内容发布更新时间 : 2024/5/22 19:52:00星期一 下面是文章的全部内容请认真阅读。
木马攻防的感想
前言
木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。
木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制
端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。
【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、 木马概述
1.木马的定义及特征
1.1木马的定义
在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序, 它为自己带上伪装的面具, 悄悄地潜入用户的系统,进行着不可告人的行动。
有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。
木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。 其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。
1.2木马的特征
据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。
(1)隐蔽性
隐蔽性是木马的首要特征。木马类软件的server端在运行时会使用各种手段隐藏自己,例如大家所熟悉的修改注册表和ini文件,以便机器在下一次启动后仍能载入木马程序。通常情况下,采用简单的按“Alt+Ctrl+Del”键是不能看见木马进程的。 还有些木马可以自定义通信端口,这样就可以使木马更加隐秘。木马还可以更改server端的图标,让它看起来象个zip或图片文件,如果用户一不小,就会让当。
(2)功能特殊性
通常,木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索目标计算机中的口令,设置口令,扫描IP发现中招的机器,记录用户事件,远程注册表的操作,以及颠倒屏幕,锁定鼠标等功能。
(3)自动运行性
木马程序通过修改系统配置文件或注册表的方式,在目标计算机系统启动时即自动运行或加载。
(4)欺骗性
木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被用户发现。木马程序经常使用的是常见的文件名或扩展名,如“dll\\win\\sys\\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”。还有的木马程序为了隐藏自己,把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。木马编制者还在不断地研究、发掘欺骗的手段,花样层出不穷,让人防不胜防。
(5)自动恢复性
现在,很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。计算机一旦感染上木马程序,想单独靠删除某个文件来清除,是不太可能的。
2.木马的工作原理
特洛伊木马(其名称取自希腊神话的特洛伊木马记,以下简称木马)的英文为“Trojan Horse”,是一种基于远程控制的黑客工具程序。因此,查杀木马最关键的还是要知道木马的工作原理。
常见的普通木马一般是客户端/服务端(Client/Server,C/S)模式,客户端/服务端之间采用TCP/UDP的通信方式,攻击者控制的相应的客户端程序,服务端程序是木马程序,木马程序被植入到毫不知情的用户的计算机中。以“里应外和”的工作方式,服务端通过打开特定的端口并进行监听,这些端口好像“后门”一样,所以,也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求(Connect Request),木马便与其连接起来。攻击者可以使用控制器进入计算机,通过客户端程序
命令达到控制服务器端的目的。这类木马的一般工作模式如下图所示。
3.木马的分类
根据木马程序对计算机的具体动作方式,可以把现在存在的木马程序分为以下的几类。 1、远程访问型木马
远程访问型木马是现在最广泛的特洛伊木马。这种木马起着远程控制的功能,用起来非常简单,只需一些人运行服务端程序,同时获得他们的IP地址,控制者就能任意访问被控制端的计算机。这种木马可以使远程控制者在本地机器上做任意的事情,比如键盘记录、上传和下载功能、发射一个“截取屏幕”等等。这种类型的木马有著名的BO(Back Office)、国产的冰河等。 2、密码发送型木马
密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。大多数的这类木马程序不会在每次Windows重启时都自动加载,它们大多数使用25端口发送电子邮件。 3、键盘记录型木马
键盘记录型木马是非常简单的,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动,知道受害者在线并且记录每一个用户事件,然后通过邮件或其他方式发送给控制者。
4、毁坏型木马
大部分木马程序只窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控制者计算机上所有的.dll或.ini或.exe文件,甚至远程格式化受害者硬盘。毁坏型木马的危害很大,一旦计算机被感染而没有即时删除,系统中的信息会在顷刻间“灰飞烟灭”。 5、FTP型木马
FTP型木马打开被控制计算机的21端口 (FTP所使用的默认端口), 使每一个人都可以用一个FTP 客户端程序来不用密码连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取受害者的机密文件。
6、DoS攻击木马
随着D o S 攻击越来越广泛的应用,被用作D o S 攻击的木马也越来越流行起来。当黑客入侵一台机器后,给他种上DoS 攻击木马,那么日后这台计算机就成为黑客DoS 攻击的最得力助手了。黑客控制的肉鸡数量越多,发动D o S 攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在黑客利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。
还有一种类似DoS 的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
7、反弹端口型木马
木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的被动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口时,发现类似TCPUserIP:1026 Controller IP:80 ESTABLISHED 的情况,稍微疏忽一点,就会以为是自己在浏览网页,因为浏览网页都会打开80 端口的。
8、代理木马
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC 等程序,从而隐蔽自己的踪迹。
9、程序杀手木马
上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus 等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用
4.木马的功能
木马程序的危害是十分大的,它能使远程用户获得本地机器的最高操作权限,通过网络对本地计算机进行任意的操作,比如删添程序、锁定注册表、获取用户保密信息、远程关机等。木马使用户的电脑完全暴露在网络环境之中,成为别人操纵的对象。 就目前出现的木马来看,大致具有以下功能: 1、自动搜索已中木马的计算机;
2、对对方资源管理,复制文件、删除文件、查看文件内容、上传文件、下载文件等;
3、远程运行程序; 4、跟踪监视对方屏幕;
5、直接屏幕鼠标控制,键盘输入控制; 6、监视对方任务且可以中止对方任务; 7、锁定鼠标、键盘和屏幕;