木马的隐藏技术
实验13 木马捆绑与隐藏
木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序,如果单纯以本来面目出现,很容易被网络用户识别。
为了不被别人发现,木马制造者必须想方设法改换面貌;为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。
在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏自己。
总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者,而用户一旦不慎打开这些文件,木马就自动执行了,主机就中木马了。
12.2.2 工作原理1.木马捆绑木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。
这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶意程序的文件时,其中的木马等恶意程序就会被激活。
木马捆绑的手段归纳起来共有四种:(1)利用捆绑机软件和文件合并软件捆绑木马;(2)利用WINRAR、WINZIP 等软件制作自解压捆绑木马;(3)利用软件打包软件制作捆绑木马;(4)利用多媒体影音文件传播。
2.木马隐藏隐藏是一切恶意程序生存之本。
以下是木马的几种隐藏手段:(1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。
真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。
(2)伪装成图像文件:即将木马图标修改成图像文件图标。
(3)伪装成应用程序扩展组件:将木马程序写成任何类型的文件(如dll,ocx等),然后挂在十分出名的软件中。
因为人们一般不怀疑这些软件。
(4)错觉欺骗:利用人的错觉,例如故意混淆文件名中的1(数字)与l(L的小写)、0(数字)与o(字母)或O(字母)。
木马隐藏技术初探
maae n esrsn th e cig eh iu . i s dc l q i n J un l 0 ,2( )8 — 1 9 】 ngmet aue, o tedt t cnq e[ n eMe ia E u me t o ra, 1 3 4 :9 9 , 6 m e nt Ch e p 2 1
T oa re d s n d i hsat l a u c sfl e l e h x e td fn t n . o cu in T ec aa tro rjn rin Hos e i e n ti r ce h d sc esul rai d te e p ce u ci s C n lso h h rce fT oa g i y z o
d s n a d i pe e t i f i pe T oa r , hsat l f l dsu sd a d p n t td it e e o ro e ei n m lm na o o a s l rjn Hos t i r ce u y i se n e e ae no v r c me ft g tn m e i l c r y h i c n c nq e te hd gtc nq e ted tc n c nq ea d tew y f w r f r a os . l l h i p e  ̄e t gt h i . h ii h iu .h e t gt h iu n a r ado o n H re 1 i e u n e ei e h o T j  ̄ut T es l m m
技 术 、 测技 术 、 展 方 向 进 行 了深 入 全 面论 述 。 果 : 计 的 简 单 木 马 成 功 实 现 了预 想 功 能 。 检 发 结 设 结论 : 马 的 特 性 决 定 了 木 检 测 防御 的 难 度 , 范 重 点在 于 网 络 管 理措 施 . 不 是 检 测 技 术 防 而
计算机木马病毒研究与防范毕业设计
湖北大学高等教育自学考试本科毕业生论文评审表论文题目:计算机木马病毒研究与防范姓名:李宝君专业:计算机应用技术办学点:郧阳师范高等专科学校学生类型:独立本科段(助学班/独立本科段)2014年 12月 18日湖北大学高等教育自学考试办公室印制论文内容摘要目录第一章.木马病毒的概述 (5)1.1木马的的定义 (5)1.2木马的基本特征 (5)1.3木马的传播途径 (6)1.4木马病毒的危害 (6)第二章.木马病毒的现状 (7)2.1特洛伊木马的发展 (7)2.2 木马病毒的种类 (7)第三章.木马病毒的基本原理 (10)4.1木马病毒的加载技术 (10)4.1.1 系统启动自动加载 (10)4.1.2 文件劫持 (10)4.2 木马病毒的隐藏技术 (10)第四章.木马病毒的防范 (12)5.1基于用户的防范措施 (12)5.2基于服务器端的防范措施 (13)5.3加强计算机网络管理 (15)致谢 (16)参考文献 (17)第一章木马病毒的概述1.1木马的的定义木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序,是一种基于远程控制的黑客工具,它利用自身具有的植入功能,或依附具有传播功能的病毒,进驻目标机器监听、修改。
窃取文件。
1.2木马的基本特征(1)隐蔽性是其首要的特征当用户执行正常程序时,在难以察觉的情况下,完成危害影虎的操作,具有隐蔽性。
它的隐蔽性主要体现在6个方面:1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库(2)它具有自动运行性它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
(3)木马程序具有欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。
木马的常用伪装手段
木马的常用伪装手段在网络安全领域,木马是一种恶意软件,可以在不被用户察觉的情况下悄悄地进入计算机系统,实现盗取用户信息、破坏系统的行为。
因此,木马程序的伪装手段非常重要,可以使其更容易地潜入计算机系统。
以下是一些常用的木马伪装手段:1. 伪装成正常程序许多木马程序被设计成伪装成常见的软件或系统组件,例如浏览器插件、媒体播放器、下载器等,以此混淆用户的视觉,避免受到用户的怀疑,从而更容易渗透进入用户的系统。
2. 终端木马伪装终端木马常被伪装成程序源码、编译工具或其它网络安全工具来骗取用户信任,而终端木马常常伴随着对受害者机器的远程控制,拥有非常广泛的攻击能力。
3. 使用非常规的文件扩展名很多木马程序使用并不常见的文件扩展名,比如".txt"、".jpg"、".pdf"等,以绕过一些计算机安全防护软件的检测。
在实际应用过程中,我们应该避免打开不熟悉的文件。
4. 嵌入宏或脚本很多木马程序将自己嵌入到宏或脚本中,然后利用漏洞自动执行,从而绕过了常规的安全检测。
例如,利用办公软件(Word、Excel等)中的宏病毒的攻击方式。
5. 嵌入加密模块有些木马程序会嵌入加密模块,使得其内容在传输过程中无法被轻易识别和拦截,从而达到对计算机系统的“偷窃”。
综上所述,木马程序有很多伪装手段,其中有些是非常难以被发现的。
因此,我们需要时刻保持警惕,使用网络安全软件来防范这些木马程序的攻击,同时也需要提高自己的网络安全意识,确保个人计算机和重要信息的安全。
除了上述常用的木马伪装手段,还有一些更高级的木马伪装手段。
这些高级伪装手段越来越普遍,它们可以更好地欺骗人们的眼睛和虚拟机器的安全防御。
以下是一些高级木马伪装技术:1. 避免反病毒软件现在的反病毒软件具有越来越高的检测能力,它们能够及时发现木马程序并抵御攻击。
因此,一些高级的木马程序会通过加密自己来避免反病毒软件的检测与抵抗。
3-5-2木马的植入、自启动和隐藏
计算机病毒与防治课程小组
木马自启动途径
程序自动启动的原理
1. 利用INI文件实现相关程序的自动启动 win.ini是系统保存在[Windir]目录下的一个系统初始化文件。 系统在起动时会检索该文件中的相关项,以便对系统环境的初始设 置。在该文件中的“[windows]”数据段中,有两个数据项 “load=” 和“run=”。它们的作用就是在系统起动之后自动地装入和运行相关 的程序。 Win.ini: [windows] load=file.exe run=file.exe System.ini: [boot] Shell=Explorer.exe Shell=Explorer.exe
计算机病毒与防治课程小组
WIN2K中“进程隐藏”的实现
//使用WriteProcessMemory函数将DLL路径名复制到远程进程的内存空间
BOOL lRetun Code= WriteProcessMemory(hRemoteProcess,pszt_lbFlleRemote,( PVOID) pazlbFileName, ICb, NULL);
[HKEY _LOCAL_MACHINE\Software\CLASSES\ShellScrap] @="Scrap object" "NeverShowExt"=" "
NeverShowExt键可以隐藏SHS文件的扩展名.shs。比如将一个文件 改名为“abc.jpg.shs“它只会显示”abc.jpg”。如果你的注册表里有 很多NeverShowExt键值,应予以删除。
计算机病毒与防治课程小组
木马进程的隐藏
访问令牌 进程对象 VAD VAD VAD
对象句柄表项1 对象句柄表项2 „„
信息安全技术部分试题
第九套1、对弱口令等登录信息的扫描主要包括基于字典攻击的扫描技术和基于穷举攻击的扫描技术。
2、SMTP(Simple Mail Transfer Protocol)协议是简单邮件传输协议,它的主要作用是将电子邮件发送到邮件服务器,属于电子邮件系统的重要协议。
国家信息安全漏洞共享平台CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库;CVE是MITRE(麻省理工学院科研机构形成的非盈利公司)公司建立的;SecurityFocus的BugTraq邮件列表是整个安全社区重要的信息来源和技术讨论区,它几乎包含所有的漏洞信息;EDB 漏洞库是由十多位安全技术人员志愿维护的数据库3、数据执行保护DEP(Data Execute Prevention)技术可以设置内存堆栈区的代码为不可执行状态,从而防范溢出后代码的执行;地址空间分布随机化ASLR(Address Space Layout Randomization)是一项通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术;结构化异常处理覆盖保护SEHOP是微软针对SEH攻击提出的一种安全防护方案;GS Stack Protection技术是一项缓冲区溢出的检测防护技术4、在微软的软件安全开发声明周期SDL模型共包括13个阶段,其中第0阶段为准备阶段,第1阶段为项目启动阶段,第2阶段为定义需要遵守的安全设计原则,第3阶段为产品风险评估/5、漏洞利用的核心是利用程序漏洞去执行shellcode以便劫持进程的控制权/6、信息安全管理体系认证基于自愿的原则7、为客体分配访问权限是实施组织机构安全性策略的重要部分,最少特权的原则来自于当主体被赋予对客体进行访问的权限时所形成的复杂结构,这个原则规定主体只应当被授权访问那些完成其工作所需要的客体,换而言之,应当阻止主体访问那些工作内容不需要的客体,因此分配权限时依据的重要原则是:最少特权决定跟踪哪一种信息资产时,需要考虑名称、IP地址、MAC 地址、序列号、制造商名称、软件版本、物理位置、逻辑位置、控制实体等资产属性,而对于硬件资产的跟踪识别管理中,可以识别该资产的资产编号、MAC地址、产品序列号;不能有效识别该资产的属性是软件版本号。
木马型网络攻击技术分析
木马型网络攻击技术分析作者:谭博伦来源:《商品与质量·消费视点》2013年第10期摘要:随着科学技术的进步与发展,人类社会正在向网络社会迈进,人们的生活已经和网络产生了密不可分的关系,各个领域的进步与发展也都离不开网络技术,人们的决策已经越来越依赖于信息技术,它也使得信息站成为可能。
信息站将成为未来战争的一个新兴的形式之一,它的涉及面非常广,既可以破坏军事指挥,武器控制等,还可以使得诸如金融、商业、电力等遭受破坏。
而目前应用最广的病为人所知程度最广的就是木马病毒所造成的对于网络的攻击。
在这个背景之下,对于木马型网络攻击技术的分析和研究具有重要的现实意义。
关键词:木马型;网络攻击;技术分析网络攻击是指攻击者利用各种控制计算机的攻击手段通过网络技术实现对目标主机系统发动攻击,旨在破坏对方的网络系统或是获取更多有价值的信息。
伴随着科技的日益更新和发展,网络攻击技术的发展也呈现出自动化、快速化、动态化的发展趋势。
本文将通过两个方面对当前的木马型网络攻击技术进行分析,一方面是对于木马进行简单论述,另一方面是对木马型网络攻击技术的实现的关键技术进行介绍。
一、木马的简要介绍所谓计算机木马其实是源于古希腊中的特洛伊木马的故事,木马病毒是一种隐藏在计算机网络中的一种可以在毫无察觉的情况下对受害系统进行破坏或窃取的病毒。
与一般的病毒一样,木马病毒也是从Unix平台中产生的,直接作用于常见的Windows操作系统中。
截至目前为止,木马程序已经更新了好几代,它的危害性和隐藏的密闭性也在不断的提高,目前木马主要包括以下几种类型:远程控制型;密码发送型;键盘记录型;毁坏型;FTP型。
它们主要是根据木马对于计算机的具体动作形式来进行划分的。
据不完全统计,当前世界上木马已有好几千种,它们虽然都是通过程序实现,但是由于运行的环境的差异性,它们所发生的作用也不尽相同。
木马具有隐蔽性、欺骗性、自动恢复性、功能的特殊性。
它们都是木马的基本特征。
特洛伊木马
• 木马通道与远程控制
– 木马连接建立后,控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系,并通过木马程序对服务端进行远程控制,实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
32
网页挂马技术(二)
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件,通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关 的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态: ①连接已建立 ②等待连接
33
网页挂马技术(三)
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
真隐藏实现方式
在Windows系统中常见的真隐藏实现方 式有:
利用DLL实现简单隐藏 采用替代技术的DLL木马 采用动态嵌入技术的DLL木马
采用替代技术的DLL木马
工作原理是替换常用的DLL文件,截获并处理 特定的消息,将正常的调用转发给原DLL
此种技术是比较古老的技术,因此微软也做 了相当的防范
在Windows的system32目录下有一个dllcache目录,一旦操 作系统发现被保护的DLL文件被篡改(利用数字签名技术),就 会自动从dllcache中恢复该文件
真隐藏实现方式
在Windows系统中常见的真隐藏实现方 式有:
利用DLL实现简单隐藏 采用替代技术的DLL木马 采用动态嵌入技术的DLL木马
进程隐藏
想要隐藏木马的服务器端,可以伪隐藏, 也可以真隐藏
伪隐藏是指程序的进程仍然存在,只不过是让 它消失在进程列表里
真隐藏则是让程序彻底的消失,不以一个进程 或者服务的方式工作
进程隐藏
伪隐藏
把木马服务器端的程序注册为一个服务,这样, 程序就会从任务列表中消失了,当按下 Ctrl+Alt+Delete的时候,也看不到这个程序。 但是通过服务管理器,会发现在系统中注册过 的服务
进程隐藏
进程、线程、服务 进程:一个正常的Windows应用程序,在运行之
后,都会在系统之中产生一个进程,分别对应一 个不同的PID(进程标识符)。这个进程会被系统 分配一个虚拟的内存空间地址段,一切相关的程 序操作,都会在这个虚拟的空间中进行 线程:一个进程,可以存在一个或多个线程,线 程之间同步执行多种操作,一般地,线程之间是 相互独立的,当一个线程发生错误的时候,并不 一定会导致整个进程的崩溃 服务:一个进程当以服务的方式工作的时候,它 将会在后台工作,不会出现在任务列表中,但可 通过服务管理器检查任何的服务程序是否被启动 运行
API的拦截技术。通过建立一个后台的系来实现对进程和服务的遍历调用的控 制,当检测到进程ID(PID)为木马程序的服 务器端进程的时候直接跳过,这样就实现了进 程的隐藏
进程隐藏
真隐藏
当进程为真隐藏的时候,那么这个木马的服务 器部分程序运行之后,就不是一般进程,也不 是某个服务,而是完全的溶进了系统的内核
原理:不把木马做成一个应用程序,而做为一 个线程,一个其他应用程序的线程,把自身注 入其他应用程序的地址空间。而这个应用程序 对于系统来说,是一个绝对安全的程序,这样, 就达到了彻底隐藏的效果,这样的结果,导致 了查杀黑客程序难度的增加
真隐藏实现方式
在Windows系统中常见的真隐藏实现方 式有:
代码注入技术
常用的代码注入技术有
利用Windows消息钩子注入 利用CreateRemoteThread()函数注入 利用APC注入 更改线程上下文注入DLL
利用CreateRemoteThread()函数注入
CreateRemoteThread是一个API函数, 它可以在其它进程的地址空间中开启远程 线程
运行DLL文件最简单的方法是利用RunDLL32.exe Rundll32.exe MyDll MyFunc
注:使用此命令时函数名需要完全匹配
如果在MyDll.DLL的MyFunc函数中实现了木马的功能, 在系统管理员看来,进程列表中增加的是Rundll32.exe而 并不是木马文件,这样也是木马的一种简易欺骗和自我保 护方法
采用动态嵌入技术的DLL木马
DLL木马的最高境界是动态嵌入技术
动态嵌入技术是指将自己的代码嵌入正在运 行的进程中的技术。Windows系统中的每 个进程都有自己的私有内存空间,一般不允 许别的进程对这个私有空间进行操作,但是 实际上,仍然可以利用种种方法进入并操作 进程的私有内存
动态嵌入DLL木马的常用技术
例如,Windows的Socket 1.x的函数都存放在 wsock32.dll中,可以写一个wsock32.dll文件,替换原 先的wsock32.dll(将其重命名为wsockold.dll)
DLL木马wsock32.dll只做两件事:一是如果遇到不认识 的调用,就直接转发给wsockold.dll(使用函数转发器 forward);二是遇到特殊的请求(事先约定的)就解码并 处理。这样,理论上只要木马编写者通过Socket远程输 入一定的暗号,就可以控制wsock32.dll(木马DLL)做任 何操作
木马的隐藏方式
任务栏隐藏:使程序不出现在任务栏中 进程隐藏:躲避任务管理器等进程管理工具 通讯隐藏:进行通信时,将目标端口设定为常用
的80、21等端口,以此躲过防火墙的过滤 文件隐藏:通过某种方式,使用户无法发现木马
程序 加载方式隐藏:
通过各类脚本加载木马 修改设备驱动程序或修改DLL加载木马
利用DLL实现简单隐藏 采用替代技术的DLL木马 采用动态嵌入技术的DLL木马
利用DLL实现简单隐藏
利用DLL实现简单隐藏
假设编写了一个木马DLL,并且通过别的进程来运行它, 那么无论是入侵检测软件还是进程列表中,都只会出现该 进程而并不会出现该木马DLL
如果该进程是可信进程,那么木马DLL作为该进程的一部 分,也将成为被信赖的一员
代码注入技术
IAT HOOK技术 Inline HOOK技术
代码注入技术
代码注入有很多重要用途,在蠕虫、木马中有广 泛引用
钩子技术:截获需要的消息实现事件机制 进程隐藏:很多木马为了躲避进程检测,会将自身作
为一个DLL注入到其他进程中运行,由于它本身不是以 进程形式存在,因此无法找到其进程 突破防火墙:主机防火墙一般会阻止未知程序的网络 连接,木马可以将自身注入到正常进程,这样防火墙 就会把蠕虫、木马发起的连接当作正常的连接,从而 将其放过 信息窃取:木马要窃取其他进程的一些信息,比如网 络游戏的登录密码,就需要利用代码注入,进入其地 址空间中运行