木馬攻防感想

木馬攻防的感想刖言木馬技術是最常見的網(wǎng)絡攻擊手段之一，它對網(wǎng)絡環(huán)境中計算機信息資源造成了很大的危害。文中介紹了木馬程序的概念、基本原理和分類，針對常見的木馬攻擊方式提出了一些防范措施。木馬的危害，在于它能夠遠程控制你的電腦。當你成為''肉雞〃的時候，別人（控制端）就可以進入你的電腦，偷看你的文件、*密碼、甚至用你的QQ發(fā)一些亂七八糟的東西給你的好友，木馬大量出現(xiàn)，在于它有著直接的商業(yè)利益。一旦你的網(wǎng)上銀行密碼被盜，哭都來不及了。正因為如此，現(xiàn)在木馬越繁殖越多，大有'野火燒不盡〃之勢。木馬與病毒相互配合、相得益彰，危害越來越大?！娟P鍵詞】：木馬程序、攻擊手段、防范技術、木馬的危害一、木馬概述木馬的定義及特征1.1木馬的定義在古羅馬的戰(zhàn)爭中，古羅馬人利用一只巨大的木馬，麻痹敵人，贏得了戰(zhàn)役的勝利，成為一段歷史佳話。而在當今的網(wǎng)絡世界里，也有這樣一種被稱做木馬的程序，它為自己帶上偽裝的面具，悄悄地潛入用戶的系統(tǒng)，進行著不可告人的行動。有關木馬的定義有很多種，作者認為，木馬是一種在遠程計算機之間建立起連接，使遠程計算機能夠通過網(wǎng)絡控制本地計算機的程序，它的運行遵照TCP/IP協(xié)議，由于它像間諜一樣潛入用戶的電腦，為其他人的攻擊打開后門，與戰(zhàn)爭中的“木馬”戰(zhàn)術十分相似，因而得名木馬程序。木馬程序一般由兩部分組成的，分別是Server（服務）端程序和Client（客戶）端程序。其中Server端程序安裝在被控制計算機上，Client端程序安裝在控制計算機上，Server端程序和Client端程序建立起連接就可以實現(xiàn)對遠程計算機的控制了。首先，服務器端程序獲得本地計算機的最高操作權限，當本地計算機連入網(wǎng)絡后，客戶端程序可以與服務器端程序直接建立起連接，并可以向服務器端程序發(fā)送各種基本的操作請求，并由服務器端程序完成這些請求，也就實現(xiàn)了對本地計算機的控制。因為木馬發(fā)揮作用必須要求服務器端程序和客戶端程序同時存在，所以必須要求本地機器感染服務器端程序，服務器端程序是可執(zhí)行程序，可以直接傳播，也可以隱含在其他的可執(zhí)行程序中傳播，但木馬本身不具備繁殖性和自動感染的功能。1.2木馬的特征據(jù)不完全統(tǒng)計，目前世界上有上千種木馬程序。雖然這些程序使用不同的程序設計語言進行編制，在不同的環(huán)境下運行，發(fā)揮著不同的作用，但是它們有著許多共同的特征。（1）隱蔽性隱蔽性是木馬的首要特征。木馬類軟件的server端在運行時會使用各種手段隱藏自己，例如大家所熟悉的修改注冊表和ini文件，以便機器在下一次啟動后仍能載入木馬程序。通常情況下，采用簡單的按“Alt+Ctrl+Del”鍵是不能看見木馬進程的。還有些木馬可以自定義通信端口，這樣就可以使木馬更加隱秘。木馬還可以更改server端的圖標，讓它看起來象個zip或圖片文件，如果用戶一不小，就會讓當。（2） 功能特殊性通常，木馬的功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索目標計算機中的口令，設置口令，掃描IP發(fā)現(xiàn)中招的機器，記錄用戶事件，遠程注冊表的操作，以及顛倒屏幕，鎖定鼠標等功能。（3） 自動運行性木馬程序通過修改系統(tǒng)配置文件或注冊表的方式，在目標計算機系統(tǒng)啟動時即自動運行或加載。（4） 欺騙性木馬程序要達到其長期隱蔽的目的，就必需借助系統(tǒng)中已有的文件，以防被用戶發(fā)現(xiàn)。木馬程序經(jīng)常使用的是常見的文件名或擴展名，如“dll\win\sys\explorer等字樣，或者仿制一些不易被人區(qū)別的文件名，如字母“l(fā)”與數(shù)字“1”、字母“o”與數(shù)字“0”。還有的木馬程序為了隱藏自己，把自己設置成一個ZIP文件式圖標，當你一不小心打開它時，它就馬上運行。木馬編制者還在不斷地研究、發(fā)掘欺騙的手段，花樣層出不窮，讓人防不勝防。（5） 自動恢復性現(xiàn)在，很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復。計算機一旦感染上木馬程序，想單獨靠刪除某個文件來清除，是不太可能的。木馬的工作原理特洛伊木馬（其名稱取自希臘神話的特洛伊木馬記，以下簡稱木馬）的英文為“TrojanHorse”，是一種基于遠程控制的黑客工具程序。因此，查殺木馬最關鍵的還是要知道木馬的工作原理。常見的普通木馬一般是客戶端/服務端（Client/Server,C/S）模式，客戶端/服務端之間采用TCP/UDP的通信方式，攻擊者控制的相應的客戶端程序，服務端程序是木馬程序，木馬程序被植入到毫不知情的用戶的計算機中。以“里應外和”的工作方式，服務端通過打開特定的端口并進行監(jiān)聽，這些端口好像“后門”一樣，所以，也有人把特洛伊木馬叫做后門工具。攻擊者所掌握的客戶端程序向該端口發(fā)出請求（ConnectRequest），木馬便與其連接起來。攻擊者可以使用控制器進入計算機，通過客戶端程序命令達到控制服務器端的目的。這類木馬的一般工作模式如下圖所示。木馬的分類根據(jù)木馬程序?qū)τ嬎銠C的具體動作方式，可以把現(xiàn)在存在的木馬程序分為以下的幾類。1、 遠程訪問型木馬遠程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬起著遠程控制的功能，用起來非常簡單，只需一些人運行服務端程序，同時獲得他們的ip地址，控制者就能任意訪問被控制端的計算機。這種木馬可以使遠程控制者在本地機器上做任意的事情，比如鍵盤記錄、上傳和下載功能、發(fā)射一個“截取屏幕”等等。這種類型的木馬有著名的BO(BackOffice)、國產(chǎn)的冰河等。2、 密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)的這類木馬程序不會在每次Windows重啟時都自動加載，它們大多數(shù)使用25端口發(fā)送電子郵件。3、 鍵盤記錄型木馬鍵盤記錄型木馬是非常簡單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種木馬程序隨著Windows的啟動而啟動，知道受害者在線并且記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。4、 毀壞型木馬大部分木馬程序只竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動地刪除受控制者計算機上所有的.dll或.ini或.exe文件，甚至遠程格式化受害者硬盤。毀壞型木馬的危害很大，一旦計算機被感染而沒有即時刪除，系統(tǒng)中的信息會在頃刻間“灰飛煙滅”。5、 FTP型木馬FTP型木馬打開被控制計算機的21端口(FTP所使用的默認端口)，使每一個人都可以用一個FTP客戶端程序來不用密碼連接到受控制端計算機，并且可以進行最高權限的上傳和下載，竊取受害者的機密文件。6、 DoS攻擊木馬隨著DoS攻擊越來越廣泛的應用，被用作DoS攻擊的木馬也越來越流行起來。當黑客入侵一臺機器后，給他種上DoS攻擊木馬，那么日后這臺計算機就成為黑客DoS攻擊的最得力助手了。黑客控制的肉雞數(shù)量越多，發(fā)動DoS攻擊取得成功的機率就越大。所以，這種木馬的危害不是體現(xiàn)在被感染計算機上，而是體現(xiàn)在黑客利用它來攻擊一臺又一臺計算機，給網(wǎng)絡造成很大的傷害和帶來損失。

還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機生成各種各樣主題的信件，對特定的郵箱不停地發(fā)送郵件，一直到對方癱瘓、不能接受郵件為止。7、 反彈端口型木馬木馬開發(fā)者在分析了防火墻的特性后發(fā)現(xiàn)：防火墻對于連入的鏈接往往會進行非常嚴格的過濾，但是對于連出的鏈接卻疏于防范。與一般的木馬相反，反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口。木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動連結控制端打開的被動端口；為了隱蔽起見，控制端的被動端口一般開在80，即使用戶使用掃描軟件檢查自己的端口時，發(fā)現(xiàn)類似TCPUserIP:1026ControllerIP:80ESTABLISHED的情況，稍微疏忽一點，就會以為是自己在瀏覽網(wǎng)頁，因為瀏覽網(wǎng)頁都會打開80端口的。8、 代理木馬黑客在入侵的同時掩蓋自己的足跡，謹防別人發(fā)現(xiàn)自己的身份是非常重要的，因此，給被控制的肉雞種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet，ICQ，IRC等程序，從而隱蔽自己的蹤跡。9、 程序殺手木馬上面的木馬功能雖然形形色色，不過到了對方機器上要發(fā)揮自己的作用，還要過防木馬軟件這一關才行。常見的防木馬軟件有ZoneAlarm,NortonAnti-Virus等。程序殺手木馬的功能就是關閉對方機器上運行的這類程序，讓其他的木馬更好地發(fā)揮作用木馬的功能木馬程序的危害是十分大的，它能使遠程用戶獲得本地機器的最高操作權限，通過網(wǎng)絡對本地計算機進行任意的操作，比如刪添程序、鎖定注冊表、獲取用戶保密信息、遠程關機等。木馬使用戶的電腦完全暴露在網(wǎng)絡環(huán)境之中，成為別人操縱的對象。就目前出現(xiàn)的木馬來看，大致具有以下功能：1、 自動搜索已中木馬的計算機；2、 對對方資源管理，復制文件、刪除文件、查看文件內(nèi)容、上傳文件、下載文件等；3、 遠程運行程序；4、 跟蹤監(jiān)視對方屏幕；5、 直接屏幕鼠標控制，鍵盤輸入控制；6、 監(jiān)視對方任務且可以中止對方任務；7、 鎖定鼠標、鍵盤和屏幕；

8、 遠程重新啟動計算機、關機；9、 記錄、監(jiān)視按鍵順序、系統(tǒng)信息等一切操作；10、 隨意修改注冊表；11、 共享被控制端的硬盤；12、 亂屏等耍弄人操作。木馬的工作過程配置木馬一般來說，一個設計成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實現(xiàn)以下兩個功能。（1） 木馬偽裝。木馬配置程序為了在服務器端盡可能隱藏好，會采用多種偽裝手段，如修改圖標、捆綁文件、定制端口、自我銷毀等。（2） 信息反饋。木馬配置程序會根據(jù)信息反饋的方式或地址進行設置，如設置信息反饋的郵件地址、IRC號、ICQ號等。傳播木馬配置好木馬后，就要傳播過去。木馬的傳播方式主要有：控制端通過E-mail將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開附件就會感染木馬；軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要運行這些程序，木馬就會自動安裝；通過QQ等通信軟件進行傳播；通過病毒的夾帶把木馬傳播出去。啟動木馬木馬程序傳播給對方后，接下來是啟動木馬。一種方式是被動地等待木馬或捆綁木馬的程序被主動運行，這是最簡單的木馬。大多數(shù)首先將自身復制到Windows的系統(tǒng)文件夾中（C:\WINNT,C:\WINNT\system32或C:\WINNT\temp目錄下），然后寫入注冊表啟動組，非啟動組中設置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。一般系統(tǒng)重新啟動時木馬就可以啟動，然后木馬打開端口，等待連接。建立連接一個木馬連接的建立必須滿足兩個條件：一是服務器端已安裝了木馬程序；二是控制端、服務器端都要在線。在此基礎上控制端可以通過木馬端口與服務器端建立連接?？刂贫丝梢愿鶕?jù)提前配置的服務器地址、定制端口來建立連接；或者是用掃描器，根據(jù)掃描結果中檢測哪些計算機的某個端口開放，從而知道該計算機里某類木馬的服務器端在運行，然后建立連接;或者根據(jù)服務器端主動發(fā)回來的信息知道服務器端的地址、端口，然后建立連接。遠程控制前面的步驟完成之后，就是最后的目的階段，對服務器端進行遠程控制，實現(xiàn)竊取密碼、文件操作、修改注冊表、鎖住服務器端以及系統(tǒng)操作等。二、木馬的傳播方式系統(tǒng)漏洞一個新安裝的系統(tǒng)在沒有安裝任何系統(tǒng)補丁和防火墻程序時，它遭受木馬種植的危險機率非常大.眾所周知,Windows系統(tǒng)的漏洞非常多，即使你不做任何事只要系統(tǒng)連接上了網(wǎng)絡，黑客們就可以通過網(wǎng)絡掃描程序來找到你的電腦，然后再通過系統(tǒng)漏洞直接進入你的電腦，然后在你的系統(tǒng)中偷偷安裝上木馬程序，讓你在不知不覺間就中了招，成為了別人的肉雞.文件捆綁這是黑客種植木馬最常用的手段之一.將木馬程序捆綁在正常的程序或文件中，當別人下載并運行后，被捆綁木馬的程序和文件可以正常運行，但在運行過程中,木馬程序也已經(jīng)悄悄運行了，這起到了很好的迷惑作用.黑客通常會將木馬程序捆綁到一個廣為傳播的熱門軟件上來誘使他人下載，并把它放到下載網(wǎng)站或網(wǎng)站論壇中使其在網(wǎng)絡上傳播.文件偽裝將木馬程序偽裝成其它文件是黑客種植木馬最簡單也是最常用的手段.比如修改木馬程序的圖標，文件名或后綴名,使它看起來與另外一個正常文件別無二樣，而且為了讓人容易接受，常常會偽裝成熱門文件來誘使對方打開.偽裝木馬最常用的傳播方式就是通過電子郵件和QQ等即時通訊軟件來傳播.很多朋友對電子郵件的附件或QQ好友發(fā)送的文件會毫不猶豫的點擊接受，就這樣因為一時粗心大意中了木馬.有的黑客在第一次發(fā)送偽裝的木馬程序給對方后，如果對方運行后發(fā)現(xiàn)有疑問時，他就會解釋說程序壞了或是發(fā)錯了，然后重新發(fā)送正常的程序給對方來消除對方的疑慮，而此時木馬程序已經(jīng)在運行了.網(wǎng)頁木馬網(wǎng)頁木馬是通過網(wǎng)頁瀏覽傳播的一種木馬種植方式，此方法非常隱蔽,常常讓人在不知不覺間中招.黑客會將制作好的木馬程序放到網(wǎng)頁中，當人們在瀏覽這些網(wǎng)頁時，木馬程序會通過系統(tǒng)或軟件的漏洞自動安裝，或是以瀏覽該網(wǎng)頁必須的插件等名義誘騙用戶點擊安裝等等。方式偷偷進駐到別人的電腦中，讓人防不勝防.三、木馬攻防感想計算機的廣泛應用把人類帶入了一個全新的時代，特別是計算機網(wǎng)絡的社會化，已經(jīng)成為了信息時代的主要推動力。然而，網(wǎng)絡是一把雙刃劍，隨著計算機網(wǎng)絡的飛速發(fā)展。尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛，帶來了前所未有