基于木馬入侵防御(一基本原理)

基于木馬的入侵防御木馬原理前言入侵者在攻擊成功以后，大多數(shù)種植一個自己的木馬，已備以后方便進入系統(tǒng)。本章將介紹木馬的種類和原理。木馬的組成完整的木馬程序一般由兩個組成，一個是服務(wù)器程序，一個是控制器程序?！爸辛四抉R”就是指安裝了木馬的服務(wù)器程序，若你的電腦被安裝了服務(wù)器程序，則擁有控制器程序的人就可以通過網(wǎng)絡(luò)控制你的電腦、為所欲為，這時你電腦上的各種文件、程序，以及在你電腦上使用的帳號、密碼就無安全可言了。木馬的工作原理實際就是一個C/S模式的程序（里應(yīng)外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口被植入木馬的PC（client程序）操作系統(tǒng)TCP/IP協(xié)議端口控制端端口處于監(jiān)聽狀態(tài)木馬的工作原理木馬主要通過郵件、下載等途徑傳播木馬還可通過Script、ActiveX及ASP.CGI等交互腳本進行傳播一方面，木馬的服務(wù)器端程序會盡可能地隱蔽行蹤，同時監(jiān)聽某個端口，等待客戶端連接；另一方面，服務(wù)器端程序通過修改注冊表等方法實現(xiàn)自啟動功能。操作小任務(wù)1：打開冰河木馬的控制端程序,生成一個服務(wù)器端程序(即被控制端程序),要求配置具體信息如下:安裝路徑為默認(rèn)文件名稱為姓名拼音,如lili.exe進程名稱為姓名拼音。訪問口令自己定義。監(jiān)聽端口自定義。操作小任務(wù)2：驗證操作小任務(wù)1的配置，把冰河木馬的服務(wù)器段程序以某種方式放到目標(biāo)主機上，并執(zhí)行。逐一驗證查看操作小任務(wù)1的配置，所有的驗證要求截屏。木馬的種類破壞型密碼發(fā)送型遠(yuǎn)程訪問型鍵盤記錄型Dos攻擊木馬代理木馬ftp木馬程序殺手木馬反彈端口型木馬破壞型惟一的功能就是破壞并且刪除文件，可以自動的刪除電腦上的DLL、INI、EXE文件。密碼發(fā)送型可以找到隱藏密碼并把它們發(fā)送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中，認(rèn)為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。許多黑客軟件可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟件長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。遠(yuǎn)程訪問型最廣泛的是特洛伊馬，只需有人運行了服務(wù)端程序，如果客戶知道了服務(wù)端的IP地址，就可以實現(xiàn)遠(yuǎn)程控制。以下的程序可以實現(xiàn)觀察"受害者"正在干什么，當(dāng)然這個程序完全可以用在正道上的，比如監(jiān)視學(xué)生機的操作。鍵盤記錄木馬這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼DoS攻擊木馬隨著DoS攻擊越來越廣泛的應(yīng)用，被用作DoS攻擊的木馬也越來越流行起來。當(dāng)你入侵了一臺機器，給他種上DoS攻擊木馬，那么日后這臺計算機就成為你DoS攻擊的最得力助手了。你控制的肉雞數(shù)量越多，你發(fā)動DoS攻擊取得成功的機率就越大。所以，這種木馬的危害不是體現(xiàn)在被感染計算機上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺又一臺計算機，給網(wǎng)絡(luò)造成很大的傷害和帶來損失。特洛伊木馬具有的特性隱蔽性自動運行性具備自動恢復(fù)功能能自動打開特別的端口功能的特殊性操作小任務(wù)3：控制端找到那些電腦中了服務(wù)器端程序，進而可以控制它。找到以后，嘗試以下控制操作，并截屏。在查看對方電腦上文件,創(chuàng)建文件，刪除文件。查看對方電腦的屏幕.控制對方電腦的屏幕.信使服務(wù),發(fā)送hello信息修改對方電腦的桌面重新啟動對方電腦木馬是如何啟動的作為一個優(yōu)秀的木馬，自啟動功能是必不可少的，這樣可以保證木馬不會因為你的一次關(guān)機操作而徹底失去作用。正因為該項技術(shù)如此重要，所以，很多編程人員都在不停地研究和探索新的自啟動技術(shù)，并且時常有新的發(fā)現(xiàn)。一個典型的例子就是把木馬加入到用戶經(jīng)常執(zhí)行的程序(例如explorer.exe)中，用戶執(zhí)行該程序時，則木馬自動發(fā)生作用。當(dāng)然，更加普遍的方法是通過修改Windows系統(tǒng)文件和注冊表達到目的。木馬如何啟動在win.ini中啟動在win.ini中的[windows]字段中有啟動命令“l(fā)oad=”、“run=”,默認(rèn)情況下，“=”后面是空的，可以把加載程序?qū)懺谶@里，如：

run=c:\windows\sample.exe在system.ini中啟動system.ini位于windows的安裝目錄下，其中[boot]字段的shell=Explorer.exe是木馬常用來隱藏加載的地方，通常的做法是：shell=Explorer.exesample.exesystem.ini中的[386Enh]字段中的“driver=路徑\程序名”也可以用來實現(xiàn)自啟動，此外[mic]、[drivers]、[drivers32]也是加載程序的好地方。木馬如何啟動通過啟動組實現(xiàn)自啟動啟動組是專門用來實現(xiàn)程序自啟動地地方，位于“c:\documentsandsetting\administrator\starmenu\program\startup”,注冊表中對應(yīng)的位置為：“HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\shellfolders”.*.ini后綴為.ini的文件是系統(tǒng)中應(yīng)用程序的啟動配置文件，木馬利用這些文件能自啟動應(yīng)用程序的特點，將制作好的帶有木馬服務(wù)端程序的自啟動命令的文件上傳到目標(biāo)主機，就可達到自啟動的目的在Autoexec.bat和Config.sys中加載運行請大家注意，在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將己添加木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這兩個文件才行，而且采用這種方式不是很隱蔽。容易被發(fā)現(xiàn)，所以在Autoexec.bat和Confings中加載木馬程序的并不多見，但也不能因此而掉以輕心。在Winstart.bat中啟動Winstart.bat是一個特殊性絲毫不亞于Autoexec.bat的批處理文件，也是一個能自動被Windows加載運行的文件。它多數(shù)情況下為應(yīng)用程序及Windows自動生成，在執(zhí)行了Windows自動生成，在執(zhí)行了W并加截了多數(shù)驅(qū)動程序之后開始執(zhí)行(這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運行，危險由此而來。木馬如何啟動修改文件關(guān)聯(lián)修改文件關(guān)聯(lián)是木馬們常用手段(主要是國產(chǎn)木馬，老外的木馬大都沒有這個功能)，比方說正常情況下TXT文件的打開方式為Notepad.EXE文件，但一旦中了文件關(guān)聯(lián)木馬，則txt文件打開方式就會被修改為用木馬程序打開，如著名的國產(chǎn)木馬冰河就是這樣干的.木馬如何啟動捆綁文件實現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋源文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應(yīng)用程序，木馬義會安裝上去。綁定到某一應(yīng)用程序中，如綁定到系統(tǒng)文件，那么每一次Windows啟動均會啟動木馬。具備自動恢復(fù)功能現(xiàn)在很多的木馬程序中的功能模塊不再由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。當(dāng)你刪除了其中的一個，以為萬事大吉又運行了其他程序的時候，誰知它又悄然出現(xiàn)。像幽靈一樣，防不勝防。操作小任務(wù)4：在冰河木馬的控制端重新配置一個服務(wù)器端程序，要求如下：勾選“寫入注冊表啟動項”鍵名為自己名字的拼音。勾選“關(guān)聯(lián)”關(guān)聯(lián)類型為“txtfile”.功能的特殊性通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設(shè)置口令、掃描目標(biāo)機器人的IP地址、進行鍵盤記錄、遠(yuǎn)程注冊表的操作以及鎖定鼠標(biāo)等功能。上面所講的遠(yuǎn)程控制軟件當(dāng)然不會有這些功能，畢竟遠(yuǎn)程控制軟件是用來控制遠(yuǎn)程機器，方便自己操作而已，而不是用來黑對方的機器的。操