本文由yangzhen2204贡献
pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。
应 用 安 全
木马的实现原理、分类和实例分析
吴小博 湛江师范学院教育技术部 广东 524048 摘要:特洛伊木马程序是一种基于远程控制的黑客工具。如今互联网走进千家万户,木马也许在不知不觉中已经进入你 的电脑,监视你的行动,影响你的生活。因此,了解木马的特点和传播方式,查杀木马对于保证计算机信息安全是十分重要 和必要的。 关键词:特洛伊木马;病毒;黑客技术
0 引言
特洛伊木马(Trojan house) , 简称木马, 它普遍用来形容 那些带有有效负载但不自我复制的程序,是一种基于远程控 制的黑客工具。根据 1994 年 2 月 18 日国务院正式颁布的《中 华人民共和国计算机信息系统安全保护条例》 ,计算机病毒是 指编制或者在计算机程序中插入的破坏计算机数据,影响计 算机使用,并能自我复制的一组计算机指令或者程序代码。 一种病毒并不需要具有载荷,也就是说它不需要进行任何明 确的有计划的破坏,甚至不需要进行任何秘密操作,它只需 要自我复制。特洛伊木马这种只造成破坏但不进行自我复制 的程序,是一种黑客使用的间谍工具,我们并不称为病毒。
寄生就是木马到一个已经打开的端口并寄生在上面, 平时只是监听,遇到特殊指令才进行解释执行。因为木马是 寄生在已经打开的系统端口之上,所以用户在扫描、查看系 统端口时很难发现异常;潜伏类的木马使用的不是 TCP/UDP 协议, 从而瞒过netstats 和端口扫描软件。 最常见的潜伏类木 马使用的是 ICMP 协议,一个普通的 ICMP 木马会监听 ICMP 报文,当遇到特殊报文时它会打开 TCP 端口等待控制端的连 接。这种木马在没有激活的时候是不可见的,但是一旦连接 上就和普通的木马一样,因此具有很好的隐蔽性。 (2)隐藏进程 为了不在任务栏或者任务管理器中显示,木马使用了 Windows 的中文软件中的陷阱技术,这种陷阱技术是一种 针对 DLL(动态链接库)的高级编程技术,它基本上使得木马摆 脱了以前的端口监听模式。木马采用替代系统功能的方法(改 写 vxd 或 DLL) ,将修改的 DLL 替换系统 DLL,并对所有的调 用函数进行过滤,对于一般的函数调用,用函数转发器发送给 被替换的原系统 DLL ;对于一些事先约定好的特殊情况,被 替换的 DLL 会执行一些相应的操作。木马将
自己绑在一个进 程上进行正常的操作。这样做的好处是没有增加新的文件, 不 需要打开新的端口, 没有新的进程, 使用常规的方法监测不到 它,在正常运行时木马几乎没有任何症状,而一旦木马的控制 端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。 (3) 获取权限 有些木马不仅仅是简单的加载、守候、完成任务,也会 主动获取系统的控制权限,并设法使自己获得系统的最高权 限, 甚至是administrator 或root权限。 他们主要是利用了3种 系统漏洞 注册表的权限漏洞(容许非授权用户修改adminis- : trator 设置)、 系统的权限漏洞(改写administrator 文件、 设置 等)和系统的本地溢出漏洞。
1 木马的实现原理和实现技术 1.1 木马的实现原理和危害
第三代身份证新功能特洛伊木马是属于客户端/ 服务器模式。 其原理是一台主 机提供服务(服务器), 另一台主机接受服务(客户机), 作为服 务器的主机一般会打开一个默认的端口进行监听。如果有客户 机向服务器的这一端口提出连接请求,服务器上的相应程序就 会自动运行,来应答客户机的请求。这个程序被称为守护进程。 随着互联网的不断进步,木马成为现在最泛滥也是危害 最大的黑客技术之一。越来越多的东西可以作为木马的传播 媒介,JavaScript,VBScript 等等,几乎 WWW 的每一个新功能 都会导致木马的进化。一台电脑一旦染上木马,所做的一切 都会被监视不再有隐私可言。它就像一台傀儡机一样,被盗 取密码、口令和私人资料,被命令上传下载文件,严重的危 害了被控端电脑的信息安全。
1.2 木马的实现技术
(1)隐蔽通信端口 木马是基于端口通信的,这个特点也是它最大的漏洞, 没有端口木马就没有办法和外界进行通信。 一台机器有65536 个端口,1024 以下的端口是常用端口,木马占用这些端口就 很容易因造成系统不正常而暴露,因此大多数木马都是使用 1024 以上的端口。虽然现在木马的端口越来越隐蔽,但被发 现的概率还是很大。因此,木马采用了不同的方法,大致分 为两种:寄生和潜伏。
作者简介:吴小博( 1 9 8 1 - ) ,女,助理试验师,研究方向:计算机应用。
2 木马的分类
木马程序技术发展至今,已经历了 4 代。第一代,即是简 单的密码窃取,发送等,没有什么特别之处。第二代木马,在 技术上有了很大的进步,冰河可以说是国内木马的典型代表 之一。 第三代木马在数据传递技
术上, 又做了不小的改进, 出 现了 I C M P 等类型的木马,利用畸形报文传递数据,增加了
56
2007.10
应 用 安 全 查杀的难度。 第四代木马在进程隐藏方面, 做了大的改动, 采 用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入 DLL 线程。或者挂接 PSAPI ,实现木马程序的隐藏,甚至在 Windows NT/2000 下,都达到了良好的隐藏效果。相信,第 五代木马很快也会被编制出来。 目前在国内的木马程序都是以网络作为依托进行传播, 他们主要分为五种: (1)针对网游的木马程序 :2004 年,网络游戏产业在国 内高速发展,网络游戏中的虚拟装备交易的异常火爆, 促使这 种针对安全性相对薄弱的虚拟装备交易环节的木马大量涌现。 一旦染上这种木马, 用户的账号和密码就可能被盗取,木马控 制者将账号中的虚拟装备转移,再交易这些装备并从中获利。 (2)针对网上银行的木马:网上银行代表一种便捷的生 活方式,越来越多的人选择使用网上银行进行付费交易。网 银木马专门针对网上银行进行攻击,采用记录键盘和系统动 作的方法盗取网银的账号和密码,并发送到木马控制者指定 的邮箱导致网银用户的经济损失。工商银行针对网上银行的 失窃,使用了“U 盾”电子证书,U 盾是网上银行的物理“身 份证”和“安全钥匙” ,是目前安全级别最高的一种网银安全 措施。另外,客户最好能安装正版杀毒软件和带有“木马墙” 的防火墙,并及
时进行更新,同时打开实时监控功能阻击网 络病毒入侵。定期下载安装最新的操作系统和浏览器安全程 序或补丁,并将计算机中的 hosts 文件修改为只读。 (3)针对即时通讯工具的木马:可以利用即时通讯工具 (比如:QQ 、MSN) 进行传播。中了木马后,电脑会下载木马 控制者指定的任意程序。 (4)后门木马:这种木马本身不具有传播功能,而是被 种植在网页上,该木马病毒采用反弹端口技术绕过防火墙, 对被感染的系统进行远程文件和注册表的操作,可以捕获被 控制的电脑的屏幕,可远程重启和关闭计算机,可以禁用系 统热键和注册表编辑器,中了该木马后,被感染的系统将完 全暴露于黑客手中。 (5)广告传播木马:此类木马采用各种技术隐藏于系统 内,修改 IE 等网页浏览器的主页,禁止多种系统功能,收集 系统信息发送给传播广告木马的网站。甚至是修改网页定向, 导致一些正常的网站不能登录。 这五大类木马构成了木马的主要类别,其中,网游木马 占到木马总数的 32% 以上
,网银木马占到 7%,即时通讯木马 占了 23% ,后门木马占了 14% ,广告木马占了 24% 。从危害 级别来看, 网游木马危害最为严重, 其后依次是广告木马, 即 时通讯木马,后门木马,排在最后一位的是网银木马。已发 现的危害最为严重的木马如下: QQ 狩猎者(Troj.QQmsg) ; 网银大盗A(Troj.KeyLog.a) ; MSN 小尾巴(Worm.MSNFunny) (注: MSN小尾巴同时具有蠕虫和木马特点) ; 剑侠幽灵(Troj. JXGhost.a) ; 安哥(Hack.AgoBot) 灰鸽子(Hack.Huigezi ) ; ; 蜜峰大盗(Troj.Mifeng) ; 黑洞(Hack.BlackHole 、 Hack.HeiDong) ; 记事本幽灵(Win32.Troj.Axela.w) 。
3 木马实例介绍
灰鸽子(Hack.Huigezi ) , Backdoor.GrayBird.ad , 可以感染 Windows9x 以上的所有版本的操作系统,是国内著名的一种 后门型木马程序。比起像冰河之类的前辈后门木马程序,灰 鸽子具有丰富强大的功能,灵活多变的操作和更好的隐蔽性。 因此,它的危害也是以前的后门木马所不能及的。下面,我 们对灰鸽子木马作简要的介绍。 灰鸽子的客户端和服务端都是用 Delphi 编写的,黑客利 用客户端程序配置出服务端程序,可配置的信息主要包括上 线类型(如等待连接还是主动连接)、 主动连接时使用的公网IP (域名)、连接密码、使用的端口、启动项名称、服务名称,进 程隐藏方式,使用的壳、代理、图标等等。 在客户端, 配置出来的服务端文件文件名为G_Server.exe (此文件名为默认, 可以更改)。 用户一旦运行该程序, 它会自 己拷贝到 Windows 目录下,并注册为系统服务,同时释放出 三个文件(G_Server.dll , G_Server_Hook.dll 和G_ServerKey.exe) 到Windows 目录下, 并将G_Server.dll , G_Server_Hook.dll 注 入到Explorer.exe 、 IExplorer.exe 或所有进程中执行, 然后 G_Server.dll 退出两个动态库继续连接。 以后在每次开机时都 回重复上述操作。由于灰鸽子启动时注入到其他系统进程中, 没有任何独立的进程,因而隐蔽性很好。 灰鸽子运行后释放出的三个文件有着不同的分工: G_S
erver.dll 用于实现后门功能, 与客户端进行通信。 黑客可 以对被控机器进行文件管理,注册表管理,共享管理,各种 服务管理,并进行视频、音频监控,各种用户名以及密码的 窃取。 G_Server_Hook.dll 负责隐藏灰鸽子, 通过截获进程的 API 调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中 的模块名。 G_S
erverKey.exe 用来记录键盘操作。 当用户发现自己中了灰鸽子的时候, 可以在安全模式下删 除 Windows 目录中的 G_Server.dll ,G_Server_Hook.dll 和 G_ServerKey.exe 文件, 再重启计算机, 灰鸽子的服务端就已经 被彻底清除。其他的木马程序一般也都能在安全模式下删除。
4 结束语
黑客技术由来以久, 早在 19 世纪 60 年代黑客家谱中的第 一代就已经出现。计算机技术的发展,黑客与反黑客的信息 对抗斗争,都促进着黑客技术的不断发展。木马程序只是庞 大黑客家族中的一员,但却是黑客家族中技术最先进,破坏 性最强的成员之一。互联网走进千家万户,木马也许在不知 不觉中已经进入你的电脑, 监视你的行动, 影响你的生活。 因 此,了解木马的特点和传播方式,查杀木马对于保证计算机 信息安全是十分重要和必要的。
参考文献
[1]David Harley,Robert Slade,Urs E Gattiker. 计算机病毒揭秘.人 民邮电出版社.2002. [2]肖建军,周海刚.网络信息对抗.机械工业出版社.2005. [3]董军,侯颖,杨文静.网络安全分析师之路.北京 电子工业出 : 版社.2006.
2007.10
57
1
发布评论