木马技术

代理木马
• 黑客在入侵的同时掩盖自己的足迹，谨防 别人发现自己的身份是非常重要的，因此， 给被控制的计算机种上代理木马，让其变 成攻击者发动攻击的跳板就是代理木马最 重要的任务。通过代理木马，攻击者可以 在匿名的情况下使用Telnet,ICQ ,IRC等程 序，从而隐蔽自己的踪迹
FTP木马
• 这种木马可能是最简单和古老的木马了， 它的惟一功能就是打开21端口，等待用户 连接。现在新FTP木马还加上了密码功能， 这样，只有攻击者本人才知道正确的密码， 从而进入对方计算机。
程序杀手木马
• 上面的木马功能虽然形形色色，不过到了 对方机器上要发挥自己的作用，还要过防 木马软件这一关才行。常见的防木马软件 有ZoneAlarm,Norton Anti-Virus等。程序杀 手木马的功能就是关闭对方机器上运行的 这类程序，让其他的木马更好地发挥作用。 在http:/www.snake-basket.de/e/AV.txt这个 地址，你能找到现在流行使用的绝大多数 防病毒和防木马软件的名称、介绍以及结 束它们的方法。
键盘记录木马
• 这种特洛伊木马是非常简单的。它们只做一件事 情，就是记录受害者的键盘敲击并且在LOG文件 里查找密码。这种特洛伊木马随着Windows的启 动而启动。它们有在线和离线记录这样的选项， 顾名思义，它们分别记录你在线和离线状态下敲 击键盘时的按键情况。也就是说你按过什么按键， 下木马的人都知道，从这些按键中他很容易就会 得到你的密码等有用信息，甚至是你的信用卡账 号!当然，对于这种类型的木马，邮件发送功能也 是必不可少的。
反弹端口型木马
• 木马开发者在分析了防火墙的特性后发现:防火墙对于连 入的链接往往会进行非常严格的过滤，但是对于连出的链 接却疏于防范。于是，与一般的木马相反，反弹端口型木 马的服务端 (被控制端)使用主动端口，客户端 (控制端)使 用被动端口。木马定时监测控制端的存在，发现控制端上 线立即弹出端口主动连结控制端打开的主动端口;为了隐 蔽起见，控制端的被动端口一般开在80 ，这样，即使用 户使用端口扫描软件检查自己的端口，发现的也是类似 TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况， 稍微疏忽一点，你就会以为是自己在浏览网页,防火墙也 会这么认为。
木马的隐藏方式
• • • • • • 在任务栏里隐藏 在任务管理器里隐藏 端口 隐藏通讯 隐藏隐加载方式 最新隐身技术
在任务栏里隐藏
• 这是最基本的隐藏方式。要实现在任务栏 中隐藏在编程时是很容易实现的。我们以 VB为例。在VB 中，只要把from的Visible属 性设置为False,ShowInTaskBar设为False 程序就不会出现在任务栏里了。
密码发送木马
• 在信息安全日益重要的今天。密码无疑是通向重要信息的 一把极其有用的钥匙，只要掌握了对方的密码，从很大程 度上说。就可以无所顾忌地得到对方的很多信息。而密码 发送型的木马正是专门为了盗取被感染计算机上的密码而 编写的，木马一旦被执行，就会自动搜索内存，Cache， 临时文件夹以及各种敏感密码文件，一旦搜索到有用的密 码，木马就会利用免费的电子邮件服务将密码发送到指定 的邮箱。从而达到获取密码的目的，所以这类木马大多使 用25号端口发送E-mail。大多数这类的特洛伊木马不会在 每次Windows重启时重启。这种特洛伊木马的目的是找到 所有的隐藏密码并且在受害者不知道的情况下把它们发送 到指定的信箱，这些特洛伊木马是危险的。
自我销毁
• 这项功能是为了弥补木马的一个缺陷。我们知道，当服务 端用户打开含有木马的文件后，木马会将自己拷贝到 Windows的系统文件夹中(C;\wmdows或 C:\windows\system目录下),一般来说，源木马文件和系统 文件夹中的木马文件的大小是一样的 (捆绑文件的木马除 外)，那么，中了木马的朋友只要在近来收到的信件和下 载的软件中找到源木马文件，然后根据源木马的大小去系 统文件夹找相同大小的文件，判断一下哪个是木马就行了。 而木马的自我销毁功能是指安装完木马后，源木马文件自 动销毁，这样服务端用户就很难找到木马的来源，在没有 查杀木马的工具帮助下。就很难删除木马了。
破坏性质的木马
• 这种木马惟一的功能就是破坏被感染计算 机的文件系统，使其遭受系统崩溃或者重 要数据丢失的巨大损失。从这一点上来说， 它和病毒很相像。不过，一般来说，这种 木马的激活是由攻击者控制的，并且传播 能力也比病毒逊色很多。
DoS攻击木马
• 随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马 也越来越流行起来。当你入侵了一台机器，给他种上Do S 攻击木马，那么日后这台计算机就成为你DoS攻击的最得 力助手了。你控制的计算机数量越多，你发动DoS攻击取 得成功的机率就越大。所以，这种木马的危害不是体现在 被感染计算机上，而是体现在攻击者可以利用它来攻击一 台又一台计算机，给网络造成很大的伤害和带来损失。 • 还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被 感染，木马就会随机生成各种各样主题的信件，对特定的 邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为 止。
• 一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于 攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击 者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端 程序植人到你的电脑里面。 • 目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到 被攻击者的电脑系统里，利用的途径有邮件附件、下载软件中等，然 后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这 个木马执行文件，是你朋友送给你贺卡，可能你打开这个文件后，确 实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。 一般的木马执行文件非常小，大部分都是几K到几十K，如果把木马 捆绑到其他正常文件上，你很难发现，所以，有一些网站提供的软件 下载往往是捆绑了木马文件的，你执行这些下载的文件，也同时运行 了木马。
特洛伊木马是如何工作的
• 木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入，由 于微软的浏览器在执行Senipt脚本存在一些漏洞。攻击者可以利用这 些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。 前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化 的HTML页面。如果攻击者有办法把木马执行文件下载到攻击主机的 一个可执行WWW目录夹里面，他可以通过编制CG程序在攻击主机 上执行木马目录。此外，木马还可以利用系统的一些漏洞进行植人， 如微软著名的US服务器溢出漏洞，通过一个IISHACK攻击程序即可 使IIS服务器崩溃，并且同时攻击服务器，执行远程木马执行文件。 • 当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客 户端与服务端建 立连接，并进一步控制被感染的机器。在客户端和服务端通信协议的 选择上，绝大多数木马使用的是TCP/IP协议，但是也有一些木马由于 特殊的原因，使用UDP协议进行通讯。当服务端在被感染机器上运行 以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用 户发现;同时监听某个特定的端口，等待客户端与其取得连接;另外为 了下次重启计算机时仍然能正常工作。木马程序一般会通过修改注册 表或者其他的方法让自己成为自启动程序。
出错显示
• 有一定木马知识的人部知道，如果打开一 个文件，没有任何反应，这很可能就是个 木马程序。木马的设计者也意识到了这个 缺陷，所以已经有木马提供了一个叫做出 错显示的功能。当服务端用户打开木马程 序时，会弹出一个错误提示框 (这当然是假 的)，错误内容可自由定义，大多会定制成 一些诸如 "文件已破坏，无法打开!"之类的 信息，当服务端用户信以为真时，木马却 悄悄侵人了系统。
木马的种类
• • • • • • • • • 远程控制木马 密码发送木马 键盘记录木马 破坏性质的木马 DoS攻击木马 代理木马 FTP木马 程序杀手木马 反弹端口型木马
远程控制木马
• 远程控制木马是数量最多，危害最大，同时知名 度也最高的一种木马，它可以让攻击者完全控制 被感染的计算机攻击者可以利用它完成一些甚至 连计算机主人本身都不能顺利进行的操作，其危 害之大实在不容小觑。由于要达到远程控制的目 的，所以，该种类的木马往往集成了其他种类木 马的功能。使其在被感染的机器上为所欲为，可 以任意访问文件，得到机主的私人信息甚至包括 信用卡，银行账号等至关重要的信息。
ห้องสมุดไป่ตู้ 木马更名
• 木马服务端程序的命名也有很大的学问。 如果不做任何修改，就使用原来的名字， 谁不知道这是个木马程序呢?所以木马的命 名也是千奇百怪，不过大多是改为和系统 文件名差不多的名字，如果你对系统文件 不够了解，那可就危险了。例如有的木马 把名字改为window.exe，还有的就是更改 一些后缀名，比如把dll改为dl 等.
在任务管理器里隐藏
• 查看正在运行的进程最简单的方法就是按 下Ctrl+Alt+Del时出现的任务管理器。如果 你按下Ctrl+Alt+Del后可以看见一个木马程 序在运行，那么这肯定不是什么好木马。 所以，木马会千方百计地伪装自己，使自 己不出现在任务管理器里。木马发现把自 己设为 "系统服务“ 就可以轻松地骗过去。
木马技术
什么是特洛伊木马
• 木马，其实质只是一个网络客户/服务程序。网络 客户/服务模式的原理是一台主机提供服务 (服务 器)，另一台主机接受服务 (客户机)。作为服务器 的主机一般会打开一个默认的端口开进行监听 (Listen)，如果有客户机间服务器的这一端口提出 连接请求 (Connect Request)，服务器上的相应 程序就会自动运行，应答客户机的请求，这个程 序我们称为守护进程。就我们前面所讲木马来说， 被控制端相当于一台服务器，控制端则相当于一 台客户机，被控制端为控制端提供服务。
隐藏通讯
• 隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击 者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接人 被植人木马的主机;或者通过间接通讯。如通过电子邮件的方式，木马 把侵入主机的敏感信息送给攻击者。现在大部分木马一般在占领主机 后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常 用的端口，如80、23, 有一种非常先进的木马还可以做到在占领 80HTTP端口后，收到正常的HTTP请求仍然把它交与Web服务器处 理，只有收到一些特殊约定的数据包后，才调用木马程序。 • 目前大部分木马都是采用TCP连接的方式使攻击者控制主机，这样， 通过简单的netstat命令或者监视数据包等方式即可以查出攻击者IP。 为了保护自己不被发现，木马开发者编制出了新的木马，可以通过 ICM数据包进行通讯控制，这样，除非分析数据包里面的内容，否则 很难发现木马连接。
端口
• 一台机器有65536个端口，木马就很注意你 的端口。如果你稍微留意一下，不难发现， 大多数木马使用的端口在1024以上，而且 呈越来越大的趋势;当然也有占用1024以下 端口的木马，但这些端口是常用端口，占 用这些端口可能会造成系统不正常，这样 的话，木马就会很容易暴露。也许你知道 一些木马占用的端口，会经常扫描这些端 口，但现在的木马都提供端口修改功能， 你有时间扫描65536个端口么?
木马特性
1.包含干正常程序中，当用户执行正常程序时，启 动自身，在用户难以察觉的情况下，完成一些危 害用户的操作，具有隐蔽性 2.具有自动运行性。 3.包含具有未公开并且可能产生危险后果的功能的 程序。 4.具备自动恢复功能。 5.能自动打开特别的端口。 6、功能的特殊性。
特洛伊木马是如何工作的
木马采用的伪装方法
• • • • • 修改图标 捆绑文件 出错显示 自我销毁 木马更名
修改图标
• 木马服务端所用的图标也是有讲究的，木 马经常故意伪装成了XT.HTML等你可能认 为对系统没有多少危害的文件图标，这样 很容易诱惑你把它打开。
捆绑文件
• 这种伪装手段是将木马捆绑到一个安装程 序上，当安装程序运行时，木马在用户毫 无察觉的情况下，偷偷地进入了系统。被 捆绑的文件一般是可执行文件 (即EXE、 COM一类的文件)。