Windows下木马隐藏技术分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一
由进程加载并调用。 一个以DL L形式的程序, 通过某个已经存在 进程进行加载,就可实现程序的进程隐藏。 主要有 以下两种方式: 在注册表中插入 D L L 。在 WidWS T2 0/ /0 3中,有 nO /0 0 20 N XP
一
个
_
注
册
表
键
值
HK E £O CAL MAC NE S R r L ir s f W i d ws HI \ o waeM c o o t n o HKE L \ Y O CAL M AC NE S R r L ir s f W i d ws HI \ o waeM c o o \ n o
ure t ri n Ru rn Ve so h nOn e e
在 W1 X 系 列 的操 作系 统中 ,在 系统进 程 列表 中看不 到任 N9 何 系 统服 务进 程 ,因 此只 需要 将指 定 进程 注册 为 系统 服务 就可 以
2利用 系统 文件 . 可 以 利 用 的 文 件 有 wi.i ss m. i A t xe a; ni ; yt i ; uo e. t n e n e b C r g y。当 系统 启动 的 时候 ,这 些文 件 的一 些 内容 随着系 统 一 ot . s i fs 起加 载 ,从 而可 以被 木 马利 用 。 3 用文 件 关联 . 利 ( 下转 第 17页 ) 4
_
C r e t e so k u On e u rn V ri n R n c
HKE OCAL MACHI \ OF WARE Mir s R Wi d ws NE S T k co o \ n o \
—
3替换 隐藏 .
C re t e s nRu s r ie u r n V ri k n ev c s o
KEY
_
木 马将 自身的 D L替 换为 目标 文件 的 同名 D L文 件 ,备 份 L L 原先 的 正常 系统 文件 。经 过这 样 的替 换 后 ,一般 情况 下 ,正 常 的 系统 文件 ,只有 当具 有木 马 的控 制端 向被 控 制端 发 出指 令后 ,隐 藏 的程序 才 开始运 行 。 ( )进 程 隐藏 二 进程 是程 序运 行 在操 作系 统 中 的表现 行 为 。主要 有 以下 三种
方法: 1 册 为系统 服 务 . 注
CR E U R N£ S RS F WA EMi Oot n o s u E  ̄O T R k c sfWi w \ r r \ d C
—
rn Ve so k n e t ri nRu HKEY
C R N£ U E \O T R h coo \ n o s UR E S R S F WA EMi sfWi w \ r l d C
ຫໍສະໝຸດ Baidu
4 10 ) 600
摘要 :作 为黑客 常 用的 一种 攻 击工具 ,木马 对计 算机 网络 安 全构 成严 重威 胁 。本 文介 绍 了木 马的 定义 、功 能及 其 工作 原理 ,重点 分析 了木 马文 件 ,进程 ,通信 隐藏技 术 ,对防 范木 马攻 击具 有 重要 意 义。
关键 词 :木 马 ; 隐藏 技 术 ; 网络 安全
_
NTC r nV r o\ no kp Ii D L 。 当 某 个 进 程 加 载 \u etes n r i Widws pn L s A t Us 3.l , e 2 l 这里 面所 有 的 DL r d时 L都 将 Usr2d 利用 L aLbay e3 .l l o d i r r 函数 加载 到该 进程 空 问 中。我 们可 以把 自己 的代 码 放在 一个 D L L 中 ,并加 入该 键值 ,这 样就 可 以注入 到所 有 使用 Usr2 l e3. l的进 d 程 中了 。 远 程 线程 注入 。在 Wi o s n w 系统 中 ,每个 进 程都 有 自己专 门 d 的地 址空 间 , 个进 程不 能创 建本 来 属于 另一 个进 程 的 内存指 针 。 一 远 程 线程 技术 就是 利 用特 殊 的 内核 编程 手 段打 破 这种 限制 ,访 问 另一个 进程 的地址 空 间 ,进 而 达到 隐藏 自身的 目的 所 谓远 程 线 性 插 入 D L 技 术是 指通 过 在 另一 个进 程 中创 建远 程线 程 的方 法 L 进 入其 内存 空 问 ,然后 加载 启动 D L程 序 。 L 文 献 [】 出的基 于 D L加载 三 级跳 和线 程 守护 的 隐藏技 术 , 3提 L 增 强 了木 马 的隐 蔽性与 抗 毁性 。 ( )启 动 隐藏 三 木 马 的最 大特 点就 是 它一 定要 伴 随系 统的 启动 而 启动 ,否 则 就 失 去 了意义 。木 马启 动 的方式 有 以下几 种 : 1 . 表启 动 项 : 注册 利 用 wi o 平 台的特 殊性 ,通 过它 的注 册 表予 以加 载 。一 n ws d 般通 以下键 值 :
一
、
在系 统进 程列 表 中 隐形此 进程 。 2 用 H K技 术 . 使 0O 我们 可 以利 用 Wi o s n w 系统 提供 的挂 钩 函数 , 得被 挂 钩 的 d 使 进 程 在 自己处 理接 收 到 的消息 之前 , 处理我 们 的消 息处 理 函数 。 先 般 地 ,这 个消 息处 理 函数放 在 D L中,让 目标 进程 加 载 ,这就 L 达到 了注 入代 码 的 目的 所谓 的 H K 技 术是 指通 过特 殊 的编程 手 段截 取 Wi o s OO n w d 系统 调用 的 A I P 函数 ,并将 其 丢掉 或者 替换 。例 如在 用户 查看 任 务管 理器 时截 取 系统遍 历 进程 列表 的 函数 并进 行替 换 ,隐 藏木 马 进程。 3 于 D L的进程 隐藏 技 术 . 基 L D L不 会在 进程 列表 中出现 ,是 因为 它不 能独 立运 行 ,必 须 L
计算 机光 盘 软件 与应 用
21 0 2年第 l 0期 一
C m u e D S fw r n p l c t o s o p t r C o ta e a dA p i a in 工 程 技 术
Wid w 下木马隐藏技术分析 no s
梁衡
( 昌学院计算机科 学与技 术学院 ,河 南许 昌 许
.. .— —
1 45 . — - - —
计算机光盘软件与应用
21 第 1 0 2年 O期 C m u e D S fw r n p l c t o s o p t r C o t a e a d Ap i a in 工 程 技 术 四 、加 强企 业信 息化 管理 的相 关措 施 不断 的探 索逐 步 完善 自身 的信 息化 管理 系 统 。 ( )树立 可行 的信 息化 管 理 目标 一 五 、总结 企业 必须 树 立切 实可 行 的信 息化 管理 目标 , 并且根 据 这 一 目 综上所 述 , 企业 的信 息化 管理 是顺 应 现代 市场 的必经 之路 。 标 对 企业 信 息化 管理 实施 统一 安 排 。这里 以中小 型企 业 的信 息化 它不仅是企业现代化发展的标识之一更是企业增长 自身核心竞争 管理 目标 为例 :中小 型企 业 的 目标 的重 点是提 高 管理 效率 。上 文 力 的最佳 手段 。当前 很 多企业 的 信息 化建 设仍 然存 在 种种 问题 , 中提 到过 计 算机 技术 的 引入 可 以提高 成本 核 算 、资金 规划 和 企业 只有 坚定 的加 强信 息 化意 识 、树 立 明确 目标 、建 立完 各信 息化 管 资源 管理 等 等项 目的 效率 并且 确保 其 时效 性 。这 一过程 中节省 下 理 模 式和合 理 运用 资 金才 能最 大 限度 的发 挥计 算机 技 术在 企业 中 来 的 人力 资源 可 以被 合理 运用 到 其他 的计 算机 技 术 尚难 以运用 的 的作用 。 工作 当 中去 。 参考 文献 : ( )加强 企业 信息 化意 识 二 【 吴岸松 . 网络 分 析在 企 业 只是 管 理 中的 应 用 Ⅱ. 现 1 】 社会 ] 商场 文章 开头 就提 到 了国内企 业 的信 息化 道路 仍然 有很 大 的发 展 代 化 ,0 71 2 0 ,9 空间 就是 因 为很 多的 企业 当前 的信 息 化意 识不 够 。造 成这 一现 象 [ 袁 于凌 . 算 机在 财 务 管理 中的 应 用研 究 Ⅱ. 业 经 2 ] 计 】 企 的原 因有 很 多 :企业信 息 化 意识 模糊 、企 业 管理人 员惰 性 等等 。 济, 0 , 2 37 0 企业 如何 才 能认 识到 信息 化 的优 势 ,主要 在 于管 理层 首先 要对 其 [ 舒俭 , . 3 ] 赵敏 浅谈 企业计 算机 网络 管理信 息 系统 的 开发 明 Ⅱ. 】 拥 有 足 够 的重 视 其 次 是 人 员 的强 化 和 培 训 树 立 正确 的信 息 化 意 科 技创 业 月刊 , 0, 2 51 0 2 识。 。 【 杨 晓 光 . 算 机 技 术 在 企 业 管 理 中 的 应 用 Ⅱ. 计 与 管 4 ] 计 ] 统 理 .01 , 2 14 ( )建立 完备 的信 息化 管理 模式 三 企业 的信 息 化管 理模 式 比较 依赖 于企 业 网络 的建 设 。计算 机 [ 张健 . 用计 算机 网络 对 中小企 业 管理 的 影 响 Ⅱ_ 现 5 ] 浅谈 ] 商场 互 联 网络 技术 是 企业数 据传 输 、 实施 监控 和管 理 的首要 技 术保 障 。 代 化 ,0 632 2 0 ,,7 信 息化 管 理模 式 能够 帮助 决策 者提 供 合理 的建 议 并且及 时 的反馈 [舒 俭 , 敏 . 企 业 计 算机 网络 管 理信 息 系统 的 开发 Ⅱ. 6 】 赵 浅谈 】 科 企 业 的发 展状 态 ,能够 让 管理 层 正确 认识 企业 管理 中 的种种 不 足 技 创 业 月刊 , 0 , 2 52 0 1 和 漏 洞 。因此 ,对 于 企业来 说信 息化 的管理 模式 建立 迫 在眉 睫 。 【 牛立东, 7 】 原建猛 . 电子计算机在企业管理 中的应用Ⅱ. 】 山西煤 ( )合 理运 用 资金 四 炭 管理 干部 学院 学报 , 0 2 4 0 企业 是一 盈利 为 目的 的商 业组 织 ,严格 控 制成 本是 企业 盈利 的一 项重 要 内容 ,在企 业信 息 化过 程 中势 必会 有所 投入 ,但 是 不 [ 简介 ] 连海 ( 94 8. 作者 孙 17 . )助理 实验 师 ,研 究方 向:基 0 能一 味的 盲 目最求 系 统的 高效 和 一步 到位 ,这 样只 会使 得投 入 的 资 金 白白流 失。企 业要 树立 “ 少花 钱 多办 事 ”的管 理思 路 ,通过 于 云计 算 的 自主学 习与 实验 室管 理 的应用 与研 究
中图分类号 :T 39 文献标识码 :A 文章编号:10 - 59( 1) 0 0 4- 2 P 0. 5 07 99 2 2 1- 15 0 0
目前,木 马 已经成 为 常见 的网络 攻击 技术 之 一 ,对 网络 安全 造成 了严 重 的威胁 。它具 有攻 击 范 围广 、隐 蔽性 强等特 点 。本 文 主要 针对 木 马 的隐藏 技术 展 开研 究 。 木 马定 义和特 征 木 马是 指潜 伏在 电脑 中 ,受 到外 部用 户控 制 以达 到窃 取本 机 信 息或 控制 权 为 目的 的 程序 。其 全 称 为 特 洛 伊 木 马 ,英 文 叫做 “ r a os” To nhr 。它是 指利 用 一段特 定 的程 序 ( 马程序 ) 控制 j e 木 来 另一 台计 算机 。木 马通常 有两 个 可执 行程 序 :分 别为 客户 端和 服 务端 , 即控制 端和 被控 制 端 。植入 被种 者 电脑 的是 “ 务 器 ”部 服 分 ,而 所谓 的 “ 客 ”正 是利 用 “ 制器 ”进 入运 行 了 “ 黑 控 服务 器 ” 的 电脑 。一 旦运 行 了木 马程序 的 “ 务器 ”以后 ,被 种者 的 电脑 服 就会 有一 个或 几个 端 口被 打开 ,黑客 就可 以利 用这 些 打开 的端 口 进 入 电脑 系 统 ,用 户 的个 人 隐私 就全 无保 障 了 。木 马的设 计者 采 用 多种 手 段 隐藏木 马 以防 止木 马被 发现 。随着 病毒 编 写技 术 的发 展 ,木 马程序 采用 越来 越 狡猾 的手 段 来 隐蔽 自己,使普 通 用户 很 难发 觉 。 二 、木 马的功 能 木 马的 主要 功能有 : ( )窃 取数 据 :仅 仅 以窃取 数据 为 目的 ,本 身不 破 坏损 伤 - 计 算机 的文件 和数 值 ,也 不妨 碍 系统 的正 常办 公 。有很 多木 马有 键 盘 记录 功 能 ,会 记 录服 务端 每 次敲 击键 盘 的动 作 ,所 以一 旦有 木 马入 侵 ,数 据将 很容 易被 窃 取 。 ( )篡 改文 件 :对 系统 的文 件有 选 择地 进行 篡 改 ,对服 务 二 端 上 的文 件有 筛选 的施 行删 除 ,修改 , 行 等一些 系 列相 关操 作 。 运 ( )使 系统 自毁 。利用 的方 法有 很 多 : 比如 改变 报 时 的钟 三 频 率 、使 芯 片热解 体而 毁 坏 、使系 统风 瘫 等 。 三 、木 马的 隐藏技 术 ( )文 件 隐藏 一 木 马 程序 植入 目标 系 统后 ,就 会 改变 其文 件表 现形 式 加 以隐 蔽 ,从 而 欺骗 用户 。隐藏保 护 木马 文件 的方 式 主要 有 以下几 种 : 1 绑 隐藏 . 捆 采 用 此隐 蔽手 段 的木 马主 要有 两种 方 式 :插入 到某 程 序 中或 者 与某 程 序捆 绑到 一起 ,一旦 程序 运行 木 马也 就会 被启 动 ,例 如 使 用压 缩 的木 马程 序伪 装成 je pg等格 式 的图 片文 件 , 马程序 就 木 有 了随时运 行 的可 能 。或者 与 常用 程序 捆 绑到 一起 ,一 旦 木马 被 点 击就 会 加载 运行 ,使 用户 难 以 防范 ,例 如提 供给 用户 捆 绑 了木 马 程序 的解 压 软件 ,一 旦用 户运 行 该软 件此 程序 便 被释 放 并立 即 运行。 2伪装 隐藏 . 首先利 用 自身多变性 的外部特 征伪 装成 单独 的文件 , 定好 文 选 件名 ,然后 修改 文件 系 统的相关 程序 ,最后 设置文件 属性 为隐藏 或 者只 读 。这样 ,木 马就伪装 成 了正常 的文件或 者非 可执行 文件 。
HKEY LOCAL M ACHI NE\ SOFTW AREk ir o tW i do s M cos f\ n w \
— —
—
—
Cu rn V ri n R n r e t e so k u HKEY L OCAL MACHI \ OF WARE M ir s f Wi d ws NE S T L co ot n o \ \
由进程加载并调用。 一个以DL L形式的程序, 通过某个已经存在 进程进行加载,就可实现程序的进程隐藏。 主要有 以下两种方式: 在注册表中插入 D L L 。在 WidWS T2 0/ /0 3中,有 nO /0 0 20 N XP
一
个
_
注
册
表
键
值
HK E £O CAL MAC NE S R r L ir s f W i d ws HI \ o waeM c o o t n o HKE L \ Y O CAL M AC NE S R r L ir s f W i d ws HI \ o waeM c o o \ n o
ure t ri n Ru rn Ve so h nOn e e
在 W1 X 系 列 的操 作系 统中 ,在 系统进 程 列表 中看不 到任 N9 何 系 统服 务进 程 ,因 此只 需要 将指 定 进程 注册 为 系统 服务 就可 以
2利用 系统 文件 . 可 以 利 用 的 文 件 有 wi.i ss m. i A t xe a; ni ; yt i ; uo e. t n e n e b C r g y。当 系统 启动 的 时候 ,这 些文 件 的一 些 内容 随着系 统 一 ot . s i fs 起加 载 ,从 而可 以被 木 马利 用 。 3 用文 件 关联 . 利 ( 下转 第 17页 ) 4
_
C r e t e so k u On e u rn V ri n R n c
HKE OCAL MACHI \ OF WARE Mir s R Wi d ws NE S T k co o \ n o \
—
3替换 隐藏 .
C re t e s nRu s r ie u r n V ri k n ev c s o
KEY
_
木 马将 自身的 D L替 换为 目标 文件 的 同名 D L文 件 ,备 份 L L 原先 的 正常 系统 文件 。经 过这 样 的替 换 后 ,一般 情况 下 ,正 常 的 系统 文件 ,只有 当具 有木 马 的控 制端 向被 控 制端 发 出指 令后 ,隐 藏 的程序 才 开始运 行 。 ( )进 程 隐藏 二 进程 是程 序运 行 在操 作系 统 中 的表现 行 为 。主要 有 以下 三种
方法: 1 册 为系统 服 务 . 注
CR E U R N£ S RS F WA EMi Oot n o s u E  ̄O T R k c sfWi w \ r r \ d C
—
rn Ve so k n e t ri nRu HKEY
C R N£ U E \O T R h coo \ n o s UR E S R S F WA EMi sfWi w \ r l d C
ຫໍສະໝຸດ Baidu
4 10 ) 600
摘要 :作 为黑客 常 用的 一种 攻 击工具 ,木马 对计 算机 网络 安 全构 成严 重威 胁 。本 文介 绍 了木 马的 定义 、功 能及 其 工作 原理 ,重点 分析 了木 马文 件 ,进程 ,通信 隐藏技 术 ,对防 范木 马攻 击具 有 重要 意 义。
关键 词 :木 马 ; 隐藏 技 术 ; 网络 安全
_
NTC r nV r o\ no kp Ii D L 。 当 某 个 进 程 加 载 \u etes n r i Widws pn L s A t Us 3.l , e 2 l 这里 面所 有 的 DL r d时 L都 将 Usr2d 利用 L aLbay e3 .l l o d i r r 函数 加载 到该 进程 空 问 中。我 们可 以把 自己 的代 码 放在 一个 D L L 中 ,并加 入该 键值 ,这 样就 可 以注入 到所 有 使用 Usr2 l e3. l的进 d 程 中了 。 远 程 线程 注入 。在 Wi o s n w 系统 中 ,每个 进 程都 有 自己专 门 d 的地 址空 间 , 个进 程不 能创 建本 来 属于 另一 个进 程 的 内存指 针 。 一 远 程 线程 技术 就是 利 用特 殊 的 内核 编程 手 段打 破 这种 限制 ,访 问 另一个 进程 的地址 空 间 ,进 而 达到 隐藏 自身的 目的 所 谓远 程 线 性 插 入 D L 技 术是 指通 过 在 另一 个进 程 中创 建远 程线 程 的方 法 L 进 入其 内存 空 问 ,然后 加载 启动 D L程 序 。 L 文 献 [】 出的基 于 D L加载 三 级跳 和线 程 守护 的 隐藏技 术 , 3提 L 增 强 了木 马 的隐 蔽性与 抗 毁性 。 ( )启 动 隐藏 三 木 马 的最 大特 点就 是 它一 定要 伴 随系 统的 启动 而 启动 ,否 则 就 失 去 了意义 。木 马启 动 的方式 有 以下几 种 : 1 . 表启 动 项 : 注册 利 用 wi o 平 台的特 殊性 ,通 过它 的注 册 表予 以加 载 。一 n ws d 般通 以下键 值 :
一
、
在系 统进 程列 表 中 隐形此 进程 。 2 用 H K技 术 . 使 0O 我们 可 以利 用 Wi o s n w 系统 提供 的挂 钩 函数 , 得被 挂 钩 的 d 使 进 程 在 自己处 理接 收 到 的消息 之前 , 处理我 们 的消 息处 理 函数 。 先 般 地 ,这 个消 息处 理 函数放 在 D L中,让 目标 进程 加 载 ,这就 L 达到 了注 入代 码 的 目的 所谓 的 H K 技 术是 指通 过特 殊 的编程 手 段截 取 Wi o s OO n w d 系统 调用 的 A I P 函数 ,并将 其 丢掉 或者 替换 。例 如在 用户 查看 任 务管 理器 时截 取 系统遍 历 进程 列表 的 函数 并进 行替 换 ,隐 藏木 马 进程。 3 于 D L的进程 隐藏 技 术 . 基 L D L不 会在 进程 列表 中出现 ,是 因为 它不 能独 立运 行 ,必 须 L
计算 机光 盘 软件 与应 用
21 0 2年第 l 0期 一
C m u e D S fw r n p l c t o s o p t r C o ta e a dA p i a in 工 程 技 术
Wid w 下木马隐藏技术分析 no s
梁衡
( 昌学院计算机科 学与技 术学院 ,河 南许 昌 许
.. .— —
1 45 . — - - —
计算机光盘软件与应用
21 第 1 0 2年 O期 C m u e D S fw r n p l c t o s o p t r C o t a e a d Ap i a in 工 程 技 术 四 、加 强企 业信 息化 管理 的相 关措 施 不断 的探 索逐 步 完善 自身 的信 息化 管理 系 统 。 ( )树立 可行 的信 息化 管 理 目标 一 五 、总结 企业 必须 树 立切 实可 行 的信 息化 管理 目标 , 并且根 据 这 一 目 综上所 述 , 企业 的信 息化 管理 是顺 应 现代 市场 的必经 之路 。 标 对 企业 信 息化 管理 实施 统一 安 排 。这里 以中小 型企 业 的信 息化 它不仅是企业现代化发展的标识之一更是企业增长 自身核心竞争 管理 目标 为例 :中小 型企 业 的 目标 的重 点是提 高 管理 效率 。上 文 力 的最佳 手段 。当前 很 多企业 的 信息 化建 设仍 然存 在 种种 问题 , 中提 到过 计 算机 技术 的 引入 可 以提高 成本 核 算 、资金 规划 和 企业 只有 坚定 的加 强信 息 化意 识 、树 立 明确 目标 、建 立完 各信 息化 管 资源 管理 等 等项 目的 效率 并且 确保 其 时效 性 。这 一过程 中节省 下 理 模 式和合 理 运用 资 金才 能最 大 限度 的发 挥计 算机 技 术在 企业 中 来 的 人力 资源 可 以被 合理 运用 到 其他 的计 算机 技 术 尚难 以运用 的 的作用 。 工作 当 中去 。 参考 文献 : ( )加强 企业 信息 化意 识 二 【 吴岸松 . 网络 分 析在 企 业 只是 管 理 中的 应 用 Ⅱ. 现 1 】 社会 ] 商场 文章 开头 就提 到 了国内企 业 的信 息化 道路 仍然 有很 大 的发 展 代 化 ,0 71 2 0 ,9 空间 就是 因 为很 多的 企业 当前 的信 息 化意 识不 够 。造 成这 一现 象 [ 袁 于凌 . 算 机在 财 务 管理 中的 应 用研 究 Ⅱ. 业 经 2 ] 计 】 企 的原 因有 很 多 :企业信 息 化 意识 模糊 、企 业 管理人 员惰 性 等等 。 济, 0 , 2 37 0 企业 如何 才 能认 识到 信息 化 的优 势 ,主要 在 于管 理层 首先 要对 其 [ 舒俭 , . 3 ] 赵敏 浅谈 企业计 算机 网络 管理信 息 系统 的 开发 明 Ⅱ. 】 拥 有 足 够 的重 视 其 次 是 人 员 的强 化 和 培 训 树 立 正确 的信 息 化 意 科 技创 业 月刊 , 0, 2 51 0 2 识。 。 【 杨 晓 光 . 算 机 技 术 在 企 业 管 理 中 的 应 用 Ⅱ. 计 与 管 4 ] 计 ] 统 理 .01 , 2 14 ( )建立 完备 的信 息化 管理 模式 三 企业 的信 息 化管 理模 式 比较 依赖 于企 业 网络 的建 设 。计算 机 [ 张健 . 用计 算机 网络 对 中小企 业 管理 的 影 响 Ⅱ_ 现 5 ] 浅谈 ] 商场 互 联 网络 技术 是 企业数 据传 输 、 实施 监控 和管 理 的首要 技 术保 障 。 代 化 ,0 632 2 0 ,,7 信 息化 管 理模 式 能够 帮助 决策 者提 供 合理 的建 议 并且及 时 的反馈 [舒 俭 , 敏 . 企 业 计 算机 网络 管 理信 息 系统 的 开发 Ⅱ. 6 】 赵 浅谈 】 科 企 业 的发 展状 态 ,能够 让 管理 层 正确 认识 企业 管理 中 的种种 不 足 技 创 业 月刊 , 0 , 2 52 0 1 和 漏 洞 。因此 ,对 于 企业来 说信 息化 的管理 模式 建立 迫 在眉 睫 。 【 牛立东, 7 】 原建猛 . 电子计算机在企业管理 中的应用Ⅱ. 】 山西煤 ( )合 理运 用 资金 四 炭 管理 干部 学院 学报 , 0 2 4 0 企业 是一 盈利 为 目的 的商 业组 织 ,严格 控 制成 本是 企业 盈利 的一 项重 要 内容 ,在企 业信 息 化过 程 中势 必会 有所 投入 ,但 是 不 [ 简介 ] 连海 ( 94 8. 作者 孙 17 . )助理 实验 师 ,研 究方 向:基 0 能一 味的 盲 目最求 系 统的 高效 和 一步 到位 ,这 样只 会使 得投 入 的 资 金 白白流 失。企 业要 树立 “ 少花 钱 多办 事 ”的管 理思 路 ,通过 于 云计 算 的 自主学 习与 实验 室管 理 的应用 与研 究
中图分类号 :T 39 文献标识码 :A 文章编号:10 - 59( 1) 0 0 4- 2 P 0. 5 07 99 2 2 1- 15 0 0
目前,木 马 已经成 为 常见 的网络 攻击 技术 之 一 ,对 网络 安全 造成 了严 重 的威胁 。它具 有攻 击 范 围广 、隐 蔽性 强等特 点 。本 文 主要 针对 木 马 的隐藏 技术 展 开研 究 。 木 马定 义和特 征 木 马是 指潜 伏在 电脑 中 ,受 到外 部用 户控 制 以达 到窃 取本 机 信 息或 控制 权 为 目的 的 程序 。其 全 称 为 特 洛 伊 木 马 ,英 文 叫做 “ r a os” To nhr 。它是 指利 用 一段特 定 的程 序 ( 马程序 ) 控制 j e 木 来 另一 台计 算机 。木 马通常 有两 个 可执 行程 序 :分 别为 客户 端和 服 务端 , 即控制 端和 被控 制 端 。植入 被种 者 电脑 的是 “ 务 器 ”部 服 分 ,而 所谓 的 “ 客 ”正 是利 用 “ 制器 ”进 入运 行 了 “ 黑 控 服务 器 ” 的 电脑 。一 旦运 行 了木 马程序 的 “ 务器 ”以后 ,被 种者 的 电脑 服 就会 有一 个或 几个 端 口被 打开 ,黑客 就可 以利 用这 些 打开 的端 口 进 入 电脑 系 统 ,用 户 的个 人 隐私 就全 无保 障 了 。木 马的设 计者 采 用 多种 手 段 隐藏木 马 以防 止木 马被 发现 。随着 病毒 编 写技 术 的发 展 ,木 马程序 采用 越来 越 狡猾 的手 段 来 隐蔽 自己,使普 通 用户 很 难发 觉 。 二 、木 马的功 能 木 马的 主要 功能有 : ( )窃 取数 据 :仅 仅 以窃取 数据 为 目的 ,本 身不 破 坏损 伤 - 计 算机 的文件 和数 值 ,也 不妨 碍 系统 的正 常办 公 。有很 多木 马有 键 盘 记录 功 能 ,会 记 录服 务端 每 次敲 击键 盘 的动 作 ,所 以一 旦有 木 马入 侵 ,数 据将 很容 易被 窃 取 。 ( )篡 改文 件 :对 系统 的文 件有 选 择地 进行 篡 改 ,对服 务 二 端 上 的文 件有 筛选 的施 行删 除 ,修改 , 行 等一些 系 列相 关操 作 。 运 ( )使 系统 自毁 。利用 的方 法有 很 多 : 比如 改变 报 时 的钟 三 频 率 、使 芯 片热解 体而 毁 坏 、使系 统风 瘫 等 。 三 、木 马的 隐藏技 术 ( )文 件 隐藏 一 木 马 程序 植入 目标 系 统后 ,就 会 改变 其文 件表 现形 式 加 以隐 蔽 ,从 而 欺骗 用户 。隐藏保 护 木马 文件 的方 式 主要 有 以下几 种 : 1 绑 隐藏 . 捆 采 用 此隐 蔽手 段 的木 马主 要有 两种 方 式 :插入 到某 程 序 中或 者 与某 程 序捆 绑到 一起 ,一旦 程序 运行 木 马也 就会 被启 动 ,例 如 使 用压 缩 的木 马程 序伪 装成 je pg等格 式 的图 片文 件 , 马程序 就 木 有 了随时运 行 的可 能 。或者 与 常用 程序 捆 绑到 一起 ,一 旦 木马 被 点 击就 会 加载 运行 ,使 用户 难 以 防范 ,例 如提 供给 用户 捆 绑 了木 马 程序 的解 压 软件 ,一 旦用 户运 行 该软 件此 程序 便 被释 放 并立 即 运行。 2伪装 隐藏 . 首先利 用 自身多变性 的外部特 征伪 装成 单独 的文件 , 定好 文 选 件名 ,然后 修改 文件 系 统的相关 程序 ,最后 设置文件 属性 为隐藏 或 者只 读 。这样 ,木 马就伪装 成 了正常 的文件或 者非 可执行 文件 。
HKEY LOCAL M ACHI NE\ SOFTW AREk ir o tW i do s M cos f\ n w \
— —
—
—
Cu rn V ri n R n r e t e so k u HKEY L OCAL MACHI \ OF WARE M ir s f Wi d ws NE S T L co ot n o \ \