第二代木马的研究与实现 毕业论文 下载本文

安徽工贸职业技术学院毕业论文

传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。

2、运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。 木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下,键入NETSTAT-AN查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,你就要注意是否感染木马了。

3、信息反馈

木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等。

4、建立连接

一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的。

5、远程控制

木马连接建立后,控制端端口和木马端口之间将会出现一条通道,控制端上的控制

14

安徽工贸职业技术学院毕业论文

端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。

6、木马病毒的传播及植入

由于木马病毒是一种非自我复制的恶意代码,因此她需要依靠用户向其他人发送其拷贝。木马病毒可以作为电子邮件附件或者隐藏在用户与其他用户进行交互的文档或者其他文件中。他们还可以被其他恶意代码所携带,如蠕虫。木马病毒有时也会隐藏在从互联网上下载的捆绑软件中。当用户安装此软件是,病毒就会在后台秘密安装。木马植入技术主要是指木马病毒利用各自途径进入到目标机器的具体方法。

7、木马病毒植入技术

木马病毒植入技术,主要是指木马病毒利用各种途径进入目标机器的具体实现方法。

(1)利用电子邮件进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。

(2)利用网络下载进行传播:一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。

(3)利用网页浏览传播:这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,JavaApplet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。

(4)利用一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。

15

安徽工贸职业技术学院毕业论文

(5)远程入侵进行传播:黑客通过破解密码和建立IPC远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\\WINDOWS\\system32或者C:\\WINNT\\sys-tem32)中,然后通过远程操作让木马程序在某一个时间运行。

(6)基于DLL和远程线程插入的木马植入:这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。而DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,增加了隐蔽性的要求。

(7)利用蠕虫病毒传播木马:网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上进行传播、复制,这就加快了木马的传播速度。

4.1木马病毒的加载技术

当木马病毒成功植入目标机后,就必须确保自己可以通过某种方式得到自动运行。常见的木马病毒加载技术主要包括:系统启动自动加载、文件关联和文件劫持等。

4.1.1 系统启动自动加载

系统启动自动加载,这是最常的木马自动加载方法。木马病毒通过将自己拷贝到启动组,或在win.ini,system.ini和注册表中添加相应的启动信息而实现系统启动时自动加载。这种加载方式简单有效,但隐蔽性差。目前很多反木马软件都会扫描注册表的启动键(信息),故而新一代木马病毒都采用了更加隐蔽的加载方式。

4.1.2 文件劫持

文件劫持,是一种特殊的木马加载方式。木马病毒被植入到目标机后,需要首先对某

16

安徽工贸职业技术学院毕业论文

个系统文件进行替换或嵌入操作,使得该系统文件在获得访问权之前,木马病毒被率先执行,然后再将控制权交还给相应的系统文件。采用这种方式加载木马不需要修改注册表,从而可以有效地躲过注册表扫描型反木马软件的查杀。这种方式最简单的实现方法是将某系统文件改名,然后将木马程序改名。这样当这个系统文件被调用的时候,实际上是木马程序被运行,而木马启动后,再调用相应的系统文件并传递原参数。

4.2 木马病毒的隐藏技术

为确保有效性,木马病毒必须具有较好的隐蔽性。木马病毒的主要隐蔽技术包括:伪装、进程隐藏、DLL技术等。

伪装,从某种意义上讲,伪装是一种很好的隐藏。木马病毒的伪装主要有文件伪装和进程伪装。前者除了将文件属性改为隐藏之外,大多通过采用一些比较类似于系统文件的文件名来隐蔽自己;而后者则是利用用户对系统了解的不足,将自己的进程名设为与系统进程类似而达到隐藏自己的目的。

进程隐藏,木马病毒进程是它驻留在系统中的最好证据,若能够有效隐藏自己的进程,显然将大大提高木马病毒的隐蔽性。在windows98系统中可以通过将自己设为系统进程来达到隐藏进程的目的。但这种方法在windows2000/NT下就不再有效,只能通过下面介绍的DLL技术或设备驱动技术来实现木马病毒的隐藏。

DLL技术,采用DLL技术实现木马的隐蔽性,主要通过以下两种途径:DLL陷阱和DLL注入。DLL陷阱技术是一种针对DLL(动态链接库)的高级编程技术,通过用一个精心设计的DLL替换已知的系统DLL或嵌入其内部,并对所有的函数调用进行过滤转发。DLL注入技术是将一个DLL注入到某个进程的地址空间,然后潜伏在其中并完成木马的操作。

17