木马穿透个人防火墙技术研究
探讨计算机网络安全与防火墙技术
[5 ̄- 2 - 网络 安 全 【 . 1 M】 电子 工业 出版 社 , 0 . 2 5 0
[ 张新有_ 工技术与 实验教程 【 . 3 】 网络 M] 清华大学出版社, 0 . 2 5 0
【】 诺 诺 . 算 机 网 络 安 全 及 防 范 策 略 探 讨 0 . 龙 江 科 技 信 4商 计 1黑
术 ,而进行包过滤 的标 准通常就是 根据安全策 略制定 的。在 防火墙产品中 ,包过滤 的标准一般是靠网络管理 员在防火墙设备的访 问控制清单 中设定 。访问控制一般 基于的标准有 :包的源地址、包的 目的地址、连接请求
网络安全是一个系统的工程 ,不能仅仅依靠防火墙 等单个的系统 ,而需要仔细考虑系统的安全需求 ,并将
查 , 防止 一 个 需 要 保 护 的 网 络 遭 外 界 因素 的 干 扰 和 破 坏 。在 逻 辑 上 ,防火 墙是 一 个 分 离 器 ,一 个 限制 器 ,也
领域 ,出于无知或好奇修 改了其 中的数据。另有一些 内 部用户利用 自身的合法身份有意对数据进行破坏 。网络 黑客一旦进入某个网络进行破坏 ,其造成的损失无法估
S S EU IY 系统 : Y C RT S 安全 >
探讨 计算机 网络 安全 与防火墙 技术
◆ 薛毅 飞
摘 要 : 随 着It nt 术 发展 , 算机 网络 正在 逐 步 改 变A 4 的 生产 、 生 活及 ne e r 技 计 .] r 工作 方 式 。但 计 算 机 网络技 术 的迅 速 发 展 计 算机 网络 安 全 问题 也 日益 突显 ,这就 要 求 我 们 必 须采 取 强有 力 的措 施 来保 证 计 算机 网络 的安 全 。我 们 必须 站在 全球 化 的 高度上 来考虑 ,在保 障 网络 资源的安全的 问题 上 ,防火墙的构建是 关键 的部 分 。 本 文对 计 算 机 网络 安 全 技 术发 展 现 状 、防 火墙 技 术进 行 了探 讨 与 分析 。 关键词 :计算机 网络技术 ;防火墙技术 ;安全体 系结构;网络安全
木马程序设计及植入技术
中南大学本科生毕业论文(设计)题目木马程序设计及植入技术学生姓名______________指导教师_______ _________学院__ __专业班级______________完成时间[都是些细节小问题,细心下噻,另正文页码直接用数字就行了]摘要黑客技术是当今最火热的一个领域,近年来,黑客攻击层出不穷,对网络安全构成了极大的威胁。
木马是黑客的主要攻击手段之一,它通过渗透进入对方主机系统,从而实现对目标主机的远处操作, 破坏力相当之大。
本文综合了木马的发展过程,木马的类型,分析了各种木马的特点,揭示了木马的隐藏方法、特点,及木马的通信方式。
本文简要分析了Windows操作系统的安全机制,防火墙,防病毒软件的工作原理和木马防范的方法,重点研究了一个木马的设计及Visual C++的实现。
本文设计的不是通常木马C/S结构,它旨在发送键盘记录的文件,所以它有两个重点部分,本地信息收集部分,以及信息发送部分。
信息收集主要是实现被植入机器的记事本程序的键盘记录,当记事本的程序运行时,程序中的键盘钩子就开始工作,并且记录下键盘上的记录。
在信息发送部分,本文采用了发送email的形式,这样虽然比较原始,但是这种方式可以避免频繁地打开端口。
同时本文在木马隐藏部分也做了不少工作。
在Win9x与Windows NT方面都做的不错。
在Win9x下将木马注册为系统服务,并且使其在进程中消失,在Windows NT 中,将其进程名变为svchost.exe,使得其足够能够迷惑系统管理员。
木马运行后将自动将自身复制到系统目录下,并且将其命名为一个类似系统文件的名字,使得管理员在众多的系统文件中,不敢轻易删除文件。
为了尽量防止杀毒软件和防火墙警报,并且努力避免被系统管理员的察觉,减少被发现的概率,在通信部分,采用严格控制邮件发送的次数和时间发送邮件的办法,并且在发送邮件前杀死防火墙进程,使其逃避防火墙的报警。
关键词[:,小四号加粗宋体,英文同]计算机安全, 木马 , 键盘钩子, Email, 进程隐藏ABSTRACTThe hacker technology nowadays is the angriest field. I n recent years, the hacker’s attacks appear endlessly. it is a great threat to network’s security. The Trojan horse is one of the hacker's main attack means, that illegally gains access to another host computer system and to obtain secret information or monitor special operations .so it is quiet serious.This text comprehensive evolution of Trojan horse and the type of Trojan horse, it also analyses the characteristics of different Trojan horse and announce the method and characteristics of hiding , and the communication way of the Trojan horse.This text has analyzed the security mechanism of Windows operating system and the principle of the fire wall[firewall,后同] and anti-virus software briefly , and make a key research on the design of a Trojan horse and realization with Microsoft Visual C++. This text doesn’t designs the usually structure of C/S, aiming at sending the file that the keylog is written down, so it has two key parts, one of them is part of local information gathering keyboard information , the other part is sending information. Information gathering is mainly to realize the notepad keyboard record of the computer which Trojan horse has been planted into 。
巧用“防火墙”轻松做免杀
后的文件放到指定衷件夹” 选项中, 设置解密后木马程序的
存放 目 , 里可 以选 择系统 根 目录 、 统 目录 和临时 目录 等 录 这 系 ( 图5 。 以上设 置 全 部完 成后 , 如 )待 点击 “ 加密 ” 按钮 就可 以
对 木 马程 序进 行加密 了a 次 , 这 小胖 再用杀 毒软件进 行扫描 ,
成” 钮, 按 完成 对 木 马 程 序 特 征码 的修改 ( 图4 。 如 )
2
“ 杀这 就做 好 啦 ? 小 胖兴 奋 地 问道 。 免 ” 我对 小胖说 :“ 你先 用杀毒 软件 扫描
—
下 刚刚我们 新建 的文 件夹 , 看 免杀 的效 果如 何吧 ! 看 ”不出我所 料 , 经小 胖这一
- 痛并快 乐着
全被杀 光啦 !
注: 本文仅 是技 术研究, 文中 关软件有技术研 究兴 趣的读者可在 网上搜 索下载。 相
关闭杀毒软件 , 排除干扰
的确 , 现在 的杀 毒软件越 来越厉 害, 以木 马程 序的存 活周期也越 来越 短 , 所 不
切 换 到 《 枫 文件 防火 墙 》的主 窗 冰
口, 击 “ 二 步”中 的 “ 续”按 点 第 继
钮, 让程 序 再 次对 文件 夹中 的木 马 进行处理 ( 如图3 。 时小胖说 道 : )这 “ 我还 以为一 步就可 以搞 定了' 接下 来 不会 还 有 第 三 步操 作 吧 ?” 拉 我 着他 的手激 动 地说 : 兄弟 , 喜 你 “ 恭
嘿 , 杀 通过 了! 免
加 密文件 , 制作免 杀
一
听 说 还 需要 逐个 测试 , 小胖 的兴 奋劲 儿—下 子就 没有
了 于是 我安 慰他说 “ a 除了r 的方 法外 , 还可 以使用 ‘ 上面 咱 文 件 加 密 ’ 能 制作 免 杀 , 就 不用逐 个 测试 了 ” 到小 胖又 功 你 a 看
通信网络安全防护技术的研究与应用
通信网络安全防护技术的研究与应用近年来,随着信息技术的快速发展,通信网络的普及率越来越高。
大量的个人信息、重要数据和信息交流都依赖于通信网络进行传输。
然而,随之而来的问题是网络安全问题。
网络黑客、病毒、木马等非法入侵,泄露信息的问题也在不断加剧。
因此,通信网络安全防护技术的研究和应用显得尤为重要。
首先,我们需要清楚通信网络安全的概念。
通信网络安全是指在计算机网络中保护网络数据和通信系统不受未经授权的访问、窃取、破坏、篡改及其它威胁的一系列措施。
通信网络安全工作的核心是及时发现并防止网络安全威胁,保护我们的网络安全。
目前,通信网络安全防护技术主要包括以下几个方面:一、入侵检测技术。
入侵检测系统可以帮助网络管理员及时发现入侵行为并应对,减少安全暴露时间。
入侵检测技术可以分为基于网络的入侵检测和基于主机的入侵检测两类。
其中,基于网络的入侵检测技术主要是采用网络流量分析技术、基于特征的入侵检测技术和统计异常检测技术等;而基于主机的入侵检测技术主要包括主机配置文件审计、主机软件行为监测等。
二、防火墙技术。
防火墙是指嵌入在网络中的一台服务器,负责控制内外部之间的网络通信,通过制定策略来保障内部网络的安全。
防火墙技术包括基于包过滤的防火墙、基于代理的防火墙、基于状态的防火墙等。
三、加密技术。
加密技术是将明文转换成密文的技术,使得未经授权的访问者不能轻易破解从而获取信息。
加密技术包括对称密钥加密、非对称密钥加密等。
其中,非对称密钥加密更为安全,因为它使用的是两个密钥,一个作为公开密钥,一个作为私有密钥,保障信息的安全性。
四、蜜罐技术。
蜜罐指埋在网络中的虚拟计算机,它没有实际的使用价值和功能,只是为了吸引黑客。
蜜罐技术通过监控和记录攻击者的入侵行为和进攻方式,从而为通信网络安全提供重要的信息和依据。
通信网络安全防护技术的研究和应用旨在保障网络信息的安全和可靠性,我们应该始终关注技术的发展和应用。
不断地完善通信网络安全防护技术,并保持高度警惕和敏锐的嗅觉,及时采取防范措施,才能实现通信网络的安全和可靠。
特洛伊木马攻击分析与检测技术研究
本 进 程 与 端 口之 间 的映 射 , 同时 扫 描 注 册 表 ,扫 描 系统 的 是 典 型代 表之 一 ;
I 文 件等 几种 方 法相 结合 ,实现 了一 个 检测 特洛 伊 木马 NI 攻 击 的工具 ,能够 检 测各类 利 用 TCP、UDP等 进行 通讯 的木 马 ,加强 了 网络安 全 。
—
侵。
许 多黑 客软 件 在 注册 表 中 将 木 马 程 序 设 置 为 自动 运 行 。而在 注册 表 中可设 置 成 自动运 行 的方法 有三 类 :
( )一 进 入 W id ws 自动运 行 ,这 是最 常 见的项 , 1 no 就
也 是许 多对 注册 表 了 解 的 W i ndo 用 户 所熟 知 的地方 。 ws
() 在 任务 管 理 器 中 出现 一些 陌 生且 奇 怪 的 进程 名 , 4
它们 明 显不 应该 出现 在这 里 。
出现 上述 现 象 , 明用 户计 算机 有可 能 中 了木 马 ,当 说 然 , 有可 能 是其 他病 毒在 作怪 。 洛 伊 木马具 有 隐蔽性 , 也 特 这 是 木马程 序 的一 大特 点 ,同时也 是 它与 远程控 制 类软 件
例如:
H K EY —L 0 C A L—M A C H I E\S0 FE W A R E \ N M ir s f i o s c o o W nd w \Cure t r in\Ru r n Ve so n。
特 洛伊 木 马 是一 种基 于 C/S架 构 的 网络 通信 软件 ,
一
()计算 机 有时 死机 , 时又 重新 启动 ; 1 有 ()莫名其妙地 读写硬盘或软 驱 , 驱莫名其妙地开 仓 2 光 () 用户 并没 有 运 行大 的程 序 , 3 系统速 度 变慢 , 系统
(7)特洛伊木马及防范技术
反弹端口
反弹端口型木马分析了防火墙的特性后发现: 防火墙对于连入的链接往往会进行非常严格的过 滤,但是对于连出的链接却疏于防范。于是,与 一般的木马相反,反弹端口型木马的服务端(被 控制端)使用主动端口,客户端(控制端)使用 被动端口,木马定时监测控制端的存在,发现 控 制端上线立即弹出端口主动连结控制端打开的主 动端口,为了隐蔽起见,控制端的被动端口一般 开在80,这样,即使用户使用端口扫描软件检查 自己的端口,发现的也是类似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情况,稍微疏 忽一点你就会以为是自己在浏览网页。
•
信息安全研究中心
木马的一般入侵过程
• 制造木马 设计、编码、配置 • 传播安装 浏览网页、下载软件、上网聊天、发送邮件 • 启动木马 自动启动、关联启动、驱动木马、dll木马 • 建立链接 固定端口、可变端口、反弹端口、ICMP • 远程控制 远程监控、文件操作、系统修改
信息安全研究中心
特洛依木马及防范技术
信息安全研究中心
通讯技术
• 寄生端口(重用端口):将木马的通信连接绑定在通用 端口上(比如80),通过这些服务端口发送信息。因为 木马实际上是寄生在已有的系统服务之上的,因此,扫 描或查看系统端口的时候是没有任何异常的。 反弹端口(反向连接):反弹端口型木马的服务端(被 控制端)使用主动端口,客户端(控制端)使用被动端 口,木马定时监测控制端的存在,发现 控制端上线立即 弹出端口主动连结控制端打开的主动端口。 不用端口:使用ICMP协议进行通讯。由于ICMP报文由 系统内核或进程直接处理因而不通过端口传递数据。
信息安全研究中心
特洛伊木马
木马又称特洛伊木马(trojan horse),它是一种远程控制类黑 客工具。木马的运行模式属于C/S模式,它包括两大部分,即客户端 和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服 务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。 如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程 序就会自动运行,来应答客户机的请求。
防火墙技术
防火墙技术7.3.1 防火墙技术概述1.防火墙的概念古代人们在房屋之间修建一道墙,这道墙可以防止发生火灾的时候蔓延到别的房屋,因此被称为防火墙,与之类似,计算机网络中的防火墙是在两个网络之间(如外网与内网之间,LAN的不同子网之间)加强访问控制的一整套设施,可以是软件,硬件或者是软件与硬件的结合体。
防火墙可以对内部网络与外部网络之间的所有连接或通信按照预定的规则进行过滤,合法的允许通过,不合法的不允许通过,以保护内网的安全,如图7-4所示。
防火墙图7-4 防火墙随着网络的迅速发展和普及,人们在享受信息化带来的众多好处的同时,也面临着日益突出的网络安全问题,事实证明,大多数的黑客入侵事件都是由于未能正确安装防火墙造成的。
2.防火墙的作用和局限性防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域和安全区域。
防火墙的基本功能主要表现在:(1)限制未授权的外网用户进入内部网络,保证内网资源的私有性;(2)过滤掉内部不安全的服务被外网用户访问;(3)对网络攻击进行检测和告警;(4)限制内部用户访问特定站点;(5)记录通过防火墙的信息内容和活动,为监视Internet安全提供方便。
值得注意的是,安装了防火墙之后并不能保证内网主机和信息资源的绝对安全,防火墙作为一种安全机制,也存在以下的局限性:(1)防火墙不能防范恶意的知情者。
例如,不能防范恶意的内部用户通过磁盘拷贝将信息泄漏到外部;(2)防火墙不能防范不通过它的连接。
如果内部用户绕开防火墙和外部网络建立连接,那么这种通信是不能受到防火墙保护的;(3)防火墙不能防备全部的威胁,即未知的攻击;(4)防火墙不能查杀病毒,但可以在一定程度上防范计算机受到蠕虫病毒的攻击和感染。
防火墙技术经过不断的发展,已经具有了抗IP假冒攻击、抗木马攻击、抗口令字攻击、抗网络安全性分析、抗邮件诈骗攻击的能力,并且朝着透明接入、分布式防火墙的方向发展。
但是防火墙不是万能的,它需要与防病毒系统和入侵检测系统等其他网络安全产品协同配合,进行合理分工,才能从可靠性和性能上满足用户的安全需求。
APT攻击揭秘之特种木马技术实现
APT攻击揭秘之特种木马技术实现A d v a n c e d P e r s i s t e n t T h r e a t冷风你叫什么名字?我叫冷风你从哪里来呢?我来自天融信阿尔法实验室你是干啥的?技术方向,木马,分析、编写你的心情如何?鸡冻…………………………………………………………整体目录一、特种木马是什么四、特种木马与杀软对抗三、特种木马与防火墙对抗五、特种木马所具备的功能二、HID攻击介绍特种木马是什么?穿越到4年前,震网病毒爆发时期特种木马是什么?震网(Stuxnet)是一种Windows平台上的计算机蠕虫,该蠕虫病毒已感染并破坏了伊朗的核设施,使伊朗的布什尔核电站推迟启动。
木马如何进入隔绝的内网?特种木马是什么?敏感的网络都是物理隔离的,特种木马如何穿透隔离?1、HID攻击方式2、HID开发环境3、HID攻击效果4、HID技术瓶颈HID攻击特种木马是什么?特种木马是什么?Teensy是一个基于USB接口非常小巧而又功能完整的单片机开发系统,它能够实现多种类型的项目开发和设计。
Teensy为开源项目,任何有能力有技术的都可以生产定制。
其中PJRC是最优秀的或者说商业化最好的生产商。
1.2HID开发环境特种木马是什么?安装完Arduino IDE之后,还需要Teensy芯片的SDK支持库,就可以进行开发了,开发语言类似于c 语言。
1.3攻击效果特种木马是什么?把Teensy插入到电脑USB接口后,会自动打开,运行对话框,键入相应的命令并运行。
1.4HID技术瓶颈特种木马是什么?Teensy 芯片,可以发起攻击,但是如何隐蔽执行,却是一个大大的问题。
对抗防火墙5、注入白名单通讯1、穿代理2、绕过流量监控地址检测3、多协议4、协议加密穿透IPS/IDS2.1穿代理代理程序以ISA为例子2.2绕过流量监控和恶意地址检测防火墙有恶意地址检测恶意程序把数据传输到公共网络2.3多协议同时兼容TCP、UDP、HTTP、DNS等2.4协议加密穿透IPS/IDS防火墙流行远控通信被加入特征库2.5注入白名单通讯特种木马是什么?把通讯功能注入到白名单进程中防火墙认为白名单程序通讯放行对抗杀毒软件1、绕过卡巴斯虚拟机查杀2、绕过小红伞启发式查杀3、绕过3604、对抗杀毒软件提取样本5、对抗样本上传6、检测虚拟机7、白加黑绕过大多杀软特种木马是什么?3.1绕过卡巴斯基为代表的虚拟机1、如何检测到虚拟机环境2、根据父进程判断3、采用特殊消息判断3.2绕过小红伞、NOD32为代表的启发式高启发102030405060把功能做成shellcode 或者使用动态获取api 针对启发式面杀效果好3.3绕过360非白即黑查杀特种木马是什么?传统思路绕过困难且不稳定以正规渠道申请白名单绕过3.4对抗杀毒软件提取样本特种木马是什么?程序与秘钥分离一次性木马3.5对抗病毒样本上传特种木马是什么?把增大到几百兆或者上GB3.6检测虚拟机停止执行特种木马是什么?检测VM、VPC虚拟机,防止分析白加黑的意思就是利用杀毒软件所信任的软件程序,来安装启动或加载攻击者自己的恶意程序,以达到绕过杀毒软件的目的。
“摆渡”木马工作原理及防范措施
传播途径更加广泛
随着网络攻击技术的不断发展,摆渡 木马的传播途径也将更加广泛,攻击 者可以通过各种途径,如社交媒体、 电子邮件、恶意网站等,散播摆渡木 马,以增加攻击的范围和效果。
“摆渡”木马的未来展望
防御技术不断提升
随着网络安全技术的不断发展,防御摆渡木马的手段也 将不断提升,安全软件将更加具有检测和防范摆渡木马 的能力,攻击者将面临更大的挑战。
一旦被触发,摆渡木马 会通过网络与控制端建 立连接,并接收来自控 制端的命令。
控制端可以通过摆渡木 马将恶意文件传输到被 感染主机上,或者从被 感染主机上窃取敏感信 息。
摆渡木马会执行来自控 制端的命令,如记录键 盘输入、窃取用户密码 等。
摆渡木马会将执行结果 反馈给控制端,以便攻 击者掌握攻击进展和效 果。
强大的破坏性
广泛传播性
摆渡木马可以破坏系统的稳定性和安全性, 导致数据丢失、隐私泄露、计算机系统崩溃 等严重后果。
摆渡木马可以通过网络、移动存储设备等多 种途径传播,造成大规模的感染和破坏。
“摆渡”木马的历史与发展
“摆渡”木马是一种较为古老的恶意软件,早在20世纪末 就已出现。最初它主要通过邮件和网络下载传播,用于攻 击个人计算机系统。
随着网络技术的发展和普及,摆渡木马逐渐发展成为一种 大规模的网络攻击工具。攻击者可以利用它控制受害者的 计算机系统,进行窃取、篡改、删除等恶意操作,甚至可 以用来制造僵尸网络、发动DDoS攻击等。
02
“摆渡”木马的工作原理
“摆渡”木马的传播方式
01
伪装成正常软件
02
网络钓鱼
摆渡木马通常会伪装成正常软件,如 文本编辑器、媒体播放器等,通过社 交工程手段诱骗用户下载安装。
网络防火墙技术研究
科学之友 Friend of Science Amateurs 2008 ̄-os ̄(is)围 网络防火墙技术研究 张莹莹 (装甲兵技术学院,吉林长春130117)
摘要:文章论述了网络防火墙的发展、分类及其主要技术。 关键词:防火墙;发展;技术 中图分类号:TP393.08文献标识码:A 文章编号:1000—8136(2008)15—0145—02
21世纪人类步人网络时代,因特网的迅速发展,提供了发布 信息和检索信息的场所,但它也带来了信息污染和信息破坏的危 险,网络安全已成为各类用户面临的一个重要问题。尤其是企业 级用户,随着网络应用的深人,更需要配备能有效阻止侵人计算 机系统的防护系统,防火墙就是一种非常有效的网络安全模型。 网络防火墙是一种用来加强网络之间(如可信任的企业内 部网和不可信的公共网)访问控制,能根据企业的安全政策控制 (允许、拒绝、监测)出人网络的信息流,防止外部网络用户以非 法手段通过外部网络进人内部网络访问内部网络资源,保护内 部网络操作环境的特殊网络互联设备。它是提供信息安全服务, 实现网络和信息安全的基础设施。 防火墙作为不同网络或网络安全区域之间信息的唯一出人 口,它可以对网络通信进行扫描,过滤掉一些攻击,以免其在目 标计算机上被执行;关闭不使用的端口;禁止特定端口的流出通 信,封锁特洛伊木马;禁止来自特殊站点的访问,从而防止来自不 明人侵者的所有通信,有效地监控内部网络和因特网之间的任何 活动,保证了内部网络的安全,并且本身具有较强的抗攻击能力, 是抵御人侵者的第一道安全防线。
1 防火墙的发展史 自从1986年美国Di tal公司在因特网上安装了全球第一 个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞 速地发展。防火墙的发展分为5个阶段,每一阶段在技术上都是
一次突破。 1.1第一代防火墙 第一代防火墙技术几乎与路由器同时出现,采用了包过滤
工件受热变形等引起的,各个影响凶索所造成的误差数值都可 以单独计算出,例如计算工件直径的热膨胀登: Ag=Ad=nd△£=一adFzvTk
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
学术研究Academic Research
信息安全与通信保密・2007.1145宋柳松,吴少华,周安民(四川大学信息安全研究所,四川 成都 610064)
【摘 要】论文介绍了windows平台下个人防火墙常用的网络数据包截获技术(NDIS-HOOK技术和中间层驱动技术)的原理、特点和不足,以及特洛伊木马如何穿透各种基于不同数据包截获技术的个人防火墙,并以此为基础,提出改进个人防火墙的一些建议和设想。【关键词】个人防火墙;NDIS-HOOK;中间层;特洛伊木马【中图分类号】TP309 【文献标识码】A 【文章编号】1009-8054(2007) 01-0145-03
Study on the Technology of Trojan 's Penetration Through Personal-firewallSong Liusong, Wu Shaohua, Zhou Anmin(Information Security Insitute, Sichuan University, Chengdu 610064, China)【Abstract】This paper introduces personal-firewall network datapacket intercepting technology on windows platform,including the principle, characteristics and shortcomings of NDIS-HOOK and intermediate NDIS driver, and explainshow the Trojan horse penetrates the firewall in network communication. As a conclusion, some personal advice andpresumption on improvement of personal-firewall are mentioned.【Keywords】personal-firewall; NDIS-HOOK; intermediate NDIS drivers; Trojan
木马穿透个人防火墙技术研究
收稿日期:2006-7-28作者简介:宋柳松,1982年生,男,重庆永川人,在读硕士研究生,研究方向为信息安全。吴少华,1977年生,男,福建福安人,讲师,研究方向为信息安全。周安民,1963年生,男,四川成都人,研究员,研究方向为信息安全。
1 引言随着个人防火墙技术日趋成熟,传统木马已经无法穿透当前大多数个人防火墙。个人防火墙技术的成熟必定伴随着木马技术的提高,不久之后,必将出现具有穿透当前主流防火墙能力的木马。本文将介绍当前主流的个人防火墙使用的网络数据包截获技术,并提出一些穿透防火墙的有效方法,最后,针对可能出现的新的木马技术提出增强个人防火墙监测能力的一些建议。2 数据包截获技术2.1 基于NDIS-HOOK技术的网络封包截获NDIS协议驱动程序初始化时维护一张NDIS_PROTOCOL_CHARACTERISTICS表,这张表中存有所有协议驱动程序与底层的派发函数的入口[2]。系统以该表为参数调用NDIS API函数NdisRegisterProtocol进行注册。以下是重新定义的NdisRegisterProtocol原型。EXPORT VOIDNdisRegisterProtocol(OUT PNDIS_STATUS Status,OUT PNDIS_PROTOCOL_BLOCK NdisProtocolHandle,IN PNDIS_PROTOCOL_CHARACTERISTICSProtocolCharacteristics,IN UINT CharacteristicsLength)NDIS_PROTOCOL_BLOCK(协议表)是NDIS维护所有系统中已注册协议的单向链接表。注册新的协议时,NDIS会把新注册的协议放在链表的头并返回这张表,所以只要注册一个新的协议,通过返回的链表头就遍历系统中所有协议表,并勾挂表中的派发函数,实现网络封包截Academic Research学术研究www.cismag.com.cn146
获[2]。NdisRegisterProtocol在注册完一个协议后,NDIS调用表中BindAdapterHandler派发函数完成对每一个网卡的BINDING。BindAdapterHandle处理程序会根据需要使用NdisOpenAdapter将自身绑定到适合的网卡,并返回NdisBindingHandle。NdisBindingHandle其实是指向NDIS_OPEN_BLOCK表的一根指针,当协议顺利的绑定后,每个绑定的网卡和每一个协议之间会建立一条数据传输的通道,而NDIS_OPEN_BLOCK就是用来维护这一数据通道的表。当第N块网卡发送数据包到第N个协议时,就会调用第N个协议与第N个网卡之间建立的NDIS_OPEN_BLOCK表里的SendHandler或SendPacketHandler。所以还需要对这张表里的派发函数进行处理(勾挂)。2.2 基于中间层驱动的网络封包截获中间层驱动有一个Miniport上边界和一个Protocol下边界。对于协议驱动,中间层驱动相当于一个Miniport驱动,而对于Miniport驱动,中间层驱动相当于一个Protocol驱动。应用程序的数据经协议驱动封装后,到达中间层驱动,这里中间层驱动可以对数据进行处理后再向网卡驱动发送。同样,当底层Miniport驱动收到数据包时,首先进行处理的是中间层驱动,之后才向上层的Protocol驱动转发。这就是基于中间层技术的防火墙的截获过程。3 木马穿透防火墙技术3.1 针对基于NDIS_HOOK技术的防火墙首先,要确定防火墙是基于NDIS-HOOK技术,这类防火墙都会修改NDIS.sys中某些导出函数的地址,以NdisRegisterProtocol为例,首先在内存中找到NDIS.sys的基址,从导出表中查找NdisRegisterProtocol的偏移,从而获得函数的地址,将该地址与NDIS.sys基址比较,如果低于基址,那说明函数地址已经被修改,那防火墙很可能是基于NDIS-HOOK技术。然后,从被修改的函数地址开始向内存低址搜索,第一个模块基址就是防火墙所加载的驱动程序模块,得到了防火墙的驱动模块路径之后可以采用修改注册表禁止加载该模块或者替换该模块等不同处理方法。从图1、图2中可以发现,安装outpost防火墙后NDISAPI的入口地址(NdisRegisterprotocol:0xF8968E00)低于NDIS.sys的基址(这里是0xF9C65000)。而最近的低于NDIS API入口地址的模块正是防火墙的驱动模块(0xF8950000)。显然,防火墙用自身的函数入口地址替换了系统模块NDIS.sys导出的函数入口点地址。现在国外的防火墙比如卡巴斯基、Agnitum的outpost、ZoneAlarm的eTrust大多采用了NDIS-HOOK技术。3.2 针对基于中间层技术的防火墙中间层驱动会调用一些特定的NDIS接口NdisIMRegisterLayeredMiniport,借鉴NDIS-HOOK技术,将NdisIMRegisterLayeredMiniport进行HOOK,下面是该函数的原型:NDIS_STATUSNdisIMRegisterLayeredMiniport( IN NDIS_HANDLE NdisWrapperHandle, IN PNDIS_MINIPORT_CHARACTERISTICSMiniportCharacteristics, IN UINT CharacteristicsLength, OUT PNDIS_HANDLE DriverHandle)NdisWrapperHandle是之前调用NdisMInitializeWrapper函数所返回的句柄,MiniportCharacteristics是注册miniport上边界的接口函数的列表,DriverHandle是输出参数,这些参数都不能修改,否则会导致蓝屏。这里我们让该函数返回一个失败的状态值,这导致中间层驱动的初始化的失败,从而导致防火墙的初始化失败,目的完成。
4 个人防火墙改进建议当前主流的个人防火墙大多采用NDIS-HOOK和中
图1 防火墙驱动模块在内存中的地址和路径图2 被修改后的NDIS API的入口地址学术研究Academic Research
信息安全与通信保密・2007.1147间层技术截获网络数据包,因此,在这里基于以上对这几类个人防火墙特点的分析提出一些改进建议:—增强对防火墙关键模块的保护。增强对关键模块的保护以及个人防火墙关键信息,比如启动信息的隐藏将有效避免木马对个人防火墙本身的篡改。这里可以借鉴windows2000对关键模块的保护技术,建立原始的模块库,对被篡改的模块进行还原。—控制不明驱动程序的加载。驱动程序工作在内核,对内核具有最高访问权限。要监控工作在内核模式下的木马程序,必须具有监控驱动程序的能力。—对关键接口的保护。在穿透passthru程序的实验中,通过对NdisIMRegisterMiniport接口进行HOOK,来让该函数返回期望的结果。对关键接口的保护将有效地降低这类木马对系统的威胁。—混合采用多种数据包截获技术。5 总结本文描述了在Windows下个人防火墙所采用的网络数据包拦截技术,分析了各种技术的原理和不足,以及木马要穿透防火墙所可能采用的技术,并提出了改进个人防火墙的一些建议。本文所有例子测试环境为win2000sp4,VC++6.0,测试NDIS-HOOK技术所用的防火墙为OutPost Firewall,中间层技术是引用win2000DDK提供的passthru程序。
参考文献[1] MSDN Library for Windows DDK[Z].Microsoft Corporation,2001.[2] 叶小虎. Windows下的个人防火墙-网络数据包拦截技术概览[J]. 绿盟科技,2003.
险。一般要求项关系到较低的安全风险,它们中的每一大项分为若干小项,每一小项的测评结果分为“合格”、“基本合格”和“不合格”三种情况。大项的结果判据如下:—如果一个大项中所有小项均为“合格”,则该大项为“合格”。—如果一个大项中“不合格”的小项超过40%,则该大项“不合格”。—除上述两项以外的其它情况,为“基本合格”。(2) 检测结论判据。—基本要求项中有一个大项“不合格”,检测结论即为“不合格”。—基本要求项中60%(含60%)“合格”,其它基本要求项为“基本合格”,且一般要求项中60%以上(含60%)“合格”,检测结论即为“合格”。—除上述两项以外的其它情况,检测结论即为“基本合格”。(3) 检测意见、专家评估意见与测评结论的关系。—检测意见认为“不合格”,待整改复测后,再召开专家评估会进行评估。—检测意见认为“合格”,专家评估意见认为“基本合格”,则测评结论为“基本合格”。—检测意见认为“基本合格”,专家评估意见认为“不合格”,待整改复测后,再给出测评结论。5 结语本文针对涉密信息系统自身的特殊性要求,对涉密信息系统的安全风险评估与安全测评具体实施方法做了初步探讨,从实践角度解释了两者目的、流程、实施等方面的区别,希望引起涉密信息系统的安全风险评估与安全测评实施方的注意,也为进一步探讨提供基础资料。下一步研究方向为涉密资产的摸底及风险分析。