木馬攻擊與防范技

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)木馬攻擊與防范技術(shù)姓名： 焦偉 班級(jí)：08級(jí)電子信息工程技術(shù) 學(xué)號(hào)：當(dāng)你在網(wǎng)上盡情暢游之時(shí)，你是否知道網(wǎng)上正有不少窺探者正伺機(jī)竊取你的個(gè)人隱私、破壞你的機(jī)器呢？網(wǎng)上有陷阱，網(wǎng)上有竊賊，這已經(jīng)不是一個(gè)危言聳聽(tīng)的話題，而是實(shí)實(shí)在在發(fā)生在你我身邊的事。了解一些木馬入侵的手段，采取一定的防范措施關(guān)鍵字：木馬、木馬原理、木馬攻擊、木馬防范一、木馬程序的技術(shù)原理木馬程序也叫特洛伊（Trojan）木馬程序，來(lái)源于希臘神話中的希臘士兵藏在木馬內(nèi)進(jìn)入特洛伊城從而占領(lǐng)它的故事。木馬程序是一

2、種基于客戶機(jī)/服務(wù)器架構(gòu)的網(wǎng)絡(luò)通信軟件，與正規(guī)的遠(yuǎn)程控制軟件相比，它存在著隱蔽安裝、非授權(quán)操作、破壞用戶機(jī)器、竊取個(gè)人信息等特征，是一種危害極大的程序。一般將受害計(jì)算機(jī)稱(chēng)作服務(wù)器端，對(duì)受害計(jì)算機(jī)進(jìn)行遠(yuǎn)程控制的計(jì)算機(jī)稱(chēng)作客戶機(jī)端，真正建立聯(lián)系后，二者的角色是可以互換的。木馬程序依托的網(wǎng)絡(luò)環(huán)境一般為采用TCP/IP協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)。木馬程序相應(yīng)分為客戶端程序和服務(wù)器端程序兩部分，其中服務(wù)器端在目標(biāo)計(jì)算機(jī)上駐留，獲取目標(biāo)計(jì)算機(jī)的操作權(quán)限，完成對(duì)目標(biāo)計(jì)算機(jī)的操控；客戶端由控制者操縱，向服務(wù)器端傳輸指令，用以控制遠(yuǎn)程目標(biāo)計(jì)算機(jī)。通常情況下，服務(wù)器端程序通過(guò)隱蔽手段駐留目標(biāo)計(jì)算機(jī)后，篡改本機(jī)的網(wǎng)絡(luò)設(shè)置，開(kāi)

3、放本地網(wǎng)絡(luò)端口，通過(guò)一定的手段向客戶端傳遞宿主計(jì)算機(jī)的網(wǎng)絡(luò)信息，如IP地址、網(wǎng)絡(luò)端口等，并實(shí)時(shí)監(jiān)聽(tīng)網(wǎng)絡(luò)連接請(qǐng)求；客戶端程序獲得受害計(jì)算機(jī)的相關(guān)信息后，主動(dòng)向服務(wù)器端程序發(fā)出連接請(qǐng)求，建立通信關(guān)系，實(shí)現(xiàn)對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行操控，也有由服務(wù)器端主動(dòng)向客戶端發(fā)出連接請(qǐng)求并建立通信關(guān)系的。一旦服務(wù)器端和客戶機(jī)端建立通信聯(lián)系，服務(wù)器端計(jì)算機(jī)就完全處于木馬程序的控制之下，客戶端可以通過(guò)預(yù)先約定好的命令來(lái)操控服務(wù)器程序執(zhí)行非授權(quán)的行為，如刪除文件、修改注冊(cè)表、打開(kāi)或關(guān)閉服務(wù)、重啟計(jì)算機(jī)、監(jiān)視宿主機(jī)的操作、傳輸宿主機(jī)上的相關(guān)資料等，也可以以受控計(jì)算機(jī)為跳板，向網(wǎng)絡(luò)上其它主機(jī)發(fā)起攻擊。二、木馬攻擊方式 木馬的攻擊方

4、式，在本文主要是知其如何地進(jìn)行感染與滲透，并且進(jìn)行自身的隱藏，以及進(jìn)行資料的搜集或者破壞等活動(dòng)。木馬其攻擊過(guò)程的一個(gè)典型過(guò)程如下：當(dāng)服務(wù)器端在目標(biāo)計(jì)算機(jī)上被執(zhí)行后，這時(shí)木馬程序開(kāi)啟默認(rèn)的端口從而實(shí)現(xiàn)監(jiān)聽(tīng)，而在客戶機(jī)給服務(wù)器的程序發(fā)出鏈接請(qǐng)求要求時(shí)，就進(jìn)行響應(yīng)：有關(guān)程序開(kāi)始運(yùn)行實(shí)現(xiàn)對(duì)答客戶機(jī)的應(yīng)答，這樣就建立了服務(wù)器端程序跟客戶端之間的連接。建立鏈接以后，指令從客戶端來(lái)發(fā)出，而服務(wù)器中則進(jìn)行指令的分析與執(zhí)行，并將數(shù)據(jù)傳送到客戶端，以達(dá)到控制主機(jī)的目的。 （一）目標(biāo)的感染與植入 向目標(biāo)主機(jī)成功植入木馬是木馬成功運(yùn)行、發(fā)揮作用的前提。這一過(guò)程通常包含偽裝、捆綁、漏洞利用等一切可能利用的技術(shù)手段。這個(gè)

5、過(guò)程主要有：1.腳本種植技術(shù)。利用網(wǎng)頁(yè)木馬，網(wǎng)頁(yè)木馬就是當(dāng)用戶瀏覽某網(wǎng)頁(yè)時(shí)，自動(dòng)下載并運(yùn)行某“木馬”程序。2.利用腳本方式植入。通過(guò)script、activex及asp、cgi交互腳本的方式植入。3.利用系統(tǒng)漏洞植入。利用系統(tǒng)的其他一些漏洞進(jìn)行植入。4.遠(yuǎn)程安裝。通過(guò)一定的方法把木馬執(zhí)行文件傳送到目標(biāo)主機(jī)的電腦里再進(jìn)行遠(yuǎn)程安裝。（二）自動(dòng)加載在自動(dòng)加載過(guò)程，本身也是一個(gè)隱藏著的行為。這需要在操作系統(tǒng)啟動(dòng)的時(shí)候同步地啟動(dòng)自身，以此達(dá)到讓木馬在宿主機(jī)中自動(dòng)運(yùn)行的目的。常見(jiàn)的木馬啟動(dòng)方式有：?jiǎn)?dòng)項(xiàng)加入注冊(cè)表；win.ini和system.ini中的load節(jié)中添加啟動(dòng)項(xiàng)；autoexe.bat中添加

6、；修改boot.ini的配置；修改explorer.exe參數(shù)等等。 （三）進(jìn)程隱藏以及文件隱藏早期的木馬進(jìn)程的隱藏采取的措施比較簡(jiǎn)單，windows9x系統(tǒng)要實(shí)現(xiàn)進(jìn)程的隱藏可以通過(guò)把木馬程序注冊(cè)為服務(wù)的方式來(lái)達(dá)到。在windowsnt/2000下，有些進(jìn)程名字改得和系統(tǒng)進(jìn)程非常相似，迷惑使用的人；也有的利用hookapi技術(shù)修改函數(shù)的入口點(diǎn)欺騙列舉本地進(jìn)程的api函數(shù)；當(dāng)然更好的是使用rundll32.exe設(shè)計(jì)技術(shù)運(yùn)行木馬本身，這樣在進(jìn)程列表中顯示出來(lái)的就是rundll而非木馬的可執(zhí)行文件名，文件管理器中不能正確地列出木馬的可執(zhí)行文件。除了進(jìn)程隱藏，還需要對(duì)靜態(tài)文件的隱藏于保密，這里不贅述

7、了。 總而言之，各懷鬼胎的木馬通過(guò)以上隱秘的方式，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)的攻擊。 三、木馬程序的植入過(guò)程 木馬程序有著巨大的破壞性，它首先要千方百計(jì)地把服務(wù)器端程序隱蔽植入目標(biāo)計(jì)算機(jī)中。木馬程序主要有以下幾種植入方法：利用電子郵件進(jìn)行傳播。攻擊者將木馬程序偽裝成電子郵件附件的形式發(fā)送出去，收信方只要查看郵件附件就會(huì)使木馬程序得到運(yùn)行并安裝入系統(tǒng)。通過(guò)即時(shí)通信軟件傳播。利用，等即時(shí)通信軟件，向目標(biāo)機(jī)器傳送文件，并在受騙用戶接收藏有木馬程序的文件時(shí)自動(dòng)完成木馬的植入。利用網(wǎng)絡(luò)下載進(jìn)行傳播。攻擊者把木馬捆綁到其它正常文件上，以提供軟件下載為名誘使上網(wǎng)者下載運(yùn)行，只要運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。通過(guò)腳本程

8、序傳播。由于微軟的IE瀏覽器在執(zhí)行Script腳本程序時(shí)存在一些漏洞，攻擊者可以通過(guò)編制CGI程序在被攻擊的目標(biāo)主機(jī)上執(zhí)行木馬程序。攻擊者也可利用腳本語(yǔ)言編寫(xiě)出一個(gè)動(dòng)態(tài)網(wǎng)頁(yè)，當(dāng)上網(wǎng)用戶瀏覽該頁(yè)面時(shí)，木馬程序?qū)⒃诤笈_(tái)下載到受害者計(jì)算機(jī)中，安裝和運(yùn)行。.利用系統(tǒng)漏洞進(jìn)行傳播。如微軟著名的IIS服務(wù)器溢出漏洞，通過(guò)一個(gè)IISHACK攻擊程序即可把IIS服務(wù)器崩潰，并且同時(shí)在受控服務(wù)器執(zhí)行木馬程序。遠(yuǎn)程入侵進(jìn)行傳播：黑客通過(guò)破解密碼和建立IPC$遠(yuǎn)程連接后登陸到目標(biāo)主機(jī)，將木馬服務(wù)端程序拷貝到目標(biāo)計(jì)算機(jī)中，然后通過(guò)遠(yuǎn)程操作讓木馬程序在某一個(gè)時(shí)間運(yùn)行。其它手段。例如在一些來(lái)路不明的光盤(pán)中隱藏，一旦用戶運(yùn)

9、行使用，木馬就悄然植入。四、木馬防范及應(yīng)對(duì)1、木馬防范技術(shù)的現(xiàn)狀目前防范木馬的手段主要是依靠殺毒軟件和網(wǎng)絡(luò)防火墻所附加的檢查功能。殺毒軟件主要依靠對(duì)木馬文件本身的特征以及木馬對(duì)系統(tǒng)進(jìn)行修改的行為特征來(lái)識(shí)別木馬,而防火墻軟件主要通過(guò)對(duì)的控制實(shí)現(xiàn)對(duì)木馬通信的封鎖。木馬與病毒的工作原理不同,實(shí)現(xiàn)技術(shù)也不同,因此,防御的方法也不一樣。殺毒軟件是病毒的克星,對(duì)木馬卻不一定有效。一些高級(jí)的木馬大都是單獨(dú)使用,其曝光的幾率小,這些木馬即使長(zhǎng)時(shí)間使用也不會(huì)被發(fā)現(xiàn),對(duì)這樣的木馬,殺毒軟件無(wú)能為力。特別是,隨著反彈端口木馬和注入式木馬的出現(xiàn),防火墻軟件也難以阻止木馬的入侵。2、木馬的防范措施（一）意識(shí)層面（1）.

10、警惕網(wǎng)絡(luò)陷阱，增強(qiáng)自身的防范意識(shí)。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)上不僅有眾多的黑客站點(diǎn)，匯集著專(zhuān)業(yè)、詳細(xì)的黑客教程，手把手教人制作各種病毒和木馬程序，而且還有大量的開(kāi)放源碼、黑客工具、木馬配置程序，即使不懂程序設(shè)計(jì)的普通人利用這些工具制作木馬程序也不是一件難事，況且還有許多外部勢(shì)力成立了專(zhuān)門(mén)機(jī)構(gòu)，瞄準(zhǔn)我網(wǎng)上信息進(jìn)行瘋狂的探測(cè)和攻擊，所以要樹(shù)立“網(wǎng)上有陷阱”的觀念，克服僥幸疏忽的麻痹思想，提高風(fēng)險(xiǎn)和防范意識(shí)。（）養(yǎng)成良好的上網(wǎng)習(xí)慣。無(wú)論木馬程序多么惡意和隱蔽，其服務(wù)器端程序必須成功駐留在上網(wǎng)用戶機(jī)器里，才能達(dá)到竊取和破壞的作用，拒絕木馬程序在本地駐留是防止信息泄露的根本方法。為誘騙用戶安裝，木馬程序一般都

11、披著誘人的外衣，所以在平時(shí)登錄互聯(lián)網(wǎng)時(shí)，要養(yǎng)成良好的上網(wǎng)習(xí)慣，自覺(jué)抵制不良信息的誘惑，不登錄色情、反動(dòng)網(wǎng)站，不輕信任何中獎(jiǎng)、返物廣告的引誘；不隨意安裝不可信的插件，不隨意接受陌生人的文件，特別是可執(zhí)行文件；瀏覽電子郵件時(shí)，對(duì)于附件要特別慎重，不隨意打開(kāi)可執(zhí)行文件的附件。（二）技術(shù)層面(1)采取必要的防范技術(shù)措施。首先要安裝防病毒和防火墻軟件，并且要實(shí)時(shí)進(jìn)行更新。防病毒軟件能夠?qū)崟r(shí)監(jiān)控系統(tǒng)關(guān)鍵區(qū)域（系統(tǒng)文件、啟動(dòng)項(xiàng)目、注冊(cè)表等）、內(nèi)存、網(wǎng)絡(luò)運(yùn)行狀態(tài)等，自動(dòng)對(duì)下載文件、網(wǎng)頁(yè)和郵件進(jìn)行偵測(cè)和過(guò)濾，一旦發(fā)現(xiàn)可疑苗頭，及時(shí)進(jìn)行攔截和處理，并向用戶發(fā)出警報(bào)。防火墻軟件可以對(duì)IP數(shù)據(jù)包進(jìn)行過(guò)濾檢查，拒絕來(lái)源

12、和去向不明的數(shù)據(jù)包，在適當(dāng)規(guī)則的限制下，對(duì)通訊端口也進(jìn)行一定的限制，即使木馬植入成功，防火墻也可有效攔截攻擊者的行動(dòng)。目前一些安全防護(hù)軟件已經(jīng)把防病毒和防火墻功能集成在一起，使用起來(lái)更加方便。其次要做好系統(tǒng)的防護(hù)設(shè)置。資源管理器查看選項(xiàng)要打開(kāi)文件的后綴名顯示（查看文件類(lèi)型與后綴名類(lèi)型是否一致）；每次打開(kāi)懷疑文件前，要察看文件的創(chuàng)建、修改、訪問(wèn)時(shí)間；要經(jīng)常查看注冊(cè)表啟動(dòng)項(xiàng)是否有可疑程序啟動(dòng)。系統(tǒng)管理員用戶名要換掉默認(rèn)名字，并設(shè)置隨機(jī)密碼。再次要做好系統(tǒng)的漏洞堵塞，及時(shí)下載和安裝操作系統(tǒng)升級(jí)補(bǔ)丁，杜絕安全漏洞。(2)發(fā)現(xiàn)木馬苗頭要及時(shí)處理。一旦發(fā)現(xiàn)計(jì)算機(jī)感染了木馬病毒，要及時(shí)斷開(kāi)網(wǎng)絡(luò)連接，切斷病毒和盜取信息的傳播路徑，對(duì)計(jì)算機(jī)進(jìn)行徹底的查殺，防止病毒通過(guò)網(wǎng)絡(luò)進(jìn)一步擴(kuò)散，造成更嚴(yán)重的災(zāi)難。對(duì)惡意軟件入侵事件，要總結(jié)經(jīng)驗(yàn)教訓(xùn)以避免重復(fù)受害結(jié)語(yǔ)自人類(lèi)誕生的那一刻起，人類(lèi)便擁有了一項(xiàng)本能的思想欲望。起初，人類(lèi)為了滿足自己的生存欲望，便殘殺了一些不屬于同類(lèi)的生命；接著，人類(lèi)在滿足自己生活的欲望后，便想著去建立自己的勢(shì)力、擁有自己的土地，從而引發(fā)