第9章：木馬攻擊與防御技術(shù)

1、第第9 9章章 木馬攻擊與防御技術(shù)木馬攻擊與防御技術(shù) 2021-7-12網(wǎng)絡(luò)入侵與防范講義2 本章內(nèi)容安排本章內(nèi)容安排 o 9.1 木馬概述木馬概述 o 9.2 木馬的實(shí)現(xiàn)原理與攻擊步驟木馬的實(shí)現(xiàn)原理與攻擊步驟 o 9.3 木馬實(shí)例介紹木馬實(shí)例介紹 o 9.4 木馬的防御技術(shù)木馬的防御技術(shù) o 9.5 木馬的發(fā)展趨勢(shì)木馬的發(fā)展趨勢(shì) o 9.6 小結(jié)小結(jié) 2021-7-12網(wǎng)絡(luò)入侵與防范講義3 9.1 木馬概述木馬概述 o 9.1.1 木馬基本概念木馬基本概念 o 9.1.2 木馬的分類木馬的分類 o 9.1.3 木馬的特點(diǎn)木馬的特點(diǎn) 2021-7-12網(wǎng)絡(luò)入侵與防范講義4 9.1.1 木馬基本

2、概念木馬基本概念 o 木馬的來(lái)由木馬的來(lái)由 o 木馬的定義木馬的定義 o 木馬的危害木馬的危害 (1).木馬的來(lái)由木馬的來(lái)由 o 木馬是木馬是“特洛伊木馬特洛伊木馬”（trojan horse）的）的 簡(jiǎn)稱，據(jù)說(shuō)這個(gè)名稱來(lái)源于希臘神話簡(jiǎn)稱，據(jù)說(shuō)這個(gè)名稱來(lái)源于希臘神話木馬木馬 屠城記屠城記。 o 如今黑客程序借用其名，有如今黑客程序借用其名，有“一經(jīng)潛入，后一經(jīng)潛入，后 患無(wú)窮患無(wú)窮”之意。之意。 2021-7-12網(wǎng)絡(luò)入侵與防范講義5 特洛伊木馬的故事特洛伊木馬的故事 o相傳在古希臘時(shí)期，特洛伊王子帕里斯劫走了斯巴達(dá)美麗的王后相傳在古希臘時(shí)期，特洛伊王子帕里斯劫走了斯巴達(dá)美麗的王后 海倫和大量

3、的財(cái)物。斯巴達(dá)國(guó)王組織了強(qiáng)大的希臘聯(lián)軍遠(yuǎn)征特洛海倫和大量的財(cái)物。斯巴達(dá)國(guó)王組織了強(qiáng)大的希臘聯(lián)軍遠(yuǎn)征特洛 伊，但久攻不下。伊，但久攻不下。 o有人獻(xiàn)計(jì)制造一只高二丈的大木馬，假裝作戰(zhàn)馬神，讓士兵藏匿有人獻(xiàn)計(jì)制造一只高二丈的大木馬，假裝作戰(zhàn)馬神，讓士兵藏匿 于巨大的木馬中，同時(shí)命令大部隊(duì)佯裝撤退而將木馬棄于特洛伊于巨大的木馬中，同時(shí)命令大部隊(duì)佯裝撤退而將木馬棄于特洛伊 城下。城下。 o城中得知解圍的消息后，遂將城中得知解圍的消息后，遂將“木馬木馬”作為奇異的戰(zhàn)利品拖入城作為奇異的戰(zhàn)利品拖入城 內(nèi)，全城飲酒狂歡。內(nèi)，全城飲酒狂歡。 o到午夜時(shí)分，全城軍民盡入夢(mèng)鄉(xiāng)，匿于木馬中的將士出來(lái)開啟城到午夜時(shí)分

4、，全城軍民盡入夢(mèng)鄉(xiāng)，匿于木馬中的將士出來(lái)開啟城 門及四處縱火，城外伏兵涌入，部隊(duì)里應(yīng)外合，徹底攻破了特洛門及四處縱火，城外伏兵涌入，部隊(duì)里應(yīng)外合，徹底攻破了特洛 伊城。伊城。 o后世稱這只大木馬為后世稱這只大木馬為“特洛伊木馬特洛伊木馬”。 2021-7-12網(wǎng)絡(luò)入侵與防范講義6 2021-7-12網(wǎng)絡(luò)入侵與防范講義7 2021-7-12網(wǎng)絡(luò)入侵與防范講義8 (2).木馬的定義木馬的定義 o 在計(jì)算機(jī)系統(tǒng)中，在計(jì)算機(jī)系統(tǒng)中， “特洛伊木馬特洛伊木馬”指系統(tǒng)中指系統(tǒng)中 被植入的、人為設(shè)計(jì)的程序，目的包括通過被植入的、人為設(shè)計(jì)的程序，目的包括通過 網(wǎng)絡(luò)遠(yuǎn)程控制其他用戶的計(jì)算機(jī)系統(tǒng)，竊取網(wǎng)絡(luò)遠(yuǎn)程控制

5、其他用戶的計(jì)算機(jī)系統(tǒng)，竊取 信息資料，并可惡意致使計(jì)算機(jī)系統(tǒng)癱瘓。信息資料，并可惡意致使計(jì)算機(jī)系統(tǒng)癱瘓。 2021-7-12網(wǎng)絡(luò)入侵與防范講義9 RFC1244對(duì)特洛伊木馬的定義對(duì)特洛伊木馬的定義 o RFC1244 (Request for Comments : 1244) 中是這樣描述木馬的中是這樣描述木馬的:“木馬程序是木馬程序是 一種程序，它能提供一些有用的，或是僅僅一種程序，它能提供一些有用的，或是僅僅 令人感興趣的功能。但是它還有用戶所不知令人感興趣的功能。但是它還有用戶所不知 道的其他功能，例如在你不了解的情況下拷道的其他功能，例如在你不了解的情況下拷 貝文件或竊取你的密碼。貝文

6、件或竊取你的密碼?！?2021-7-12網(wǎng)絡(luò)入侵與防范講義10 RFC1244對(duì)特洛伊木馬的定義對(duì)特洛伊木馬的定義(2) o RFC1244的定義雖然不十分完善，但是的定義雖然不十分完善，但是 可以澄清一些模糊概念：可以澄清一些模糊概念： n 首先木馬程序并不一定實(shí)現(xiàn)某種對(duì)用戶來(lái) 說(shuō)有意義或有幫助的功能，但卻會(huì)實(shí)現(xiàn)一 些隱藏的、危險(xiǎn)的功能； n 其次木馬所實(shí)現(xiàn)的主要功能并不為受害者 所知，只有程序編制者最清楚。 n 第三，這個(gè)定義暗示“有效負(fù)載”是惡意 的。 2021-7-12網(wǎng)絡(luò)入侵與防范講義11 大多數(shù)安全專家對(duì)特洛伊木馬的定義大多數(shù)安全專家對(duì)特洛伊木馬的定義 o 目前，大多數(shù)安全專家統(tǒng)一

7、認(rèn)可的定義目前，大多數(shù)安全專家統(tǒng)一認(rèn)可的定義 是是:“特洛伊木馬是一段能實(shí)現(xiàn)有用的或必需特洛伊木馬是一段能實(shí)現(xiàn)有用的或必需 的功能的程序，但是同時(shí)還完成一些不為人的功能的程序，但是同時(shí)還完成一些不為人 知的功能知的功能?！?2021-7-12網(wǎng)絡(luò)入侵與防范講義12 (3).木馬的危害木馬的危害 o 根據(jù)傳統(tǒng)的數(shù)據(jù)安全模型的分類，木馬程序根據(jù)傳統(tǒng)的數(shù)據(jù)安全模型的分類，木馬程序 的企圖可以對(duì)應(yīng)分為三種的企圖可以對(duì)應(yīng)分為三種: n試圖訪問未授權(quán)資源； n試圖阻止訪問； n試圖更改或破壞數(shù)據(jù)和系統(tǒng)。 (3).木馬的危害木馬的危害 o 目前木馬常被用作網(wǎng)絡(luò)系統(tǒng)入侵的重要工具目前木馬常被用作網(wǎng)絡(luò)系統(tǒng)入侵的

8、重要工具 和手段。和手段。 o 木馬利用自身所具有的植入功能，或依附其木馬利用自身所具有的植入功能，或依附其 它具有傳播能力的程序等多種途徑，進(jìn)駐目它具有傳播能力的程序等多種途徑，進(jìn)駐目 標(biāo)機(jī)器，搜集其中各種敏感信息，并通過網(wǎng)標(biāo)機(jī)器，搜集其中各種敏感信息，并通過網(wǎng) 絡(luò)與外界通信，發(fā)回所搜集到的各種敏感信絡(luò)與外界通信，發(fā)回所搜集到的各種敏感信 息，接受植入者指令，完成其它各種操作，息，接受植入者指令，完成其它各種操作， 如修改指定文件、格式化硬盤等。如修改指定文件、格式化硬盤等。 2021-7-12網(wǎng)絡(luò)入侵與防范講義14 (3).木馬的危害木馬的危害 o 感染了木馬的計(jì)算機(jī)將面臨數(shù)據(jù)丟失和機(jī)密泄

9、感染了木馬的計(jì)算機(jī)將面臨數(shù)據(jù)丟失和機(jī)密泄 露的危險(xiǎn)。露的危險(xiǎn)。 o 木馬往往又被用做后門，植入被攻破的系統(tǒng)，木馬往往又被用做后門，植入被攻破的系統(tǒng)， 以便為入侵者再次訪問系統(tǒng)提供方便；或者利以便為入侵者再次訪問系統(tǒng)提供方便；或者利 用被入侵的系統(tǒng)，通過欺騙合法用戶的某種方用被入侵的系統(tǒng)，通過欺騙合法用戶的某種方 式暗中散發(fā)木馬，以便進(jìn)一步擴(kuò)大入侵成果和式暗中散發(fā)木馬，以便進(jìn)一步擴(kuò)大入侵成果和 入侵范圍，為進(jìn)行其它入侵活動(dòng)，如分布式拒入侵范圍，為進(jìn)行其它入侵活動(dòng)，如分布式拒 絕服務(wù)攻擊（絕服務(wù)攻擊（DDoS）等提供可能。）等提供可能。 2021-7-12網(wǎng)絡(luò)入侵與防范講義15 (3).木馬的危害

10、木馬的危害 o 大型網(wǎng)絡(luò)服務(wù)器也面臨木馬的威脅，入侵大型網(wǎng)絡(luò)服務(wù)器也面臨木馬的威脅，入侵 者可通過對(duì)其所植入的木馬而偷竊到系統(tǒng)者可通過對(duì)其所植入的木馬而偷竊到系統(tǒng) 管理員的口令。管理員的口令。 o 而當(dāng)一個(gè)系統(tǒng)服務(wù)器安全性較高時(shí)，入侵而當(dāng)一個(gè)系統(tǒng)服務(wù)器安全性較高時(shí)，入侵 者往往會(huì)通過首先攻破龐大系統(tǒng)用戶群中者往往會(huì)通過首先攻破龐大系統(tǒng)用戶群中 安全性相對(duì)較弱的普通電腦用戶，然后借安全性相對(duì)較弱的普通電腦用戶，然后借 助所植入木馬獲得有效信息（如系統(tǒng)管理助所植入木馬獲得有效信息（如系統(tǒng)管理 員口令），并最終達(dá)到入侵系統(tǒng)目標(biāo)服務(wù)員口令），并最終達(dá)到入侵系統(tǒng)目標(biāo)服務(wù) 器的目的。器的目的。 2021-

11、7-12網(wǎng)絡(luò)入侵與防范講義16 (3).木馬的危害木馬的危害 o 木馬程序具有很大的危害性，主要表現(xiàn)在木馬程序具有很大的危害性，主要表現(xiàn)在: n 自動(dòng)搜索已中木馬的計(jì)算機(jī)； n 管理對(duì)方資源，如復(fù)制文件、刪除文件、查看 文件內(nèi)容、上傳文件、下載文件等； n 跟蹤監(jiān)視對(duì)方屏幕； n 直接控制對(duì)方的鍵盤、鼠標(biāo)； n 隨意修改注冊(cè)表和系統(tǒng)文件； n 共享被控計(jì)算機(jī)的硬盤資源； n 監(jiān)視對(duì)方任務(wù)且可終止對(duì)方任務(wù)； n 遠(yuǎn)程重啟和關(guān)閉機(jī)器。 2021-7-12網(wǎng)絡(luò)入侵與防范講義17 9.1.2 木馬的分類木馬的分類 o 從從木馬技術(shù)發(fā)展的歷程木馬技術(shù)發(fā)展的歷程考慮，木馬技術(shù)自出現(xiàn)至今，考慮，木馬技術(shù)自出

12、現(xiàn)至今， 大致可以分為四代大致可以分為四代: n 第一代木馬是偽裝型病毒，將病毒偽裝成一個(gè)合法的 程序讓用戶運(yùn)行，例如1986年的PC-Write木馬； n 第二代木馬在隱藏、自啟動(dòng)和操縱服務(wù)器等技術(shù)上有 了很大的發(fā)展，可以進(jìn)行密碼竊取、遠(yuǎn)程控制，例如 BO2000和冰河木馬； n 第三代木馬在連接方式上有了改進(jìn)，利用端口反彈技 術(shù)，例如灰鴿子木馬； n 第四代木馬在進(jìn)程隱藏方面做了較大的改動(dòng)，讓木馬 服務(wù)器運(yùn)行時(shí)沒有進(jìn)程，網(wǎng)絡(luò)操作插入到系統(tǒng)進(jìn)程或 者應(yīng)用進(jìn)程中完成，例如廣外男生木馬。 2021-7-12網(wǎng)絡(luò)入侵與防范講義18 9.1.2 木馬的分類木馬的分類 o 從從木馬所實(shí)現(xiàn)的功能角度木馬

13、所實(shí)現(xiàn)的功能角度可分為：可分為： n (1).破壞型 n (2).密碼發(fā)送型 n (3).遠(yuǎn)程訪問型 n (4).鍵盤記錄木馬 n (5).DoS攻擊木馬 n (6).代理木馬 n (7).FTP木馬 n (8).程序殺手木馬 n (9).反彈端口型木馬 2021-7-12網(wǎng)絡(luò)入侵與防范講義19 (1).破壞型破壞型 o 惟一的功能就是破壞并且刪除文件，如電腦惟一的功能就是破壞并且刪除文件，如電腦 上的上的DLL、INI、EXE文件或其它類型文件，文件或其它類型文件， 造成系統(tǒng)損壞，用戶數(shù)據(jù)被破壞。造成系統(tǒng)損壞，用戶數(shù)據(jù)被破壞。 o 功能簡(jiǎn)單，容易實(shí)現(xiàn)，破壞性強(qiáng)。功能簡(jiǎn)單，容易實(shí)現(xiàn)，破壞性強(qiáng)。

14、 2021-7-12網(wǎng)絡(luò)入侵與防范講義20 (2).密碼發(fā)送型密碼發(fā)送型 o 找到隱藏密碼并把它們發(fā)送到指定的信箱。找到隱藏密碼并把它們發(fā)送到指定的信箱。 o 有人喜歡把自己的各種密碼以文件的形式存放有人喜歡把自己的各種密碼以文件的形式存放 在計(jì)算機(jī)中，認(rèn)為這樣方便；還有人喜歡用在計(jì)算機(jī)中，認(rèn)為這樣方便；還有人喜歡用 WINDOWS提供的密碼記憶功能，這樣就可提供的密碼記憶功能，這樣就可 以不必每次都輸入密碼了。以不必每次都輸入密碼了。 o 許多木馬可以尋找到這些敏感信息，把它們送許多木馬可以尋找到這些敏感信息，把它們送 到黑客手中。到黑客手中。 2021-7-12網(wǎng)絡(luò)入侵與防范講義21 (3

15、).遠(yuǎn)程訪問型遠(yuǎn)程訪問型 o 使用這類木馬，只需有人運(yùn)行了服務(wù)端程序，使用這類木馬，只需有人運(yùn)行了服務(wù)端程序， 如果客戶知道了服務(wù)端的如果客戶知道了服務(wù)端的IP地址，就可以地址，就可以 實(shí)現(xiàn)遠(yuǎn)程控制。實(shí)現(xiàn)遠(yuǎn)程控制。 o 這類程序可以實(shí)現(xiàn)觀察這類程序可以實(shí)現(xiàn)觀察受害者受害者正在干什么，正在干什么， 當(dāng)然這個(gè)程序完全可以用在正道上的，比如當(dāng)然這個(gè)程序完全可以用在正道上的，比如 監(jiān)視學(xué)生機(jī)的操作。監(jiān)視學(xué)生機(jī)的操作。 2021-7-12網(wǎng)絡(luò)入侵與防范講義22 (4).鍵盤記錄木馬鍵盤記錄木馬 o 記錄受害者的鍵盤敲擊并且在日志文件里查找記錄受害者的鍵盤敲擊并且在日志文件里查找 可能的密碼。可能的密碼。

16、 o 這種木馬隨著這種木馬隨著Windows的啟動(dòng)而啟動(dòng)。它們的啟動(dòng)而啟動(dòng)。它們 有在線和離線記錄這樣的選項(xiàng)，顧名思義，它有在線和離線記錄這樣的選項(xiàng)，顧名思義，它 們分別記錄你在線和離線狀態(tài)下敲擊鍵盤時(shí)的們分別記錄你在線和離線狀態(tài)下敲擊鍵盤時(shí)的 按鍵情況。按鍵情況。 o 也就是說(shuō)你按過什么按鍵，種植木馬的人都知也就是說(shuō)你按過什么按鍵，種植木馬的人都知 道，從這些按鍵中他很容易就會(huì)得到你的密碼道，從這些按鍵中他很容易就會(huì)得到你的密碼 等有用信息等有用信息! o 當(dāng)然，對(duì)于這種類型的木馬，郵件發(fā)送功能也當(dāng)然，對(duì)于這種類型的木馬，郵件發(fā)送功能也 是必不可少的。是必不可少的。 2021-7-12網(wǎng)絡(luò)入

17、侵與防范講義23 (5).DoS攻擊木馬攻擊木馬 o 隨著隨著DoS攻擊越來(lái)越廣泛的應(yīng)用，被用作攻擊越來(lái)越廣泛的應(yīng)用，被用作DoS攻攻 擊的木馬也越來(lái)越流行起來(lái)。當(dāng)你入侵了一臺(tái)機(jī)擊的木馬也越來(lái)越流行起來(lái)。當(dāng)你入侵了一臺(tái)機(jī) 器，給他種上器，給他種上DoS攻擊木馬，那么日后這臺(tái)計(jì)算攻擊木馬，那么日后這臺(tái)計(jì)算 機(jī)就成為你機(jī)就成為你DoS攻擊的最得力助手了。攻擊的最得力助手了。 o 這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而 是體現(xiàn)在攻擊者可以利用它來(lái)攻擊一臺(tái)又一臺(tái)計(jì)是體現(xiàn)在攻擊者可以利用它來(lái)攻擊一臺(tái)又一臺(tái)計(jì) 算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來(lái)?yè)p失。算機(jī)，給網(wǎng)絡(luò)

18、造成很大的傷害和帶來(lái)?yè)p失。 o 還有一種類似還有一種類似DoS的木馬叫做郵件炸彈木馬，一的木馬叫做郵件炸彈木馬，一 旦機(jī)器被感染，木馬就會(huì)隨機(jī)生成各種各樣主題旦機(jī)器被感染，木馬就會(huì)隨機(jī)生成各種各樣主題 的信件，對(duì)特定的郵箱不停地發(fā)送郵件，一直到的信件，對(duì)特定的郵箱不停地發(fā)送郵件，一直到 對(duì)方癱瘓、不能接受郵件時(shí)為止。對(duì)方癱瘓、不能接受郵件時(shí)為止。 2021-7-12網(wǎng)絡(luò)入侵與防范講義24 (6).代理木馬代理木馬 o 黑客在入侵的同時(shí)掩蓋自己的足跡，謹(jǐn)防別黑客在入侵的同時(shí)掩蓋自己的足跡，謹(jǐn)防別 人發(fā)現(xiàn)自己的身份是非常重要的。因此，給人發(fā)現(xiàn)自己的身份是非常重要的。因此，給 被控制的被控制的“肉雞

19、肉雞”種上代理木馬，讓其變成種上代理木馬，讓其變成 攻擊者發(fā)動(dòng)攻擊的跳板，就是代理木馬最重攻擊者發(fā)動(dòng)攻擊的跳板，就是代理木馬最重 要的任務(wù)。要的任務(wù)。 o 通過代理木馬，攻擊者可以在匿名的情況下通過代理木馬，攻擊者可以在匿名的情況下 使用使用Telnet、ICQ、IRC等程序，從而隱等程序，從而隱 蔽自己的蹤跡。蔽自己的蹤跡。 2021-7-12網(wǎng)絡(luò)入侵與防范講義25 (7).FTP木馬木馬 o 這種木馬可能是最簡(jiǎn)單和古老的木馬了，它這種木馬可能是最簡(jiǎn)單和古老的木馬了，它 的惟一功能就是打開的惟一功能就是打開21端口，等待用戶連端口，等待用戶連 接。接。 o 現(xiàn)在新現(xiàn)在新FTP木馬還加上了密碼

20、功能，這樣，木馬還加上了密碼功能，這樣， 只有攻擊者本人才知道正確的密碼，從而進(jìn)只有攻擊者本人才知道正確的密碼，從而進(jìn) 人對(duì)方計(jì)算機(jī)。人對(duì)方計(jì)算機(jī)。 2021-7-12網(wǎng)絡(luò)入侵與防范講義26 (8).程序殺手木馬程序殺手木馬 o 上面的木馬功能雖然形形色色，不過到了對(duì)上面的木馬功能雖然形形色色，不過到了對(duì) 方機(jī)器上要發(fā)揮自己的作用，還要過防木馬方機(jī)器上要發(fā)揮自己的作用，還要過防木馬 軟件這一關(guān)才行。常見的防木馬軟件有軟件這一關(guān)才行。常見的防木馬軟件有 ZoneAlarm、Norton Anti-Virus等。等。 o 程序殺手木馬的功能就是關(guān)閉對(duì)方機(jī)器上運(yùn)程序殺手木馬的功能就是關(guān)閉對(duì)方機(jī)器上運(yùn)

21、 行的這類程序，讓其他的木馬更好地發(fā)揮作行的這類程序，讓其他的木馬更好地發(fā)揮作 用。用。 2021-7-12網(wǎng)絡(luò)入侵與防范講義27 (9).反彈端口型木馬反彈端口型木馬 o 木馬開發(fā)者在分析了防火墻的特性后發(fā)現(xiàn)木馬開發(fā)者在分析了防火墻的特性后發(fā)現(xiàn):防防 火墻對(duì)于連入的鏈接往往會(huì)進(jìn)行非常嚴(yán)格的過火墻對(duì)于連入的鏈接往往會(huì)進(jìn)行非常嚴(yán)格的過 濾，但是對(duì)于連出的鏈接卻疏于防范。濾，但是對(duì)于連出的鏈接卻疏于防范。 o 于是，與一般的普通木馬相反，反彈端口型木于是，與一般的普通木馬相反，反彈端口型木 馬的服務(wù)端馬的服務(wù)端 (被控制端被控制端)使用使用主動(dòng)端口主動(dòng)端口，客戶，客戶 端端 (控制端控制端)使用使

22、用被動(dòng)端口被動(dòng)端口。 反彈端口型木馬反彈端口型木馬(2) o 反彈窗口木馬定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控反彈窗口木馬定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控 制端上線，立即彈出端口主動(dòng)連結(jié)控制端打開制端上線，立即彈出端口主動(dòng)連結(jié)控制端打開 的被動(dòng)端口；為了隱蔽起見，控制端的被動(dòng)端的被動(dòng)端口；為了隱蔽起見，控制端的被動(dòng)端 口一般開在口一般開在80，即使用戶使用掃描軟件檢查自，即使用戶使用掃描軟件檢查自 己的端口，發(fā)現(xiàn)類似己的端口，發(fā)現(xiàn)類似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED 的情況，稍微疏忽一點(diǎn)，你就會(huì)以為是自己在的情況，稍微疏忽一點(diǎn)，你就會(huì)以為是自己在 瀏

23、覽網(wǎng)頁(yè)。瀏覽網(wǎng)頁(yè)。 2021-7-12網(wǎng)絡(luò)入侵與防范講義28 2021-7-12網(wǎng)絡(luò)入侵與防范講義29 9.1.3 木馬的特點(diǎn)木馬的特點(diǎn) o 一個(gè)典型的特洛伊木馬（程序）通常具有以一個(gè)典型的特洛伊木馬（程序）通常具有以 下四個(gè)特點(diǎn)：下四個(gè)特點(diǎn)： n 有效性 n 隱蔽性 n 頑固性 n 易植入性 o 一個(gè)木馬的危害大小和清除難易程度可以從一個(gè)木馬的危害大小和清除難易程度可以從 這四個(gè)方面來(lái)加以評(píng)估。這四個(gè)方面來(lái)加以評(píng)估。 2021-7-12網(wǎng)絡(luò)入侵與防范講義30 有效性有效性 o 由于木馬常常構(gòu)成網(wǎng)絡(luò)入侵方法中的一個(gè)重要內(nèi)由于木馬常常構(gòu)成網(wǎng)絡(luò)入侵方法中的一個(gè)重要內(nèi) 容，它運(yùn)行在目標(biāo)機(jī)器上就必須能

24、夠?qū)崿F(xiàn)入侵者容，它運(yùn)行在目標(biāo)機(jī)器上就必須能夠?qū)崿F(xiàn)入侵者 的某些企圖。的某些企圖。 o 因此有效性就是指入侵的木馬能夠與其控制端因此有效性就是指入侵的木馬能夠與其控制端 （入侵者）建立某種有效聯(lián)系，從而能夠充分控（入侵者）建立某種有效聯(lián)系，從而能夠充分控 制目標(biāo)機(jī)器并竊取其中的敏感信息。制目標(biāo)機(jī)器并竊取其中的敏感信息。 o 因此有效性是木馬的一個(gè)最重要特點(diǎn)。因此有效性是木馬的一個(gè)最重要特點(diǎn)。 2021-7-12網(wǎng)絡(luò)入侵與防范講義31 隱蔽性隱蔽性 o 木馬必須有能力長(zhǎng)期潛伏于目標(biāo)機(jī)器中而不木馬必須有能力長(zhǎng)期潛伏于目標(biāo)機(jī)器中而不 被發(fā)現(xiàn)。被發(fā)現(xiàn)。 o 一個(gè)隱蔽性差的木馬往往會(huì)很容易暴露自己，一個(gè)隱

25、蔽性差的木馬往往會(huì)很容易暴露自己， 進(jìn)而被殺毒（或殺馬）軟件，甚至用戶手工進(jìn)而被殺毒（或殺馬）軟件，甚至用戶手工 檢查出來(lái)，這樣將使得這類木馬變得毫無(wú)價(jià)檢查出來(lái)，這樣將使得這類木馬變得毫無(wú)價(jià) 值。值。 o 因此可以說(shuō)隱蔽性是木馬的生命。因此可以說(shuō)隱蔽性是木馬的生命。 2021-7-12網(wǎng)絡(luò)入侵與防范講義32 頑固性頑固性 o 當(dāng)木馬被檢查出來(lái)（失去隱蔽性）之后，為當(dāng)木馬被檢查出來(lái)（失去隱蔽性）之后，為 繼續(xù)確保其入侵有效性，木馬往往還具有另繼續(xù)確保其入侵有效性，木馬往往還具有另 一個(gè)重要特性一個(gè)重要特性頑固性。頑固性。 o 木馬頑固性就是指有效清除木馬的難易程度。木馬頑固性就是指有效清除木馬的

26、難易程度。 若一個(gè)木馬在檢查出來(lái)之后，仍然無(wú)法將其若一個(gè)木馬在檢查出來(lái)之后，仍然無(wú)法將其 一次性有效清除，那么該木馬就具有較強(qiáng)的一次性有效清除，那么該木馬就具有較強(qiáng)的 頑固性。頑固性。 2021-7-12網(wǎng)絡(luò)入侵與防范講義33 易植入性易植入性 o 任何木馬必須首先能夠進(jìn)入目標(biāo)機(jī)器，因此易植入任何木馬必須首先能夠進(jìn)入目標(biāo)機(jī)器，因此易植入 性就成為木馬有效性的先決條件。性就成為木馬有效性的先決條件。 o 欺騙是自木馬誕生起最常見的植入手段，因此各種欺騙是自木馬誕生起最常見的植入手段，因此各種 好用的小功能軟件就成為木馬常用的棲息地。好用的小功能軟件就成為木馬常用的棲息地。 o 利用系統(tǒng)漏洞進(jìn)行木

27、馬植入也是木馬入侵的一類重利用系統(tǒng)漏洞進(jìn)行木馬植入也是木馬入侵的一類重 要途徑。要途徑。 o 目前木馬技術(shù)與蠕蟲技術(shù)的結(jié)合使得木馬具有類似目前木馬技術(shù)與蠕蟲技術(shù)的結(jié)合使得木馬具有類似 蠕蟲的傳播性，這也就極大提高了木馬的易植入性。蠕蟲的傳播性，這也就極大提高了木馬的易植入性。 2021-7-12網(wǎng)絡(luò)入侵與防范講義34 9.1.3 木馬的特點(diǎn)木馬的特點(diǎn) o此外，木馬還具有以下輔助型特點(diǎn)：此外，木馬還具有以下輔助型特點(diǎn)： n 自動(dòng)運(yùn)行 n 欺騙性 n 自動(dòng)恢復(fù) n 功能的特殊性 2021-7-12網(wǎng)絡(luò)入侵與防范講義35 自動(dòng)運(yùn)行自動(dòng)運(yùn)行 o 通常木馬程序通過修改系統(tǒng)的配置文件或注通常木馬程序通過修

28、改系統(tǒng)的配置文件或注 冊(cè)表文件，在目標(biāo)系統(tǒng)啟動(dòng)時(shí)就自動(dòng)加載運(yùn)冊(cè)表文件，在目標(biāo)系統(tǒng)啟動(dòng)時(shí)就自動(dòng)加載運(yùn) 行。行。 o 這種自動(dòng)加載運(yùn)行不需要客戶端干預(yù)，同時(shí)這種自動(dòng)加載運(yùn)行不需要客戶端干預(yù)，同時(shí) 也不會(huì)被目標(biāo)系統(tǒng)用戶所覺察。也不會(huì)被目標(biāo)系統(tǒng)用戶所覺察。 2021-7-12網(wǎng)絡(luò)入侵與防范講義36 欺騙性欺騙性 o 木馬程序要達(dá)到其長(zhǎng)期隱蔽的目的，就必木馬程序要達(dá)到其長(zhǎng)期隱蔽的目的，就必 需采取各種各樣的欺騙手段，欺騙目標(biāo)系需采取各種各樣的欺騙手段，欺騙目標(biāo)系 統(tǒng)用戶，以防被發(fā)現(xiàn)。統(tǒng)用戶，以防被發(fā)現(xiàn)。 o 比如木馬程序經(jīng)常會(huì)采用一種文件名的欺比如木馬程序經(jīng)常會(huì)采用一種文件名的欺 騙手段，如騙手段，如e

29、xploer這樣的文件名，以此這樣的文件名，以此 來(lái)與系統(tǒng)中的合法程序來(lái)與系統(tǒng)中的合法程序explorer相混淆。相混淆。 o 木馬的編制者還在不斷制造新的欺騙的手木馬的編制者還在不斷制造新的欺騙的手 段，花樣層出不窮，讓人防不勝防。段，花樣層出不窮，讓人防不勝防。 2021-7-12網(wǎng)絡(luò)入侵與防范講義37 自動(dòng)恢復(fù)自動(dòng)恢復(fù) o 現(xiàn)在很多木馬程序中的功能模塊已不再是由現(xiàn)在很多木馬程序中的功能模塊已不再是由 單一的文件組成，而是具有多重備份，可以單一的文件組成，而是具有多重備份，可以 相互恢復(fù)。相互恢復(fù)。 o 計(jì)算機(jī)一旦感染上這種木馬程序，想單獨(dú)靠計(jì)算機(jī)一旦感染上這種木馬程序，想單獨(dú)靠 刪除某個(gè)

30、文件來(lái)清除是不太可能的。刪除某個(gè)文件來(lái)清除是不太可能的。 2021-7-12網(wǎng)絡(luò)入侵與防范講義38 功能的特殊性功能的特殊性 o 通常木馬的功能都是十分特殊的，除了普通通常木馬的功能都是十分特殊的，除了普通 的文件操作以外，有些木馬具有搜索并發(fā)送的文件操作以外，有些木馬具有搜索并發(fā)送 目標(biāo)主機(jī)中的口令、記錄用戶事件、進(jìn)行鍵目標(biāo)主機(jī)中的口令、記錄用戶事件、進(jìn)行鍵 盤記錄、遠(yuǎn)程注冊(cè)表操作以及鎖定鼠標(biāo)等功盤記錄、遠(yuǎn)程注冊(cè)表操作以及鎖定鼠標(biāo)等功 能。能。 2021-7-12網(wǎng)絡(luò)入侵與防范講義39 9.1.3 木馬的特點(diǎn)木馬的特點(diǎn) o 近年來(lái)，木馬技術(shù)取得了較大的發(fā)展，目前已近年來(lái)，木馬技術(shù)取得了較大的

31、發(fā)展，目前已 徹底擺脫了傳統(tǒng)模式下植入方法原始、通信方徹底擺脫了傳統(tǒng)模式下植入方法原始、通信方 式單一、隱蔽性差等不足。式單一、隱蔽性差等不足。 o 借助一些新技術(shù)，木馬不再依賴于對(duì)用戶進(jìn)行借助一些新技術(shù)，木馬不再依賴于對(duì)用戶進(jìn)行 簡(jiǎn)單的欺騙，也可以不必修改系統(tǒng)注冊(cè)表，不簡(jiǎn)單的欺騙，也可以不必修改系統(tǒng)注冊(cè)表，不 開新端口，不在磁盤上保留新文件，甚至可以開新端口，不在磁盤上保留新文件，甚至可以 沒有獨(dú)立的進(jìn)程，這些新特點(diǎn)使對(duì)木馬的查殺沒有獨(dú)立的進(jìn)程，這些新特點(diǎn)使對(duì)木馬的查殺 變得愈加困難；但與此同時(shí)卻使得木馬的功能變得愈加困難；但與此同時(shí)卻使得木馬的功能 得到了大幅提升。得到了大幅提升。 o 采

32、用了新技術(shù)的木馬可以輕易穿過防火墻與外采用了新技術(shù)的木馬可以輕易穿過防火墻與外 界（入侵者）通信。界（入侵者）通信。 9.2 木馬的實(shí)現(xiàn)原理與攻擊步驟木馬的實(shí)現(xiàn)原理與攻擊步驟 木馬是怎么煉成的木馬是怎么煉成的 2021-7-12網(wǎng)絡(luò)入侵與防范講義40 木馬都使用哪些關(guān)鍵技術(shù)木馬都使用哪些關(guān)鍵技術(shù) 2021-7-12網(wǎng)絡(luò)入侵與防范講義41 9.2 木馬的實(shí)現(xiàn)原理與攻擊步驟木馬的實(shí)現(xiàn)原理與攻擊步驟 o 9.2.1 木馬實(shí)現(xiàn)原理木馬實(shí)現(xiàn)原理 o 9.2.2 植入技術(shù)植入技術(shù) o 9.2.3 自動(dòng)加載技術(shù)自動(dòng)加載技術(shù) o 9.2.4 隱藏技術(shù)隱藏技術(shù) o 9.2.5 連接技術(shù)連接技術(shù) o 9.2.6

33、監(jiān)控技術(shù)監(jiān)控技術(shù) 2021-7-12網(wǎng)絡(luò)入侵與防范講義42 9.2.1 木馬實(shí)現(xiàn)原理木馬實(shí)現(xiàn)原理 o 本質(zhì)上說(shuō)，木馬本質(zhì)上說(shuō)，木馬大多大多都是網(wǎng)絡(luò)客戶都是網(wǎng)絡(luò)客戶/服務(wù)服務(wù) （Client/Server）程序的組合。）程序的組合。 o 常由一個(gè)攻擊者控制的客戶端程序和一個(gè)運(yùn)常由一個(gè)攻擊者控制的客戶端程序和一個(gè)運(yùn) 行在被控計(jì)算機(jī)端的服務(wù)端程序組成。行在被控計(jì)算機(jī)端的服務(wù)端程序組成。 2021-7-12網(wǎng)絡(luò)入侵與防范講義43 9.2.1 木馬實(shí)現(xiàn)原理木馬實(shí)現(xiàn)原理 o 當(dāng)攻擊者要利用當(dāng)攻擊者要利用“木馬木馬”進(jìn)行網(wǎng)絡(luò)入侵，進(jìn)行網(wǎng)絡(luò)入侵， 一般都需完成如下環(huán)節(jié)：一般都需完成如下環(huán)節(jié)： n 向目標(biāo)主機(jī)植

34、入木馬 n 啟動(dòng)和隱藏木馬 n 服務(wù)器端（目標(biāo)主機(jī)）和客戶端建立連接 n 進(jìn)行遠(yuǎn)程控制 2021-7-12網(wǎng)絡(luò)入侵與防范講義44 9.2.2 植入技術(shù)植入技術(shù) o 木馬植入技術(shù)可以大概分為木馬植入技術(shù)可以大概分為主動(dòng)植入主動(dòng)植入與與被動(dòng)被動(dòng) 植入植入兩類。兩類。 o 所謂所謂主動(dòng)植入主動(dòng)植入，就是攻擊者主動(dòng)將木馬程序，就是攻擊者主動(dòng)將木馬程序 種到本地或者是遠(yuǎn)程主機(jī)上，這個(gè)行為過程種到本地或者是遠(yuǎn)程主機(jī)上，這個(gè)行為過程 完全由攻擊者主動(dòng)掌握。完全由攻擊者主動(dòng)掌握。 o 而而被動(dòng)植入被動(dòng)植入，是指攻擊者預(yù)先設(shè)置某種環(huán)境，是指攻擊者預(yù)先設(shè)置某種環(huán)境， 然后被動(dòng)等待目標(biāo)系統(tǒng)用戶的某種可能的操然后被動(dòng)

35、等待目標(biāo)系統(tǒng)用戶的某種可能的操 作，只有這種操作執(zhí)行，木馬程序才有可能作，只有這種操作執(zhí)行，木馬程序才有可能 植入目標(biāo)系統(tǒng)。植入目標(biāo)系統(tǒng)。 2021-7-12網(wǎng)絡(luò)入侵與防范講義45 主動(dòng)植入主動(dòng)植入 o 主動(dòng)植入，一般需要通過某種方法獲取目標(biāo)主動(dòng)植入，一般需要通過某種方法獲取目標(biāo) 主機(jī)的一定權(quán)限，然后由攻擊者自己動(dòng)手進(jìn)主機(jī)的一定權(quán)限，然后由攻擊者自己動(dòng)手進(jìn) 行安裝。行安裝。 o 按照目標(biāo)系統(tǒng)是本地還是遠(yuǎn)程的區(qū)分，這種按照目標(biāo)系統(tǒng)是本地還是遠(yuǎn)程的區(qū)分，這種 方法又有方法又有本地安裝與遠(yuǎn)程安裝本地安裝與遠(yuǎn)程安裝之分。之分。 2021-7-12網(wǎng)絡(luò)入侵與防范講義46 主動(dòng)植入主動(dòng)植入 o 由于在一個(gè)

36、系統(tǒng)植入木馬，不僅需要將木馬由于在一個(gè)系統(tǒng)植入木馬，不僅需要將木馬 程序上傳到目標(biāo)系統(tǒng)，還需要在目標(biāo)系統(tǒng)運(yùn)程序上傳到目標(biāo)系統(tǒng)，還需要在目標(biāo)系統(tǒng)運(yùn) 行木馬程序；所以主動(dòng)植入不僅需要具有目行木馬程序；所以主動(dòng)植入不僅需要具有目 標(biāo)系統(tǒng)的寫權(quán)限，還需要可執(zhí)行權(quán)限。標(biāo)系統(tǒng)的寫權(quán)限，還需要可執(zhí)行權(quán)限。 o 如果僅僅具有寫權(quán)限，只能將木馬程序上傳如果僅僅具有寫權(quán)限，只能將木馬程序上傳 但不能執(zhí)行，這種情況屬于被動(dòng)植入，因?yàn)榈荒軋?zhí)行，這種情況屬于被動(dòng)植入，因?yàn)?木馬仍然需要被動(dòng)等待以某種方式被執(zhí)行。木馬仍然需要被動(dòng)等待以某種方式被執(zhí)行。 2021-7-12網(wǎng)絡(luò)入侵與防范講義47 主動(dòng)植入主動(dòng)植入-本地安裝

37、本地安裝 o 本地安裝本地安裝就是直接在本地主機(jī)上進(jìn)行安裝。就是直接在本地主機(jī)上進(jìn)行安裝。 試想一下，有多少人的計(jì)算機(jī)能確保除了自試想一下，有多少人的計(jì)算機(jī)能確保除了自 己之外不會(huì)被任何人使用。而在經(jīng)常更換使己之外不會(huì)被任何人使用。而在經(jīng)常更換使 用者的網(wǎng)吧計(jì)算機(jī)上，這種安裝木馬的方法用者的網(wǎng)吧計(jì)算機(jī)上，這種安裝木馬的方法 更是非常普遍，也非常有效。更是非常普遍，也非常有效。 2021-7-12網(wǎng)絡(luò)入侵與防范講義48 主動(dòng)植入主動(dòng)植入-遠(yuǎn)程安裝遠(yuǎn)程安裝 o 遠(yuǎn)程安裝遠(yuǎn)程安裝就是通過常規(guī)攻擊手段獲得目標(biāo)主就是通過常規(guī)攻擊手段獲得目標(biāo)主 機(jī)的一定權(quán)限后，將木馬上傳到目標(biāo)主機(jī)上，機(jī)的一定權(quán)限后，將木

38、馬上傳到目標(biāo)主機(jī)上， 并使其運(yùn)行起來(lái)。例如，某些系統(tǒng)漏洞的存并使其運(yùn)行起來(lái)。例如，某些系統(tǒng)漏洞的存 在，使得攻擊者可以利用漏洞遠(yuǎn)程將木馬程在，使得攻擊者可以利用漏洞遠(yuǎn)程將木馬程 序上傳并執(zhí)行。序上傳并執(zhí)行。 o 從實(shí)現(xiàn)方式上，主要分為：從實(shí)現(xiàn)方式上，主要分為： n利用系統(tǒng)自身漏洞植入 n利用第三方軟件漏洞植入 2021-7-12網(wǎng)絡(luò)入侵與防范講義49 利用系統(tǒng)自身漏洞植入利用系統(tǒng)自身漏洞植入 o 這是一種主動(dòng)攻擊的方式。攻擊者利用所了解的系統(tǒng)這是一種主動(dòng)攻擊的方式。攻擊者利用所了解的系統(tǒng) 的安全漏洞及其特性主動(dòng)出擊。的安全漏洞及其特性主動(dòng)出擊。 o 如如IIS服務(wù)器的溢出漏洞，通過一個(gè)服務(wù)器的

39、溢出漏洞，通過一個(gè)“IISHack”的的 攻擊程序就可使攻擊程序就可使IIS服務(wù)器崩潰，并同時(shí)在被攻擊服服務(wù)器崩潰，并同時(shí)在被攻擊服 務(wù)器執(zhí)行務(wù)器執(zhí)行“木馬木馬”程序。程序。 o MIME漏洞則是利用漏洞則是利用Internet Explorer在處理不在處理不 正常的正常的MIME類型存在的問題，攻擊者有意地更改類型存在的問題，攻擊者有意地更改 MIME類型，使類型，使IE可以不提示用戶而直接運(yùn)行電子郵可以不提示用戶而直接運(yùn)行電子郵 件附件中的惡意程序等。件附件中的惡意程序等。 利用第三方軟件漏洞植入利用第三方軟件漏洞植入 o 每臺(tái)主機(jī)上都會(huì)安裝一些第三方軟件或者提供服每臺(tái)主機(jī)上都會(huì)安裝一些

40、第三方軟件或者提供服 務(wù)，但是這些軟件可能存在可被利用的漏洞，如務(wù)，但是這些軟件可能存在可被利用的漏洞，如 果被惡意者利用，你的主機(jī)就可以成為木馬的果被惡意者利用，你的主機(jī)就可以成為木馬的“ 棲息地棲息地”。 o 例如：例如：AT-TFTP Server在處理帶有超長(zhǎng)文件在處理帶有超長(zhǎng)文件 名參數(shù)的請(qǐng)求時(shí)存在漏洞，遠(yuǎn)程攻擊者可能利用名參數(shù)的請(qǐng)求時(shí)存在漏洞，遠(yuǎn)程攻擊者可能利用 此漏洞在服務(wù)器上執(zhí)行任意指令。此漏洞在服務(wù)器上執(zhí)行任意指令。 2021-7-12網(wǎng)絡(luò)入侵與防范講義50 2021-7-12網(wǎng)絡(luò)入侵與防范講義51 被動(dòng)植入被動(dòng)植入 o 就目前的情況，被動(dòng)植入技術(shù)主要是利用以就目前的情況，被

41、動(dòng)植入技術(shù)主要是利用以 下方式將木馬程序植入目標(biāo)系統(tǒng)：下方式將木馬程序植入目標(biāo)系統(tǒng)： n 網(wǎng)頁(yè)瀏覽植入 n 利用電子郵件植入 n 利用網(wǎng)絡(luò)下載植入 n 利用即時(shí)通工具植入 n 與其它程序捆綁 n 利用移動(dòng)存儲(chǔ)設(shè)備植入 2021-7-12網(wǎng)絡(luò)入侵與防范講義52 網(wǎng)頁(yè)瀏覽植入網(wǎng)頁(yè)瀏覽植入 o 網(wǎng)頁(yè)瀏覽傳播：這種方法利用網(wǎng)頁(yè)瀏覽傳播：這種方法利用 Script/ActiveX控件控件/JavaApplet等技術(shù)等技術(shù) 編寫出一個(gè)編寫出一個(gè)HTML網(wǎng)頁(yè)，當(dāng)我們?yōu)g覽該頁(yè)面時(shí)，網(wǎng)頁(yè)，當(dāng)我們?yōu)g覽該頁(yè)面時(shí)， 會(huì)在后臺(tái)將木馬程序下載到計(jì)算機(jī)緩存中，然會(huì)在后臺(tái)將木馬程序下載到計(jì)算機(jī)緩存中，然 后修改系統(tǒng)注冊(cè)表，使

42、相關(guān)鍵值指向后修改系統(tǒng)注冊(cè)表，使相關(guān)鍵值指向“木馬木馬” 程序。程序。 o 更可怕的是，黑客還可以利用瀏覽器的已經(jīng)或更可怕的是，黑客還可以利用瀏覽器的已經(jīng)或 者未知的漏洞，把木馬下載到本機(jī)并運(yùn)行。者未知的漏洞，把木馬下載到本機(jī)并運(yùn)行。 2021-7-12網(wǎng)絡(luò)入侵與防范講義53 利用電子郵件植入利用電子郵件植入 o 電子郵件（電子郵件（E-mail）進(jìn)行傳播：攻擊者將）進(jìn)行傳播：攻擊者將 “木馬木馬”程序偽裝成程序偽裝成E-mail附件的形式發(fā)附件的形式發(fā) 送出去，收信人只要查看郵件附件就會(huì)使送出去，收信人只要查看郵件附件就會(huì)使 “木馬木馬”程序得到運(yùn)行并安裝進(jìn)入系統(tǒng)。程序得到運(yùn)行并安裝進(jìn)入系統(tǒng)

43、。 2021-7-12網(wǎng)絡(luò)入侵與防范講義54 例：利用郵件內(nèi)嵌的例：利用郵件內(nèi)嵌的WSH腳本腳本 o 通過在郵件內(nèi)容內(nèi)嵌通過在郵件內(nèi)容內(nèi)嵌WSH(Windows Scripts Host)腳本，用戶不需要打開腳本，用戶不需要打開 附件，僅僅瀏覽一下郵件的內(nèi)容，附件附件，僅僅瀏覽一下郵件的內(nèi)容，附件 中的木馬就會(huì)被執(zhí)行。中的木馬就會(huì)被執(zhí)行。 o 郵件木馬已經(jīng)從附件走到正文中了，有郵件木馬已經(jīng)從附件走到正文中了，有 誰(shuí)會(huì)收到郵件后連看都不看就刪除呢。誰(shuí)會(huì)收到郵件后連看都不看就刪除呢。 2021-7-12網(wǎng)絡(luò)入侵與防范講義55 利用網(wǎng)絡(luò)下載植入利用網(wǎng)絡(luò)下載植入 o 一些非正規(guī)的網(wǎng)站以提供軟件下載為名

44、，一些非正規(guī)的網(wǎng)站以提供軟件下載為名， 將木馬程序偽裝成用戶所希望的其它軟件，將木馬程序偽裝成用戶所希望的其它軟件， 當(dāng)用戶下載安裝時(shí)，實(shí)際上所安裝的是木當(dāng)用戶下載安裝時(shí)，實(shí)際上所安裝的是木 馬程序。馬程序。 o 通過欺騙用戶使木馬程序植入到目標(biāo)主機(jī)通過欺騙用戶使木馬程序植入到目標(biāo)主機(jī) 中。中。 利用即時(shí)通工具植入利用即時(shí)通工具植入 o 因?yàn)榧磿r(shí)通工具有文件傳輸功能，所以現(xiàn)在因?yàn)榧磿r(shí)通工具有文件傳輸功能，所以現(xiàn)在 也有很多木馬通過即時(shí)通工具傳播。也有很多木馬通過即時(shí)通工具傳播。 o 惡意破壞者通常把木馬服務(wù)器程序通過合并惡意破壞者通常把木馬服務(wù)器程序通過合并 軟件和其他的可執(zhí)行文件綁在一起，然

45、后騙軟件和其他的可執(zhí)行文件綁在一起，然后騙 你說(shuō)是一個(gè)好玩的東東或者是漂亮你說(shuō)是一個(gè)好玩的東東或者是漂亮MM的照的照 片，你接受后運(yùn)行的話，你就成了木馬的犧片，你接受后運(yùn)行的話，你就成了木馬的犧 牲品了。牲品了。 2021-7-12網(wǎng)絡(luò)入侵與防范講義56 與其它程序捆綁與其它程序捆綁 o 將木馬與其它軟件捆綁，用戶在下載安裝其將木馬與其它軟件捆綁，用戶在下載安裝其 它軟件時(shí)就不自覺地也安裝了木馬，這種情它軟件時(shí)就不自覺地也安裝了木馬，這種情 況下用戶很難察覺。況下用戶很難察覺。 o 攻擊者還可以在攻擊者還可以在.doc、.ppt、.rar、.zip 等文件中插入惡意代碼，當(dāng)用戶打開這些文等文件

46、中插入惡意代碼，當(dāng)用戶打開這些文 檔時(shí)，就會(huì)被植入木馬。檔時(shí)，就會(huì)被植入木馬。 2021-7-12網(wǎng)絡(luò)入侵與防范講義57 2021-7-12網(wǎng)絡(luò)入侵與防范講義58 例：圖片木馬例：圖片木馬 o 有一種有一種圖片木馬圖片木馬，利用用戶認(rèn)為圖片文件，利用用戶認(rèn)為圖片文件 不可執(zhí)行，因此不可能是木馬這樣的心理不可執(zhí)行，因此不可能是木馬這樣的心理 來(lái)欺騙受害者。來(lái)欺騙受害者。 o 實(shí)際上這是一個(gè)后綴名的小把戲。由于實(shí)際上這是一個(gè)后綴名的小把戲。由于 Windows系統(tǒng)默認(rèn)不顯示已經(jīng)注冊(cè)了的系統(tǒng)默認(rèn)不顯示已經(jīng)注冊(cè)了的 文件類型的后綴名，因此文件類型的后綴名，因此test.jpg.exe 這種文件在系統(tǒng)上

47、就顯示為這種文件在系統(tǒng)上就顯示為test.jpg，木，木 馬再采用和圖片文件一樣的圖標(biāo)，對(duì)大多馬再采用和圖片文件一樣的圖標(biāo)，對(duì)大多 數(shù)用戶而言，是極具欺騙性的。數(shù)用戶而言，是極具欺騙性的。 利用移動(dòng)存儲(chǔ)設(shè)備植入利用移動(dòng)存儲(chǔ)設(shè)備植入 o 利用移動(dòng)存儲(chǔ)設(shè)備傳播：利用利用移動(dòng)存儲(chǔ)設(shè)備傳播：利用Windows的的 Autoplay(autorun.inf)機(jī)制，當(dāng)插入機(jī)制，當(dāng)插入U(xiǎn) 盤、移動(dòng)硬盤或者光盤時(shí)，可以自動(dòng)執(zhí)行惡意盤、移動(dòng)硬盤或者光盤時(shí)，可以自動(dòng)執(zhí)行惡意 程序。程序。 o 利用利用U盤傳播木馬或者病毒的方式非常流行，盤傳播木馬或者病毒的方式非常流行， 這兩年幾乎席卷全國(guó)。這兩年幾乎席卷全國(guó)。

48、2021-7-12網(wǎng)絡(luò)入侵與防范講義59 2021-7-12網(wǎng)絡(luò)入侵與防范講義60 9.2.3 自動(dòng)加載技術(shù)自動(dòng)加載技術(shù) o 木馬程序在被植入目標(biāo)主機(jī)后，不可能寄希木馬程序在被植入目標(biāo)主機(jī)后，不可能寄希 望于用戶雙擊其圖標(biāo)來(lái)運(yùn)行啟動(dòng)，只能不動(dòng)望于用戶雙擊其圖標(biāo)來(lái)運(yùn)行啟動(dòng)，只能不動(dòng) 聲色地自動(dòng)啟動(dòng)和運(yùn)行，攻擊才能以此為依聲色地自動(dòng)啟動(dòng)和運(yùn)行，攻擊才能以此為依 據(jù)侵入被侵主機(jī)，完成控制。據(jù)侵入被侵主機(jī)，完成控制。 2021-7-12網(wǎng)絡(luò)入侵與防范講義61 自動(dòng)加載技術(shù)自動(dòng)加載技術(shù) o 在在Windows系統(tǒng)中木馬程序的自動(dòng)加載技術(shù)主要有：系統(tǒng)中木馬程序的自動(dòng)加載技術(shù)主要有： n 修改系統(tǒng)文件 n

49、修改系統(tǒng)注冊(cè)表 n 添加系統(tǒng)服務(wù) n 修改文件打開關(guān)聯(lián)屬性 n 修改任務(wù)計(jì)劃 n 修改組策略 n 利用系統(tǒng)自動(dòng)運(yùn)行的程序 n 修改啟動(dòng)文件夾 n 替換系統(tǒng)DLL 2021-7-12網(wǎng)絡(luò)入侵與防范講義62 (1)修改系統(tǒng)文件修改系統(tǒng)文件 o 木馬程序一般會(huì)在第一次運(yùn)行時(shí)，修改目標(biāo)系木馬程序一般會(huì)在第一次運(yùn)行時(shí)，修改目標(biāo)系 統(tǒng)文件以達(dá)到自動(dòng)加載的目的。方法有：統(tǒng)文件以達(dá)到自動(dòng)加載的目的。方法有： n 修改autoexec.bat等批處理文件來(lái)實(shí)現(xiàn)自動(dòng)啟動(dòng)： 常通過修改Autoexec.bat、Winstart.bat、 Dosstart.bat等三個(gè)批處理文件來(lái)實(shí)現(xiàn)自動(dòng)啟動(dòng)。 n 在系統(tǒng)配置文件實(shí)

50、現(xiàn)：通過修改Config.sys文件、 Win.ini文件、System.ini文件。 o 這種方法比較古老。這種方法比較古老。 2021-7-12網(wǎng)絡(luò)入侵與防范講義63 (2)修改系統(tǒng)注冊(cè)表修改系統(tǒng)注冊(cè)表 o 系統(tǒng)注冊(cè)表保存著系統(tǒng)的軟件、硬件及其它系統(tǒng)注冊(cè)表保存著系統(tǒng)的軟件、硬件及其它 與系統(tǒng)配置有關(guān)的重要信息。與系統(tǒng)配置有關(guān)的重要信息。 o 通過設(shè)置一些啟動(dòng)加載項(xiàng)目，也可以使木馬通過設(shè)置一些啟動(dòng)加載項(xiàng)目，也可以使木馬 程序達(dá)到自動(dòng)加載運(yùn)行的目的，而且這種方程序達(dá)到自動(dòng)加載運(yùn)行的目的，而且這種方 法更加隱蔽。法更加隱蔽。 2021-7-12網(wǎng)絡(luò)入侵與防范講義64 修改系統(tǒng)注冊(cè)表修改系統(tǒng)注冊(cè)表

51、(2) o Run、RunOnce、RunOnceEx、 RunServices、RunServicesOnce這些子這些子 鍵保存了鍵保存了Windows啟動(dòng)時(shí)自動(dòng)運(yùn)行的程序。啟動(dòng)時(shí)自動(dòng)運(yùn)行的程序。 o 通過在這些鍵中添加鍵值，可以比較容易地實(shí)現(xiàn)通過在這些鍵中添加鍵值，可以比較容易地實(shí)現(xiàn) 程序的自動(dòng)加載，例如：程序的自動(dòng)加載，例如： nHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun nHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRunService

52、nHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRun (3)添加系統(tǒng)服務(wù)添加系統(tǒng)服務(wù) o Windows NT內(nèi)核操作系統(tǒng)都大量使用服務(wù)來(lái)實(shí)內(nèi)核操作系統(tǒng)都大量使用服務(wù)來(lái)實(shí) 現(xiàn)關(guān)鍵的系統(tǒng)功能?，F(xiàn)關(guān)鍵的系統(tǒng)功能。 o 服務(wù)程序是一類長(zhǎng)期運(yùn)行的應(yīng)用程序，它不需要界服務(wù)程序是一類長(zhǎng)期運(yùn)行的應(yīng)用程序，它不需要界 面或可視化輸出，能夠設(shè)置為在操作系統(tǒng)啟動(dòng)時(shí)自面或可視化輸出，能夠設(shè)置為在操作系統(tǒng)啟動(dòng)時(shí)自 動(dòng)開始運(yùn)行，而不需要用戶登錄來(lái)運(yùn)行它。動(dòng)開始運(yùn)行，而不需要用戶登錄來(lái)運(yùn)行它。 o 除了操作系統(tǒng)內(nèi)置的服務(wù)程序外，用戶也可以注冊(cè)除了操作系統(tǒng)

53、內(nèi)置的服務(wù)程序外，用戶也可以注冊(cè) 自己的服務(wù)程序。木馬程序就是利用了這一點(diǎn)，將自己的服務(wù)程序。木馬程序就是利用了這一點(diǎn)，將 自己注冊(cè)為系統(tǒng)的一個(gè)服務(wù)并設(shè)置為自動(dòng)運(yùn)行，這自己注冊(cè)為系統(tǒng)的一個(gè)服務(wù)并設(shè)置為自動(dòng)運(yùn)行，這 樣每當(dāng)樣每當(dāng)Windows系統(tǒng)啟動(dòng)時(shí)，即使沒有用戶登錄系統(tǒng)啟動(dòng)時(shí)，即使沒有用戶登錄 ，木馬也會(huì)自動(dòng)開始工作。，木馬也會(huì)自動(dòng)開始工作。 2021-7-12網(wǎng)絡(luò)入侵與防范講義66 (4)修改文件打開關(guān)聯(lián)屬性修改文件打開關(guān)聯(lián)屬性 o 通常，對(duì)于一些常用的文件如通常，對(duì)于一些常用的文件如.txt文件，只要雙擊文件，只要雙擊 文件圖票就能打開這個(gè)文件。這是因?yàn)樵谙到y(tǒng)注冊(cè)文件圖票就能打開這個(gè)文件

54、。這是因?yàn)樵谙到y(tǒng)注冊(cè) 表中，已經(jīng)把這類文件與某個(gè)程序關(guān)聯(lián)起來(lái)，只要表中，已經(jīng)把這類文件與某個(gè)程序關(guān)聯(lián)起來(lái)，只要 用戶雙擊該類文件，系統(tǒng)就自動(dòng)啟動(dòng)相關(guān)聯(lián)的程序用戶雙擊該類文件，系統(tǒng)就自動(dòng)啟動(dòng)相關(guān)聯(lián)的程序 來(lái)打開文件。來(lái)打開文件。 o 修改文件打開關(guān)聯(lián)屬性是木馬程序的常用手段。比修改文件打開關(guān)聯(lián)屬性是木馬程序的常用手段。比 如：正常情況下如：正常情況下.txt文件的打開方式為文件的打開方式為 notepad.exe文件，而木馬可能將這類文件的關(guān)文件，而木馬可能將這類文件的關(guān) 聯(lián)程序修改為木馬程序，這樣只要打開此類文件，聯(lián)程序修改為木馬程序，這樣只要打開此類文件， 就能在無(wú)意中啟動(dòng)木馬。就能在無(wú)意中

55、啟動(dòng)木馬。 o 著名的國(guó)產(chǎn)木馬著名的國(guó)產(chǎn)木馬冰河就是這樣做的。冰河就是這樣做的。 2021-7-12網(wǎng)絡(luò)入侵與防范講義67 例：冰河的自動(dòng)加載方法例：冰河的自動(dòng)加載方法 HKEY_CLASSES_ROOT根鍵中記錄的是根鍵中記錄的是Windows 操作系統(tǒng)中所有數(shù)據(jù)文件的信息，主要記錄不同文件的文操作系統(tǒng)中所有數(shù)據(jù)文件的信息，主要記錄不同文件的文 件名后綴和與之對(duì)應(yīng)的應(yīng)用程序。件名后綴和與之對(duì)應(yīng)的應(yīng)用程序。 “冰河冰河”就是通過修改就是通過修改 HKEY_CLASSES_ROOTtxtfileshellopenc ommand下的鍵值，將下的鍵值，將 “C:WINDOWSNOTEPAD.EXE

56、 %1” 改為改為“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”，這樣一旦你雙擊一個(gè)，這樣一旦你雙擊一個(gè)TXT文件，原本應(yīng)用文件，原本應(yīng)用 Notepad打開該文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。打開該文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。 2021-7-12網(wǎng)絡(luò)入侵與防范講義68 修改文件打開關(guān)聯(lián)修改文件打開關(guān)聯(lián)(續(xù)續(xù)) o 不僅僅是不僅僅是TXT文件，其它諸如文件，其它諸如HTM、ZIP、RAR等都等都 是木馬的目標(biāo)，要小心。是木馬的目標(biāo)，要小心。 o 對(duì)付這類木馬，只能經(jīng)常檢查對(duì)付這類木馬，只能經(jīng)常檢查 HKEY_CLASSES_ROOT文件類型文件類型 shellopenc

57、ommand主鍵，查看其鍵值是否正主鍵，查看其鍵值是否正 常。常。 (5)修改任務(wù)計(jì)劃修改任務(wù)計(jì)劃 o 在默認(rèn)情況下，任務(wù)計(jì)劃程序隨在默認(rèn)情況下，任務(wù)計(jì)劃程序隨Windows一一 起啟動(dòng)并在后臺(tái)運(yùn)行。如果把某個(gè)程序添加到起啟動(dòng)并在后臺(tái)運(yùn)行。如果把某個(gè)程序添加到 計(jì)劃任務(wù)文件夾，并將計(jì)劃任務(wù)設(shè)置為計(jì)劃任務(wù)文件夾，并將計(jì)劃任務(wù)設(shè)置為“系統(tǒng)系統(tǒng) 啟動(dòng)時(shí)啟動(dòng)時(shí)”或或“登錄時(shí)登錄時(shí)”，這樣也可以實(shí)現(xiàn)程序，這樣也可以實(shí)現(xiàn)程序 自啟動(dòng)。自啟動(dòng)。 2021-7-12網(wǎng)絡(luò)入侵與防范講義69 (6)修改組策略修改組策略 o 在在“開始開始”“運(yùn)行運(yùn)行”中輸入中輸入“gpedit.msc 。 o 按回車，打開系統(tǒng)組

58、策略窗口，選擇按回車，打開系統(tǒng)組策略窗口，選擇“計(jì)算機(jī)配置計(jì)算機(jī)配置 ”“管理模板管理模板”“系統(tǒng)系統(tǒng)”“登錄登錄”，雙擊右邊的，雙擊右邊的 “在用戶登錄時(shí)運(yùn)行這些程序在用戶登錄時(shí)運(yùn)行這些程序”項(xiàng)。項(xiàng)。 2021-7-12網(wǎng)絡(luò)入侵與防范講義70 修改組策略修改組策略(2) o 打開其屬性對(duì)話框，打開其屬性對(duì)話框， 選擇選擇“已啟用已啟用”，再單擊，再單擊“顯示顯示 ”，會(huì)彈出，會(huì)彈出“顯示內(nèi)容顯示內(nèi)容”對(duì)話框，列表中顯示的便是藏對(duì)話框，列表中顯示的便是藏 身于此的自啟動(dòng)程序。身于此的自啟動(dòng)程序。 o 如果你也想在這里添加自啟動(dòng)項(xiàng)目，可單擊如果你也想在這里添加自啟動(dòng)項(xiàng)目，可單擊“添加添加”在在

59、出現(xiàn)的出現(xiàn)的“添加項(xiàng)目添加項(xiàng)目”對(duì)話框中輸入可執(zhí)行文件的完整路對(duì)話框中輸入可執(zhí)行文件的完整路 徑和文件名，徑和文件名，“確定確定”即可。即可。 2021-7-12網(wǎng)絡(luò)入侵與防范講義71 (7)修改啟動(dòng)文件夾修改啟動(dòng)文件夾 o 當(dāng)前登陸用戶的當(dāng)前登陸用戶的“啟動(dòng)啟動(dòng)”文件夾文件夾 n 這是許多應(yīng)用軟件自啟動(dòng)的常用位置。當(dāng)前登陸用 戶的“啟動(dòng)”文件夾一般在：C:Documents and Settings開始菜單程序啟動(dòng) o 對(duì)所有用戶有效的啟動(dòng)文件夾對(duì)所有用戶有效的啟動(dòng)文件夾 n 不管用戶用什么身份登錄系統(tǒng)，放入該文件夾的快 捷方式總是自動(dòng)啟動(dòng)這是它與用戶專有的啟動(dòng) 文件夾的區(qū)別所在。該文件夾一

60、般在： C:Documents and SettingsAll Users開始 菜單程序啟動(dòng) 2021-7-12網(wǎng)絡(luò)入侵與防范講義72 2021-7-12網(wǎng)絡(luò)入侵與防范講義73 (8)利用系統(tǒng)自動(dòng)運(yùn)行的程序利用系統(tǒng)自動(dòng)運(yùn)行的程序 o 在在Windows系統(tǒng)中，有很多程序是可以自動(dòng)運(yùn)行的。系統(tǒng)中，有很多程序是可以自動(dòng)運(yùn)行的。 o 如在對(duì)磁盤進(jìn)行格式化后，總是要運(yùn)行如在對(duì)磁盤進(jìn)行格式化后，總是要運(yùn)行“磁盤掃描磁盤掃描”程程 序（序（Scandisk.exe）；）； o 按下按下F1鍵時(shí)，系統(tǒng)將運(yùn)行鍵時(shí)，系統(tǒng)將運(yùn)行Winhelp.exe或或Hh.exe打打 開幫助文件；開幫助文件； o 系統(tǒng)啟動(dòng)時(shí)，