木马病毒的行为分析报告

学号：10312060108
院系：诒华学院
成绩：
翻译学院
XI’AN FANYI UNIVERSITY
毕业论文
题目：网络木马病毒的行为分析
专业：计算机网络技术
班级：103120601
姓名：蕊蕊
指导教师：朱滨忠
2013年5月
目录
1 论文研究的背景及意义......................................... - 3 -
2 木马病毒的概况............................................... - 4 -
2.1 木马病毒的定义.......................................... - 4 -
2.2 木马病毒的概述.......................................... - 4 -
2.3 木马病毒的结构.......................................... - 4 -
2.4 木马病毒的基本特征...................................... - 5 -
2.5木马病毒的分类.......................................... - 5 -
2.6木马病毒的危害.......................................... - 6 -
3 木马程序病毒的工作机制....................................... - 6 -
3.1 木马程序的工作原理...................................... - 6 -
3.2 木马程序的工作方式...................................... - 7 -
4 木马病毒的传播技术........................................... - 7 -
4.1 木马病的毒植入传播技术.................................. - 8 -
4.2 木马病毒的加载技术...................................... - 8 -
4.3 木马病毒的隐藏技术..................................... - 11 -
5 木马病毒的防技术............................................ - 11 -
5.1防木马攻击............................................. - 11 -
5.2 木马病毒的信息获取技术................................. - 12 -
5.3 木马病毒的查杀......................................... - 12 -
5.4 反木马软件............................................. - 12 -
6 总结........................................................ - 13 -
网络木马病毒的行为分析
蕊蕊
翻译学院诒华学院计算机网络技术 103120601
摘要:随着计算机网络技术的迅速发展和普及,Internet网络使得全世界的人们可以自由的交流和分享信息,极大的促进了全球一体化的发展。

但是人们在交往的同时也面临着网络安全的隐患,每天分布在世界各地的计算机无时无刻不在遭受计算机病毒的攻击。

其中有一种与病毒相似但有所区别的、基于远程控制的、具有很强的隐蔽性和危害性的工具,这就是特洛伊木马程序。

关键词：“木马”病毒，恶意程序，危害，防
1 论文研究的背景及意义
随着互联网技术的发展和普及，计算机网络得到了广泛应用，利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势，人们日常的经济和社会生活也越来越依赖互联网。

但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁，例如黑客攻击，计算机病毒、特洛伊木马泛滥等。

研究在目前开放的网络环境下，如何保证自己的信息安全就显的非常重要。

特洛伊木马（简称木马）是一种具有运行非预期或未授权功能的程序，例如可以记录用户键入的密码，远程传输文件，甚至可以完全远程控制计算机等。

一般黑客在攻击目标得手之后，就会在主机上安装后门，即特洛伊木马。

特洛伊木马可以在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等，甚至可以远程监控用户的操作，因此，某些行业，如国防、外交和商务部门，特洛伊木马的危害性更大，一旦这些部门被安装了木马，损失就会非常惨重。

人们常常将特洛伊木马看成是计算机病毒，其实，它们之间还是有比较大的区别的。

计算机病毒具有数据的破坏性，而特洛伊木马最大的危害在于数据的泄密性，当然不乏有将病毒技术和木马技术结合使用的恶意软件，即利用病毒的传染性使较多的计算机系统植入木马。

但特洛伊木马本身一般没有复制能力，不会感染其他的寄宿文件，一般在同一台主机上只有一个特洛伊木马。

而病毒具有传染性，会不断感染其他的同类文件，在同一台主机上，会出现很多被感染的文件。

而目前，人们对计算机病毒的研究比较多，而对特洛伊木马的研究要相对滞后。

许多的反病毒软件也声称能反特洛伊木马，但是，现在的大多数反病毒软件采用的是特征码检测技术，即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码，放入病毒库中，将待检测的软件与病毒库中的特征码比较，如果吻合则判断为恶意代码。

特征码技术对于检测已知恶意代码，非常快捷有效，但是对于检测未知的恶意代码则无能为力。

反病毒软件的检测能力总是落后于新的恶意代码的出现的，在这个时间差，新的恶意代码可能就会泛滥，造成重大损失，特征码技术的这种局限性就决定了其滞后性。

在网络攻击与安全防日益激烈的对抗中，特洛伊木马攻击技术在不断地完善。

现在特洛伊木马攻击手段已成为网络攻击的最常用、最有效的手段之一，是一系列网络攻击活动中重要的组成部分，严重地威胁着计算机网络系统的安全。

网络安全迫切需要有效的木马检测防技术。

2 木马病毒的概况
2.1 木马病毒的定义
木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序。

它利用自身所具有的植入功能,或依附其它具有传播能力病毒,或通过入侵后植入等多种途径,进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种敏感信息,接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。

2.2 木马病毒的概述
木马病毒和其他病毒一样都是一种人为的程序，都属于电脑病毒。

大家都知道以前的电脑病毒的作用，其实完全就是为了搞破坏，破坏电脑里的资料数据，除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用，或是为了炫耀自己的技术。

木马病毒则不一样，它的作用是赤裸裸的偷偷监视别
人的所有操作和盗窃别人的各种密码和数据等重要信息，如盗窃系统管理员密码搞破
坏；偷窃ADSL上网密码和游戏密码用于牟利；更有甚者直接窃取股票、网
上银行等信息达到盗窃别人财务的目的。

所以木马病毒的危害性比其他电脑
病毒更加大，更能够直接达到使用者的目的！这个现状就导致了许多别有用心的程序
开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序，这就是目前网上大量
木马病毒泛滥成灾的原因。

鉴于木马病毒的这些巨大危害性和它与其他病毒的作用性
质的不一样，所以木马病毒虽然属于病毒中的一类，但是要单独的从病毒类型中间剥
离出来，独立地称之为“木马病毒”程序。

2.3 木马病毒的结构
在计算机领域中，木马是一类恶意程序。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制服
务端的程序。

木马程序：潜入服务端部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。

控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

2.4 木马病毒的基本特征
木马是病毒的一种,木马程序也有不同种类,但它们之间又有一些共同的特性。

①隐蔽性：当用户执行正常程序时,在难以察觉的情况下,完成危害用户的操作,具有隐蔽性。

它的隐蔽性主要体现在以下6个方面,一是不产生图标,不在系统“任务栏”中产生有提示标志的图标;二是文件隐藏,将自身文件隐藏于系统的文件夹中;三是在专用文件夹中隐藏;四是自动在任务管理器中隐形,并以“系统服务”的方式欺骗操作系统;五是无声息地启动;六是伪装成驱动程序及动态库。

②自行运行：木马为了控制服务端,必须在系统启动时跟随启动。

所以,它潜入在你的启动配置文件中,如Win.ini,System.ini,Winstart.bat以及启动组等文件之中。

③欺骗性：捆绑欺骗,用包含具有未公开并且可能产生危险后果的功能程序与正常程序捆绑合并成一个文件。

④自动恢复：采用多重备份功能模块,以便相互恢复。

⑤自动打开端口：用服务器客户端的通信手段,利用TCP/IP协议不常用端口自动进行连接,开方便之“门”。

⑥功能特殊性：木马通常都有特殊功能,具有搜索cache中的口令、设置口令、扫描目标IP地址、进行键盘记录、远程注册表操作以及锁定鼠标等功能。

2.5木马病毒的分类
木马的种类很多，主要有以下几种：
其一，远程控制型，如冰河。

远程控制型木马是现今最广泛的特洛伊木马，这种木马起着远程监控的功能，使用简单，只要被控制主机联入网络，并与控制端客户程序建立网络连
接，控制者就能任意访问被控制的计算机。

其二，键盘记录型。

键盘记录型木马非常简单，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里进行完整的记录，然后通过或其他方式发送给控制者。

其三，密码发送型。

密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。

这类木马程序大多不会在每次都自动加载，一般都使用25端口发送电子。

其四，反弹端口型。

反弹端口型木马的服务端使用主动端口，客户端使用被木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连接控制端打开的主动端口。

为了隐蔽起见，控制端的被动端口一般开在8O，稍微疏忽一点，用户就会以为是自己在浏览网页。

2.6木马病毒的危害
多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在。

但木马有些特殊,它和病毒、蠕虫之类的恶意程序一样,会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户等等。

例如,经常可以看到攻击者霸占被入侵的计算机,控制U盘,用户所有的磁盘空间几乎都
被侵占殆尽。

除此之外,木马还有“窃取容”“远程控制”的特点。

木马具有远程控制计算机系统以及捕获用户的屏幕和每一次键击事件、音频、视频的能力,这意味着恶意攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至信用卡、银行账户和个人通信方面的信息。

木马病毒危害程度要远远超过普通的病毒和蠕虫。

3 木马程序病毒的工作机制
3.1 木马程序的工作原理
木马程序的结构是典型的客户端/服务器(Client／Server；简称C／S)模式，服务器端程序骗取用户执行后，便植入在计算机，作为响应程序。

所以它的特点是隐蔽，不容易被用户察觉，或被杀毒程序、木马清除程序消灭，而且它一般不会造成很大的危害，计算机还可以正常执行。

另外，木马服务器端程序还有容量小的特点，一般它的大小不会超过300KB，最小的木马程序甚至只有3KB，这样小的木马很容易就可以合并在一些可以执行．exe的文件中或网页中而不被察觉，而且这样小的文件也能很快就下载至磁盘中，若是再利用UP)(压缩
技术还可以让木马程序变得更小。

木马的实质只是一个通过端口进行通信的网络客户/服务程序,其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。

作为服务器的主机,一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应程序就会自动应答客户机的请求。

木马程序是由客户端和服务端两个程序组成,其中客户端是攻击者远程控制终端程序,服务端程序即木马程序。

当木马的服务端程序在被入侵的计算机系统上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被入侵的计算机系统。

在客户端和服务端通信协议的选择上,绝大多数木马程序使用的是TCP/IP协议,也有一些木马由于特殊的原因,使用UDP协议进行通信。

当服务端在被入侵计算机上运行以后,它尽量把自己隐藏在计算机系统的某个角落里,以防用户发现;同时监听某个特定的端口,等待客户端(攻击者)与其取得连接;为了下次重启计算机时能正常工作,木马程序一般会通过修改注册表或者其他的方法让自己成为固定的启动程序。

3.2 木马程序的工作方式
木马客户端程序是在控制台(黑客的计算机)中执行的，木马服务器端程序必须与客户端程序对应，建立起连接。

服务器端程序与客户端建立连接后，由客户端发出指令，然后服务器在计算机中执行这些指令，并源源不断地将数据传送至客户端。

木马服务器端与客户端之间也可以不建立连接，因为建立连接容易被察觉，如果再使用连接技术只会自断后路。

所以就要使用ICMP来避免建立连接或使用端口。

木马服务器端与客户端也可以不要间接通讯，因为直接通讯的目的太明显了，很容易被发现，所以木马服务器端可以与客户端采取间接通讯的专式：在服务器端与客户端之间中间层，服务器端程序先将数据传送至某个，客户端程序再从那个取得数据。

这种方式可以让木马程序达到非常隐蔽的通讯效果，但缺点是通信数据交换的速度变慢了。

4 木马病毒的传播技术
由于木马病毒是一个非自我复制的恶意代码,因此它们需要依靠用户向其他人发送其拷贝。

木马病毒可以作为电子附件传播,或者它们可能隐藏在用户与其他用户进行交流的文档和其他文件中。

它们还可以被其他恶意代码所携带,如蠕虫。

木马病毒有时也会隐藏在从互联网上下载的捆绑免费软件中。

当用户安装这个软件时,木马病毒就会在后台被自动秘密安装。

4.1 木马病的毒植入传播技术
木马病毒植入技术,主要是指木马病毒利用各种途径进入目标机器的具体实现方法。

(1)利用电子进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看附件就会使木马程序得到运行并安装进入系统。

(2)利用网络下载进行传播:一些非正规的以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。

(3)利用网页浏览传播:这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,JavaApplet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。

(4)利用一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。

由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。

(5)远程入侵进行传播:黑客通过破解密码和建立IPC远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\WINDOWS\system32或者
C:\WINNT\sys-tem32)中,然后通过远程操作让木马程序在某一个时间运行。

(6)基于DLL和远程线程插入的木马植入：这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL 植入到本系统中。

而DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。

首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL 的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。

其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,增加了隐蔽性的要求。

(7)利用蠕虫病毒传播木马:网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大提高木马的传播能力。

结合了蠕虫病毒的木马利用病毒的特性,在网络上进行传播、复制,这就加快了木马的传播速度。

4.2 木马病毒的加载技术
当木马病毒成功植入目标机后,就必须确保自己可以通过某种方式得到自动运行。

常见的
木马病毒加载技术主要包括:系统启动自动加载、文件关联和文件劫持等。

①系统启动自动加载
系统启动自动加载，这是最常的木马自动加载方法。

木马病毒通过将自己拷贝到启动组,或在win.ini,system.ini和注册表中添加相应的启动信息而实现系统启动时自动加载。

这种加载方式简单有效,但隐蔽性差。

目前很多反木马软件都会扫描注册表的启动键(信息),故而新一代木马病毒都采用了更加隐蔽的加载方式。

②文件关联
文件关联，这是通过修改注册表来完成木马的加载。

但它并不直接修改注册表中的启动键(信息),而将其与特定的文件类型相关联,如与文本文件或图像文件相关联。

这样在用户打开这种类型的文件时,木马病毒就会被自动加载。

修改关联的途径是选择了对注册表的修改，它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目，如冰河木马修改的对象如图所示。

如果感染了冰河木马，则在
[HKEY_CLASS_ROOT\txtfile\shell\open\command]中的键值不是
“c:\windows\notopad.exe%1”，而是改为“sysexplr.exe%1”如图1所示：
图1 注册表图例
由图可知，在注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command中的值就是文本文件的关联程序*.exe，缺省“%SystemRoot\%system32\NOTEPAD.EXE%1”，即Windows系统默
认为用记事本程序来打开文本文件。

如果把这个程序改为木马程序，则每打开一个文件就会执行木马程序，这样，木马就启动，待木马启动后，再打开文本文件，这样对于一般的人来看好像什么事也没发生过。

修改文件打开方式的程序设计算法，如图2所示：
图2 修改文件打开关联的程序流程图
步骤一：打开注册表，如果成功打开，则进入步骤二，否则转步骤八
步骤二：读取某类文件打开方式的键值，如果成功找到，则进入步骤三，否则转步骤五步骤三：修改键值为希望设定的键值，如果成功修改，则进入步骤四，否则转步骤五步骤四：给出成功提示信息，转步骤六
步骤五：给出错误提示信息，进入步骤六
步骤六：关闭注册表，进入步骤七
步骤七：释放变量空间，退出程序
修改文件打开方式的设计界面，如图3所示
图3 修改文件打开方式
③文件劫持
文件劫持，是一种特殊的木马加载方式。

木马病毒被植入到目标机后,需要首先对某个系
统文件进行替换或嵌入操作,使得该系统文件在获得访问权之前,木马病毒被率先执行,然后
再将控制权交还给相应的系统文件。

采用这种方式加载木马不需要修改注册表,从而可以有效地躲过注册表扫描型反木马软件的查杀。

这种方式最简单的实现方法是将某系统文件改名,
然后将木马程序改名。

这样当这个系统文件被调用的时候,实际上是木马程序被运行,而木马启动后,再调用相应的系统文件并传递原参数。

4.3 木马病毒的隐藏技术
为确保有效性,木马病毒必须具有较好的隐蔽性。

木马病毒的主要隐蔽技术包括:伪装、进程隐藏、DLL技术等。

①伪装。

从某种意义上讲,伪装是一种很好的隐藏。

木马病毒的伪装主要有文件伪装和进程伪装。

前者除了将文件属性改为隐藏之外,大多通过采用一些比较类似于系统文件的文件名来隐蔽自己;而后者则是利用用户对系统了解的不足,将自己的进程名设为与系统进程类似而达到隐藏自己的目的。

②进程隐藏。

木马病毒进程是它驻留在系统中的最好证据,若能够有效隐藏自己的进程,显然将大大提高木马病毒的隐蔽性。

在windows98系统中可以通过将自己设为系统进程来达到隐藏进程的目的。

但这种方法在windows2000/NT下就不再有效,只能通过下面介绍的DLL 技术或设备驱动技术来实现木马病毒的隐藏。

③DLL技术。

采用DLL技术实现木马的隐蔽性,主要通过以下两种途径:DLL陷阱和DLL 注入。

DLL陷阱技术是一种针对DLL(动态库)的高级编程技术,通过用一个精心设计的DLL替换已知的系统DLL或嵌入其部,并对所有的函数调用进行过滤转发。

DLL注入技术是将一个DLL 注入到某个进程的地址空间,然后潜伏在其中并完成木马的操作。

5 木马病毒的防技术
5.1防木马攻击
①运行反木马实时监控程序可即时显示当前所有运行程序并配有相关的详细描述信息。

另外，也可以采用一些专业的最新杀毒软件、个人防火墙进行监控。

②不要执行任何来历不明的软件
③不要轻易打开不熟悉的
④不要随便在网上下载一些盗版软件，特别是一些不可靠的FTP站点、公众新闻组、论坛或BBS，因为这些地方正是新木马发布的首选之地。

⑤将Windows资源管理器配置成始终显示扩展名，因为一些扩展名为：VBS、SHS、PIF 的文件多为木马程序的特征文件，一经发现要立即删除，千万不要打开。

⑥尽量少用共享文件夹
⑦隐藏IP地址，这一点非常重要。

我们在上网时，最好用一些工具软件隐藏自己计算机的IP地址。

5.2 木马病毒的信息获取技术
获取目标机的各种敏感信息,是木马病毒有别于其他病毒或蠕虫的最大特点之一。

木马病毒原则上可以获取目标机中所有信息,包括:一是基本信息,如系统版本、用户名、系统目录等；二是利用钩子函数获取用户键入的口令或其他输入；三是对目标机所在局域网中流动的信息包进行嗅探,以获得诸如系统口令或其他敏感信息；四是目标机屏幕截取与传送;五是目标机附近声音信号的采集与传输。

5.3 木马病毒的查杀
木马的查杀,可以采用手动和自动两种方式。

最简单的方式是安装杀毒软件,当今国很多杀毒软件像瑞星、金山毒霸、KV3000等都能删除网络中最猖獗的木马。

但杀毒软件的升级通常慢于新木马的出现,因此学会手工查杀很有必要。

5.4 反木马软件
除了以上查杀木马病毒的方法外,我们还可以用一些反木马软件来清除木马病毒。

随着技术的不断发展,木马病毒必定也会以更隐蔽、破坏力更强的方式出现,但“魔高一尺,道高一丈”,相信反病毒方式也会不断进步,从而确保我们的信息安全。