多媒体技术及其应用本栏目责任编辑:唐一东木马通信的隐蔽技术
张春诚,路刚,冯元
(解放军炮兵学院计算中心,安徽合肥230031)
摘要:服务器和客户机如何通信是木马研究的一个核心技术,该文讲述了如何利用网络协议躲避了防火墙和系统工具的检查,成功实现了木马的隐蔽通信,给出的源代码均调试通过。
关键词:木马通信;隐藏通信
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)35-2481-03
Covert Technologies on Communications of Trojan Horse
ZHANG Chun-cheng,LU Gang,FENG Yuan
(PLA Artillery Academy Computer Center,Hefei 230031,China)
Abstracr:The communications between server and client is a kernel technology to research Trojan.This paper describes how to hide out inspect of firewall and system tools through network protocol,and successful implement on covert communications of Trojan.These sound codes are all debugged and passed.
Key words:communications of trojan horse;covert communications
1引言
木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP 通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP 端口与控制端进行通信。通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP 端口。早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。
2木马通信形式的隐蔽技术
木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。
2.1端口寄生
端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP 80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。在Windows 9X 系统中进行此类操作相对比较简单,但是在Windows NT/2K 系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。
2.2反弹端口
反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。为了隐蔽起见,控制端的被动端口一般开在TCP80。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP USERIP :1026CONTROLLERIP :80ESTABLISHED 这种情况,用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP 的第三方存储空间来进行控制端IP 地址的传递。
下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。
CServerSocket *pMy;//CServerSocket 是CAsyncSocket 的派生类
……
//初始化是开始连接,同时建立定时器
BOOL CServiceDlg::OnInitDialog(){CDialog::OnInitDialog();pMy=NULL;SetTimer(199,30000,NULL);pMy=new MySock;pMy->Create();pMy->Connect(m_ip,80);//连接目标的80端口,让人感觉在上网
收稿日期:2008-07-02
作者简介:张春诚(1982-),男,硕士,研究方向:网络安全;路刚(1983-),男,硕士,研究方向:计算机人工智能;冯元(1983-),男,硕
士,研究方向:计算机网络技术。
ISSN 1009-3044
Computer Knowledge And Technology 电脑知识与技术
Vol.4,No.8,December 2008,pp.2481-2483E-mail:eduf@https://www.doczj.com/doc/8f10095530.html, https://www.doczj.com/doc/8f10095530.html, Tel:+86-551-569096356909642481
Computer Knowledge And Technology电脑知识与技术2008年第4卷第8期(总第35期)
}
//在定时器中检查是否有连接,否则试图重新连接
Void CServiceDlg::OnTimer(UINT nIDEvent)
{
If(nIDEvent=199){
If(pMy->Send(“test”,4)=SOCKET_ERROR){
pMy->Detach();
delete pMy;
pMy=NULL;
pMy=new MySock;
pMy->Create();
pMy->Connect(m_ip,80);
}
}
CDialog::OnTimer(nIDEvent);
}
2.3潜伏技术
ICMP(互联网控制报文协议)是IP协议的附属协议,用来传递差错报文以及其他需要注意的消息报文。它是由内核或进程直接处理而不会打开通信端口。采用潜伏技术进行通信的木马一般都是使用ICMP协议。由于不利用TCP/UDP协议,不会打开通信端口,所以不会被一些端口扫描软件和利用端口进行木马防范的软件检测到[2]。通常情况下,木马利用ICMP报文与控制端进行通信时将自己伪装成一个Ping的进程,这样系统就会将ICMP_ECHOREPLY(Ping的回包)的监听、处理权交给木马进程,一旦事先约定好的ICMP_ECHOREPLY包出现(可以判断包大小、ICMP_SEQ等特征,这此包实为控制端发给木马的命令和数据),木马就会接受、分析并从报文中解码出命令和数据尽而采取相应的操作。
有的采用潜伏技术的木马不会完全采用ICMP协议进行通信,它们只是监听ICMP报文,当出现特殊的报文时,例如特殊大小的包,特殊的报文结构等,它会打开TCP端口等待控制端的连接。在本地可以看到状态为ESTABLISHED的木马连接(如果端口的最大连接数设为1,在远程用CONNECT方法进行端口扫描时没有办法发现)。一个严格采用潜伏技术的木马会严格地使用ICMP 协议来进行数据和控制命令的传递(数据放在ICMP的报文中)。
木马利用ICMP协议与控制端进行通信的基本过程如下:
为了实现发送/监听ICMP报文,都要首先建立SOCK_RAW(原始套接口)。建立SOCK_RAW之前需要定义一个IP首部,然后定义一个ICMP首部:
typedef struct_ihdr{
BYTE i_type;//8位类型
BYTE i_code;//8位代码
USHORT i_cksum;//16位校验和
USHORT i_id;//识别号(一般用进程号作为识别号)
USHORT i_seq;//报文序列号
ULONG timestamp;//时间戳
}IcmpHeader;
这时可以通过WSASocket建立一个原始套接口
SockRaw=WSASocket(
AF_INET,//协议族
SOCK_RAW,//协议类型,SOCK_R
IPPROTO_ICMP,//协议,IPPROT
NULL,//WSAPROTOCOL_INFO置空
0,//保留字,永远置为0
WSA_FLAG_OVERLAPPED//标志位
);
随后使用fill_icmp_data子程序填充ICMP报文段,调用CheckSum子程序计算ICMP校验和。然后通过sendto函数发送ICMP_ECHOREPLY报文:
sendto(sockRaw,icmp_data,datasize,0,(structsockaddr*)&dest,sizeof(dest));
木马控制端监听程序的基本操作与木马端相同,只是需要使用recvfrm函数接收ICMP_ECHOREPLY报文并用decoder函数将接收来的报文解码为数据和命令:
recv_icmp=recvfrom(sockRaw,recvbuf,MAX_PACKET,0,(struct sockaddr*)&from,&fromlen);
decode_resp(recvbuf,recv_icmp,&from);
对于严格采用ICMP协议通信的木马,除非过滤分析网络链路层的信息或者监视Windows系统的Socket API调用,否则是很难发现其行踪的。
2.4嗅探技术
2.4.1共享环境下嗅探技术原理
嗅探技术即sniffer技术,指在网络上监听数据报文的方法[3]。一般来说,sniffer技术应用环境为共享式以太网(Hub-based Eth-ernet)。在以太网中,所有的通讯都是广播的,通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据。在实际系统中,数据的收发是由网卡来完成。当收到网络上传输来的数据时,首先由网卡对数据帧的目的MAC地址进行检查,如果目的MAC地址与本地的MAC地址相匹配,则认为应接收该数据并产生相应的中断信号通知CPU,如果不匹配,则直接丢弃该数据帧,本地计算机将根本不知道有数据帧的到来。网卡一般有如下4种接收模式:
2482
多媒体技术及其应用
本栏目责任编辑:唐一东
(上接第2467页)
对教学工作带来了极大的方便。
参考文献:
[1]张万光,李长利.基于Windows系统组建IPv6/
IPv4实验网络[J].南开大学报,2003,36,(4):23-
25.
[2]董红政,史晓鹏,王忠勇.IPv6环境下信息家电
系统网络终端设计[J].微计算机信息,2007,12
(2):159-160.
[3]代刚,马严.移动IPv6技术的研究及其在Linux
环境下的实现[J].中兴通讯技术,2002(3):24-27.
[4]王常杰,秦浩,王育民.基于IPv6的防火墙设计
[J].计算机学报,2001,24(2):221-223.图5IPv6防火墙系统层次结构示意图
1)广播方式,网卡能够接收网络中的广播信息。
2)组播方式,网卡能够接收组播数据。
3)直接方式,只有目的网卡才能接收该数据。
4)混杂模式,网卡能够接收一切通过的数据。
由于所有的物理信号都能被连接在该网络上的计算机所接收,因此可以通过混杂模式(promiscuous mode)方式使网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是计算机。
2.4.2Sniffer技术的实现
假定攻击者事先知道被攻击主机所在网段的IP地址范围,因此黑客可以构造IP报文,其目的地址为局域网内某台主机的地址(可以随便设定),源地址也可以随意设定,然后向此局域网内发送报文。被攻击主机中的木马程序使用sniffer技术监听网络数据报文,并且依据攻击者事先设定的通信协议来辨别和提取黑客的数据报文。
实现时利用了WinSock2的特性,可以不使用驱动程序,因此程序核心部分代码如下。首先打开一个socket,参数必须是AF_INET、SOCK_RAW和IPP不能设置SIO_RCVALL属性:
m_s=socket(AF_INET,SOCK_RAW,IPPROTO_IP);
然后设置该socket的超时参数等选项:
int rcvtimeo=4000;
if(setsockopt(m_s,SOL_SOCKET,SO_RCVTIMEO,(const cha
sizeof(rcvtimeo))==SOCKET_ERROR)
{
//错误处理代码
};
再将该socket与本机的某个网络接口绑定。
接下来就可以设置SIO_RCVALL属性。
if(SOCKET_ERROR!=WSAIoctl(m_s,SIO_RCVALL,&dwBuffer
sizeof(dwBufferInLen),&dwBufferLen,sizeof(dwBufferLen),&dwBytesRe
NULL))
{
//错误处理代码
};
……
此后就可以利用这个socket(m_s)来读取网络上的数据包了。
3结束语
该文重点研究了木马系统中涉及到的隐蔽通信技术及实现。由于防火墙技术的不断改进和系统对网络协议漏洞的定期修补,木马的通信技术将会变得更为复杂和接近底层。
参考文献:
[1]朱明,徐蓦,刘春明.木马病毒分析及其检测方法研究[J]计算机工程与应用,2003(28):176-179.
[2]赵树升.计算机病毒分析与防治简明教程[M].北京:清华大学,2007.
[3]胡勇.网络嗅探器及安全对策[J].现代电子技术,1999(4):5-6.
张春诚等:木马通信的隐蔽技术
2483
多媒体技术及其应用本栏目责任编辑:唐一东
木马程序是如何实现隐藏的 木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。 3、潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。 4、伪装在普通文件中 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图
隐写术的应用及安全性研究 摘要:介绍了隐写术和反隐写术,说明了隐写术的原理及隐写术在文本、图像、音频中的应用。从隐写系统的绝对安全性、检测隐写消息的低效性和隐写算法的复杂多变性等方面阐明了反隐 写所面临的挑战。最后指出反隐写术只能证明隐写信息的存在性而不能破译隐写信息的不足;同时简要阐明了反隐写的发展趋势。 关键词:隐写术;反隐写;隐写系统;隐写检验;隐写算法 application of steganography and its security wang yanyan, wu yafei (college of computer,dezhou university,dezhou, shandong china, 253023) abstract: the authors introduce in this paper steganography and anti-steganography and illustrates the principle of steganographic methods and their applications in the text, images, and audio. it is illustrated that anti-steganography faces challenges from absolute safety of hidden writing system, inefficiency of detecting to complexity of steganographic algorithms. the authors point out that the anti-steganography can only prove the existence of the steganographic information, but not crack it. this
随着我国信息化建设步伐的逐渐加快,国内众多高校和研究院所越来越重视有关信息、网络、通信方面的学科建设。信息与通信工程作为其中最主要的分支,被关注的程度越来越高。现在,全国招收信息与通信工程专业硕士研究生的院校有160多所,其中既有以信息与通信专业为主的专门院校,也有综合实力强劲、信息与通信专业实力也不俗的综合性大学,还有信息与通信工程专业实力不错但容易被考生忽视的院校。在名专业和名校的分岔路口,向左走还是向右走,是考生必须面对的问题。 向左走:专精研究造就传统强势 全国以信息与通信专业为主的专门院校有北京邮电大学、西安电子科技大学、电子科技大学、南京邮电大学、重庆邮电大学、杭州电子科技大学、西安邮电学院、桂林电子科技大学等。其中除了北京邮电大学、西安电子科技大学、电子科技大学外,其他院校的综合实力排名并不靠前,但不能因此低估这些院校在信息与通信工程方面的实力。毕竟这些院校在成立之初大多专攻电子信息与通信工程,悠久的历史成就了它们在专业领域的传统强势。 北京邮电大学 光纤通信、宽带通信、移动通信以及信号处理都是北邮的强势专业。学校拥有一个程控交换技术与通信网国家重点实验室,目前国内广泛应用的智能网就是其研究成果,这也是中国互联网研究能与国际先进水平接轨的成果之一。学校还与许多知名通信类企业如华为、中兴、思科(CISCO)、IBM、朗讯等有项目合作。 招生信息:北邮的院系划分较细,有几个院系和科研单位均招收信息与通信工程相关专业的研究生。2011年计划招生数为计算机学院391人,信息与通信工程学院724人,电子工程学院239人,信息光子学与光通信研究院188人,网络技术研究院346人,总计招生1800人左右。除去一些电子专业,估计信息与通信工程类专业招生人数不少于1000人。 报考指南:北邮每年招生人数较多,约有一半以上是外校学生。除了某些实力特别强的实验室或特别有名的导师录取分数较高外,分数线一般都在各院的院线左右。需要强调的是,北邮的初试专业课参考书《通信原理》是由本校教师编写的,不同于大部分学校选用的樊昌兴教授主编的《通信原理》。 西安电子科技大学
特洛伊木马病毒的隐藏技术 李军丽 云南大学信息学院 云南 650031 摘要:隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。 关键词:木马病毒;网络安全;隐藏技术 0 引言 随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全的隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁;据调查,目前在国内,68.26%的用户怀疑受到过木马病毒的攻击,63%的电脑用户曾受到过木马病毒攻击。隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。 1 木马的隐藏技术 木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。木马的隐藏技术主要包括以下几个方面:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。 1.1 本地文件伪装隐藏 木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。 1.2 木马的启动隐藏方式 (1) 本地文件伪装 最常用的文件隐藏是将木马病毒伪装成本地文件。木马病毒将可执行文件伪装成图片或文本----在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG.,不注意的人一点击这个图标就在无意间启动了木马程序。 (2) 通过修改系统配置来实现木马的启动隐藏 利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。像Autoexec.bat和Config.sys。特别是系统配置文件MSCONFIG.SYSMSCONFIG.SYS中的系统启动项—— system.iniwindow.ini是众多木马的隐藏地。Windows安装目录下的system.in的[boot]字段中,正常情况下为boot=“Explorer.exe”,如果后面有其他的程序,如这样的内容,boot=“Explorer.exe file.exe”,这里的file.exe,可能就是木马服务端程序。另外,在System.ini中的[386enh]字段,要注意检查在此段内的driver=路径\程序名。这里也有可能被木马所利用。再有System.ini中的[drivers],[drivers32],[mci]这3个字段,也是起到加载驱动程序的作用,因此也是增添木马程序的好场所。 (3) 利用系统路径遍历优先级欺骗 Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在的盘符的根目录开始向系统目录深处递进查找,而不是精确定位;这就意味着,如果有两个同样名称的文件分别放在“C:\”和“C:\WINDOWS”下,WINDOWS会执行C:\下的程序,而不是C:\WINDOWS下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件里,并复制到比原文件要浅一级的目录里,WINDOWS就会想当然的执行这个木马程序。要提防这种占用系统启动项而作到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。 (4) 替换系统文件 木马病毒就利用系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序INTERNAT.EXE。让动态链接库可以像程序一样运行的RUNDLL32.EX等。木马程序会替换掉原来的系统文件,并把原来的系统文件名改成只有它自己知道的一个偏僻文件名。只要系统调用那个被替换的程序,木马就能继续驻留内存了。木马作为原来的程序被系统启动时,会获得一个由系统传递来的运行参数,木马程序就把这个参数传递给被改名的程序执行。1.3 进程隐藏 进程隐藏有两种情况,一种隐藏是木马程序的进程仍然存在,只是不在进程列表里;采用APIHOOK 技术拦截有关作者简介:李军丽(1980-),女,云南大学信息学院05级硕士研究生,研究方向:计算机网络安全,嵌入式系统。
Computer Science and Application 计算机科学与应用, 2015, 5(12), 429-435 Published Online December 2015 in Hans. https://www.doczj.com/doc/8f10095530.html,/journal/csa https://www.doczj.com/doc/8f10095530.html,/10.12677/csa.2015.512054 Study of Trojans Detection and Prevention Technology Shaohua Wu, Yong Hu College of Electronics and Information Engineering, Sichuan University, Chengdu Sichuan Received: Dec. 5th, 2015; accepted: Dec. 25th, 2015; published: Dec. 28th, 2015 Copyright ? 2015 by authors and Hans Publishers Inc. This work is licensed under the Creative Commons Attribution International License (CC BY). https://www.doczj.com/doc/8f10095530.html,/licenses/by/4.0/ Abstract Based on reverse analysis of many current popular Windows’ Trojans behavior, the new technolo-gies used by Trojans were summarized, including program hidden, process hidden, communica-tion pattern and means to avoid killing. Combined with the current mainstream security software to detect the Trojan, some new technologies and opinions against the Trojan threat were present. Keywords Trojan, Masquerading Technology, Process Hidden, Communication Protocol, Avoid Killing, Trojan Detection 木马检测与防护技术的发展 吴少华,胡勇 四川大学电子信息学院,四川成都 收稿日期:2015年12月5日;录用日期:2015年12月25日;发布日期:2015年12月28日 摘要 通过对大量当前流行的windows木马程序进行逆向,分析木马在伪装技术、程序隐藏方式、进程隐藏方
木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中木马的工作原理,木马查杀。-电脑维修知识网 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 2、隐藏在配置文件中木马的工作原理,木马查杀。-电脑维修知识网 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在 Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 3、潜伏在Win.ini中木马的工作原理,木马查杀。-电脑维修知识网 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 4、伪装在普通文件中木马的工作原理,木马查杀。-电脑维修知识网 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为 *.jpg, 不注意的人一点这个图
国外研究背景: 快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。网络战争战场将成为未来信息作战风格。木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。 1.有关国外的隐藏技术 (1)木马的P2P网络模型 木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。木马隐藏技术主要分为两类:主机隐藏和隐藏通信。设计一个新的木马主机隐藏DLL陷阱技术在Windows SPI接口,木马没有隐藏的过程。通信隐藏使用P2P技术控制网络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。 (2)Bootkit Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,从而得到无限制的访问整个电脑,甚至可以绕过满卷加密,因为主引导记录不加密。主引导记录包含密码解密的软件要求和解密开车。 国内研究现状: 计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。其中特洛伊木马的破坏最大,它能在高隐蔽性的状态下窃取网民的隐私信息。通常被感染木马的计算机用户并不知道自己的计算机已被感染。这是由于木马程序具有很高的隐蔽性,它能在看似无任何异常的情况下,秘密操控远程主机,进行破坏活动。 1.木马隐藏相关技术 (1)程序隐蔽 木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。程序捆绑方式是将多个exe 程序链接在一起组合成一个exe 文件,当运行该exe 文件
多媒体技术及其应用本栏目责任编辑:唐一东木马通信的隐蔽技术 张春诚,路刚,冯元 (解放军炮兵学院计算中心,安徽合肥230031) 摘要:服务器和客户机如何通信是木马研究的一个核心技术,该文讲述了如何利用网络协议躲避了防火墙和系统工具的检查,成功实现了木马的隐蔽通信,给出的源代码均调试通过。 关键词:木马通信;隐藏通信 中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)35-2481-03 Covert Technologies on Communications of Trojan Horse ZHANG Chun-cheng,LU Gang,FENG Yuan (PLA Artillery Academy Computer Center,Hefei 230031,China) Abstracr:The communications between server and client is a kernel technology to research Trojan.This paper describes how to hide out inspect of firewall and system tools through network protocol,and successful implement on covert communications of Trojan.These sound codes are all debugged and passed. Key words:communications of trojan horse;covert communications 1引言 木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP 通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP 端口与控制端进行通信。通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP 端口。早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。 2木马通信形式的隐蔽技术 木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。 2.1端口寄生 端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP 80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。在Windows 9X 系统中进行此类操作相对比较简单,但是在Windows NT/2K 系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。 2.2反弹端口 反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。为了隐蔽起见,控制端的被动端口一般开在TCP80。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP USERIP :1026CONTROLLERIP :80ESTABLISHED 这种情况,用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP 的第三方存储空间来进行控制端IP 地址的传递。 下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。 CServerSocket *pMy;//CServerSocket 是CAsyncSocket 的派生类 …… //初始化是开始连接,同时建立定时器 BOOL CServiceDlg::OnInitDialog(){CDialog::OnInitDialog();pMy=NULL;SetTimer(199,30000,NULL);pMy=new MySock;pMy->Create();pMy->Connect(m_ip,80);//连接目标的80端口,让人感觉在上网 收稿日期:2008-07-02 作者简介:张春诚(1982-),男,硕士,研究方向:网络安全;路刚(1983-),男,硕士,研究方向:计算机人工智能;冯元(1983-),男,硕 士,研究方向:计算机网络技术。 ISSN 1009-3044 Computer Knowledge And Technology 电脑知识与技术 Vol.4,No.8,December 2008,pp.2481-2483E-mail:eduf@https://www.doczj.com/doc/8f10095530.html, https://www.doczj.com/doc/8f10095530.html, Tel:+86-551-569096356909642481
(排名是按两个学科来排的,主要列出的是前20%) 081001 通信与信息系统 排名学校名称等级排名学校名称等级 1 北京邮电大学5★14 中国科学技术大学4★ 2 西安电子科技大学5★15 天津大学4★ 3 成都电子科技大学5★16 华中科技大学4★ 4 清华大学5★17 武汉大学4★ 5 东南大学5★18 南京邮电大学4★ 6 北京交通大学5★19 西北工业大学4★ 7 北京理工大学4★20 南京航空航天大学4★ 8 上海交通大学4★21 南京大学4★ 9 哈尔滨工业大学4★22 吉林大学4★ 10 华南理工大学4★23 华东师范大学4★ 11 北京航空航天大学4★24 西安交通大学4★ 12 北京大学4★25 中山大学4★ 13 浙江大学4★ 3★(37个): 宁波大学,上海大学,中国传媒大学,西南交通大学,重庆大学,福州大学,山东大学,哈尔滨工程大学,东北大学,厦门大学,南京理工大学,四川大学,大连海事大学,大连理工大学,中国矿业大学,北京科技大学,云南大学,郑州大学,武汉理工大学,长春理工大学,复旦大学,重庆邮电大学,南开大学,安徽大学,同济大学,北京工业大学,华中师范大学,湖南大学,兰州大学,中南大学,浙江工业大学,东华大学,合肥工业大学,燕山大学,中国民航大学,西安科技大学
081002 信号与信息处理 排名学校名称等级排名学校名称等级 1 成都电子科技大学5★16 浙江大学4★ 2 西安电子科技大学5★17 华中科技大学4★ 3 北京邮电大学5★18 西北工业大学4★ 4 清华大学5★19 南京航空航天大学4★ 5 北京交通大学5★20 西安交通大学4★ 6 北京理工大学5★21 武汉大学4★ 7 东南大学5★22 上海大学4★ 8 上海交通大学4★23 哈尔滨工程大学4★ 9 南京邮电大学4★24 天津大学4★ 10 北京大学4★25 大连理工大学4★ 11 哈尔滨工业大学4★26 西南交通大学4★ 12 南京大学4★27 武汉理工大学4★ 13 中国科学技术大学4★28 四川大学4★ 14 北京航空航天大学4★ 15 华南理工大学4★ 3★(43个): 山东大学,南京理工大学,合肥工业大学,苏州大学,中北大学,江南大学,深圳大学,兰州大学,重庆邮电大学,西北大学,同济大学,安徽大学,湖南大学,东华大学,重庆大学,南开大学,宁波大学,厦门大学,吉林大学,北京科技大学,北京师范大学,中国海洋大学,华东理工大学,杭州电子科技大学,大连海事大学,福州大学,东北大学,南京信息工程大学,桂林电子科技大学,暨南大学,江苏科技大学,河海大学,中国传媒大学,成都信息工程学院,浙江工业大学,北京工业大学,西安理工大学,中山大学,上海理工大学,哈尔滨理工大学,西安邮电学院,中国矿业大学,沈阳工业大学 注: 5★为重点优势学科的单位,排在最前面的5%的培养单位;4★为优势学科单位的单位,排在6%-20%的单位;3★为良好学科的单位,排在21%-50%的单位。 信息来源:《2011-2012年中国研究生教育及学科专业评价报告》邱均平
目录 一、木马概述 (3) 1.木马的定义及特征 (3) 1.1木马的定义 (3) 1.2木马的特征 (3) 2.木马的工作原理 (4) 3.木马的分类 (5) 4.木马的功能 (6) 5.木马的工作过程 (7) 二、木马的传播方式 (8) 三、木马的清除 (9) 四、如何避免木马攻击 (9) 五、结语 (9) 六、参考文献 (10)
前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
引言 木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP端口与控制端进行通信。通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。2木马通信形式的隐蔽技术 木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。 2.1端口寄生 端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。在Windows9X系统中进行此类操作相对比较简单,但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。 2.2反弹端口 反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。为了隐蔽起见,控制端的被动端口一般开在TCP80。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCPUSERIP:1026CONTROLLERIP:80ESTABLISHED这种情况,用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP的第三方存储空间来进行控制端IP地址的传递。 下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。CServerSocket*pMy;//CServerSocket是CAsyncSocket的派生类…… //初始化是开始连接,同时建立定时器 BOOLCServiceDlg::OnInitDialog(){ CDialog::OnInitDialog();pMy=NULL; SetTimer(199,30000,NULL);pMy=newMySock;pMy->Create(); pMy->Connect(m_ip,80);//连接目标的80端口,让人感觉在上网ComputerKnowledgeAndTechnology} //在定时器中检查是否有连接,否则试图重新连接V oidCServiceDlg::OnTimer(UINTnIDEvent){ If(nIDEvent=199){ If(pMy->Send(“test”,4)=SOCKET_ERROR){pMy->Detach();deletepMy;pMy=NULL; pMy=newMySock;pMy->Create(); pMy->Connect(m_ip,80);}} CDialog::OnTimer(nIDEvent);} 2.3潜伏技术 ICMP(互联网控制报文协议)是IP协议的附属协议,用来传递差错报文以及其他需要注意的消息报文。它是由内核或进程直接处理而不会打开通信端口。采用潜伏技术进行通信的木
设有信息与通信工程学科博士点的高校名单信息与通信工程是一级学科(一级学科,081000),下设通信与信息系统(二级学科,081001)、信号与信息处理(二级学科,081002)两个二级学科。该专业是一个基础知识面宽、应用领域广阔的综合性专业,涉及无线通信、多媒体和图像处理、电磁场与微波、医用X线数字成像、阵列信号处理和相空间波传播与成像以及卫星移动视频等众多高技术领域。培养知识面非常广泛,不仅对数学、物理、电子技术、计算机、信息传输、信息采集和信息处理等基础知识有很高的要求,而且要求学生具备信号检测与估计、信号分析与处理、系统分析与设计等方面的专业知识和技能,使学生具有从事本学科领域科学研究的能力,十分重视教学与科研相结合,注重学生创新能力与实际工作能力的培养。 一级国家重点学科 北京交通大学2007新增 北京理工大学2007新增 北京邮电大学2007新增 成都电子科技大学2007新增 东南大学2007新增 国防科学技术大学2007新增 清华大学2007新增 西安电子科技大学2007新增 拥有通信与信息系统国家二级重点学科的高校(不含已拥有信息与通信工程国家一级重点学科的高校): 北京大学 北京航空航天大学 天津大学 哈尔滨工业大学
上海交通大学 浙江大学 中国科学技术大学 华南理工大学 解放军信息工程大学 解放军理工大学 一级学科博士点(一级学位博士点指教育部批准,各单位可按一级学位或在一级学位下的任何二级学位授予博士和硕士学位。也就是说能同时在通信与信息系统﹑信号与信息处理专业招收博士和硕士,说明该校在通信和信号方面很有实力。) 北京大学 北京航空航天大学 北京交通大学 北京理工大学 北京邮电大学 长春理工大学Z 大连海事大学Z 大连理工大学Y 成都电子科技大学 东北大学Z 东南大学 国防科学技术大学
自从VISTA开始内核管理策略做了很大调整,WINDOWS 7上更是如此,审查和分级会越来越严格,现在广泛流行的ROOTKIT、HOOK内核等技术,要在VISTA和WINDOWS 7上运用自如已经不是一件简单的事情。 当然了,道告一尺魔高一丈,办法总是有的,但对病毒作者的编程水平要求也越来越高,半道出家的病毒“名人”也将会越来越少,除非是发现了系统的重大漏洞,至少他应该熟悉汇编、C、内核管理、内存管理等方面的知识,同时为了支撑病毒或木马的传播,还需要具备网络基础、网络语言等知识,更多请阅读: 编写一个病毒木马程序不是那么容易的事情,但是要想杀掉一个病毒木马要要简单的多,很多人感到困难是因为没有能力判断出正确的病毒文件。 一、病毒木马的典型外部特性 1、商业利益企图 该类病毒或木马只要上身后,都会有明显的一些特征,比如莫名弹窗、修改首页、莫名访问(肉鸡)、浏览器插件等等,大部分特征我们都可以从WINDOWS 窗口和防火墙、浏览器上体现出来,如果是被装上灰鸽子或后台窃号木马,如果杀毒软件没有提示可能根本“看不出来”,只能通过系统使用感觉、防火墙规则以及可疑模块等方式判断。 还有以攻击或协助攻击为主要目标的木马程序,这类程序不是一般病毒木马程序,单纯是为了窃取用户资料或协助攻击,一般事情做完之后会自动卸掉所有可能的蛛丝马迹,普通用户一般没这个运气碰上。 2、损人不利己和恶作剧 这类程序现在已经很少了,90年代的时候最多,后来这些作者都钻到钱眼里头去了,现在少有闲人在做。
下面看一下常用的处理方法,只根据经验尽可能的多列一些,实际使用都需要综合运用。 二、面向新手的方法 1、安全模式下启动杀毒软件扫描,一般发现或提示病毒,请记住该病毒的文件名(如果可以的话),如果重启机子后没有清理掉,可以查看该文件是否仍然存在,如果还存在就使用下面方式针对性的删除。 2、使用流氓软件清理软件,网上很多大师、助手之类的都可以使用,这个根据个人习惯选用,下载时候注意来源最好官方,如果可以升级病毒库,最好先升级后再查杀。 4、如果上面的两个方法还是不行,一般来讲,你想更换杀毒软件是很难的,病毒大都会检测防病毒程序的安装启动情况,可以直接KILL掉,即使你GHOST还原系统分区也未必就可以清理掉,所以也只能说声抱歉,最好还是找找身边懂电脑的朋友,实在找不到就再试一下: 三、稍有经验的网友 1、首先定位病毒文件,把驱动器根目录下的文件包括隐藏文件检查一下,回想一下刚刚防病毒程序的提示,根据中毒前操作情况检查IE TEMP目录、WINDOWS TEMP目录下的临时可执行程序,把能看到的可以程序都放回收站去,然后开始干干净净检查任务管理器是否存在可疑进程或使用tasklist和taskkill,尽量在机子未重启时候清理,有些非即插即用驱动类病毒不启动机子也没办法生效的。如果有可疑进程,应先终止进程删除文件,下面方法可以综合运用,目的就是干掉进程文件。
如何预防木马?结合木马的藏身之所,隐藏技术,总结 清除木马的方法. 篇一:《计算机病毒》复习思考题20XX 20XX《计算机病毒》复习思考题 第一手资料:教材、教学PPT 必读参考资料: 1.金山毒霸20XX-20XX中国互联网安全研究报告.doc 2.中国互联网站发展状况及其安全报告(20XX年).pdf 3.瑞星20XX年上半年中国信息安全报告.pdf 4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc 5.★★★木马防治之“葵花宝典”.doc 6.★★★深层病毒防护指南.doc 7.专题:★★★手动杀毒综合篇.doc 8.打造安全U盘(实验).doc 9.打造安全、流畅、稳定的系统.ppt 10.HiPS主机入侵防御系统.ppt 11.关于HoSTS文件.doc 12.病毒触发条件.doc 第一章计算机病毒概述 1.简述计算机病毒的定义和特征。
2.如何通过病毒的名称识别病毒的类型? 3.计算机病毒有哪些传播途径? ?查找相关资料,试述计算机病毒发展趋势与特点。 ?研究计算机病毒有哪些基本原则?搭建病毒分析的环境有哪些方法? 第2章预备知识 1.硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区? 2.低级格式化、高级格式化的功能与作用是什么?高级格式化(FoRmaT)能否清除任何计算机病毒?为什么? 3.doS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改? 4.针对PE文件格式,请思考:win32病毒感染PE文件,须对该文件作哪些修改? 第3章计算机病毒的逻辑结构与基本机制 1.文件型病毒有哪些感染方式? 2.计算机病毒的感染过程是什么? 3.计算机病毒一般采用哪些条件作为触发条件? ?试述计算机病毒的逻辑结构。 第4章doS病毒的基本原理与doS病毒分析 1.试述引导型病毒的启动过程。
木马隐藏技术分析 郜多投 (山东大学山东省济南市250100) 摘要:文章首先介绍了木马的原理和特征,然后对木马所实现的功能做了简单的介绍,最后从木马的文件隐藏,进程隐藏和通信隐藏三个方面着重进行了分析。 关键词:木马;木马隐藏;通信隐藏 [引言]木马,是一种通过潜入对方电脑进非法操作的计算机成程序,是目前黑客惯用的一种攻击手段,和一般的恶意软件不同,木马不主动进行自我复制和传播,破坏其他程序,然而,木马的潜伏性是超前的,为了看起来和正常程序一样,在进入系统之前,对自身的程序进行了伪装,使被感染的系统看起来一切正常,从而严重威胁计算机网络安全。 1.木马的原理和特征 一个完整的木马程序包含两部分内容,服务端和控制端,服务端程序是通过远程计算机网络植入对方电脑,而黑客通过客户端进入运行了服务端的受控电脑,通常运行了服务端的计算机会生成一个类似于系统文件的进程,此时端口被暗中打开,电脑中保存的各类数据会向控制端进行发送,黑客也可以通过这些暗中打开的端口进入目标电脑,此时,电脑中更多的隐私将会遭受更大的泄露。 木马一般具有以下特征: 一,隐藏性,隐藏性是木马的最显著特征,比如,改写进程名称使其和系统文件高度相似,隐藏在任务管理器中的进程,减少程序大小,减少暗中打开端口的流量。 二、自动运行性,可以随电脑启动而启动,比如潜入启动配置文件win.ini,winstart。Bat等,有的也可嵌入正常软件,随软件的运行而启动。 三、欺骗性:木马为了防止被发现,通常伪装成为系统中本身存在的文件,比武将文件名中的“O”改为“0”,“1改为I”等容易混淆是非的字符,或者有的系统中本身的文件名也可被木马直接套用,只不过是保存在不同的系统路径下,另外,有的木马将自己改装成为ZIP压缩文件,当用户解压时,直接运行。四、自我恢复性。目前大多数木马程序的功能模块已不是单一的组件构成,而是自动复制到电脑其他路径做备份,在子木马或者主木马被删除时,都可以再自动生成。 2.木马的功能 木马的作用不仅限于窃取密码,对文件进行操作。一个功能强大的木马程序,一旦潜入计算机系统,黑客对于受控计算机的操作就如同和自己自己的一样。木马的功能主要分为以下几个方面:窃取密码。这是早期木马最根本的一个功能,大多数木马具有键盘按键记录功能,一旦木马植入计算机,任何输入键盘的密码将很容易被窃取,然而并没有鼠标记录功能,所以,通过鼠标适当的造作来改变击键顺序可以有效的防止密码泄露。此外,木马程序也可以记录其他的明文以及缓存Cache记录。 远程监控。攻击者可以对目标电脑进行屏幕图