(1)将木马隐藏(附着、捆绑或替换)在合法程序中;(2)修改或替换相应的检测程序,对有关木马的输出信息进行隐蔽处理;(3)利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。
2.1.1启动隐藏启动隐藏,是指目标机自动加载运行木马程序,而不被用户发现。
在Windows系统中,比较典型的木马启动方式有:修改系统“启动”项;修改注册表的相关键值;插入常见默认启动服务;修改系统配置文件(Config.sys、Win.ini和System.ini等);修改“组策略”等。
2.4_特洛伊木马
木马植入
伪装和诱骗 邮件 共享磁盘
伪装
把木马编写成看似其它有用的程序
使用文件合并技术将木马和其它程序捆 绑到一起
演示:伪装木马
使用文件合并工具伪装木马
邮件
在电子邮件客户程序中,为了方便用户, 一般都会有地址簿功能
有些木马利用地址簿,将自身作为邮件 附件发送给地址簿中的联系人。发信人 和收信人之间的信任关系,使得木马有 更多的机会得到运行
一、特洛伊木马及其特点 二、特洛伊木马的功能与实现 三、特洛伊木马的植入和隐藏技术 四、特洛伊木马的查杀 五、木马程序的新特点
发现木马
提高安全意识 使用查杀木马的软件 查看TCP和UDP连接 端口扫描 防火墙
演示:查看端口
使用netstat 命令、fport、ActivePorts查 看本机端口
第四节 特洛伊木马
—欺骗与隐藏
本节主要内容
一、特洛伊木马及其特点 二、特洛伊木马的功能与实现 三、特洛伊木马的植入和隐藏技术 四、特洛伊木马的查杀 五、木马的新技术
特洛伊木马词源
特洛伊木马 (Trojan Horse) 简称木马。词语 来源于古希腊的 神话故事“木马 记”。
特洛伊木马
在网络安全领域中,特洛伊木马通常攻术
潜伏
使用ICMP协议启动 使用ICMP协议通讯
避开防火墙
反弹端口
反弹端口
控制端
木马端IP地址及端口 控制端IP地址及端口
木马端
公用服务器
控制端IP地址及端口信息
由木马端程序反向连接控制端程序
避开防火墙
反弹端口 通过中间服务器中转命令和命令结果
木马功能
收集密码或密码文件 收集系统关键信息 远程文件操作 远程控制 其它的特殊功能
第07章 特洛伊木马
EXAMPLE:风雪
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\resnow
网络信息安全
木马启动方式
屏幕保护
屏幕保护程序.scr文件——是PE格式的可执 行文件 当前屏保程序 [HKEY_CURRENT_USER\Control Panel\desktop] SCRNSAVE.EXE 当前屏保启动时间 [HKEY_CURRENT_USER\Control Panel\desktop] ScreenSaveTimeOut
代表
微点 Micropoint
网络信息安全
木马的防范
提高安全意识 使用查杀木马的软件 查看TCP和UDP连接 端口扫描 防火墙
网络信息安全
木马的防范
小心下载软件 不随意浏览邮件附件 及时更新病毒库、系统升级 始终显示扩展名 、隐藏文件和系统文件 经常查看注册表相关键值
网络信息安全
木马启动方式
第二自启动目录 开始 -> 程序 -> 启动
•Win 2k\XP…… •C:\Documents and Settings\All Users\ 「开始」菜单\程序\启动
网络信息安全
木马启动方式
利用批处理文件启动
AUTOEXEC.BAT——系统盘根目录下,引 导系统时执行 WinStart.bat——WINDOWS目录下,启动 GUI(graphic user interface)图形界面环境 时执行
网络信息安全
木马启动方式
注册表其他位置
Explorer [HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\WindowsNT\CurrentVersion\Winlogon\Shell] ……
【木马各种隐藏技术全方位大披露】 被木马隐藏的文件
【木马各种隐藏技术全方位大披露】被木马隐藏的文件以前,我曾认为只要不随便运行网友发来的文件就不会中病毒或木马,但后来出现了利用漏洞传播的冲击波、震荡波;以前,我曾认为不上小网站就不会中网页木马,但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。
从此,我知道:安全,从来没有绝对的。
虽然没有绝对的安全,但如果能知已知彼,了解木马的隐藏手段,对于木马即使不能百战百胜,也能做到及时发现,使损失最小化。
那么,木马究竟是如何躲在我们的系统中的呢?最基本的隐藏:不可见窗体+隐藏文件木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。
Windows下常见的程序有两种:1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。
2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。
其中,Win32应用程序通常会有应用程序界面,比如系统中自带的"计算器"就有提供各种数字按钮的应用程序界面。
木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为"隐藏",这就是最基本的隐藏手段,稍有经验的用户只需打开"任务管理器",并且将"文件夹选项"中的"显示所有文件"勾选即可轻松找出木马(见图1),于是便出现了下面要介绍的"进程隐藏"技术。
第一代进程隐藏技术:Windows 98的后门在Windows 98中,微软提供了一种能将进程注册为服务进程的方法。
尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为RegisterServiceProcess。
只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程在Windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。
剖析特洛伊木马的隐藏技术(续)
剖析特洛伊木马的隐藏技术(续)
张建华
【期刊名称】《华电技术》
【年(卷),期】2005(027)001
【摘要】对特洛伊木马的由来、木马的构成和传播方式作了介绍,全面剖析了特洛伊木马的隐藏技术.着重阐述了任务栏隐藏、任务管理器隐藏、进程隐藏和端口隐藏等技术,旨在有针对性地提出了一些木马的查杀和防范措施,以减少木马的危害.【总页数】2页(P61-62)
【作者】张建华
【作者单位】郑州工业贸易学校,信息工程系,河南,郑州,450007
【正文语种】中文
【中图分类】TP393.08:TP311.56
【相关文献】
1.剖析特洛伊木马的隐藏技术 [J], 张建华
2.特洛伊木马的隐藏技术浅析 [J], 王海青
3.特洛伊木马隐藏技术分析 [J], 韩宇;申永军
4.特洛伊木马隐藏技术研究 [J], 林小进;钱江
5.特洛伊木马的隐藏技术分析 [J], 刘冬
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
特洛伊木马病毒的隐藏技术李军丽云南大学信息学院 云南 650031摘要:隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。
本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
关键词:木马病毒;网络安全;隐藏技术0 引言随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全的隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁;据调查,目前在国内,68.26%的用户怀疑受到过木马病毒的攻击,63%的电脑用户曾受到过木马病毒攻击。
隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。
本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
1 木马的隐藏技术木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。
木马的隐藏技术主要包括以下几个方面:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。
1.1 本地文件伪装隐藏木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。
或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。
1.2 木马的启动隐藏方式(1) 本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。
木马病毒将可执行文件伪装成图片或文本----在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。
由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG.,不注意的人一点击这个图标就在无意间启动了木马程序。
(2) 通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。
像Autoexec.bat和Config.sys。
特别是系统配置文件MSCONFIG.SYSMSCONFIG.SYS中的系统启动项——system.iniwindow.ini是众多木马的隐藏地。
Windows安装目录下的system.in的[boot]字段中,正常情况下为boot=“Explorer.exe”,如果后面有其他的程序,如这样的内容,boot=“Explorer.exe file.exe”,这里的file.exe,可能就是木马服务端程序。
另外,在System.ini中的[386enh]字段,要注意检查在此段内的driver=路径\程序名。
这里也有可能被木马所利用。
再有System.ini中的[drivers],[drivers32],[mci]这3个字段,也是起到加载驱动程序的作用,因此也是增添木马程序的好场所。
(3) 利用系统路径遍历优先级欺骗Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在的盘符的根目录开始向系统目录深处递进查找,而不是精确定位;这就意味着,如果有两个同样名称的文件分别放在“C:\”和“C:\WINDOWS”下,WINDOWS会执行C:\下的程序,而不是C:\WINDOWS下的。
这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件里,并复制到比原文件要浅一级的目录里,WINDOWS就会想当然的执行这个木马程序。
要提防这种占用系统启动项而作到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。
(4) 替换系统文件木马病毒就利用系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序INTERNAT.EXE。
让动态链接库可以像程序一样运行的RUNDLL32.EX等。
木马程序会替换掉原来的系统文件,并把原来的系统文件名改成只有它自己知道的一个偏僻文件名。
只要系统调用那个被替换的程序,木马就能继续驻留内存了。
木马作为原来的程序被系统启动时,会获得一个由系统传递来的运行参数,木马程序就把这个参数传递给被改名的程序执行。
1.3 进程隐藏进程隐藏有两种情况,一种隐藏是木马程序的进程仍然存在,只是不在进程列表里;采用APIHOOK技术拦截有关作者简介:李军丽(1980-),女,云南大学信息学院05级硕士研究生,研究方向:计算机网络安全,嵌入式系统。
系统函数的调用实现运行时的隐藏,替换系统服务等方法导致无法发现木马的运行痕迹。
另外一种方法是木马不以一个进程或者服务的方式工作。
将木马核心代码以线程或DLL的方式插入到远程进程中,由于远程进程是合法的用户程序,用户又很难发现被插入的线程或DLL,从而达到木马隐藏的目的。
在Windows系统中常见的真隐藏方式有:注册表DLL插入、特洛伊DLL、动态嵌入技术、CreateProrocess插入和调试程序插入等。
1.4 内核模块隐藏有些木马在运行时能够删除自身启动运行及存在的痕迹,当检测到操作系统重新启动再重新在系统中设置需要启动自身的参数,这类木马存在的问题:当系统失效时(如断电、死机时)无法再次恢复运行。
内核模块隐藏,使木马程序依附到操作系统部件上,或成为操作系统的一部分。
1.5 原始分发隐藏软件开发商可以在软件的原始分发中植入木马。
其主要思想是:(1)修改编译器的源代码A,植入木马,包括针对特定程序的木马(如login程序)和针对编译器的木马。
经修改后的编译器源码称为B。
(2) 用干净的编译器C对D进行编译得到被感染的编译器D。
(3) 删除B,保留D和A,将D和A同时发布。
以后,无论用户怎样修改login源程序,使用D编译后的目标login程序都包含木马。
而更严重的是用户无法查出原因,因为被修改的编译器源码B已被删除,发布的是A,用户无法从源程序A中看出破绽,即使用户使用D对A重新进行编译,也无法清除隐藏在编译器二进制中的木马。
相对其它隐藏手段,原始分发的隐藏手段更加隐蔽。
1.6 通信隐藏主要包括通信内容、流量、信道和端口的隐藏。
木马常用的通信隐藏方法是对传输内容加密,隐藏通信内容。
采用网络隐蔽通道技术隐藏通信信道。
在TCP/IP协议族中,有许多信息冗余可用于建立网络隐蔽通道。
木马可以利用这些网络隐蔽通道突破网络安全机制,比较常见的有:ICMP畸形报文传递、HTTP隧道技术,自定义TCP/UDP报文等。
采用网络隐蔽通道技术,如果选用一般安全策略都允许的端口通信,如80端口,则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。
通信流量的隐藏,当存在其他通信流量时,木马程序也启动通信。
当不存在任何其他通信流量时,木马程序处于监听状态,等待其他进程通信。
有些木马为了能更好地实现隐藏,达到长期潜伏的目的,通常融合多种隐藏技术,如采用多线程方式,线程间相互实时保护,一旦一方被删除,另一方可以通过备份恢复并远程启动。
或是通过一个木马程序(称为“主木马”),在局域网内部繁殖生产“子木马”,统一协调完成工作。
各子木马根据主木马分派的任务,各自负责一独立任务。
达到相互之间的保护,同时可以分散传输数据量,达到目的地址接受数据,增大追查源地址的难度。
而且主木马和子木马寄生于不同主机,并且相互联系,增强了木马的抗查杀的能力。
2 木马病毒的检测及清除方法2.1 本地隐藏方式木马的监测与清除本地隐藏的木马比较容易发现。
我们可以通过以下几种方法来查杀。
(1)设置文件的查看方式通过设置文件的查看方式将文件的扩展名显示出来,查看是否存在多扩展名的程序。
同时检查系统文件是否处于正常的系统文件夹内。
如果发现存在多个同样的系统文件,那么就要小心查看是否为病毒文件。
可先做备份,然后再将可疑文件删除。
(2)检查注册表和系统配置文件对于通过修改系统配置文件和注册表启动项来达到自启动的木马,需要常查看容易被修改的那些键值,看是否有新的程序加入。
如果有异常程序添加进了启动项,如果有异常程序,则可以先将系统配置文件备份。
然后,根据文件路径找到可疑文件源,查找注册表中所有相关项,删除源文件并同时删除注册表中的启动项和所有相关信息。
(3)检查HKEY——CLASSES——ROOT项检查HKEY——CLASSES——ROOT项下每类文件所对应的打开程序是否异常,如果发现异常则可能是系统进了木马。
特别是HKEY——CLASSES——ROO\EXEFILE\SHELL\OPEN\COMMAND,是否被修改。
如果有木马修改了该项,则只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他的木马文件的话,也一起停止,然后在保持注册表编辑器开启的情况下(否则所有程序都打不开了),删除掉所有木马文件,把EXEFILE的打开方式项“HKEY——CLASSES——ROOT\EXEFIEL\SHELL\OPEN\COMMAND”改回原来的”%1”%*”即可。
2.2 替换系统文件或是远程线程注入木马的检测与清除对替换了系统文件或是远程线程注入木马的检测与清除,需要我们首先找出被替换的是哪些系统文件。
保留一份系统文件备份,特别是重要的系统程序和所有的DLL链接库文件。
如果知道病毒替换了系统程序,则只需要找出病毒文件,从系统盘或备份文件复制一个覆盖病毒文件即可。
如果是有DLL 木马线程注入,调用系统进程启动。
则可以通过开始->运行输入cmd,打开命令窗口,转到windows\system32下,输入命令dir *.dll >x:\dllback.txt,对系统DLL文件备份,在命令窗里输入命令fc dllback.txt xitongd.txt > x:\qubie.txt ,将DLL[下转41页]通信主机只能看到本地地址和区域转交地址,无法看到本地转交地址。
除了在路由代理和移动主机本身所在的链路上,移动主机的位置无法被获知,本地转交地址出现在该链路的隧道头中。
管理地址的技术通常也称为局部移动性管理,因为路由代理域中的移动性管理是相当严格的。
HMIPv6就是移动IPv6局部移动性管理协议的一个实例。
在HMIPv6中,路由代理称为移动锚点(MAP)。
图2描述了HMIPv6如何隐藏移动主机的位置信息。
图2 位置隐私协议HMIPv6路由代理的另一个优势是可以为管理绑定更新时间和信令负荷提供额外效率。
当移动主机进入路由代理的覆盖域时,它必须发送一条绑定更新给路由代理。
但是,如果使用了路由最优化,每次当移动主机运动至新子网时,绑定更新必须发送给本地代理和所有的通信主机。
发送绑定更新的开销是相当大的,尤其是需要迂回路由安全协议时或接收方位于另一个大陆时。
路由代理的主要缺点是他们在路由基础设施中引入了单点故障。
路由代理包含了所有移动主机的绑定信息,这些移动主机横跨宽的地理区域或大型组织。