Linux特洛伊木马关键技术研究

合集下载

木马分析

5.5木马技术5.5.1 木马技术概述木马的全称是“特洛伊木马”（Trojan horse），来源于希腊神话。

古希腊围攻特洛伊城多年无法攻下，于是有人献出木马计策，让士兵藏匿于巨大的木马中，然后佯作退兵，城中得知解围的消息后，将“木马”作为战利品拖入城内，匿于木马中的将士出来开启城门，与城外部队里应外合攻下特洛伊城，后世称这只大木马为“特洛伊木马”。

网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。

它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，通信遵照TCP/IP协议，最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现。

就象一个潜入敌方的间谍，为其他人的攻击打开后门，这与战争中的木马战术十分相似，因而得名木马程序。

实际上计算机网络木马不但可以窃取、破坏被植入主机的信息，而且可以通过控制主机来攻击网络中的其它主机。

木马程序不仅可能侵害到个人乃至某些公司的利益和权力，更可能危及整个社会和国家的利益和安全。

如果公安部用于采集处理人们身份证信息的计算机被安装了木马，那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去，后果不堪设想。

木马是受控的，它能分清敌我，所以与分不清敌我的其它病毒和攻击技术相比，具有更大的危险性和破坏性。

木马是近几年比较流行的危害程度较严重的恶意软件，常被用作网络系统入侵的重要工具和手段。

2008年金山病毒报告监测显示，木马攻击占当前网络病毒的70%以上，已经成为当前网络危害最严重的网络病毒。

网络上各种“种马”技术加剧了木马的流行和发展，由于木马控制了被植入者的计算机，它几乎可以在被植入主机上为所欲为，破坏程度非常巨大，可以窃取账号密码、删除文件、格式化磁盘，甚至可以打开摄像头进行偷窥等；木马往往又被用做后门，植入被攻击的系统，以便为入侵者再次访问系统提供方便；或者利用被入侵的系统，通过欺骗合法用户的某种方式暗中“散发”木马，以便进一步扩大入侵成果和入侵范围，为进行其它入侵活动，如分布式拒绝服务攻击（DDoS）等提供可能。

特洛伊木马的工作原理

特洛伊木马的工作原理
特洛伊木马是一种常见的恶意软件，它通过伪装成正常的程序或文件来欺骗用户，使其被安装和运行在受感染的系统中。

特洛伊木马的工作原理包括以下几个步骤：
1. 伪装: 特洛伊木马会伪装成一个吸引人的程序、文件或链接，以引起用户的兴趣和点击。

这个伪装可以是一个看似合法的软件安装包、电子邮件附件、社交媒体链接等等。

2. 欺骗: 当用户执行了特洛伊木马的安装或打开操作时，它会
欺骗用户认为它是一个正常的程序或文件，并且可能对用户做出各种误导性的提示或界面交互，让用户相信这是一个可信的应用。

3. 潜伏: 一旦特洛伊木马成功地安装在系统中，它会开始在后
台运行，并潜伏于系统的各个角落，隐藏自己的存在，使用户难以察觉。

4. 攻击: 特洛伊木马会利用系统漏洞或用户权限不足的安全弱点，通过自身的程序代码或网络通信进行攻击。

这可能包括窃取用户的个人信息、密码、银行账号等敏感信息，操控受感染系统进行恶意活动，或者打开后门，为黑客提供远程访问受感染系统的权限。

5. 传播: 一旦特洛伊木马成功感染了一个系统，它还可能通过
网络传播到其他主机，利用电子邮件、即时通信软件、共享文件等方式，将自身复制到其他电脑上，进一步传播。

总之，特洛伊木马通过伪装成正常的程序或文件，欺骗用户安装并潜伏于系统中，然后利用系统漏洞进行攻击和传播。

用户需要提高警惕，并采取安全措施来预防和检测特洛伊木马的存在。

简述特洛伊木马的基本原理

简述特洛伊木马的基本原理
简述特洛伊木马的基本原理如下：
特洛伊木马是一种基于客户/服务器模式的网络程序，它通过隐藏在正常的程序中，并利用服务端的主机漏洞，以无孔不入的方式实现自己的目的。

一旦木马进入服务端，就会通过网络远程控制服务端的程序，例如打开后门、获取系统信息、执行任意操作等。

特洛伊木马通常包括控制端和服务端两个部分。

控制端用于远程控制服务端，可以执行任意操作，而服务端则被动的接收来自控制端的指令。

为了实现特洛伊木马的基本原理，需要满足以下三个条件：
1. 硬件部分：建立木马连接所必须的硬件实体，例如网络和设备。

2. 软件部分：实现远程控制所必须的软件程序，例如控制端程序和木马程序。

3. 具体连接部分：通过互联网在服务端和控制端之间建立一条木马通道所必须的元素，例如控制端IP、服务端IP、控制端端口和木马端口等。

特洛伊木马是一种非常危险的恶意软件，因为它可以完全控制服务端的程序，从而造成严重的安全威胁。

因此，我们应该时刻保持警惕，避免下载和安装不明来源的程序，并定期更新我们的操作系统和软件程序，以避免成为特洛伊木马的受害者。

木马分析报告

木马分析报告1. 引言木马（Trojan），又称为“特洛伊木马”，是指通过伪装成正常合法程序或文件进入目标系统，并在未被用户察觉的情况下，对系统进行非法操作的恶意软件。

木马程序的存在给系统安全带来了重大威胁，因此，对木马进行深入分析和研究十分必要。

本文将对一款木马进行分析，并对其传播方式、特征和危害进行探讨。

2. 木马的传播方式木马程序主要通过以下几种方式进行传播： 1. 邮件附件：木马程序常常伪装成诱人的附件，通过邮件发送给用户，一旦用户点击或下载附件，木马程序就会悄悄安装和运行。

2. 网络下载：用户在未经过恶意网站的仔细筛选的情况下，下载了含有木马的软件或文件，木马程序就会被安装到用户的系统中。

3. 可移动存储介质：如U盘、移动硬盘等存储介质中含有木马程序，只要用户将这些介质连接到自己的电脑上，木马程序就会被植入系统。

4. 动态链接库：木马程序可能会以DLL（Dynamic-Link Library）的形式出现，通过注入到正常进程中，实现对系统的控制。

3. 木马的特征为了能够更好地进行木马防护，我们需要了解木马的一些特征： 1. 欺骗性：木马程序通常伪装成合法可信的程序或文件，例如常见的.exe、.doc、.pdf等，以迷惑用户进行安装或下载。

2. 启动项修改：木马程序常常会修改系统的启动项，以保证自己能够在系统启动时自动运行，从而实现长期隐藏控制。

3. 远程控制：木马程序通常与远程服务器建立连接，以便黑客能够远程控制被感染的系统，进行各种操控、监控和窃取敏感信息等操作。

4. 系统资源占用增加：木马程序运行时会消耗大量系统资源，例如CPU和内存，从而降低系统的整体性能。

5. 网络流量增加：木马程序会通过网络上传、下载数据，导致网络流量明显增加，对网速造成影响。

4. 木马的危害与预防木马程序给系统带来的危害非常严重，包括但不限于以下几个方面： 1. 数据窃取：木马程序可以利用系统权限，窃取用户的个人隐私数据，例如登录名、密码、银行账号等。

特洛伊木马

概述
特洛伊木马(简称木马)是隐藏在系统中的用以完成未授权功能的非法程序，是黑客常用的一种攻击工具，它伪装成合法程序，植入系统，对计算机络安全构成严重威胁。区别于其他恶意代码，木马不以感染其它程序为目的，一般也不使用络进行主动复制传播。
特洛伊木马是基于C/S(客户/服务器)结构的远程控制程序，是一类隐藏在合法程序中的恶意代码，这些代码或者执行恶意行为，或者为非授权访问系统的特权功能而提供后门。通常，使用木马的过程大致分两步首先，把木马的服务器端程序通过络远程植入受控机器，然后通过安装程序或者启动机制使木马程序在受控的机器内运行。一旦木马成功植入，就形成了基于C/S结构的控制架构体系，服务端程序位于受控机器端，客户端程序位于控制机器端。
5、时效性越来越强，挖矿木马团伙在利益的驱使下，往往会不断集成更有效的1/N D ay漏洞来感染更多主机资源,从而获取更多的收益。
感谢观看
功能
只要在本地计算机上能操作的功能，现如今的木马基本上都能实现。木马的控制端可以像本地用户一样操作远程计算机。木马的功能可以概括为以下内容。
1、窃取用户文件。特洛伊木马在目标计算机中潜伏，当遇到感兴趣的文件时就会将相关文件传输给提前设定的目的地而不会被用户发现。 2、接受木马释放者的指令。特洛伊木马一旦感染互联中的服务器就会窃取较高权限，随意地控制和监视通过该服务器的数据和账户。 3、篡改文件和数据。根据指令对系统文件和数据进行修改，使目标计算机的数据和文件产生错误，导致作出错误的决策。 4、删除文件和数据。将目标计算机操作系统中的文件和数据随意地删除。 5、施放病毒。
3、端口
一台机器有个端口，你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势。当然也有占用1024以下端口的木马，但这些端口是常用端口，占用这些端口可能会造成系统不正常，这样的话，木马就会很容易暴露。

关于特洛伊木马攻击的探析

２２３．．通过系统漏洞
比如ｓ７黑客通过控制器断的软件可以ＵＢ，
将端口改变为１３５等号码。洛伊木马要２４特能发挥作用必须具备三个因素：１木马需（）
木马还可以利用系统的一些漏洞进行要一种启动方式，一般在注册表启动组中；
密码有邮件的形式通知给攻击者，这样攻击删除还是最好的办法。
都不用直接连接攻击主机即可获得一些重木马在启动后会被加载到注册表的启要数据，如攻击ＯＣ密码的ＧＰ木马等。ＩＱＯ
２木马的攻击
３特洛伊程序的检测与删除
检测一个特洛伊程序，用以下方法：常
片卡密码也会被偷走。次，客如果携带过一定的方式把入侵主机的信息、主机的（）过检查文件的完整性来检测特洛伊程］其黑如１通病毒，可以通过木马传染到用户的电脑中Ｉ就Ｐ地址、木马植入的端口等发送给攻击者，
包括格式化。洛伊木马程序常常做一些人攻击主机。特们意想不到的事情，在用户不察觉时窃取如
口令和拷贝文件。因此，了保护电脑的安送电子邮件的方式把入侵主机的信息告诉专杀、马清除大师、马分析专家等。是为木木但有全，有必要对木马的攻击原理进行详细探攻击者，一些木马文件干脆把主机所有的由于木马的种类和花样越来越多，以手动所析，有效的木马探测方法。寻求

特洛伊木马

的建立
• 木马通道与远程控制
– 木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作
控制端控制端程序 1096 6267 服务端木马程序窃取密码文件操作修改注册表系统操作
32
网页挂马技术（二）
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址木马端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址控制端端口 State ESTABLISHED LISTENING 连接状态： ①连接已建立 ②等待连接
33
网页挂马技术（三）
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中

特洛伊木马病毒的隐藏技术_李军丽

特洛伊木马病毒的隐藏技术李军丽云南大学信息学院云南６５００３１摘要：隐藏技术是木马的关键技术之一，其直接决定木马的生存能力。

本文对木马病毒的隐藏技术从几个方面进行了研究，并对木马病毒的预防和检测提出了自己的一些建议。

关键词：木马病毒；网络安全；隐藏技术０引言随着计算机网络技术的迅速发展和普及，人们也开始面临着越来越多的网络安全的隐患，特别木马对网络用户的网络数据和隐私安全产生了极大的威胁；据调查，目前在国内，６８．２６％的用户怀疑受到过木马病毒的攻击，６３％的电脑用户曾受到过木马病毒攻击。

隐藏技术是木马的关键技术之一，其直接决定木马的生存能力。

本文对木马病毒的隐藏技术从几个方面进行了研究，并对木马病毒的预防和检测提出了自己的一些建议。

１木马的隐藏技术木马区别与远程控制程序的主要不同点就在于它的隐蔽性，木马的隐蔽性是木马能否长期存活的关键。

木马的隐藏技术主要包括以下几个方面：本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。

１．１本地文件伪装隐藏木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏，或是通过将木马文件命名为和系统文件的文件名相似的文件名，从而使用户误认为系统文件而忽略。

或是将文件的存放在不常用或难以发现的系统文件目录中，或是将木马存放的区域设置为坏扇区。

１．２木马的启动隐藏方式（１）本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。

木马病毒将可执行文件伪装成图片或文本－－－－在程序中把图标改成ＷＩＮＤＯＷＳ的默认图片图标，再把文件名改为．ＪＰＧ．ＥＸＥ。

由于ＷＩＮＤＯＷＳ默认设置是不显示已知的文件后缀名，文件将会显示为．ＪＰＧ．，不注意的人一点击这个图标就在无意间启动了木马程序。

（２）通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行。

像Ａｕｔｏｅｘｅｃ．ｂａｔ和Ｃｏｎｆｉｇ．ｓｙｓ。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

万方数据
万方数据
万方数据
Linux特洛伊木马关键技术研究
作者：傅翔华，郭文明，孙涛， FU Xiang-hua， GUO Wen-ming， SUN Tao
作者单位：广州南方医科大学,网络中心,广东,广州,510515
刊名：
电脑知识与技术
英文刊名：COMPUTER KNOWLEDGE AND TECHNOLOGY
年，卷(期)：2009,5(9)
1.Nicholas Wells Guide to Linux networking and security 2003
2.David Pitts;Bill Ball Red Hat Linux unleashed 1998
3.Franz M Containing the Ultimate Trojan Horse[外文期刊] 2007(04)
4.Rad Reza M;Wang Xiaoxiao Tehranipoor,Mohammad:Plusquellic,Jim:Power supply signal calibration lechniques for improving detection resolution to hardware Trojaria 2008
5.J B HOY Computer Security:Virus Highlights Need Improved.Internet Management.ETAL 1998
6.Collecting Security baggage on the Intemet,Celdenhuys,JHS,Von Solms,Computer&Security 1998
7.Linux Kernel-Level Trojan-Kernel Intrusion System(KIS)
8.Rad R;Plusquellic J;Tehranipoor M Sensitivity analysis to hardware Trojarts using power supply transient signals Hardware-Oriented Security and Trust 2008
1.高昆.王丽.王晓端linux木马的分析研究[期刊论文]-中国科技博览2010(8)
2.梅剑峰.Mei JianFeng Linux下木马技术研究[期刊论文]-微计算机信息2006,22(9)
3.陈涛"矛"与"盾"的较量——新型特洛伊木马技术一览[期刊论文]-世界华商经济年鉴·科学教育家2008(13)
4.陈涛别把"木马"牵回家--特洛伊木马纵横谈[期刊论文]-网络与信息2004,18(11)
5.王燕妮.郭文明.朱敦名.端妮.蔡荣杰.WANG Yan-ni.GUO Wen-ming.ZHU Dun-ming.DUAN Ni.CAI Rong-jie DICOM影像点播技术研究[期刊论文]-中国医疗设备2009,24(2)
6.吴云燕.裴开平.许涛.刘宪成木马程序的隐藏机理及有效检测手段[期刊论文]-河海大学常州分校学报2003,17(1)
7.刘兵.孟凡华.贺志苗特洛伊木马程序攻击机理分析[期刊论文]-娄底师专学报2004(2)
8.Live Lin摸清黑客套路防范木马侵入[期刊论文]-科学24小时2010(5)
9.朱宁武.张宇.林荣.许宇宙操作系统IPC漏洞分析与防范[期刊论文]-网络安全技术与应用2008(10)
10.匡立人.杨宇.周西柳"木马"原理及其vb简单实现分析[期刊论文]-现代商贸工业2007,19(12)
本文链接：/Periodical_dnzsyjs-itrzyksb200909014.aspx。