计算机木马病毒介绍[共20页].ppt

第五章,计算机木马病毒介绍,木马病毒基础,木马病毒的定义 3000多年前特洛伊王国及古希腊战争把战场上巨大的木马带回自己的王国而带来的沦陷 在Internet网络上下载的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,它们让被害的计算机对着未知的入侵敞开了大门,使得受害的系统和数据暴露在混乱的网络世界里,,木马病毒的工作原理,计算机木马的定义: 能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序 客户端(控制端)和服务器端 木马植入计算机过程 入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播目的当服务器端被受害者计算机执行时,便将自己复制到系统目录,并把运行代码加入系统启动时会自动调用的区域里,借以达到跟随系统启动而运行,这一区域通常称为启动项.当木马完成这部分操作后,便进入潜伏期__偷偷开放系统端口,等待入侵者连接. 木马入侵的主要途径 邮件附件、下载软件，以一定的提示故意误导被攻击者打开执行文件，文件很小 几K到几十K 木马可以通过Script ActiveX Asp.CGI交互脚本的方式植入（漏洞） 客户端与服务器成功运行后，在通信协议上大多采用TCP/IP少数使用UDP协议进行通讯 当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现，同时监听某个特定的端口，等待客户与其取得连接，另外为了下次重启计算机时仍然能正常工作，木马程序一般会通过修改注册表或者其他方法让自己成为自启动程序,特洛伊木马具有的特性,包含在正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性。

木马执行远程序控制及正常远程控制程序的差别 不产生图标 木马在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图际 木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统 具有自动运行性 在系统启动时即跟随着启动，所以必须潜入在你的启动配置文件中如win.ini system.ini winstart.bat及启动组等文件中 包含具有未公开并且可能产生危险后果的功能的程序 具备自动恢复功能 现在很多木马程序中的功能模块不再由单一的文件组成，而是具有多重备份，可以相互恢复 能自动打开特别的端口 功能的特殊性 除普通的文件操作以外，有此木马具有搜索cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标功能,木马病毒的判断,当你浏览一个网络，弹出一些广告窗口是很正常的事情，可是如果你根本没有打开浏览器，而浏览器突然自己打开，并且进入某个网站 系统配置老是自动被更改，比如屏保显示的文字，时间和日期，声音大小，还有CDROM自动运行配置 硬盘老没缘由的读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象 Netstata 通过端口扫描方法也可能发现一些弱智的木马， 软件来检查系统进程来发现木马,用基本命令检查电脑是否中了木马,检测网络连接 Netstat an 禁用不明服务 Net start net stop server 轻松检查账户 Net user net uset +用户名,木马的启动方式,木马的启动方式的概述: 自启动功能是优秀木马保证木马不会因为你的一次关机操作而彻底失去作用 木马编程人员不停地研究和探索新的自启动技术,并时常有新的发现 如:木马加入到用户经常执行的程序(explorer.exe)中,用户执行该程序时,则木马自动发生作用, 如:windows系统文件和注册表,木马的启动方式,1在win.ini中启动(load= run= 原为空 木马可改写如load=c:windowsfile.exe) 2在system.ini中启动(boot字段 shell=Explorer.exe 386Enh字段 driver=路径程序名 mic drivers drivers32) 3利用注册表加载运行(1、自己不熟悉自动启动文件扩展名为EXE2、伪装蒙混过关3、找到木马程序的文件名，再在整个注册表中搜索即可) 4在Autoexec.bat和 Config.sys中加载运行 （控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，不多见，） 5在winstart.bat中启动 （自动被windows加载运行的文件。

多数情况下为应用程序及windows自动生成） 6启动组（启动组对应的文件夹c:windowsstart menuprogramsstartup）,木马的启动方式,7*.INI（即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的只启动一次的方式：在winint.ini中用于安装较多） 8修改文件关联 修改文件关联是木马常用的手段，比方说正常情况下TXT文件的打开方式为Notepad.exe文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开（冰河木马）（） 对付这类木马，只能经常检查HKEY_Cshellopencommand主键，查看其键值是否正常 9捆绑文件 控制端和服务端已通过木马建立连接 控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除，只要运行捆绑木马的应用程序，木马又会安装上去,木马的启动方式,10反弹端口型木马的主动连接 服务端主动与客户端建立连接，监听端口一般开80，在没有合适工具，丰富的经验很难防范，如：网络神偷 ，要在注册表中建立键值 11另一种鲜为人知的启动方式，是在开始运行执行Gpedit.msc，设置用户添加的自动启动的程序，如果刚才添加的是木马程序，那么一个“隐形”木马就这样诞生了。

因为用这种方式添加的自启动程序在系统的“系统配置实用程序”找不到，在注册表中也是找不到 12还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法，那就是“系统路径遍历优先级欺骗” 在系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，它会由系统所在盘符的根目录开始向系统目录深处递进查找，而不是精确定位 这种手法常被用于“internat.exe”因为无论哪个windows版本的启动项里，它都是没有设置路径的,木马的种类,破坏型 惟一的功能就是破坏并且自动删除文件,(DLL、INI、EXE) 密码发送型 找到隐藏密码并把它们发送到指定的邮箱 密码存在电脑中 密码记忆功能 黑客软件长期潜伏记录操作者键盘的操作，从中寻找有用的密码 远程访问型 最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户端知道服务端的IP地址，就可以实现远程控制，实现观察“受害者”正在干什么， 程序中用的UDP协议 键盘记录木马 记录受害者的键盘敲击并且在LOG文件里查找密码 随着WINDOWS的启动而启动， 有和离线记录选项， 对于这种类型的木马，邮件发送功能也是必不可少的,木马的种类,DoS攻击木马 入侵一台计算机种上DoS攻击木马，此机成为日后DoS攻击的最得力助手 控制的肉鸡数量越多，你发动DoS攻击取得的成功率就越大 此类木马不体现在被感染的计算机，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成伤害和带来损失 类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪，不能接受邮件为止,木马的种类,代理木马 对被控制肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务 通过代理木马，攻击者可以在匿者的情况下用Telnet,ICQ,IRC等程序，从而隐蔽自己的踪迹。

FTP木马 惟一的功能就是打开21端口，等待用户连接，新的FTP木马还加上了密码功能，只要攻击者本人才知道正确的密码，从而进入对方计算机 程序杀手木马 程序杀手木马的功能就产关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用 反弹端口型木马 在分析防火墙特性后发现，进严出松规则 此类木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口；为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页,木马采用的伪装方法,修改图标 故意伪装成XTHTML等你可能认为对系统没有危害的文件图标，诱惑你打开 以JPG或其他图片格式的木马，不经意间执行了 捆绑文件 捆绑在安装程序上，安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统，一般捆绑在可执行文件（EXE，COM） 出错显示 在执行木马时提供一个出错显示的功能，在服务端被用户打开的情况下，弹出一个错误提示框 自我销毁 打开含有木马的文件后，木马会将自己拷贝到WINDWOS的系统文件夹下 源木马文件和系统文件夹中的木马文件大小是一样的，用户在近来收到的信件和下载的软件中找到源木马文件，根据大小去系统文件夹中找相同大小的文件，判断下哪个是木马就行了，而此种木马我自我销毁功能。

在没查杀木马的工具帮助下，就很难删除木马了,木马采用的伪装方法,木马更名 为了伪装自己木马服务端程序命名跟系统文件名差不多的名字，对系统文件不够了解，不敢删除（WINDOW .exe dl） 冒充为图像文件 将特洛伊木马说成为图像文件，比如说是照片 伪装成应用程序扩展组件 此类属于最难识别的特洛伊木马，黑客们将木马程序写成任何类型的文件（例如dll ocx）等然后挂在一个十分出名的软件中，在打开如OICQ时，有问题的文件即会同时执行 此类入侵大多也是特洛伊木马编写者，只要稍加改动，就会派生出一支新木马来，所以即使杀毒软件也拿它没有丝毫办法,被感染后的紧急措施,如果不幸你的计算机已经被木马光临过了，你的系统文件被黑客改得一塌糊涂，硬盘上稀里糊涂得多出来一大堆乱七八糟的文件，很多重要的数据也可能被黑客窃取 所有的账号和密码都要马上更改， 删除所有你硬盘上原来没有的东西 检查一次硬盘上是否有病毒存在,木马常见的入侵方式,1、修改批处理 Autoexec.bat（自动批处理，在引导系统时执行） Winstart.bat（在启动GUI图形界面环境时执行） Dosstart.bat（在进入MS-DOS方式时执行） 如：在编辑c:windowsdosstart.bat,加入:start notepad,当你进入MS-DOS方式时，就可以看到记事本被启动 2、修改系统配置 System.ini win.ini达到自动运行的目的 如：在win.ini文件中： windows Load=程序名 Run=程序名 在system.ini文件中 boot Shell=explorer.exe,木马常见的入侵方式,3、借助自动运行功能 利用硬盘支持自动运行的方式编写autorun.inf 此程序运行后还会替你打开硬盘，让你难以查觉 4、通过注册表中的Run来启动 5、通过文件关联启动 Exefile txtfile regfile unknow关联 为了防止用户恢复注册表，用此法的黑客通常还连带谋杀scanreg.exesfc.exeextrac32.exeregedit.exe,木马常见的入侵方式,通过API HOOK启动 通过替换系统DLL文件，让系统启动指定的程序（中奖后重装系统） 通过VXD启动 通过把木马写成VXD形式加载，直接控制系统底层极为罕见（中奖后重装系统） 通过浏览网页启动 利用java applet 先利用HTML把木马下载到你的的缓存中，然后修改注册表，指向其程序 利用系统自动运行的程序 覆盖这些文件，不必修改任何设置系统就会自动执行它们 名字欺骗技术和运行假象与之配合,木马的防范与查杀,清除木马不如平时预防,“防患于未然”是保护系统安全的上策，大家平。