木马技术攻防探析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
[ot hl E po rx 修改为 [ot hl E p r . e r a. e boS e= xl e. e ] l r e b oS e= xl ee t n x, ] l o rx  ̄ e
里 的隐藏,当查ቤተ መጻሕፍቲ ባይዱ当前使 用的端 口时, 马打开 的端 口 木 对应 的
进程不是木马本身, 而是被插入 的进程 , 即一个正常的进程 】 。 常用方 法有以下几种 :1 使 用注册 表插入 进程,只需修 改注 )
一
进程 隐藏 是指木马把 自 身注入其 他安全 的应 用程序 的地
址 空间,一般 情况较 难被查 杀,进程 隐藏包含两 种方式 。一 种是将木 马进程名 字改 为类 似于系统 进程名字,这 种进程 隐
藏方 式 比较简单 ;另一种是 进程插 入 ,即一个 进程访 问另一 个进 程的地址 空 间 ;随着木马技 术 的发展 ,现在 很多木马使
通信的 隐藏并举例介 绍 了几种 常见 的木马 隐藏方 式,最后 针对性的介 绍 了几种有效的木 马防范策略 。
关 键词 :木 马 ;攻 击技 术 ; 自启动 ;隐藏技术 ;防范策略
中图分类号 :T 3 3 8 文献标识码 :A 文章编号:17 — 12( 0 1 0 — 00 0 P 9. 0 6 1 12 2 1 ) 7 02 — 3
2 1年第0 期 01 7
( 京铁 道 职 业技 术 学 院 苏 州校 区 , 江 苏 苏 州 2 5 3 南 t 1 1 7)
摘 要 :该 文简要 介绍 了木 马技 术的基本特征 ,重 A a 分析木 马技 术的攻击手段入手 ,分析 了在植入 、启 , , d
动和隐藏 3 重要 环节的技 术实现和特征 。该 文详尽地 分析 了木马 隐藏技 术 中的文件 隐藏 、进程 隐藏 、与 外界 个
cnl i , e ae vdcdee lf cv o n osdf d g cc  ̄ et. oc s nt pr oue vr et e j r e i ts ei ny uo h p n i s ae i T a H e e n n t i p n l r a Ke。 rs To na akn cnlg ;uos r p cn el g eh o g ; e n i at s y 。 d: rj ;t ci t h ooy at‘a u;o ca n c l y d f dn T cc wo a t ge _ t t i tn o e g i
种是随计算机系统启动而 自 启动。 自 这种 启动技术有以下三种。
在 Widw 的文件系统中 , no s 有一 个专 门存放系统启动后 自
221拷贝到系统启 动文件夹 ..
动运行 程序的文件 夹 , 用户希望计 算机系统启动时所要启动的 文件可 以通 过这 里 启动 , 只需把 所需 文件 或其 陕捷 方式 放 入 该 文件 夹中即可。
A s at T ipprn oue e aica c ro eToa os t hooyb e  ̄adaa zdt bt c: hs ae ird cdt s hr t s fh r nH r cn l f f n l e e r t hb c a e t j ee g il ny h
i lna o ,s ru dc n e l g i r ei o n c ne ft e h ia mplm e tt n a d fau e y a lz g mpa tt n t tp a o c ai t e mp  ̄ ts e so tc c li e nai n e tr sb nay i i a n n n h he n o n
在计算机网络安全领域内,以下三类程序代码通常被称作木马 : ) 1 包含在合法程序的未授权代码 ; ) 2 执行不为用户所知或
不 希望功能 的程序 ;3 )能执行隐蔽的或不被用户希望功能的恶意 程序 。常见的木 马可以分为代理木马 、程序杀手木马、反弹 端 口型木马 、F P木马 、D S攻击型 、破坏型、键盘记 录型、远程访 问型和密码发送 型等九类。 T o
222修改 系统 配置 文件 __
用动态嵌 入技 术,以 D L文件形式 存在 ,将 自己的代码 嵌入 L 正 在运行 的进程 中的技术 。在 Wid w 中 , 程都 有私有 内 nos 进 存地址 空间,一旦 木马的 D L插入了另一 个进程 的地址空 间 L 后 ,就可 以对另 一个 进程为所 欲为,同时也实现任 务管 理器
t t k g as f r a o eeho g.h prnl e e l nelgpoesocan,o can h aa i n To n r cnl yT e aeaa zd e c ca ,rcscnelgcnel g f e tc n me o j H s t o p y t f so hi n i i i o
2木马攻击技术
21 马植入 .木
木马要实现对 目标系统的攻击 ,必 须先植入 到 目标系统,常见的木马植 入方法有 以— 种 :1 捆绑 下载。将木马与正常程 L ) 序捆绑在一起发布到 网站上供 用户下载 ,当用户下载程序并安装后木马的服务端程序就会加载到 目 系统中 ;2 标 )电子邮件传播 。
●
收稿时间: 0 卜( — ( 2 1 ) 1 5 )
作者简介: 周钰 ( 9 2 ) 1 8 一 ,男,江苏,硕士研 究生,主要研 究方向 : 计算机应用技 术。
一
一
I 2 0
2 1年第0 期 01 7
将木马作为电子邮件 的附件发 到目标 系统 ,当用户打开木马附 件运行后 ,木 马就会植 人到 目标系统中 ; )用户浏览 网页。将 3
I v siainit rj nHo s eh oo y n et t oT o re c n lg g o n a T
ZH0U Yu ( aj g ntue f a w yTc n l y S z o C m u, uh u in s 1 17C i ) N ni I s tt o R i a e h oo uh u a p s S z o Ja g u 5 3 , hn n i l g 2 a
232进程隐藏 ..
22木 马 自启动 .
自启动是 木马的基本 特性 之一,木马的自启动特性使木马 不会 因为一次关机而失去生命力,是木马实现系统攻击的首要 条件。木马利用操作系统 的一些特性 来实现 自启动 ,常用的 自 起 动有两种 方式,一种是 附加 或捆绑到系统程序或应 用程序, 用户启动这些程序 时木马跟随启动,这种方式 主要是通过修改 文件关联来实现 自启动,常用的关 联有文本文件关联 、注册表 文件关联、ee x 文件关联或创建一新类型文件,并与其关联 。另
用户对系统配置文件一般较为陌生,系统配置文件被修改 后用户也不容易发现,木马可 以通过修改 系统配置文件置 Wi. n ii n 文件和 Ss m.i yt i 文件来实现 自 e n 启动。在 Wi.i ni 文件 中设 置: n [idw od r a .e rn To n ee wno  ̄l =t n x u =r a .x,或将 Ss mii a  ̄ e j y e . 文件中 t n
木 马运行成功后经常会将 自己复制到 C\ n o s ytm 2 : d w\ s 3 Wi S e
等 Widw 系统文件夹 中来实现 隐藏文件 的目的,这些文件夹 nos
中包含许多文件 ,用户不容易发现 ,而且 此类 系统 文件 夹中的 文件一 般都 比较重要,用户不 敢轻易删除。为了迷惑用户,木 马制造者经常会起 与系统文件名相类似的文件名,用户很难 辨 别 。常见 的木 马文件 隐藏方式有 :嵌入到宿主文件 中,或者伪 装成 图片、文本 等非可执行文件 ;或者复制多个副本隐蔽 ;或 者采取文件替换, 即用修改后的 D L文件替换系统 D L文件 } L L 。
O引言
2 世纪随着 网络技 术的快速发展 与互联 网的普及,人们的 日 1 常工作 、生活越来 越离不开互联网。网络给人们带来便 利的同 时,网络安全问题也愈发显现,各种黑 客工具和网络攻击手段 ,使网络 安全问题 已成为人们不可忽视 的问题 。木马攻击 是最常见 的黑 客攻击 手段 ,黑 客通 过在用户系统中植入 木马进行 各种攻击 , 如监视用户的键 盘,窃取用户的账户信息 、密码 等。木马 已成 为计 算机安全的主要威胁之一 , 究木马技 术有非常重要 的意义。 研
e xe
隐藏 进程。运 行 D L文件最简单方法是用 Ru d12e e L n l .x , 3
以后系统启动时木马将 自 启动 。
223注册表启动 ..
R n l R n l 2是 Wid w 自带 的动态链接工具 ,可 以用来 u dl u d1 / 3 no s
在命令行下执行 动态链 接库 中的某个 函数 ,R n l 2 u d1 命令 的 3
23木马隐藏技术 .
木 马的隐藏技术是木马在被植 入计算机生存的关 键,隐藏 技术是 木马在 目标系统 中不被发 现 的有保 障。木马隐藏 技术 包括文件 的隐藏 、进程的隐藏 、与外界通信 的隐藏 。
231文件 隐藏 ..
木马捆绑在网页中, 如色 隋网页、 中奖等, 使用户打开该 网页 , 诱
cm n a o i t ln e i w i i r u e me Oi I To H r n e l g o e w t ea l . o mu i t nwt e e i dt l h e t d cds F T n r a os c ca m d s i mp s I ci h x ma a , l n o o C  ̄o j n eo n i hx e n
册表 [ L S f aeMirsfWidw T C ret es n HK M\o w r\ coot n o sN \urn ri \ t \ V o
W i d wsAp l i D L] n o \ p n t L s中的键值就可实现
—
;) 2 使用 R n l 2 u d1 . 3
1木 马 概 述
木马是特洛伊木马的简称,该名称来源于古希腊神话 ,传说古希腊 士兵就是藏在特洛伊木马内进入敌方城市并占领敌方城市。 木马是一种与远程计算机之间建立起连接,使远程计算机能够通过 网络控制用户计算机系统并且可能造成 用户的信 息损失、系统损 坏甚至瘫痪的程序 ” 。木马通常包含两部分 : 一个是服务端 ,即被控制端 , 另一个是客户端,即控制端。木马实质上是一个客户 / 服 务模式 的程序 , 服务器一般会打开一个默认的端 口进行监听 , 等待客户机提出连接请求。客户机则指定服务器地址及打开端 口, 使用 Sce 向服务器发送连接请求 , okt 服务器端监听到客户端的连接请求后接受请求并建立连接 , 客户端发送命令 , 如模拟键盘动作 、模拟 鼠标事件 、获取系统信 息、记录各种口令信 息等 , 服务器接受并执行这些命令 。木马是否可以实现对目标系统的有效攻击与木马存 目 标系统中的生存能力有密切关系, 其生存能力通过木马的隐藏技术来体现, 隐藏技术越高, 生存能力就越强 , 潜在的危害性就越大。
将木马植入用户系统 , 这种方式是 目 前最流行的木 马植 人方式;
4 Q ) Q消息链 接。将木马制作成 有诱 惑性的消息 ,当发送 Q Q
消息 时,木 马会 与消息一并发送 ,用户点击 链接后 , 将木 马植 入 用户系统 ; ) 接植 入。利用系统 漏洞或用户的防范不足, 5 直 直接操 纵用户系统 ,植 入木马。
里 的隐藏,当查ቤተ መጻሕፍቲ ባይዱ当前使 用的端 口时, 马打开 的端 口 木 对应 的
进程不是木马本身, 而是被插入 的进程 , 即一个正常的进程 】 。 常用方 法有以下几种 :1 使 用注册 表插入 进程,只需修 改注 )
一
进程 隐藏 是指木马把 自 身注入其 他安全 的应 用程序 的地
址 空间,一般 情况较 难被查 杀,进程 隐藏包含两 种方式 。一 种是将木 马进程名 字改 为类 似于系统 进程名字,这 种进程 隐
藏方 式 比较简单 ;另一种是 进程插 入 ,即一个 进程访 问另一 个进 程的地址 空 间 ;随着木马技 术 的发展 ,现在 很多木马使
通信的 隐藏并举例介 绍 了几种 常见 的木马 隐藏方 式,最后 针对性的介 绍 了几种有效的木 马防范策略 。
关 键词 :木 马 ;攻 击技 术 ; 自启动 ;隐藏技术 ;防范策略
中图分类号 :T 3 3 8 文献标识码 :A 文章编号:17 — 12( 0 1 0 — 00 0 P 9. 0 6 1 12 2 1 ) 7 02 — 3
2 1年第0 期 01 7
( 京铁 道 职 业技 术 学 院 苏 州校 区 , 江 苏 苏 州 2 5 3 南 t 1 1 7)
摘 要 :该 文简要 介绍 了木 马技 术的基本特征 ,重 A a 分析木 马技 术的攻击手段入手 ,分析 了在植入 、启 , , d
动和隐藏 3 重要 环节的技 术实现和特征 。该 文详尽地 分析 了木马 隐藏技 术 中的文件 隐藏 、进程 隐藏 、与 外界 个
cnl i , e ae vdcdee lf cv o n osdf d g cc  ̄ et. oc s nt pr oue vr et e j r e i ts ei ny uo h p n i s ae i T a H e e n n t i p n l r a Ke。 rs To na akn cnlg ;uos r p cn el g eh o g ; e n i at s y 。 d: rj ;t ci t h ooy at‘a u;o ca n c l y d f dn T cc wo a t ge _ t t i tn o e g i
种是随计算机系统启动而 自 启动。 自 这种 启动技术有以下三种。
在 Widw 的文件系统中 , no s 有一 个专 门存放系统启动后 自
221拷贝到系统启 动文件夹 ..
动运行 程序的文件 夹 , 用户希望计 算机系统启动时所要启动的 文件可 以通 过这 里 启动 , 只需把 所需 文件 或其 陕捷 方式 放 入 该 文件 夹中即可。
A s at T ipprn oue e aica c ro eToa os t hooyb e  ̄adaa zdt bt c: hs ae ird cdt s hr t s fh r nH r cn l f f n l e e r t hb c a e t j ee g il ny h
i lna o ,s ru dc n e l g i r ei o n c ne ft e h ia mplm e tt n a d fau e y a lz g mpa tt n t tp a o c ai t e mp  ̄ ts e so tc c li e nai n e tr sb nay i i a n n n h he n o n
在计算机网络安全领域内,以下三类程序代码通常被称作木马 : ) 1 包含在合法程序的未授权代码 ; ) 2 执行不为用户所知或
不 希望功能 的程序 ;3 )能执行隐蔽的或不被用户希望功能的恶意 程序 。常见的木 马可以分为代理木马 、程序杀手木马、反弹 端 口型木马 、F P木马 、D S攻击型 、破坏型、键盘记 录型、远程访 问型和密码发送 型等九类。 T o
222修改 系统 配置 文件 __
用动态嵌 入技 术,以 D L文件形式 存在 ,将 自己的代码 嵌入 L 正 在运行 的进程 中的技术 。在 Wid w 中 , 程都 有私有 内 nos 进 存地址 空间,一旦 木马的 D L插入了另一 个进程 的地址空 间 L 后 ,就可 以对另 一个 进程为所 欲为,同时也实现任 务管 理器
t t k g as f r a o eeho g.h prnl e e l nelgpoesocan,o can h aa i n To n r cnl yT e aeaa zd e c ca ,rcscnelgcnel g f e tc n me o j H s t o p y t f so hi n i i i o
2木马攻击技术
21 马植入 .木
木马要实现对 目标系统的攻击 ,必 须先植入 到 目标系统,常见的木马植 入方法有 以— 种 :1 捆绑 下载。将木马与正常程 L ) 序捆绑在一起发布到 网站上供 用户下载 ,当用户下载程序并安装后木马的服务端程序就会加载到 目 系统中 ;2 标 )电子邮件传播 。
●
收稿时间: 0 卜( — ( 2 1 ) 1 5 )
作者简介: 周钰 ( 9 2 ) 1 8 一 ,男,江苏,硕士研 究生,主要研 究方向 : 计算机应用技 术。
一
一
I 2 0
2 1年第0 期 01 7
将木马作为电子邮件 的附件发 到目标 系统 ,当用户打开木马附 件运行后 ,木 马就会植 人到 目标系统中 ; )用户浏览 网页。将 3
I v siainit rj nHo s eh oo y n et t oT o re c n lg g o n a T
ZH0U Yu ( aj g ntue f a w yTc n l y S z o C m u, uh u in s 1 17C i ) N ni I s tt o R i a e h oo uh u a p s S z o Ja g u 5 3 , hn n i l g 2 a
232进程隐藏 ..
22木 马 自启动 .
自启动是 木马的基本 特性 之一,木马的自启动特性使木马 不会 因为一次关机而失去生命力,是木马实现系统攻击的首要 条件。木马利用操作系统 的一些特性 来实现 自启动 ,常用的 自 起 动有两种 方式,一种是 附加 或捆绑到系统程序或应 用程序, 用户启动这些程序 时木马跟随启动,这种方式 主要是通过修改 文件关联来实现 自启动,常用的关 联有文本文件关联 、注册表 文件关联、ee x 文件关联或创建一新类型文件,并与其关联 。另
用户对系统配置文件一般较为陌生,系统配置文件被修改 后用户也不容易发现,木马可 以通过修改 系统配置文件置 Wi. n ii n 文件和 Ss m.i yt i 文件来实现 自 e n 启动。在 Wi.i ni 文件 中设 置: n [idw od r a .e rn To n ee wno  ̄l =t n x u =r a .x,或将 Ss mii a  ̄ e j y e . 文件中 t n
木 马运行成功后经常会将 自己复制到 C\ n o s ytm 2 : d w\ s 3 Wi S e
等 Widw 系统文件夹 中来实现 隐藏文件 的目的,这些文件夹 nos
中包含许多文件 ,用户不容易发现 ,而且 此类 系统 文件 夹中的 文件一 般都 比较重要,用户不 敢轻易删除。为了迷惑用户,木 马制造者经常会起 与系统文件名相类似的文件名,用户很难 辨 别 。常见 的木 马文件 隐藏方式有 :嵌入到宿主文件 中,或者伪 装成 图片、文本 等非可执行文件 ;或者复制多个副本隐蔽 ;或 者采取文件替换, 即用修改后的 D L文件替换系统 D L文件 } L L 。
O引言
2 世纪随着 网络技 术的快速发展 与互联 网的普及,人们的 日 1 常工作 、生活越来 越离不开互联网。网络给人们带来便 利的同 时,网络安全问题也愈发显现,各种黑 客工具和网络攻击手段 ,使网络 安全问题 已成为人们不可忽视 的问题 。木马攻击 是最常见 的黑 客攻击 手段 ,黑 客通 过在用户系统中植入 木马进行 各种攻击 , 如监视用户的键 盘,窃取用户的账户信息 、密码 等。木马 已成 为计 算机安全的主要威胁之一 , 究木马技 术有非常重要 的意义。 研
e xe
隐藏 进程。运 行 D L文件最简单方法是用 Ru d12e e L n l .x , 3
以后系统启动时木马将 自 启动 。
223注册表启动 ..
R n l R n l 2是 Wid w 自带 的动态链接工具 ,可 以用来 u dl u d1 / 3 no s
在命令行下执行 动态链 接库 中的某个 函数 ,R n l 2 u d1 命令 的 3
23木马隐藏技术 .
木 马的隐藏技术是木马在被植 入计算机生存的关 键,隐藏 技术是 木马在 目标系统 中不被发 现 的有保 障。木马隐藏 技术 包括文件 的隐藏 、进程的隐藏 、与外界通信 的隐藏 。
231文件 隐藏 ..
木马捆绑在网页中, 如色 隋网页、 中奖等, 使用户打开该 网页 , 诱
cm n a o i t ln e i w i i r u e me Oi I To H r n e l g o e w t ea l . o mu i t nwt e e i dt l h e t d cds F T n r a os c ca m d s i mp s I ci h x ma a , l n o o C  ̄o j n eo n i hx e n
册表 [ L S f aeMirsfWidw T C ret es n HK M\o w r\ coot n o sN \urn ri \ t \ V o
W i d wsAp l i D L] n o \ p n t L s中的键值就可实现
—
;) 2 使用 R n l 2 u d1 . 3
1木 马 概 述
木马是特洛伊木马的简称,该名称来源于古希腊神话 ,传说古希腊 士兵就是藏在特洛伊木马内进入敌方城市并占领敌方城市。 木马是一种与远程计算机之间建立起连接,使远程计算机能够通过 网络控制用户计算机系统并且可能造成 用户的信 息损失、系统损 坏甚至瘫痪的程序 ” 。木马通常包含两部分 : 一个是服务端 ,即被控制端 , 另一个是客户端,即控制端。木马实质上是一个客户 / 服 务模式 的程序 , 服务器一般会打开一个默认的端 口进行监听 , 等待客户机提出连接请求。客户机则指定服务器地址及打开端 口, 使用 Sce 向服务器发送连接请求 , okt 服务器端监听到客户端的连接请求后接受请求并建立连接 , 客户端发送命令 , 如模拟键盘动作 、模拟 鼠标事件 、获取系统信 息、记录各种口令信 息等 , 服务器接受并执行这些命令 。木马是否可以实现对目标系统的有效攻击与木马存 目 标系统中的生存能力有密切关系, 其生存能力通过木马的隐藏技术来体现, 隐藏技术越高, 生存能力就越强 , 潜在的危害性就越大。
将木马植入用户系统 , 这种方式是 目 前最流行的木 马植 人方式;
4 Q ) Q消息链 接。将木马制作成 有诱 惑性的消息 ,当发送 Q Q
消息 时,木 马会 与消息一并发送 ,用户点击 链接后 , 将木 马植 入 用户系统 ; ) 接植 入。利用系统 漏洞或用户的防范不足, 5 直 直接操 纵用户系统 ,植 入木马。