木馬攻擊與防范技

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)木馬攻擊與防范技術(shù)姓名： 焦偉 班級：08級電子信息工程技術(shù) 學(xué)號：當(dāng)你在網(wǎng)上盡情暢游之時，你是否知道網(wǎng)上正有不少窺探者正伺機(jī)竊取你的個人隱私、破壞你的機(jī)器呢？網(wǎng)上有陷阱，網(wǎng)上有竊賊，這已經(jīng)不是一個危言聳聽的話題，而是實實在在發(fā)生在你我身邊的事。了解一些木馬入侵的手段，采取一定的防范措施關(guān)鍵字：木馬、木馬原理、木馬攻擊、木馬防范一、木馬程序的技術(shù)原理木馬程序也叫特洛伊（Trojan）木馬程序，來源于希臘神話中的希臘士兵藏在木馬內(nèi)進(jìn)入特洛伊城從而占領(lǐng)它的故事。木馬程序是一

2、種基于客戶機(jī)/服務(wù)器架構(gòu)的網(wǎng)絡(luò)通信軟件，與正規(guī)的遠(yuǎn)程控制軟件相比，它存在著隱蔽安裝、非授權(quán)操作、破壞用戶機(jī)器、竊取個人信息等特征，是一種危害極大的程序。一般將受害計算機(jī)稱作服務(wù)器端，對受害計算機(jī)進(jìn)行遠(yuǎn)程控制的計算機(jī)稱作客戶機(jī)端，真正建立聯(lián)系后，二者的角色是可以互換的。木馬程序依托的網(wǎng)絡(luò)環(huán)境一般為采用TCP/IP協(xié)議的計算機(jī)網(wǎng)絡(luò)。木馬程序相應(yīng)分為客戶端程序和服務(wù)器端程序兩部分，其中服務(wù)器端在目標(biāo)計算機(jī)上駐留，獲取目標(biāo)計算機(jī)的操作權(quán)限，完成對目標(biāo)計算機(jī)的操控；客戶端由控制者操縱，向服務(wù)器端傳輸指令，用以控制遠(yuǎn)程目標(biāo)計算機(jī)。通常情況下，服務(wù)器端程序通過隱蔽手段駐留目標(biāo)計算機(jī)后，篡改本機(jī)的網(wǎng)絡(luò)設(shè)置，開

3、放本地網(wǎng)絡(luò)端口，通過一定的手段向客戶端傳遞宿主計算機(jī)的網(wǎng)絡(luò)信息，如IP地址、網(wǎng)絡(luò)端口等，并實時監(jiān)聽網(wǎng)絡(luò)連接請求；客戶端程序獲得受害計算機(jī)的相關(guān)信息后，主動向服務(wù)器端程序發(fā)出連接請求，建立通信關(guān)系，實現(xiàn)對目標(biāo)計算機(jī)進(jìn)行操控，也有由服務(wù)器端主動向客戶端發(fā)出連接請求并建立通信關(guān)系的。一旦服務(wù)器端和客戶機(jī)端建立通信聯(lián)系，服務(wù)器端計算機(jī)就完全處于木馬程序的控制之下，客戶端可以通過預(yù)先約定好的命令來操控服務(wù)器程序執(zhí)行非授權(quán)的行為，如刪除文件、修改注冊表、打開或關(guān)閉服務(wù)、重啟計算機(jī)、監(jiān)視宿主機(jī)的操作、傳輸宿主機(jī)上的相關(guān)資料等，也可以以受控計算機(jī)為跳板，向網(wǎng)絡(luò)上其它主機(jī)發(fā)起攻擊。二、木馬攻擊方式 木馬的攻擊方

4、式，在本文主要是知其如何地進(jìn)行感染與滲透，并且進(jìn)行自身的隱藏，以及進(jìn)行資料的搜集或者破壞等活動。木馬其攻擊過程的一個典型過程如下：當(dāng)服務(wù)器端在目標(biāo)計算機(jī)上被執(zhí)行后，這時木馬程序開啟默認(rèn)的端口從而實現(xiàn)監(jiān)聽，而在客戶機(jī)給服務(wù)器的程序發(fā)出鏈接請求要求時，就進(jìn)行響應(yīng)：有關(guān)程序開始運行實現(xiàn)對答客戶機(jī)的應(yīng)答，這樣就建立了服務(wù)器端程序跟客戶端之間的連接。建立鏈接以后，指令從客戶端來發(fā)出，而服務(wù)器中則進(jìn)行指令的分析與執(zhí)行，并將數(shù)據(jù)傳送到客戶端，以達(dá)到控制主機(jī)的目的。 （一）目標(biāo)的感染與植入 向目標(biāo)主機(jī)成功植入木馬是木馬成功運行、發(fā)揮作用的前提。這一過程通常包含偽裝、捆綁、漏洞利用等一切可能利用的技術(shù)手段。這個

5、過程主要有：1.腳本種植技術(shù)。利用網(wǎng)頁木馬，網(wǎng)頁木馬就是當(dāng)用戶瀏覽某網(wǎng)頁時，自動下載并運行某“木馬”程序。2.利用腳本方式植入。通過script、activex及asp、cgi交互腳本的方式植入。3.利用系統(tǒng)漏洞植入。利用系統(tǒng)的其他一些漏洞進(jìn)行植入。4.遠(yuǎn)程安裝。通過一定的方法把木馬執(zhí)行文件傳送到目標(biāo)主機(jī)的電腦里再進(jìn)行遠(yuǎn)程安裝。（二）自動加載在自動加載過程，本身也是一個隱藏著的行為。這需要在操作系統(tǒng)啟動的時候同步地啟動自身，以此達(dá)到讓木馬在宿主機(jī)中自動運行的目的。常見的木馬啟動方式有：啟動項加入注冊表；win.ini和system.ini中的load節(jié)中添加啟動項；autoexe.bat中添加

6、；修改boot.ini的配置；修改explorer.exe參數(shù)等等。 （三）進(jìn)程隱藏以及文件隱藏早期的木馬進(jìn)程的隱藏采取的措施比較簡單，windows9x系統(tǒng)要實現(xiàn)進(jìn)程的隱藏可以通過把木馬程序注冊為服務(wù)的方式來達(dá)到。在windowsnt/2000下，有些進(jìn)程名字改得和系統(tǒng)進(jìn)程非常相似，迷惑使用的人；也有的利用hookapi技術(shù)修改函數(shù)的入口點欺騙列舉本地進(jìn)程的api函數(shù)；當(dāng)然更好的是使用rundll32.exe設(shè)計技術(shù)運行木馬本身，這樣在進(jìn)程列表中顯示出來的就是rundll而非木馬的可執(zhí)行文件名，文件管理器中不能正確地列出木馬的可執(zhí)行文件。除了進(jìn)程隱藏，還需要對靜態(tài)文件的隱藏于保密，這里不贅述

7、了。 總而言之，各懷鬼胎的木馬通過以上隱秘的方式，實現(xiàn)了對計算機(jī)的攻擊。 三、木馬程序的植入過程 木馬程序有著巨大的破壞性，它首先要千方百計地把服務(wù)器端程序隱蔽植入目標(biāo)計算機(jī)中。木馬程序主要有以下幾種植入方法：利用電子郵件進(jìn)行傳播。攻擊者將木馬程序偽裝成電子郵件附件的形式發(fā)送出去，收信方只要查看郵件附件就會使木馬程序得到運行并安裝入系統(tǒng)。通過即時通信軟件傳播。利用，等即時通信軟件，向目標(biāo)機(jī)器傳送文件，并在受騙用戶接收藏有木馬程序的文件時自動完成木馬的植入。利用網(wǎng)絡(luò)下載進(jìn)行傳播。攻擊者把木馬捆綁到其它正常文件上，以提供軟件下載為名誘使上網(wǎng)者下載運行，只要運行這些程序，木馬就會自動安裝。通過腳本程

8、序傳播。由于微軟的IE瀏覽器在執(zhí)行Script腳本程序時存在一些漏洞，攻擊者可以通過編制CGI程序在被攻擊的目標(biāo)主機(jī)上執(zhí)行木馬程序。攻擊者也可利用腳本語言編寫出一個動態(tài)網(wǎng)頁，當(dāng)上網(wǎng)用戶瀏覽該頁面時，木馬程序?qū)⒃诤笈_下載到受害者計算機(jī)中，安裝和運行。.利用系統(tǒng)漏洞進(jìn)行傳播。如微軟著名的IIS服務(wù)器溢出漏洞，通過一個IISHACK攻擊程序即可把IIS服務(wù)器崩潰，并且同時在受控服務(wù)器執(zhí)行木馬程序。遠(yuǎn)程入侵進(jìn)行傳播：黑客通過破解密碼和建立IPC$遠(yuǎn)程連接后登陸到目標(biāo)主機(jī)，將木馬服務(wù)端程序拷貝到目標(biāo)計算機(jī)中，然后通過遠(yuǎn)程操作讓木馬程序在某一個時間運行。其它手段。例如在一些來路不明的光盤中隱藏，一旦用戶運

9、行使用，木馬就悄然植入。四、木馬防范及應(yīng)對1、木馬防范技術(shù)的現(xiàn)狀目前防范木馬的手段主要是依靠殺毒軟件和網(wǎng)絡(luò)防火墻所附加的檢查功能。殺毒軟件主要依靠對木馬文件本身的特征以及木馬對系統(tǒng)進(jìn)行修改的行為特征來識別木馬,而防火墻軟件主要通過對的控制實現(xiàn)對木馬通信的封鎖。木馬與病毒的工作原理不同,實現(xiàn)技術(shù)也不同,因此,防御的方法也不一樣。殺毒軟件是病毒的克星,對木馬卻不一定有效。一些高級的木馬大都是單獨使用,其曝光的幾率小,這些木馬即使長時間使用也不會被發(fā)現(xiàn),對這樣的木馬,殺毒軟件無能為力。特別是,隨著反彈端口木馬和注入式木馬的出現(xiàn),防火墻軟件也難以阻止木馬的入侵。2、木馬的防范措施（一）意識層面（1）.

10、警惕網(wǎng)絡(luò)陷阱，增強(qiáng)自身的防范意識。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)上不僅有眾多的黑客站點，匯集著專業(yè)、詳細(xì)的黑客教程，手把手教人制作各種病毒和木馬程序，而且還有大量的開放源碼、黑客工具、木馬配置程序，即使不懂程序設(shè)計的普通人利用這些工具制作木馬程序也不是一件難事，況且還有許多外部勢力成立了專門機(jī)構(gòu)，瞄準(zhǔn)我網(wǎng)上信息進(jìn)行瘋狂的探測和攻擊，所以要樹立“網(wǎng)上有陷阱”的觀念，克服僥幸疏忽的麻痹思想，提高風(fēng)險和防范意識。（）養(yǎng)成良好的上網(wǎng)習(xí)慣。無論木馬程序多么惡意和隱蔽，其服務(wù)器端程序必須成功駐留在上網(wǎng)用戶機(jī)器里，才能達(dá)到竊取和破壞的作用，拒絕木馬程序在本地駐留是防止信息泄露的根本方法。為誘騙用戶安裝，木馬程序一般都

11、披著誘人的外衣，所以在平時登錄互聯(lián)網(wǎng)時，要養(yǎng)成良好的上網(wǎng)習(xí)慣，自覺抵制不良信息的誘惑，不登錄色情、反動網(wǎng)站，不輕信任何中獎、返物廣告的引誘；不隨意安裝不可信的插件，不隨意接受陌生人的文件，特別是可執(zhí)行文件；瀏覽電子郵件時，對于附件要特別慎重，不隨意打開可執(zhí)行文件的附件。（二）技術(shù)層面(1)采取必要的防范技術(shù)措施。首先要安裝防病毒和防火墻軟件，并且要實時進(jìn)行更新。防病毒軟件能夠?qū)崟r監(jiān)控系統(tǒng)關(guān)鍵區(qū)域（系統(tǒng)文件、啟動項目、注冊表等）、內(nèi)存、網(wǎng)絡(luò)運行狀態(tài)等，自動對下載文件、網(wǎng)頁和郵件進(jìn)行偵測和過濾，一旦發(fā)現(xiàn)可疑苗頭，及時進(jìn)行攔截和處理，并向用戶發(fā)出警報。防火墻軟件可以對IP數(shù)據(jù)包進(jìn)行過濾檢查，拒絕來源

12、和去向不明的數(shù)據(jù)包，在適當(dāng)規(guī)則的限制下，對通訊端口也進(jìn)行一定的限制，即使木馬植入成功，防火墻也可有效攔截攻擊者的行動。目前一些安全防護(hù)軟件已經(jīng)把防病毒和防火墻功能集成在一起，使用起來更加方便。其次要做好系統(tǒng)的防護(hù)設(shè)置。資源管理器查看選項要打開文件的后綴名顯示（查看文件類型與后綴名類型是否一致）；每次打開懷疑文件前，要察看文件的創(chuàng)建、修改、訪問時間；要經(jīng)常查看注冊表啟動項是否有可疑程序啟動。系統(tǒng)管理員用戶名要換掉默認(rèn)名字，并設(shè)置隨機(jī)密碼。再次要做好系統(tǒng)的漏洞堵塞，及時下載和安裝操作系統(tǒng)升級補(bǔ)丁，杜絕安全漏洞。(2)發(fā)現(xiàn)木馬苗頭要及時處理。一旦發(fā)現(xiàn)計算機(jī)感染了木馬病毒，要及時斷開網(wǎng)絡(luò)連接，切斷病毒和盜取信息的傳播路徑，對計算機(jī)進(jìn)行徹底的查殺，防止病毒通過網(wǎng)絡(luò)進(jìn)一步擴(kuò)散，造成更嚴(yán)重的災(zāi)難。對惡意軟件入侵事件，要總結(jié)經(jīng)驗教訓(xùn)以避免重復(fù)受害結(jié)語自人類誕生的那一刻起，人類便擁有了一項本能的思想欲望。起初，人類為了滿足自己的生存欲望，便殘殺了一些不屬于同類的生命；接著，人類在滿足自己生活的欲望后，便想著去建立自己的勢力、擁有自己的土地，從而引發(fā)