第5章b1 特洛伊木马关键技术

特洛伊木马攻击技术与防范策略敬晓芳（中国工程物理研究院化工材料研究所，绵阳629100）摘要：特洛伊木马是一种程序，它驻留在目标计算机里，随计算机自动启动并在某一端口进行侦听，对接收的数据识别后，对目标计算机执行特定的操作。

其隐蔽性强，种类数量繁多，危害性很大。

本文介绍了木马的攻击原理、常用攻击技术以及防范策略。

关键词：特洛伊木马；驻留；攻击技术；防范策略1引言特洛伊木马（Trojan Horse），简称木马，是一种程序，这种程序被包含在合法的或表面上无害的程序上的恶意程序。

其实质只是一个通过端口进行通信的网络客户/服务程序。

木马具有很强的隐蔽性，而且能够自启动，并进行自我保护。

木马属于“外来代码”的范畴，它表面上提供一些令人感兴趣的有用的功能，但除了用户能看到的功能以外，这种程序还通过内嵌的特殊代码执行一些用户所不知道的恶意的功能。

木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。

对攻击者而言，使用外来代码的关键优势之一就是，通过将非本地代码或二进制代码引入操作系统环境，从而断绝与系统或网络管理员所控制资源的依赖性。

相比较而言，添加或修改系统帐户，或直接操纵其他系统资源，可能被警惕性高的管理员发现，而安装一个“外来代码”则可以在一段时间内不被发现，尤其是通过对操作系统做广泛的修改可使其隐蔽性更好。

随着计算机技术的发展，木马的功能越来越强大，隐蔽性和破坏性不断提高，其数量也在急剧增加。

2木马的原理和种类自木马程序诞生至今，己经出现了多种类型，常见的有玩笑型、破坏型、密码发送型、远程访问型、键盘记录型、代理木马、反弹端口型木马等。

大多数的木马都不是单一功能的木马，它们往往是很多种功能的集成品，因此，此处也只能给出一个大致的分类。

（1）玩笑型玩笑木马程序不造成损坏，但会从计算机的扬声器中发出惹人讨厌的声音，让计算机屏幕看起来七扭八歪，或在屏幕上显示吓人的信息，如“现在正在格式化硬盘！”虽然这类木马程序非常气人，让人厌烦，但它们是无害的，很容易删除。

第5章恶意代码第5章恶意代码――欺骗与隐藏何路helu@本章主要内容 5.1 恶意代码概述 5.2 恶意代码攻击模型5.3 特洛伊木马的植入技术 5.4 特洛伊木马的隐藏技术 5.5 特洛伊木马的检测与防范何路计算机网络安全案例20XX年5月4日，一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。

这个病毒是通过Microsoft Out ook电子邮件系统传播的，邮件的主题为“I LOVE YOU”并包含一个附件。

一旦在Microsoft Ou tlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。

计算机网络安全何路案例20XX年1月25日，突如其来的“SQL”蠕虫，不亚于让人们不能忘怀的“9.11”事件。

互联网遭遇到全球性的病毒攻击，此病毒的病毒体极其短小,却具有极强的传播性。

何路计算机网络安全20XX年网络安全事件类型统计何路计算机网络安全不同类别病毒比例图何路计算机网络安全恶意代码定义早期恶意代码的主要形式是计算机病毒。

80年代，计算机病毒被定义为一种在运行过程中可以复制自身的破坏性程序。

90年代末，计算机病毒被定义为，经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码何路计算机网络安全恶意代码包括何路计算机病毒(Computer Virus) 特洛伊木马(Trojan Horse) 计算机蠕虫(Worms) 逻辑炸弹(Logic Bombs) 用户级RootKit 内核级RootKit 脚本恶意代码(Malicious scripts) 恶意ActiveX控件其它恶意代码计算机网络安全计算机病毒计算机病毒是指能实现自我复制的程序或可执行代码，这些程序或代码可以破坏计算机的功能或者毁坏数据，影响计算机的正常使用。

计算机病毒一般分为三个部分：初始化部分感染部分功能部分何路计算机网络安全蠕虫网络蠕虫是一种智能化、自动化的攻击程序或代码，它综合了网络攻击、密码学和计算机病毒技术。

特洛伊木马分析特洛伊木马分析摘要在计算机如此普及的网络时代，病毒对于我们来说早已不是一个新鲜的名词，而通常被称为木马病毒的特洛伊木马也被广为所知，为了更好的保护自己的电脑我们应该了解跟多有关特洛伊病毒的信息。

本文对该病毒原理、预防和清除进行了详细的阐述，并对此发表了一些个人的看法。

关键词特洛伊木马病毒木马特洛伊木马是一种特殊的程序，它们不感染其他文件，不破坏系统，不自身复制和传播。

在它们身上找不到病毒的特点，但它们们仍然被列为计算机病毒的行列。

它们的名声不如计算机病毒广，但它们的作用却远比病毒大。

利用特洛伊木马，远程用户可以对你的计算机进行任意操作（当然物理的除外），可以利用它们传播病毒，盗取密码，删除文件，破坏系统。

于是这个在网络安全界扮演重要角色，课进行超强功能远程管理的“功臣”，自然而然也被列为受打击的行列。

在网络上，各种各样的特洛伊木马已经多如牛毛，它们和蠕虫病毒、垃圾邮件一起构成了影响网络正常秩序的三大害。

下面我就来说说特洛伊木马的特点、工作原理、预防和清除的方法，以及我自己对木马病毒及其防护方法的一些见解。

一．什么是特洛伊木马特洛伊木马简称木马，英文名为Trojan。

它是一种不同于病毒，但仍有破坏性的程序，普通木马最明显的一个特征就是本身可以被执行，所以一般情况下它们是由.exe文件组成的，某些特殊木马也许还有其他部分，或者只有一个.dll文件。

木马常被用来做远程控制、偷盗密码等活动。

惯用伎俩是想办法让远程主机执行木马程序，或者主动入侵到远程主机，上传木马后再远程执行。

当木马在远程主机被执行后，就等待可控制程序连接，一旦连接成功，就可以对远程主机实施各种木马功能限定内的操作。

功能强大的木马可以在远程主机中做任何事情，就如同在自己的机器上操作一样方便。

可见，木马实际上就是一个具有特定功能的可以里应外合的后门程序，将其与其他的病毒程序结合起来造成的危害将会是相当大的。

二．木马的工作原理当木马程序或藏有木马的程序被执行后，木马首先会在系统中潜伏下来，并会想办法使自己在每次开机时自动加载，以达到长期控制目标的目的。

1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯，是借自"木馬屠城記"中那只木馬的名稱。

古希臘有大軍圍攻特洛伊城，逾年無法攻下。

有人獻計製造一隻高二丈的大木馬假裝作戰馬神，攻擊數天後仍然無功，遂留下木馬拔營而去。

城中得到解圍的消息，及得到"木馬"這個奇異的戰利品，全城飲酒狂歡。

到午夜時份，全城軍民盡入夢鄉，匿於木馬中的將士開暗門垂繩而下，開啟城門及四處縱火，城外伏兵湧入，焚屠特洛伊城。

後世稱這只木馬為"特洛伊木馬"，現今電腦術語借用其名，意思是"一經進入，後患無窮"。

特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣，只是一種遠端管理工具。

而且本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)；但卻常常被視之為病毒。

原因是如果有人不當的使用，破壞力可以比病毒更強。

iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式，它駐留在目標電腦裡，可以隨電腦自動啟動並在某一連接進行偵聽，在對接收的資料識別後，對目標電腦執行特定的****作。

木馬，其實只是一個使用連接進行通訊的網路客戶/伺服器程式。

e2/基本概念：網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端)，另一台主機接受伺服器(客戶端)。

作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen)，如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request)，伺服端上的相對應程式就會自動執行，來回覆客戶端的請求。

對於特洛伊木馬，被控制端就成為一台伺服器。

第01章作业一、判断题1）开发一个新产品、完成一份订单、聘用一位新员工等均是企业业务流程的例子。

2）完全数字化的公司只提供数字化产品或服务。

3）信息技术是指企业用于支持业务目标的所有硬件,而信息系统包括所有软件和必要的业务流程。

4)信息系统的维度包括管理、组织和信息技术.5）知识工作者是指承担企业所有层面的书面工作的工作者。

6）企业有四个主要的业务职能: 销售和营销、生产和制造、财务和会计，以及信息技术.7)内联网（Intranets）允许企业与第三方供应商方便地协作。

8）一直以来的研究表明，对IT投资较多的企业比投资较少的企业能够获得更多的收益。

9）企业对有效业务流程的投资是对组织互补性资产的一种投资.10）信息系统的行为方法通常不关注技术解决方案，而是分析系统的心理、社会和经济方面的影响。

二、选择题1）信息技术6个重要的业务目标是新产品、新服务和新商业模式;与客户和供应商的密切关系；企业生存;竞争优势;卓越运营;以及（）。

A) 改善灵活性B) 改善决策C）改善业务实践D) 改善效率2）企业出于必要性而使用信息系统，体现了哪种业务目标？A）企业生存B）改善业务实践C）竞争优势D）改善灵活性3）以下哪种目标较好地描述了本章讨论的案例--迪斯尼运营指挥中心所实施技术背后的业务战略？A) 卓越运营B) 新产品和新服务C) 竞争优势D）客户支持4）组织利用信息系统中哪三类活动产生的信息来控制运营的?A) 信息检索、研究和分析B）输入、输出和反馈C）输入、处理和输出D）数据分析、处理和反馈5）被公司大多数员工所接受的一组基本的假设、价值观和做事方式称为A) 文化B）环境C）氛围D）价值观6) 企业利用信息系统创造新的产品和服务的一个例子是A) 沃尔玛的零售链（RetailLink）系统B) 文华东方(Mandarin Oriental）酒店的客户偏好追踪系统C）威瑞森电信（Verizon）公司基于Web的数字仪表板D）苹果公司的 iPod7) 企业利用信息系统与客户和供应商建立密切关系的一个例子是A) 沃尔玛的零售链（RetailLink）系统B) 文华东方（Mandarin Oriental)酒店的客户偏好追踪系统C）威瑞森电信(Verizon）公司基于Web的数字仪表板D) 苹果公司的 iPod8) 保持组织的财务记录是哪个主要业务职能部门的核心目的？A）制造和会计B）财务和会计C）销售和制造D）财务和销售。

一 判断题1501 通用入侵检测框架（CIDF)模型中,____的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件.A 事件产生器B 事件分析器C 事件数据库D 响应单元 1502基于网络的入侵检测系统的信息源是____。

A 系统的审计日志B 系统的行为数据C 应用程序的事务日志文件 D 网络中的数据包1503 误用入侵检测技术的核心问题是____的建立以及后期的维护和更新。

A 异常模型B 规则集处理引擎C 网络攻击特征库D 审计日志 1504 ____是在蜜罐技术上逐步发展起来的一个新的概念，在其中可以部署一个或者多个蜜罐,来构成一个黑客诱捕网络体系架构。

A 蜜网B 鸟饵C 鸟巢D 玻璃鱼缸 1505下面关于响应的说法正确的是____。

A 主动响应和被动响应是相互对立的，不能同时采用B 被动响应是入侵检测系统中的唯一响应方式C 入侵检测系统提供的警报方式只能是显示在屏幕上的警告信息或窗口 D 主动响应的方式可以是自动发送邮件给入侵发起方的系统管理员请求协助以识别问题和处理问题1506下面说法错误的是____。

A 由于基于主机的入侵检测系统可以监视一个主机上发生的全部事件，它们能够检测基于网络的入侵检测系统不能检测的攻击B 基于主机的入侵检测可以运行在交换网络中 C 基于主机的入侵检测系统可以检测针对网络中所有主机的网络扫描 D 基于应用的入侵检测系统比起基于主机的入侵检测系统更容易受到攻击，因为应用程序日志并不像操作系统审计追踪日志那样被很好地保护1507使用漏洞库匹配的扫描方法,能发现____。

A 未知的漏洞 B 已知的漏洞 C 自行设计的软件中的漏洞D 所有漏洞1508下面____不可能存在于基于网络的漏洞扫描器中。

A 漏洞数据库模块B 扫描引擎模块C 当前活动的扫描知识库模块 D 阻断规则设置模块1509网络隔离技术，根据公认的说法，迄今已经发展了____个阶段。

A 六B 五C 四D 三 1510下面关于隔离网闸的说法，正确的是____。