木马病毒的行为分析样本

西安翻译学院XI’AN FANYI UNIVERSITY

毕业论文

题目: 网络木马病毒的行为分析专业: 计算机网络技术

班级:

姓名: 彭蕊蕊

指导教师: 朱滨忠

5月

目录学号:

院系: 诒华

1 论文研究的背景及意义........................... 错误!未定义书签。

2 木马病毒的概况................................. 错误!未定义书签。

2.1 木马病毒的定义............................ 错误!未定义书签。

2.2 木马病毒的概述............................ 错误!未定义书签。

2.3 木马病毒的结构............................ 错误!未定义书签。

2.4 木马病毒的基本特征........................ 错误!未定义书签。

2.5木马病毒的分类............................. 错误!未定义书签。

2.6木马病毒的危害............................. 错误!未定义书签。

3 木马程序病毒的工作机制......................... 错误!未定义书签。

3.1 木马程序的工作原理........................ 错误!未定义书签。

3.2 木马程序的工作方式........................ 错误!未定义书签。

4 木马病毒的传播技术............................. 错误!未定义书签。

4.1 木马病的毒植入传播技术.................... 错误!未定义书签。

4.2 木马病毒的加载技术........................ 错误!未定义书签。

4.3 木马病毒的隐藏技术........................ 错误!未定义书签。

5 木马病毒的防范技术............................. 错误!未定义书签。

5.1防范木马攻击............................... 错误!未定义书签。

5.2 木马病毒的信息获取技术.................... 错误!未定义书签。

5.3 木马病毒的查杀............................ 错误!未定义书签。

5.4 反木马软件................................ 错误!未定义书签。

6 总结........................................... 错误!未定义书签。

网络木马病毒的行为分析

彭蕊蕊

西安翻译学院诒华学院计算机网络技术

摘要:随着计算机网络技术的迅速发展和普及,Internet网络使得全世界的人们能够自由的交流和分享信息,极大的促进了全球一体化的发展。可是人们在交往的同时也面临着网络安全的隐患,每天分布在世界各地的计算机无时无刻不在遭受计算机病毒的攻击。其中有一种与病毒相似但有所区别的、基于远程控制的、具有很强的隐蔽性和危害性的工具,这就是特洛伊木马程序。

关键词: ”木马”病毒, 恶意程序, 危害, 防范

1 论文研究的背景及意义

随着互联网技术的发展和普及, 计算机网络得到了广泛应用, 利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势, 人们日常的经济和社会生活也越来越依赖互联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁, 例如黑客攻击, 计算机病毒、特洛伊木马泛滥等。研究在当前开放的网络环境下, 如何保证自己的信息安全就显的非常重要。

特洛伊木马( 简称木马) 是一种具有运行非预期或未授权功能的程序, 例如能够记录用户键入的密码, 远程传输文件, 甚至能够完全远程控制计算机等。一般黑客在攻击目标得手之后, 就会在主机上安装后门, 即特洛伊木马。特洛伊木马能够在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等, 甚至能够远程监控用户的操作, 因此, 某些行业, 如国防、外交和商务部门, 特洛伊木马的危害性更大, 一旦这些部门被安装了木马, 损失就会非常惨重。

人们常常将特洛伊木马看成是计算机病毒, 其实, 它们之间还是有比较大的区别的。计算机病毒具有数据的破坏性, 而特洛伊木马最大的危害在于数据的泄密性, 当然不乏有将病毒技术和木马技术结合使用的恶意软件, 即利用病毒的传染性使较多的计算机系统植入木马。但特洛伊木马本身一般没有复制能力, 不会感染其它的寄宿文件, 一般在同一台主机上只有一个特洛伊木马。而病毒具有传染性, 会不断感染其它的同类文件, 在同一台主机上,

会出现很多被感染的文件。

而当前, 人们对计算机病毒的研究比较多, 而对特洛伊木马的研究要相对滞后。许多的反病毒软件也声称能反特洛伊木马, 可是, 现在的大多数反病毒软件采用的是特征码检测技术, 即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码, 放入病毒库中, 将待检测的软件与病毒库中的特征码比较, 如果吻合则判断为恶意代码。特征码技术对于检测已知恶意代码, 非常快捷有效, 可是对于检测未知的恶意代码则无能为力。反病毒软件的检测能力总是落后于新的恶意代码的出现的, 在这个时间差内, 新的恶意代码可能就会泛滥, 造成重大损失, 特征码技术的这种局限性就决定了其滞后性。

在网络攻击与安全防范日益激烈的对抗中, 特洛伊木马攻击技术在不断地完善。现在特洛伊木马攻击手段已成为网络攻击的最常见、最有效的手段之一, 是一系列网络攻击活动中重要的组成部分, 严重地威胁着计算机网络系统的安全。网络安全迫切需要有效的木马检测防范技术。

2 木马病毒的概况

2.1 木马病毒的定义

木马的全称是”特洛伊木马”,是一种新型的计算机网络病毒程序。它利用自身所具有的植入功能,或依附其它具有传播能力病毒,或经过入侵后植入等多种途径,进驻目标机器,搜集其中各种敏感信息,并经过网络与外界通信,发回所搜集到的各种敏感信息,接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。

木马分析与防范

木马分析与防范 【摘要】本文针对计算机木马攻击这一主题，介绍了计算机木马的产生、含义、发展历程及传播传播途径。文中提出的使用代理隐藏计算机IP地址的方法在实际使用过程中能有效的防止计算机木马程序的攻击，相对于手工查杀和使用软件工具查杀木马更具有主动防范的特点，并且从效果上来看基本上杜绝了计算机木马的攻击和其它的一些黑客攻击，达到了预期的目的。 【关键词】木马;攻击;防范 计算机应用以及计算机网络己经成为现实社会中不可缺少的重要组成部分，在遍及全世界的信息化浪潮的作用下，计算机网络除了影响人们正常生活的名个方面，还对公司管理、发展经济和国家机密起着十分重要的作用。使用计算机木马技术进行非法入侵、控制和破坏计算机网络信息系统，获取非法系统信息，并利用获取的这些信息进行非法行为，是目前公认的计算机网络信息安全问题。 1.木马 1.1木马的产生 最早的计算机木马是从Unix平台上诞生出来的，然后随着Windows操作系统的广泛使用，计算机木马在Windows操作系统上被广泛使用的。最早的Unix 木马是运行在服务器后台的一个小程序，木马程序伪装成登录过程，与现在流行的计算机木马程序是不同的。 当一台计算机被植入了木马程序后，如果计算机用户从终端上用自己的帐号来登录服务器时，计算机木马将向用户显示一个与正常登录界面一样的登录窗口，让用户输入正确的账号。在得到正确的用户名和口令之后，计算机木马程序会把账号保存起来，然后在第二次显示出真的登录界面，计算机用户看到登录界面又出现了，以为之前输入密码时密码输错了，于是计算机用户再次输入相关帐号进入计算机系统，但此时计算机用户的账号已被偷取，计算机用户却不知道。 1.2木马的定义 在计算机网络安全领域内，具有以下特征的程序被称作计算机木马：（1）将具有非法功能的程序包含在合法程序中的：具有非法功能的程序执行不为用户所知功能。（2）表面看上去好象是运行计算机用户期望的功能，但实际上却执行具有非法功能的程序。（3）能运行的具有非法操作的恶意程序。 1.3木马的发展历程 从计算机木马的出现一直到现在，计算机木马的技术在不断发展，木马的发展已经历了五代：

木马病毒的行为分析样本

西安翻译学院XI’AN FANYI UNIVERSITY 毕业论文 题目: 网络木马病毒的行为分析专业: 计算机网络技术 班级: 姓名: 彭蕊蕊 指导教师: 朱滨忠 5月 目录学号: 院系: 诒华

1 论文研究的背景及意义........................... 错误!未定义书签。 2 木马病毒的概况................................. 错误!未定义书签。 2.1 木马病毒的定义............................ 错误!未定义书签。 2.2 木马病毒的概述............................ 错误!未定义书签。 2.3 木马病毒的结构............................ 错误!未定义书签。 2.4 木马病毒的基本特征........................ 错误!未定义书签。 2.5木马病毒的分类............................. 错误!未定义书签。 2.6木马病毒的危害............................. 错误!未定义书签。 3 木马程序病毒的工作机制......................... 错误!未定义书签。 3.1 木马程序的工作原理........................ 错误!未定义书签。 3.2 木马程序的工作方式........................ 错误!未定义书签。 4 木马病毒的传播技术............................. 错误!未定义书签。 4.1 木马病的毒植入传播技术.................... 错误!未定义书签。 4.2 木马病毒的加载技术........................ 错误!未定义书签。 4.3 木马病毒的隐藏技术........................ 错误!未定义书签。 5 木马病毒的防范技术............................. 错误!未定义书签。 5.1防范木马攻击............................... 错误!未定义书签。 5.2 木马病毒的信息获取技术.................... 错误!未定义书签。 5.3 木马病毒的查杀............................ 错误!未定义书签。 5.4 反木马软件................................ 错误!未定义书签。 6 总结........................................... 错误!未定义书签。

木马后门的追踪分析

电子取证：木马后门的追踪分析 SRAT木马分析 仅以此教程，送给那些整天服务器上到处挂马的朋友。。 每当我们拿下一个服务器的时候，要怎样保持对该服务器的长久霸占呢？很多朋友首先会想到的肯定是远控木马，无论是批量抓鸡，还是其他什么方式，你植入在该计算机中的木马，都会暴漏你的行踪。信息取证的方式有很多，首先我说下最简单的两种方式：（此文章网上早就有了，只不过是自己实践以后，贴出来警醒某些人的。。） 一、网关嗅探，定位攻击者踪迹 网关嗅探定位，是利用攻击者要进行远程控制，必须与被控端建立连接的原理，木马会反弹连接到攻击者的IP地址上，说简单些，就是攻击者当前的上网IP地址上。 例如我们在主控端先配置一个远控马，IP地址我填写的是自己的动态域名： 动态域名：

我的公网IP： 主控机的IP地址为：192.168.1.29 被控主机的IP地址为：192.168.1.251（虚拟机） 在被控主机上，我们可以利用一款小工具《哑巴嗅探器》来进行分析，该工具体积小，比较稳定，中文界面，具体用法我就不介绍了。打开哑巴分析器，对被控主机进行数据分析： 通过上图，我们可以清楚的看到，源IP地址110.119.181.X，正在访问192.168.1.251的被控主机，并且在访问对方的8800端口，而110.119.181.X的主机为主控机，当你的木马与肉鸡相连的时候，可以直接暴漏攻击者当前的上网地址，锁定地理位置，进行定位追踪。 二、分析木马服务端程序进行取证： 无论是什么远控马，其程序代码中都会携带控制端的IP地址、域名或FTP地址信息，以便于主控端进行反弹连接。大部分的木马程序所包含的反弹信息都是未加密的，通过对后门木马进行源代码数据分析，

实验四：木马攻击与防范

10计科罗国民 201030457115 网络安全与维护实验报告 实验四：木马攻击与防范 一、实验目的 通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 二、实验要求 通过实验了解木马攻击的原理，了解如何防范木马的入侵。 三、实验原理及内容 木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DOS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标的计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1、木马的特性 木马程序为了实现某特殊功能，一般应该具有以下性质： （1）伪装性: 程序把自己的服务器端伪装成合法程序，并且诱惑被攻击者执行，使木马代码会在未经授权的情况下装载到系统中并开始运行。 （2）隐藏性：木马程序同病毒一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其它程序进行的，因此在一般情况下使用者很难发现系统中有木马的存在。 （3）破坏性：通过远程控制，攻击者可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等个性破坏操作。 （4）窃密性：木马程序最大的特点就是可以窥视被入侵计算机上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。 2、木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞又到上网者单击网页，这样IE浏览器就会自动执行脚本，实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵，如微软的IIS 服务存在多种溢出漏洞，通过缓冲区溢出攻击程序造成IIS服务器溢出，获得控制权县，然后在被攻的服务器上安装并运行木马。 3、木马的种类 （1）按照木马的发展历程，可以分为四个阶段：第一代木马是伪装型病毒，将病毒伪装成一合法的程序让用户运行。第二代木马是网络传播型木马，它具备伪装

L003001041-一句话木马测试分析

课程编写 别内容 题名称L003001041-一句话木马测试分析 与要求熟悉一句话木马的原理，掌握一句话木马的使用以及防御方法 (虚拟PC）操作系统类型：windows server 2003和windows XP professional，网络接口：本地连接连接要求PC 网络接口，本地连接与实验网络直连 描述中国菜刀 环境描述1、学生机与实验室网络直连； 2、VPC1与实验室网络直连； 3、学生机与VPC1物理链路连通； 知识 黑客在注册信息的电子邮箱或者个人主页等中插入类似如下代码： <%execute request("value")%> 其中value是值，所以你可以更改自己的值，前面的request就是获取这个值 <%eval request("value")%>(现在比较多见的，而且字符少，对表单字数有限制的地方特别的当知道了数据库的URL，就可以利用本地一张网页进行连接得到Webshell。 （不知道数据库也可以request("value")%>这个文件被插入到哪一个ASP文件里面就可以了。） 这就被称为一句话木马，它是基于B/S结构的。 内容理解该漏洞的实现过程

步骤 学生登录实验场景的操作 1、学生单击“网络拓扑”进入实验场景，单击windows2003中的“打开控制台”按钮，进入目标 我们把windows2003机器作为服务机（ip地址为192.168.1.154，不固定） 2、学生输入账号Administrator ,密码123456，登录到实验场景中的Windows server 2003，在该网站，并且能够正常访问。如图所示:

特洛伊木马工作原理分析及清除方法

特洛伊木马工作原理分析及清除方法 1 什么是特洛伊木马 特洛伊木马（Trojan Horse，以下简称木马）的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序，这些特殊功能处于隐藏状态，执行时不为人发觉。特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端建立连接后，控制端将窃取服务端的密码及大部分操作权限，包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的，而是通过木马程序窃取的。 2 木马的工作原理 完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体，包括控制端、服务端和数据传输的网络载体（Internet/Intranet）；软件部分是实现远程控制所必须的软件程序，包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分，下面详细介绍。 2.1 获取并传播木马 木马可以用C或C++语言编写。木马程序非常小，一般只有3~5KB，以便隐藏和传播。木马的传播方式主要有3种：（1）通过E-MAIL。（2）软件下载。（3）依托病毒传播。200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒（W32.BACTRANS.13 312@MM）。该病毒一旦被执行，木马程序就会修改注册表键值和win.ini文件。当计算机被重启时，该蠕虫会等候3 分钟，然后利用MAPI, 回复所有未读邮件，并将自己作为邮件的附件，使用不同的名称继续传播。 2.2 运行木马 服务端用户在运行木马或捆绑了木马的程序后，木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，然后在注册表、启动组和非启动组中设置好木马触发条件，这样木马的安装就完成了。以后，当木马被触发条件激活时，它就进入内存，并开启事先定义的木马端口，准备与控制端建立连接。 2.2 建立连接，进行控制 建立一个木马连接必须满足2个条件：(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后，控制端端口和木马端口之间将会有一条通道，控制端程序利用该通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。 3 用VB6.0编写的木马程序 下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。 (1)用VB建立2个程序：客户端程序Client和服务器端程序Server。 (2)在Client工程中建立一个窗体，加载WinSock控件，称为Win_Client，协议选择TCP。

实验一 木马攻击与防范

实验1 木马攻击与防范 一、实验目的 通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。 二、实验原理 木马的全称为特洛伊木马，源自古希腊神话。木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 1．木马的特性 木马程序为了实现其特殊功能，一般应该具有以下性质： (1)伪装性：程序将自己的服务器端伪装成合法程序，并且诱惑被攻击者执行，使木马代码会在未经授权的情况下装载到系统中并开始运行。 (2)隐藏性：木马程序同病毒程序一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其它程序进行的，因此在一般情况下使用者很难发现系统中有木马的存在。 (3)破坏性：通过远程控制，攻击者可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。 (4)窃密性：木马程序最大的特点就是可以窥视被入侵计算机上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。 2．木马的入侵途径 木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，由于微软的浏览器在执行Script 脚本上存在一些漏洞，攻击者可以利用这些漏洞诱导上网者单击网页，这样IE浏览器就会自动执行脚本，实现木马的下载和安装。木马还可以利用系统的一些漏洞入侵，如微软的IIS服务器存在多种溢出漏洞，通过缓冲区溢出攻击程序造成IIS服务器溢出，获得控制权限，然后在被攻击的服务器上安装并运行木马。 3．木马的种类 (1)按照木马的发展历程，可以分为4个阶段：第1代木马是伪装型病毒，将病毒伪装成一个合法的程序让用户运行，例如1986年的PC-Write木马；第2代木马是网络传播型木马，它具备伪装和传播两种功能，可以进行密码窃取、远程控制，例如B02000和冰河木马；第3代木马在连接方式上有了改进，利用了端口反弹技术，例如灰鸽子木马；第4代木马在进程隐藏方面做了较大改动，让木马服务器端运行时没有进程，网络操作插入到系统进程或者应用进程中完成，例如广外男生木马。 (2)按照功能分类，木马又可以分为：破坏型木马，主要功能是破坏并删除文件；密码发送型木马，它可以找到密码并发送到指定的邮箱中；服务型木马，它通过启动FTP服务或者建立共享目录，使黑客可以连接并下载文件；DoS攻击型木马，它将作为被黑客控制的肉鸡实施DoS 攻击；代理型木马，可使被入侵的计算机做为黑客发起攻击的跳板；远程控制型木马，可以使

广外女生木马的分析方法

最近又有一种新的国产木马出现了，它有个好听的名字，叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品，它可以运行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比，它具有体积更小、隐藏更为巧妙的特点。可以预料，在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。 由于“广外女生”这个木马的驻留、启动的方法比较具有典型性，下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。 一、所需工具 1.RegSnap v 2.80 监视注册表以及系统文件变化的最好工具 2.fport v1.33 查看程序所打开的端口的工具 3.FileInfo v2.45a 查看文件类型的工具 4.ProcDump v1.6.2 脱壳工具 5.IDA v4.0.4 反汇编工具 二、分析步骤 一切工具准备就绪了，我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚，所以我们在分析之前就要先对注册表以及系统文件做一个备份。 首先打开RegSnap，从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录，一会儿如果木马修改了其中某项，我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。 然后我们就在我们的电脑上运行“广外女生”的服务器端，不要害怕，因为我们已经做了比较详细的备份了，它做的手脚我们都可以照原样改回来的。双击gdufs.exe，然后等一小会儿。如果你正在运行着“天网防火墙”或“金山毒霸”的话，应该发现这两个程序自动退出了，很奇怪吗？且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap，从file菜单选new,然后点OK，把这次的snap结果存为Regsnp2.rgs。 从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，在Second snapshot中选择打开Regsnp2.rgs，并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮，这样RegSnap就开始比较两次记录又什么区别了，当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。 看一下Regsnp1-Regsnp2.htm，注意其中的： Summary info: Deleted keys: 0 Modified keys: 15

木马病毒的行为分析

西安翻译学院 XI’AN FANYI UNIVERSITY 毕业论文 题 目： 网络木马病毒的行为分析 专 业： 计算机网络技术 班 级： 103120601 姓 名： 彭蕊蕊 指 导 教 师： 朱滨忠 2013年5月 学号：10312060108 院系： 诒华学院 成绩：

目录 1 论文研究的背景及意义...................................................................................... - 3 - 2 木马病毒的概况 .................................................................................................. - 4 - 2.1 木马病毒的定义......................................................................................... - 4 - 2.2 木马病毒的概述......................................................................................... - 4 - 2.3 木马病毒的结构......................................................................................... - 4 - 2.4 木马病毒的基本特征................................................................................. - 5 - 2.5木马病毒的分类.......................................................................................... - 5 - 2.6木马病毒的危害.......................................................................................... - 6 - 3 木马程序病毒的工作机制.................................................................................. - 6 - 3.1 木马程序的工作原理................................................................................. - 6 - 3.2 木马程序的工作方式................................................................................. - 7 - 4 木马病毒的传播技术.......................................................................................... - 7 - 4.1 木马病的毒植入传播技术......................................................................... - 8 - 4.2 木马病毒的加载技术................................................................................. - 9 - 4.3 木马病毒的隐藏技术................................................................................ - 11 - 5 木马病毒的防范技术......................................................................................... - 11 - 5.1防范木马攻击............................................................................................. - 11 - 5.2 木马病毒的信息获取技术...................................................................... - 12 - 5.3 木马病毒的查杀...................................................................................... - 12 - 5.4 反木马软件............................................................................................... - 12 - 6 总结 .................................................................................................................... - 13 -

android手机木马的提取与分析

android手机木马的提取与分析 Android手机木马病毒的提取与分析为有效侦破使用 手机木马进行诈骗、盗窃等违法犯罪的案件，对手机木马病毒的特点、植入方式、运行状态进行了研究，利用dex2jar、jdgui等工具软件查看apk文件源代码。结合实例，讲述了 如何提取关键代码与配置数据，并对手机木马病毒的危险函数、启动方式、权限列表进行分析，证明了该方法的可行性，提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。智能手机给用户带来便利的同时，手机恶意软件也在各种各样的违法活动中充当了重要角色，其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现， 这种恶意短信中附的网址，其实就是诱导下载一个手机软件，安装后手机内并不会显示出该应用，但其中的木马病毒已植入，后台会记录下机主的一切操作，可以随时监控到手机记录。若机主登录网银、支付宝、微信红包等，银行卡账号、密码就都被泄露了，黑客能轻易转走资金。此类案件近期呈现高发的趋势。面对各种各样善于伪装隐藏的手机木马病毒，如何提取分析，并固定证据成为一项重要工作。本文从

Android手机木马病毒的特点入手，讲述了如何提取分析关键代码与配置数据，从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。诈骗、盗窃的目标不变，那就是诱导点击安装短信的链接网址中的木马。木马植入到目标系统，需要一段时间来获取信息，必须隐藏自己的行踪，以确保木马的整体隐藏能力，以便实现长期的目的。主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。然后实现了Android系统下木马攻击的各种功能，主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。1、木马病毒的植入、提取 1.1植入(1)很多用户不希望支付软件费用，含有木马的手机应用的第三方网站通过提供破解版、修改版来诱骗下载。(2)通过发送短信或彩信到用户手机，诱骗手机用户点击短信中URL 或者打开彩信附件，从而达到了植入木马的目的。带网址链接的短信诈骗是目前十分流行的诈骗方式，短信内容不断变化，但对于手机系统来讲，为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。通过对Android运行任务进行检查可以发现是否有可疑程序在运行。 1.2提取提取的方式，一是根据URL链接地址，从互联网上进行提取；二是根据手机存储的位置，找到安装文件进行提取，比较常见的提取位置有：一般存放在根目录下、DownLoad文

典型病毒分析报告

典型病毒的分析 班级： 姓名： 学号：

一、计算机病毒 1.1、简介 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 除复制能力外，某些计算机病毒还有其他一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存储空间给你带来麻烦，并降低你的计算机的全部性能。 可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时，它会自生复制并传播，使计算机的资源受到不同程序的破坏等。这些说法在某种意义上借用了生物学病毒的概念，计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络，危害正常工作的“病原体”。它能够对计算机系统进行各种破坏，同时能够自我复制，具有传染性。 所以，计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。 1.2、计算机病毒的引导过程 一般包括以下三方面。 （1）驻留内存病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。 （2）窃取系统控制权在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。 （3）恢复系统功能病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。 有的病毒在加载之前进行动态反跟踪和病毒体解密。对于寄生在磁盘引导扇区的病毒来说，病毒引导程序占有了原系统引导程序的位置，并把原系统引导程序搬移到一个特定的地方。这样系统一启动，病毒引导模块就会自动地装入内存并获得执行权，然后该引导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置，并采取常驻内存技术以保证这两个模块不会被覆盖，接着对该两个模块设定某种激活方式，使之在适当的时候获得执行权。处理完这些工作后，病毒引导模块将系统引导模块装入内存，使系统在带毒状态下运行。对于寄生在可执行文件中的病毒来说，病毒程序一般通过修改原有可执行文件，使该文件一执行首先转入病毒程序引导模块，该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。 1.3、常见病毒发作症状 （1）屏幕异常滚动，和行同步无关。 （2）系统文件长度发生变化。 （3）出现异常信息、异常图形。 （4）运行速度减慢，系统引导、打印速度变慢。 （5）存储容量异常减少。 （6）系统不能由硬盘引导。

蠕虫病毒及木马的分析与防范

课程论文 课程名称：信息安全与保密 论文题目：蠕虫病毒和木马分析与防范 专业：信息管理与信息系统 蠕虫病毒和木马分析与防范 摘要：随着计算机技术的飞速发展，网络越来越成为人们生活中必不可少的一部分，然而信息安全问题也在这一背景下成为越来越重要的一个关注点。在影响信息安全的种种问题中，计算机病毒无疑是最应该受到重视的，进一步了解其原理，才能达到更好的防范。

关键词：信息安全蠕虫病毒木马原理防范 Abstract：With the rapid development of computer technology, Internet has increasingly become an indispensable part of people's lives. However, information security issues are becoming increasingly important in this context. As we all know, the computer virus is the most important issue should be pay attention to. Only by understanding its principles can we achieve better prevention. Keywords：Information Security Worm virus Trojans Principle Precautions. 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。随着计算机技术的飞速发展，计算机信息安全问题越来越受关注。在影响信息安全的安全威胁中计算机病毒是非常重要的一个方面。计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序或是一套程序，它能传播自身功能的拷贝或自身的某些部分通常是经过网络连接到其他的计算机系统中。近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种，2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。病毒会删除扩展名为gho的文件，使用户无法使用ghost 软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动

木马编程技术分析

木马编程技术分析 杨希来,杨大全,吕海华,刘雪玲 (沈阳工业大学信息科学与工程学院,沈阳110023) 摘　要:随着In ternet 的普及,网络安全日益重要。本文介绍了网络攻击的手段之一:特洛伊木马。描述了它的发展状况和分类,重点分析了木马程序开发所采用的关键技术,最后给出了预防和消除木马程序的几点建议。 关键词:特洛伊木马;进程;线程 中图分类号:T P 393.08 文献标识码:A 文章编号:1002-2279(2004)04-0036-03 The A na lys is of T ro ja ns P rog ramm ing Te chno logy YAN G X i -lai ,YAN G D a -quan ,LV H ai -hua ,et al (S chool of inf or m ation S cience and E ng ineering S heny ang U niversity of T echnology ,S heny ang 110023,Ch ina ) Abstract :W ith the pop u larizati on of In ternet ,secu rity of In ternet is m o re i m po rtan t .T h is pap er discu sses one w ay of the attack s on the In ternet -T ro jan s .It describes the developm en t and class of T ro jan s and m ain ly analyses the p ivo tal techno logy to p rogram T ro jan s p rogram s .In the end ,it p u ts som e advice how to defend and get rid of T ro jan s . Key words :T ro jan s ;P rocess ;T h read 1　引　言 在古希腊人同特洛伊人的战争中,希腊人利用一只内藏有战士的巨大木马,麻痹敌人,赢得了战争的胜利。在当今的网络中有一类称作“木马“的特殊程序,它隐藏在用户的计算机中,远程控制者可以利用它来窃取用户的机密信息,对网络安全造成了极大的威胁。 木马技术发展至今已经历了四代。第一代,简单的密码窃取和发送。第二代在技术上有了很大的进步,冰河是典型代表之一。第三代木马改进了数据传递技术,出现了I C M P 等类型的木马,即利用畸形报文传递数据。第四代木马提高了进程隐藏技术,它采用内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL 线程,或者挂接PSA P I ,实现木马程序的隐藏。根据特洛伊木马的表现行为可以把木马分为:远程控制型、密码发送型、键盘记录型、FT P 型、破坏型。 本文通过对木马编程技术的分析,让人们了解木马程序的开发技术,从而能够更加安全地管理自己的计算机。 2　木马编程关键技术 在编写木马程序时会用到很多技术,下面仅介绍一些关键技术。 2.1　木马程序隐藏技术 木马程序与普通远程管理程序的一个很大区别就是它的隐藏性。在隐藏技术中最为关键的是进程的隐藏。在介绍隐藏技术之前,首先了解三个相关的概念:进程、线程和服务。 进程:一个正常的W indow s 应用程序,在运行时都会在系统中产生一个进程。每个进程对应一个不同的进程标识符,即P I D (P rogress I D )。 系统为进程分配一个虚拟的内存空间地址段,一切相关的操作,都会在此虚拟空间进行。 线程:一个进程可以存在一个或多个线程,线程之间同步执行多种操作,线程之间相互独立,当一个线程发生错误时,并不一定会导致整个进程的崩溃。 服务:当进程以服务的方式工作时,它不会出现在任务列表中,但在W inN T 2000下,仍可通过服务管理器检查是否有服务程序运行。因此W in 9x 下,木马程序隐藏的方法就是把服务器端的木马程序注册为一个服务。参见以下代码: In t (CALLBA CK 3h ide )(DW ORD ,DW ORD ); 获得R egisterServiceP rocess 入口地址 H ide =(in t (CALLBA CK 3)(DW ORD ,DW ORD ))GetP roA ddress (dll ,"R egisterServiceP rocess "); 调用R egisterServiceP rocess ,把程序注册为服务H ide (NULL ,1); 杨希来(1977-),男,山东茌平人,硕士研究生,研究方向:计算机网络与安全。收稿日期:2003-10-08 第4期2004年8月 微　处　理　机 M I CRO PROCESSOR S N o.4A ug .,2004

对有关病毒木马的案例分析

对有关病毒木马的案例分析通过学习网络安全法律法规，我们对“大小姐木马”与“熊猫烧香病毒”做出了学习与分析。 一、“大小姐”病毒起因与发展。 2008年5月6日，南京市公安局网络警察支队接江苏省水利厅报案称，该厅政务网站“江苏水利网”页面无法打开，怀疑疑被黑客侵入。 据了解，江苏省水利厅网站主要承担公文办理、汛情下达等重要任务，日访问量在5000人次。当时，江苏全省已进入汛期，该网站能否正常运行将直接影响全省防汛工作。南京市公安局网络警察支队将其立为破坏计算机信息系统案侦查，并迅速会同鼓楼公安分局抽调精干警力，成立“5·6”专案组。 攻击是为植入“大小姐”木马专案组围绕省水利厅网站被黑客攻击案，迅速开展勘查取证、侦查侦控、追查抓捕等侦查工作。去年5月14日至6月6日，专案组在湖北宜昌、广西桂林、湖北潜江等地抓获何某等6名犯罪嫌疑人，成功侦破水利厅网站被攻击案。 在侦破水利厅网站被攻击案件过程中，专案组发现，这些人攻击水利厅网站的目的，是为了在该网站上植入一款名为“大小姐”的木

马盗号程序。而这个“大小姐”木马早已臭名昭著，不少网络游戏账号均被该木马程序盗取过。 这一情况引起公安部高度重视，公安部指定南京市公安局管辖此案，并于7月1日挂牌督办本案。专案组经艰苦工作，分别于6月13日在上海、6月24日在四川广元、绵阳、10月10日在湖南长沙抓获了制作、传播“大小姐”系列木马，破坏计算机信息系统犯罪团伙的组织者王某、作者龙某及销售总代理周某等10人。犯罪嫌疑人王某以牟利为目的，自2006年下半年开始，雇用犯罪嫌疑人龙某先后编写了四十余款针对国内流行网络游戏的盗号木马。王某拿到龙某编写的木马程序后，对外谎称为自己所写，同时寻找代理人进行销售，先后通过周某等人在网上总代理销售木马，该木马系列在传播销售时被命名为“大小姐”木马。购买了“大小姐”木马的犯罪嫌疑人，则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏进行盗号。今年2月23日，专门负责盗号并销售游戏装备的犯罪嫌疑人张某在湖南益阳落网。在他的账户中，警方查获现金30余万元；2007年以来，张某已支付给王某700余万元。而王某靠销售“大小姐”木马，已非法获利1400余万元。据介绍，这些人先将非法链接植入正规网站，用户访问网站后，会自动下载盗号木马。当用户登录游戏账号时，游戏账号就会自动被盗取。嫌疑人将盗来的账号直接销售或者雇佣人员将账号内的虚拟财产转移出后销售牟利。 二、中国破获的国内首例制作计算机病毒的大案“熊猫烧香病毒”

木马病毒

木马病毒 目录 什么是木马（Trojan） 木马的种类 如何防御木马病毒？ 如何查出木马的一些方法 如何删除木马病毒？ 木马病毒最爱藏身的几个地方 什么是木马（Trojan） 木马（Trojan）这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。 特洛伊木马 “木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行 程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的

设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。 木马的种类 1. 网络游戏木马 随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。 网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取 特洛伊木马病毒 用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。 网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。 2. 网银木马 网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。 网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动把页面换成安全性能较差、但依然能够运转的老版页面，然后记录用户在此页面上填写的卡号和密码；“网银大盗3”利用招行网银专业版的备份安全证书功能，可以盗取安全证书；2005年的“新网银大盗”，采用API Hook等技术干扰网银登录安全控件的运行。 随着我国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。 3. 即时通讯软件木马 现在，国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种： a、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口，进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告，如“武汉男生2005”木马，可以通过MSN、QQ、UC等多种聊天软件发送带毒网址，其主要功能是盗取传奇游戏的帐号和密码。 b、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后，可能偷窥聊天记录等隐私内容，或将帐号卖掉。 c、传播自身型。2005年初，“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后，MSN推出新版本，禁止用户传送可执行文件。2005年上半年，“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播，感染用户数量极大，在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角