网络攻防原理与技术第6章 特洛伊木马
特洛伊木马工作原理分析及清除方法
在接受新的连接之前先关闭此连接 @如 果 不 是 ,
!
发现和清除木马
杀毒软件主要是针对已知病毒设计的, 而新病毒却层
出不穷, 特 别 是在 有 些 特 洛 伊 木 马 类 病 毒 刚 出 现 时 , 由于 杀毒软件没有建立病毒库, 大都无能为力。 因此, 学习一些 手工检查特洛伊木马的方法是很有必要的。 下面简单介绍 一种在 )"*]^ 系 统 下 手 工 发 现 和 清 除 木 马 的方法。 ( Q,07 ) 上, 客 123 服 务 程 序 都 需 要 %"#7&* 在 某 个 端 口 户 端 程 序 才 能 与 其 建 立 连 接, 进 行 数 据 传 输 。 可 以 用
J?,BHI?C 或 0 : J?,BHI?CJCKC"79 目 录 下 + , 然 后 在
注册表、 启动组和非启动组中设置好木马触发条件, 这样 木马的安装就完成了。以后, 当 木 马 被 触 发 条 件 激 活 时, 它就进入内存, 并开启事先定义的木马端口, 准备与控制 端建立连接。 进行控制 "#$ 建 立 连 接 , 建立一个木马连接必须满足 < 个条件: !6+ 服 务 端 已 服 务 端 都 要 在 线 。初 次 连 接 安 装 有木 马 程 序 。!<+ 控 制 端 、 时 还 需 要 知 道 服 务 端 的 ,G 地 址 。,G 地 址 一 般 通 过 木 马 程 序 的 信 息 反 馈 机 制 或扫描 固 定 端 口 等 方 式 得 到 。 木 马 连 接建立后, 控 制 端 端 口 和 木 马 端 口 之 间 将 会 有一 条 通 道 , 控 制 端 程 序 利用该通 道 与 服 务 端 上 的 木 马 程 序 取 得 联 系 , 并通过木马程序对服务端进行远程控制。
特洛伊木马原理分析
特洛伊木马原理分析特洛伊木马是如何工作的一般的木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序他所做的第一步是要把木马的服务器端。
攻击者要通过木马攻击你的系统,程序植入到你的电脑里面。
目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,利用的途径有邮件附件、下载软件中等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个木马执行文件,是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。
一般的木马执行文件非常小,大部分都是几K到几十K,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。
木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入,由于微软的浏览器在执行Senipt脚本存在一些漏洞。
攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。
前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。
如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马目录。
此外,木马还可以利用系统的一些漏洞进行植人,如微软著名的US服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并且同时攻击服务器,执行远程木马执行文件。
当服务端程序在被感染的机器上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。
在客户端和服务端通信协议的选择上,绝大多数木马使用的是TCP/IP协议,但是也有一些木马由于特殊的原因,使用UDP协议进行通讯。
当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;同时监听某个特定的端口,等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。
特洛伊木马的攻击原理与防护措施
1 木马木马,全称是“特洛伊木马”,英文为 Trojan Horse,来源于古希腊神话《荷马史诗》中的故事《木马屠城记》。
近年来发展迅速,经常被黑客利用,渗透到计算机用户的主机系统内,盗取用户的各类账号和密码,窃取各类机密文件,甚至远程控制用户主机。
2 木马原理木马一般都使用C/S架构,一个完整的木马程序通常由两部分组成:服务端(服务器部分)和客户端(控制器部分)。
“服务器”部分被植入到被攻击者的电脑中,“控制器”部分在攻击方所控制的电脑中, 攻击方利用“控制器”主动或被动的连接“服务器”,实现对目标主机的控制。
木马运行后,会打开目标主机的一个或多个端口,以便于攻击方通过这些端口实现和目标主机的连接。
连接成功后,攻击方便成功的进入了目标主机电脑内部,通过控制器可以对目标主机进行很多操作,如:增加管理员权限的用户,捕获目标主机的屏幕,编辑文件,修改计算机安全设置等等。
而这种连接很容易被用户和安全防护系统发现,为了防止木马被发现,木马会采用多种技术来实现连接和隐藏,以提高木马种植和控制的成功率。
3 木马的连接方式攻击者利用木马对目标主机(攻击者)的控制,需要通过控制端和服务器端的连接来实现。
常见的木马连接方式有正向端口连接、反弹端口连接和“反弹+代理”连接三种方式。
3.1 正向端口连接正向连接方式是由控制端主动连接服务器端,即由控制端向服务器端发出建立连接请求,从而建立双方的连接,如图1。
为了内网的安全,通常防火墙会对进入系统内部的数据过滤,允许内网连接外网,屏蔽外网向内网的连接请求。
这种安全策略下,正向连接方式会被防火墙屏蔽,不能实现“控制器”和“服务器”的连通。
面对防火墙的阻断,为了保障连通,木马技术又出现了新的连接方式,由木马的“服务器”主动连接“控制器”,即端口反弹连接方式。
3.2 端口反弹连接端口反弹连接方式是由“服务器”主动向“控制器”发出连接请求,如图2。
这种方式可以有效的绕过防护墙,例如有名的国产木马:灰鸽子。
特洛伊木马原理介绍
1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。
古希臘有大軍圍攻特洛伊城,逾年無法攻下。
有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。
城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。
到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。
後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。
特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。
而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。
原因是如果有人不當的使用,破壞力可以比病毒更強。
iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。
木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
e2/基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。
作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。
對於特洛伊木馬,被控制端就成為一台伺服器。
特洛伊木马
概述
特洛伊木马(简称木马)是隐藏在系统中的用以完成未授权功能的非法程序,是黑客常用的一种攻击工具,它 伪装成合法程序,植入系统,对计算机络安全构成严重威胁。区别于其他恶意代码,木马不以感染其它程序为目 的,一般也不使用络进行主动复制传播。
特洛伊木马是基于C/S(客户/服务器)结构的远程控制程序,是一类隐藏在合法程序中的恶意代码,这些代码 或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。通常,使用木马的过程大致分两步首先,把 木马的服务器端程序通过络远程植入受控机器,然后通过安装程序或者启动机制使木马程序在受控的机器内运行。 一旦木马成功植入,就形成了基于C/S结构的控制架构体系,服务端程序位于受控机器端,客户端程序位于控制 机器端。
5、时效性越来越强,挖矿木马团伙在利益的驱使下,往往会不断集成更有效的1/N D ay漏洞来感染更多 主机资源,从而获取更多的收益。
感谢观看
功能
只要在本地计算机上能操作的功能,现如今的木马基本上都能实现。木马的控制端可以像本地用户一样操作 远程计算机。木马的功能可以概括为以下内容。
1、窃取用户文件。 特洛伊木马在目标计算机中潜伏,当遇到感兴趣的文件时就会将相关文件传输给提前设定的目的地而不会被 用户发现。 2、接受木马释放者的指令。 特洛伊木马一旦感染互联中的服务器就会窃取较高权限,随意地控制和监视通过该服务器的数据和账户。 3、篡改文件和数据。 根据指令对系统文件和数据进行修改,使目标计算机的数据和文件产生错误,导致作出错误的决策。 4、删除文件和数据。 将目标计算机操作系统中的文件和数据随意地删除。 5、施放病毒。
3、端口
一台机器有个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大 多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马,但这些端口是常 用端口,占用这些端口可能会造成系统不正常,这样的话,木马就会很容易暴露。
特洛伊木马
网络钓鱼挂马
网络中最常见的欺骗手段,黑客们利用人们的猎 奇、贪心等心理伪装构造一个链接或者一个网页, 利用社会工程学欺骗方法,引诱点击,当用户打 开一个看似正常的页面时,网页代码随之运行, 隐蔽性极高。
伪装挂马
高级欺骗,黑客利用IE或者Fixfox浏览器的设计 缺陷制造的一种高级欺骗技术,当用户访问木马 页面时地址栏显示或者 等用户信任地址,其实却 打开了被挂马的页面,从而实现欺骗。
• 第四阶段在进程隐藏方面做了非常大的改动,采用了 内核插入式的嵌入方式,利用远程插入线程技术嵌入 DLL线程,或者挂接PSAPI实现木马程序的隐藏。即 使在Windows NT/2K下,这些技术都达到了良好的隐 藏效果。
• 相信,第五代木马的技术更加先进。
木马的关键技术
——植入技术
植入技术
升级植入:打补丁是目前内核及功能升级重要途 径。由于升级包发布途径不严格且非常复杂,因 此,这将成为传播木马的一个有效途径。 网站(网页)植入:网站挂马是传播木马的最佳 途径之一。把木马连接潜入到网站上,当用户访 问该网站时,把木马自动种植到用户的计算机上。 在辅助以附加手段的前提下,该方法也可以实现 定点植入。 漏洞植入:木马通过操作系统的漏洞直接传播给 计算机,其中间桥梁是诸如局域网、Internet、 WiFi、蓝牙、红外等网络连接。
木马检测、清除、防范
• 关键技术、实用工具、防范
怎样才能使计算机更安全?
木马的介绍
概念
特洛伊木马(Trojan Horse) :是一种与远程计算 机之间建立起连接,使远程计算机能够通过网络 控制用户计算机系统并且可能造成用户的信息损 失、系统损坏甚至瘫痪的程序。
木马的组成
硬件:控制端、服务端、Internet 软件:控制端程序、木马程序、木马配置程序 连接:控制、服务端IP, 控制、服务端Port
特洛伊木马
• 木马通道与远程控制
– 木马连接建立后,控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系,并通过木马程序对服务端进行远程控制,实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
32
网页挂马技术(二)
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件,通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关 的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态: ①连接已建立 ②等待连接
33
网页挂马技术(三)
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中
第六章-特洛伊木马
• registry->SetValue(SystemPath+"\\Tapi32.exe", "crossbow" );
2021/4/9
16
Server端功能——命令接收
• 接下来就是启动Server端的Socket来接收客户端的命令。
• Port 777
• 核心代码:
– pSocket->Receive( lpBuf, 1000); – //接收客户端数据
SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid); • tkp.PrivilegeCount = 1; • tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; • AdjustTokenPrivileges(hToken, FALSE, &tkp,
–
OnExit();
– }//退出木马程序
2021/4/9
17
• 将要实现的功能: CMD
执行应用程序
!SHUT
退出木马
FILEGET 获得远端文件
EDITCONF 编辑配置文件
LIST
列目录
VIEW
察看文件内容
CDOPEN 关CD
CDCLOSE 开CD
REBOOT 重启远端机器
2021/4/9
18
–
lpRegisterServiceProcess
=(LPREGISTERSERVICEPROCESS)GetProcAddress(
– hDLL,"RegisterServiceProcess");
–
//得到RegisterServiceProcess()函数的地址
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
也就是说你按过什么按键,种植木马的人都知道,从 这些按键中他很容易就会得到你的密码等有用信息!
当然,对于这种类型的木马,邮件发送功能也是必不 可少的。
(5) DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击 的木马也越来越流行起来。
木马规模
木马规模
木马规模
二、分类
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
第一代木马是伪装型病毒,将病毒伪装成一个合法的 程序让用户运行,例如1986年的PC-Write木马;
第二代木马在隐藏、自启动和操纵服务器等技术上有 了很大的发展,可以进行密码窃取、远程控制,例如 BO2000和冰河木马;
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
随着身份认证USBKey和杀毒软件主动防御的兴起,使 用黏虫技术和特殊反显技术的第六代木马逐渐系统化, 前者主要以盗取和篡改用户敏感信息为主,后者以动 态口令和硬证书攻击为主,PassCopy和暗黑蜘蛛侠是 这类木马的代表。
木马的分类
(3) 远程访问型
使用这类木马,只需有人运行了服务端 程序,如果客户知道了服务端的IP地址, 就可以实现远程控制。
这类程序可以实现观察"受害者"正在干什么, 当然这个程序完全可以用在正道上的,比如 监视学生机的操作。
(4) 键盘记录木马
记录受害者的(硬/软)键盘敲击并且在日志文 件里查找可能的密码。
第 六 章 特洛伊木马
内容提纲
1 木马的基本概念 2 实现原理与攻击技术 3 木马实例 4 木马防御
一、定义
恶意代码
类型
定义
特性
在计算机程序中插入的破坏计算机功
计算机病毒 能并能自我复制的一组程序代码。
潜伏、传染、破坏
通过计算机网络自我复制,消耗系统
计算机蠕虫 资源和网络资源的程序。
扫描、攻击、扩散
指一种与远程计算机建立连接,使远
特洛伊木马
程计算机能够通过网络控制本地计算 机的程序。
欺骗、隐蔽、信息 窃取
逻辑炸弹 RootKit
通过特殊的数据或时间作为条件触发, 试图完成一定破坏功能的程序。
指通过替代或者修改系统功能模块, 从而实现隐藏和创建后门的程序。
潜伏、破坏 隐蔽,潜伏
恶意代码
恶意代码
大多数安全专家对特洛伊木马的定义
目前,大多数安全专家统一认可的定义 是:“特洛伊木马是一段能实现有用的或 必需的功能的程序,但是同时还完成一 些不为人知的功能。”
木马的危害
目前木马常被用作网络系统入侵的重要 工具和手段。
木马利用自身所具有的植入功能,或依附其 它具有传播能力的程序等多种途径,进驻目 标机器,搜集其中各种敏感信息,并通过网 络与外界通信,发回所搜集到的各种敏感信 息,接受植入者指令,完成其它各种操作, 如修改指定文件、格式化硬盘等。
第三代木马在连接方式上有了改进,利用端口反弹技 术,例如灰鸽子木马;
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
第四代木马在进程隐藏方面做了较大的改动,让木马 服务器运行时没有进程,网络操作插入到系统进程或 者应用进程中完成,例如广外男生木马。
第五代是驱动级木马,使用了大量Rootkit技术来实现 深入内核空间的深度隐藏,感染后能够针对杀毒软件 和网络防火墙进行攻击。
这种木马的危害不是体现在被感染计算机上,而是体现在 攻击者可以利用它来攻击一台又一台计算机,给网络造成 很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被 感染,木马就会随机生成各种各样主题的信件,对特定的 邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件时 为止。
功能简单,容易实现,破坏性强。
(2) 密码发送型
找到隐藏密码并把它们发送到指定的信箱。
有人喜欢把自己的各种密码以文件的形式存放在计算 机中,认为这样方便;还有人喜欢用WINDOWS提供 的密码记忆功能,这样就可以不必每次都输入密码了。 许多木马可以寻找到这些敏感信息,把它们送到黑客 手中。
经潜入,后患无穷”
希腊军队
特洛伊城墙
木马编写者
防火墙和其他安全设置
RFC1244 (1/2)
RFC1244 (Request for Comments : 1244) 中是这样描述木马的: “木马是一种程 序,它能提供一些有用的,或是仅仅令 人感兴趣的功能,但是它还有用户所不 知道的其他功能,例如在你不了解的情 况下拷贝文件或窃取你的密码。”
木马的危害
木马程序具有很大的危害性,主要表现在: 自动搜索已中木马的计算机; 管理对方资源,如复制文件、删除文件、查 看文件内容、上传文件、下载文件等; 跟踪监视对方屏幕; 直接控制对方的键盘、鼠标; 随意修改注册表和系统文件; 共享被控计算机的硬盘资源; 监视对方任务且可终止对方任务; 远程重启和关闭机器。
RFC1244 (2/2)
RFC1244的定义虽然不十分完善,但是 可以澄清一些模糊概念:
首先木马程序并不一定实现某种对用户来说 有意义或有帮助的功能,但却会实现一些隐 藏的、危险的功能;
其次木马所实现的主要功能并不为受害者所 知,只有程序编制者最清楚。
第三,这个定义暗示“有效负载”是恶意的。
近年来,不同类别的恶意程序之间的界限逐渐 模糊,木马和僵尸程序成为黑客最常利用的攻 击手段。
恶意代码
2007年下半200年7年新上增半年病新毒增病的毒比分例布(瑞星)
17.33
6.12 3.51 4.3368.71木马 蠕虫 脚本漏洞病毒 恶意广告 其他病毒
特洛伊木马
特洛伊木马(Trojan Horse),简称木马,“一
从木马所实现的功能角度可分为: ① 破坏型 ② 密码发送型 ③ 远程访问型 ④ 键盘记录木马 ⑤ DoS攻击木马 ⑥ 代理木马 ⑦ FTP木马 ⑧ 程序杀手木马 ⑨ 反弹端口型木马
(1) 破坏型
惟一的功能就是破坏并且删除文件,如 电脑上的DLL、INI、EXE文件或其它 类型文件,造成系统损坏,用户数据被 破坏。