木马的入侵的手段
木马入侵手段及防范措施
前言
木马,全称特洛伊木马(Trojan horse),这个词语来源于古希腊神话,在计算机领域是一种客户/服务器程序,是黑客最常用的基于远程控制的工具。目前,比较有名的国产木马有:“冰河”、“广外女生”、“黑洞”、“黑冰”等;国外有名的木马则有:“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大,因此,如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。
1 木马的实现原理及特征
1.1 木马的实现原理
从本质上看,木马都是网络客户/服务模式,它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。
当攻击者要利用木马进行网络入侵,一般都要完成“向目标主机传播木马”,“启动和隐藏木马”,“建立连接”,“远程控制”等环节。
1.2 木马的特征
一个典型的木马程序通常具有以下四个特征:隐蔽性、欺骗性、顽固性和危害性。
(1)隐蔽性:隐蔽性是木马的生命力,也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面:
a.不产生图标。木马虽然在系统启动时会自动运行,但它不会在“任务栏”中产生一个图标。
b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。
(2)欺骗性:木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名,如dll、win、sys、explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常常修改几个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中而已。
(3)顽固性:很多木马的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。当木马被检查出来以后,仅仅删除木马程序是不行的,有的木马使用文件关联技术,当打开某种类型的文件时,这种木马又重新生成并运行。
(4)危害性:当木马被植入目标主机以后,攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码,控制系统的运行,进行有关文件的操作以及修改注册表等。
2 木马入侵手段
木马能不能完全发挥它的功能和作用,关键一步就是能否成功地进入到目标主机。随着网络知识的普及以及网络用户安全意识的提高,木马的入侵手段也随着发生了许多变化。
2.1木马的传统入侵手段
所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式,主要有以下几种:
1)电子邮件(E-mail)进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。
2)网络下载进行传播:一般的木马服务端程序都不是很大,最大也不超过200K,有的甚至只有几K。如果把木马捆绑到其它正常文件上,是很难发现的。一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的方法传播:由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面,他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。
3)网页浏览传播:这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,Java Applet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。
4)利用系统的一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。
5)远程入侵进行传播:黑客通过破解密码和建立IPC$远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\WINDOWS\system32或者C:\WINNT\system32)中,然后通过远程操作让木马程序在某一个时间运行。
2.2 木马入侵手段的发展
以上的木马入侵手段虽然使用广泛,但也很容易引起用户的警觉,所以一些新的入侵手段也相继出现,主要有:
1) 基于DLL和远程线程插入的木马植入
这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。
DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后,需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间,即利用该线程通过调用Load Library函数来加载木马DLL,从而实现木马的传播。
2)利用蠕虫病毒传播木马
以前的木马传播大都比较被动,而使用E-mail传播效率又太低,系统漏洞很快又被打上补丁,所以在某种程度上限制了木马的传播能力。网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上大批量地进行传播、复制,这就加快了木马的传播速度,扩大了其传播范围。
3 木马的防范措施
为了减少或避免木马给主机以及网络带来危害,我们可以从两方面来有效地防范木马:使用防火墙阻止木马入侵以及及时查杀入侵后的木马。
防火墙是抵挡木马入侵的第一道门,也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接,防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查,在适当规则的限制下,如对通讯端口进行限制,只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是,仍然有一些木马可以绕过防火墙进入目标主机(比如反弹端口木马),还有一些将端口寄生在合法端口上的木马,防火墙对此也无能为力。因此,我们必须要能迅速地查杀出已经入侵的木马,并删除文件!
电脑中木马的简单识别方法和对策。
如何识别木马
木马程序一般分为客户端程序和服务端程序两部分,客户端程序用于远程控制计算机。而服务端程序,则隐藏到远程计算机中,接收并执行客户端程序发出的命令。所以当黑客通过网络控制一台远程计算机时,第一步就需要将服务端程序植入到远程计算机。为了能够让用户执行木马程序,黑客常常通过各种方式对它进行伪装,这种伪装就是我们说的木马画皮。自木马诞生以来,黑客们为了木马的隐蔽性,各种伪装伎俩可谓层出不穷,让人防不胜防。那么就让我们一起来练就一双火眼金睛,拆穿木马画皮伎俩,将这些不速之客拒之门外。
画皮第一计:图标伪装
伪装等级:★★★★
在Windows系统中,每种文件类型使用不同的图标进行表示,用户通过一种图标就可以轻易地判断出这是那种文件类型。黑客为了迷惑用户,将木马服务端程序的图标换成一些常见的文件类型的图标,这样当用户运行以后,噩梦也就开始了。
实例:黑洞2001服务端的安装程序使用了文件夹的图标,当你隐藏了已知文件类型的扩展名时,这个文件看上去就是一个文件夹,当你好奇地点击它,打算进去看看有什么文件的时候,潘多拉的盒子就打开了。
识别方法
平时我们在运行一个文件的时候,常常习惯于利用鼠标双击运行它,这样Windows系统首先会判断文件类型打开其关联程序,然后再打开这个文件。这样运行方法就很容易激活修改了图标的木马程序。其实,我们只需要换一种方式,就可以避免。比如我们看到一个文本文件的文件后,并不要双击打开它,而是首先打开记事本程序,然后通过“文件”菜单中的“打开”命令来打开这个文件,如果显示出的是乱码,那么这个“文本文件”就肯定有问题。
安全专家点评:更换图标是最基本的木马服务端的伪装方式,但是只使用这一种方式是远远不够的。黑客会将它和文件更名、文件捆绑等一系列的伪装方式进行组合,这样才能骗得用户运行。所以不要随意执行别人发来的文件,那怕他是你的朋友也要谨慎一些。
画皮第二计:改名换姓
伪装等级:★★★
图标修改往往和文件改名是一起进行的,黑客往往将文件的名称取得非常的诱人,比如“漂亮的妹妹”之类,骗用户去运行它。当木马服务端程序运行以后,服务端程序也会将自己的进程设置为和正常的系统进程相似的名称,从而使用户不容易产生怀疑,被其麻痹。
实例:如图2所示,这是笔者制作的木马服务端安装程序,它在电脑上显示为“漂亮的妹妹.bmp”。如果你把它当作一个图像文件来打开的话,笔者的木马也就在你的电脑中安营扎寨了。
识别方法
首先要明确,不论木马如何伪装自己的图标和文件名,它的后缀部分必须是一个可执行的扩展名,比如EXE、COM、BAT等,否则木马不会运行自己的代码, 在Windows系统的默认设置下会隐藏已知文件的扩展名,如果木马把自己的文件名改成了“XXX.bmp.exe”这个样子,扩展名“.exe”隐藏后,木马的文件名就会变成“XXX.bmp”,再给这个文件配一个图像文件的图标,这个文件就会变成“一只披着羊皮的狼”。在“文件夹选项”对话框中选取“隐藏已知文件类型的扩展名”选项,具体的操作为:打开资源管理器,在菜单栏选择“工具→文件夹选择”打开“文件夹选择”对话框,去掉“隐藏已知文件类型的扩展名”复选框中的小钩即可撕掉这部分木马的画皮。
安全专家点评:这种方式在利用P2P程序进行文件传输的时候常常用到,而且通常是和图标伪装一起使用,让用户防不胜防。所以无论从那里得到的文件,在使用以前都通过杀毒软件对它进行一番查杀最好。
画皮第三计:文件捆绑
伪装等级:★★★★★
文件捆绑就是通过使用文件捆绑器将木马服务端和正常的文件捆绑在一起,达到欺骗对方从而运行捆绑的木马程序。捆绑后的文件很有迷惑性,而且加上木马一般在后台运行,用户点击后不会出现什么异状,往往会在不知不觉中中招。
实例:笔者将木马程序捆绑在电子书后得到的文件,和文件捆绑后得到的文件并没有损害,用户点击后仍能够看到电子书中的内容。这种方法有很大的迷惑性。
识别方法
使用木马捆绑克星、FBFD等程序检查可疑的可执行文件,当文件进行了捆绑,程序就会出现类似“文件可能经过捆绑,请小心使用!”这样的提示。木马捆绑克星除了能检测出可执行文件中的其他程序,而且还能把捆绑在其中的程序分离出来。
安全专家点评:随着人们网络安全意识的提高,以前很多的黑客攻击手段已经得到了有效的遏制,可是利用文件捆绑来进行木马服务端程序的传播,却一直受到黑客的钟爱。所以用户在运行可执行文件时,一定要提高警惕。
画皮第四计:出错显示
伪装等级:★★★
绝大多数木马服务端安装时不会出现任何图形界面,因此,如果一个程序双击后没有任何反应,有经验的网民就会怀疑它是木马。为了消除这部分人心中的疑虑,黑客会让木马在被运行时弹出一个错误提示对话框。
实例:如今的木马程序,很多都有“安装完毕后显示提示”的选项,例如木马HDSPY,用户在配置服务端程序后,在“提示内容”输入框中输入需要的提示内容,例如“文件已损坏,无法打开”等。当用户运行服务端程序后,就会弹出我们设置的内容。
识别方法
如果该文件是木马程序,用户在看到了出错信息的时候往往已经中招。所以用户看到错误信息的时候要有所警觉,这个时候就要通过扫描系统端口判断自己是否中了木马。比如可以采用X-Scan对自己的系统进行扫描。如果发现可疑端口就要进行相应的查杀。
安全专家点评:这种方法虽然在早期可以骗得用户,但随着人们安全意识的提高,往往给人一种“画蛇添足”的感觉。
画皮第五计:自我销毁
伪装等级:★★★
大多数木马本身只有一个文件,它的安装程序其实就是木马服务端程序,当你双击了一个木马的安装程序后,它会把自己拷贝到系统目录或其它目录,因此,一些有经验的网民如果怀疑一个程序是木马,它会根据安装程序的大小在硬盘上搜索木马文件。为了对付这部分网民,一些木马设计了自我销毁的功能,当它把自己拷贝到系统目录或其它目录后,它会把自己删除,让你无据可查。
识别方法
对于这种方法就需要对系统的注册表进行即时监测和使用木马利用杀毒软件对系统以及注册表进行及时监控。一般木马会在系统注册表中留下痕迹。这个时候我们就可以根据这些蛛丝马迹揪出这些木马。
安全专家点评:利用这种方式进行木马种植的,主要是利用了网页木马和远程溢出等方式。因为黑客利用网页木马或远程溢出,都是在用户不知情的情况下,将木马植入远程系统的。既然远程用户不知情,利用木马的自我销毁功能就可以做到“来无影去无踪”。
画皮第六计:网页“嫁衣”
伪装等级:★★★★
网页木马是黑客成功利用了系统以及一些程序的漏洞,诱骗用户浏览某个特殊的网页,在用户浏览的时候,网页木马就会成功地利用系统的漏洞,从而将设置的木马服务端程序“悄悄地”安装到远程系统中。
实例:制作网页木马有很多现成的工具,动鲨网页木马生成器就是很优秀的一款,该木马生成器利用了微软的IE Help ActiveX控件漏洞绕过本地安全域。
识别方法
如果你在访问了一个不熟悉的网页后,计算机上网的速度突然下降,甚至出现假死的情况,那么就可能是中了网页木马了。大家可以在访问不熟悉的网页前用“view-source”这个IE命令查看网页的源代码。如果发现源代码中有iframe src="ww.XXX.htm" name="zhu" width="0" height="0" frameborder="0"之类的就不要访问了。
安全专家点评:利用网页木马传播木马服务端程序,是当前非常流行的一种方法。受害者在不经意之间就被种植了木马程序。对不熟悉的网页最好不要去访问,如果访问后系统出现问题要断网查杀木马。
画皮第七计:邮件附件
伪装等级:★★
通过电子邮件的附件,进行简单的文件传输,本来是为了方便用户。可黑客正是看中了这一点,通过伪造一些著名的企业或用户好友的邮件来欺骗用户,通过邮件附件来传播木马服务端程序。
实例:黑客在邮件附件中加入木马后,一般会使用比较有迷惑性的语句来骗取用户的信任。比如 “这是Windows最新的安全补丁程序,请运行后重新启动系统。”
识别方法
不要立即运行邮件附件,而是将它“另存为”到一个文件夹,然后对文件夹进行查杀检测,发现问题立即删除。
安全专家点评:利用电子邮件的附件,是最常见的木马和病毒的传播方法。一般没有经验的用户会上当中招。但是因为很多邮件系统自带杀毒系统,所以现在已经不是很流行了。”
黑客中那木马是什么啊?做什么用的? (我菜鸟..)
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
0条大神的评论