百毒不侵之拒绝木马
摘要:
随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁。它可以通过网页,文件,电子邮件,图片,声音文件等多种途径进入用户系统并安装,由于它具有很强的伪装功能,很多时候在用户还未察觉的情况下可能已经被木马制造者监控或窃取数据等。本文通过对木马的基本知识和木马原理以及一些防范措施的介绍使更多用户对木马有所了解,在网络时代的今天更好的保护自己的利益。
关键词:木马病毒
远程控制
网络安全
目 录
第一章 认识木马 ……………………………………………………………………………2
1. 木马简介 ……………………………………………………………………………2
2. 木马的功能 …………………………………………………………………………2
3. 木马的分类及攻击方式 ……………………………………………………………3
4. 木马的伪装 …………………………………………………………………………3
第二章 木马原理 ……………………………………………………………………………3
1.木马传播 ……………………………………………………………………………3
2.木马的运行……………………………………………………………………………3
3.木马连接的建立………………………………………………………………………4
4.远程控制………………………………………………………………………………4
第三章 实例分析——灰鸽子 ………………………………………………………………5
第四章 木马防治 ……………………………………………………………………………8
第五章 总结 …………………………………………………………………………………8
参考文献 ………………………………………………………………………………………9
第一章 认识木马
1.木马简介
在计算机领域中,木马是一种基于远程控制的黑客工具,它具有隐蔽性和非授权性的特点。最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,有跳转指令来执行一些木马的功能,在这个时期木马的设计者大多是些技术人员,必须具备相当的网络编程知识。到后来的WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不有懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也就频繁出现了,而且由于木马的功能日趋完善,因此对服务端的破坏更大了,网络数据和隐私安全面临着极大的威胁。
2.木马的功能
木马采用的是客户/服务器模式,一台主机提供服务端,另一台主机为控制端,作为服务器的主机一般会开启一个预设的连接并进行监听,如果有客户端向服务端提出连接请求,服务端上的对应程序将会自动回复客户端的请求,通过木马,黑客可以连上该使用者的计算机,控制远端主机和收集资料。通常木马具有以下功能:
远端监控:使用木马可以控制对方的鼠标,键盘和监视对方屏幕等。
记录密码:当使用者有登入主机时,木马会将密码记录下来,然后寄到黑客的信箱里。
取得计算机的信息资料:可以获取系统的各种信息。
设定系统功能:可以远端关机或重新开机,终止系统程序等操作。
远端文件操作:可以远打操控对方的文件。
发送信息:可即时发送信息给被控方。
3.木马的分类及攻击方式
根据木马的功能可分为:远程控制型木马,发送密码型木马,破坏型木马等;根据木马的连接方式可分为:正向连接和反向连接。
木马的攻击方式多种多样,除了被黑客攻击入侵后种入木马外,还可以通过通讯软件,电子邮件附件,物理访问,陷阱诡计等很多途径感染木马。随着网络的普遍,在网络下载文件,图片,游戏等都可能中木马。通常攻击者还会利用声音文件,影片等来伪装木马,还有把木马和其他程序结合起来,产生新程序发送到用户信箱引诱用户执行木马程序。某些网页中也有木马,用户只要一浏览网页就会遭到木马攻击。
4.木马的伪装
木马配置程序为了在服务端尽可能好的隐藏木马,会采取多种伪装手段。通常木马
会伪装成电子书,图片,网页以及一些小游戏等来欺骗用户,还有几种木马伪装的手段:
修改图标:现在有些木马可以将木马服务端程序的图标改成HTML,TXT。ZIP等各种
文件图标。
捆绑文件:将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下进入了系统,还有捆绑图片等。
出错显示:很多人都知道如果打开一个文件没有任何反应,这很可能就是木马程序,现在有的木马具有出错显示功能,当服务端打开木马程序时,会弹出一个如“文件已损坏,无法打开”之类的信息,当用户信以为真时,木马已经进入了系统。
自我销毁:木马程序安装完后原木马文件将自动销毁,这样服务端用户很难找到木马的来源,很难删除木马。
木马更名:现在很多木马都允许控制端用户自由定制安装后的木马文件名,这样就很难判断所感染的木马类型了。
第二章 木马原理
1.木马传播
一个完善的木马要发挥作用,它的传播是关键因素。木马的传播方式主要有两种:一是通过邮件和通讯方式,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马,还有各中通讯工具的应用使木马的传播更为广泛;另一种是网上下载,一些非正规的网站以提供免费文件为名,将木马捆绑在软件,图片,影片,游戏等上,下载后只要一运行这些程序,木马就会自动安装。
2.木马的运行
服务端用户运行木马或捆绑木马程序的文件后,木马就会自动安装。木马将自己拷贝到WINDOWS的系统文件夹中,然后在注册表 ,启动组和非启动组中设置好触发条件,这样就安装完成了。木马的启动方式分为两种:自启动激活木马和触发式激活木马。触发式激活木马包括:在注册表里修改TXT,HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马。实现捆绑文件触发条件首先要控制器和服务器已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务器端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的程序,木马又会被安装上去。自动播放式触发激活木马是用于光盘,U盘的,通过修改AUTO RUN.INF中的OPEN一行可以指定在自动播放过程中运行的程序,制造者在OPEN中指定木马程序,当打开U盘时,就会触发木马程序的运行,木马被激活后,进入内存并开启事先定义的木马端口,准备与控制端建立连接。
3.木马连接的建立
一个木马连接的建立必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线。在此基础上控制端可通过木马端口与服务端建立连接。对于控制端来说要与服务端建立连接必须知道服务端的木马端口和IP地址,由于木马端口是控制端事先设定好的,所以最重要的是如何获得服务端的IP地址。获得服务端IP地址的方法主要有两种:信息反馈和IP扫描。信息反馈是指木马成功安装后会收集一些服务端的软硬件信息,并通过邮件等方式发送给控制端。从反馈的信息中控制端可以知道服务端一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区,系统口令等,在这些信息中最重要的是服务端IP。IP扫描是通过扫描端口来找地址的,因为服务端装有木马程序,而木马端口是控制端预设的处于开放状态的,所以控制端只要扫描IP段中那个木马端口开放的主机就行了,当扫描到主机时,控制端通过木马的控制端程序向服务端程序发出连接信号,服务端中的木马程序收到信号立即做出响应,当控制端收到响应的信号后,开启一个随即端口与服务器的木马端口建立连接,这时一个木马连接就建立成功了。
4.远程控制
木马连接建立后,控制端端口和木马端口之间将会出现一条通道。通过这条通道控制端与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。控制端控制服务端后有很大的控制权限,如窃取密码。所以服务端的应用密码都会被木马测到,还有很多木马可以记录键盘,记录服务端每次敲击键盘的动作;文件操作,控制端可由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等基本包括WINDOWS平台的所有文件操作功能;还可以进行修改注册表,以及重启或关闭服务端操作系统,断开服务端网络连接,控制服务端鼠标,键盘,监视服务端桌面操作,查看服务端进程,给服务端发送信息等系统操作。
第三章 实例分析——灰鸽子
灰鸽子是国内一款著名后门。灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。然而很多人拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户,公网用户和ADSL拨号用户等。灰鸽子变种木马运行后,会自我复制到WINDOWS目录下,并自行将安装程序删除。修改注册表,将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中,隐藏自我,防止被杀毒软件查杀。自动开启IE浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其它特定程序。
灰鸽子服务端,不是等待客户端连接,而是系统一启动,服务端就会去自动上线连接控制端,控制端的操作人员随时可以完成他想要的操作,而这一切,服务端的管理员可能毫不知情。它的控制端程序有很多可以隐藏自己的设置,它的主界面如下图(3.1):
图(3.1)
灰鸽子一般采用的简单自动上线是利用FTP服务器,它具有很强大的功能其中还包括捕获屏幕和视频监控,在配置服务器的安装选项中,可以自己设定安装的文件名称,
可以选择完全隐藏服务端图标,即使有服务端图标,和其它正常的远程管理软件不同的是,这个图标完全没有任何用处,你只是知道它存在而已,还可以设置安装完成后自动删除安装文件的选项,如下图(3.2):
图(3.2)
在启动选项中可以任意定制服务名称,在高级选项中可以设置各种插入和隐藏务,这是为了不让人们发现它而做的基本隐藏设置,如下图(3.3):
图(3.3)
服务端启动后,客户端立即发现目标主机上线了,可以进行的操作就不是一般人想的那么简单了,在文件管理器可以任意操作目标主机上的文件,上传下载,删除修改等等基本包括了所以的文件操作功能,如下图(3.4),在远程控制命令组(图3.5),有更多的功能可以操作,远程控制命令组,可以查看远程主机的系统信息、剪切板、进程、窗口、键盘记录器、服务、共享、模拟命令行操作、设置代理服务器和启动插件,其中包括的键盘记录可以记录你的游戏帐号,QQ号密码以及你的QQ聊天记录等所以你敲击过键盘的内容。远程编辑注册表(图3.6),上传个有害程序,修改目标主机注册表,让这个程序自动加载,和操作自己的注册表一样,还有命令广播可以关闭和重启服务端主机,可以使控制端同时对多个服务端进行同一任务的操作。
图(3.4)
图(3.5)
图(3.6)
第四章 木马防治
网络上的木马是无处不在,各种木马软件的变种也越来越多,网络技术的发展也使木马软件的操作变的越来越简单。好奇和利益使更多的人在网络上利用木马达到种种目的。我们了解木马就是为了不受其害,如果发现自己种了木马病毒,应该及时采取措施,可以通过专用的木马清除工具或带有查杀木马的杀毒软件及时清除,避免更多的损失。同时我们更应该注意防范木马,不给木马入侵的机会。做到防木马要注意以下几点:①不随意下载使用非法软件,各种非法软件看似无害,实际多数都隐藏有木马②不随意浏览不明网页,尤其不要浏览色情,黑客网站,很多网页,论坛都隐藏着木马,在你打开网页的同时木马就悄悄在你本机运行③不要随意打开来历不明的邮件,现在很多木马通过邮件传播,当你手到来历不明的邮件时,不要打开,应该立即删除,并加强邮件监控系统,拒绝接受垃圾邮件④不要收不明内容的信息,病毒感染越来越具有欺骗性,很多病毒以一些诱惑性语言或广播通过邮件尤其是通讯工具来传播⑤使用杀毒软件要经常关注网站安全公告,及时更新补丁和新的病毒库⑥及时修补漏洞和关闭可疑端口,一般木马都通过漏洞在系统上打开端口留下后门以便上传木马文件和运行木马代码⑦提高警惕,一旦发现机子无故变慢,应立即断网,检查进程和资源管理器等,看是否有不安全程序运行。还有一些简单的防止方法:如系统设置开始——控制面板——添加删除程序——WINDOWS安装程序——把附件里的WINDOWS—SCRIPTING.HOST去掉,然后打开INTERNET EXPLORER浏览器,在工具——INTERNET选项——安全——字定义级别里把脚本的3个选项禁用,然后把“在中加载程序和文件”禁用,这样还可以预防一些恶意网页炸弹和病毒,再就是加装防火墙。总之为了自己的网络安全,提高防范意识,不给木马病毒留可乘之机。
第五章
总结
计算机技术迅速发展的今天,网络已经普遍化了,我们进行办公,学习,娱乐等都依赖了这个平台,它已是我们日常生活的一部分。代表着信息技术的网络当然也不是完美的,各种计算机病毒一直是网络安全的杀手,危害着网络以及网络用户的利益,其中木马这种远程控制的程序在网络上也越来越多。木马和病毒都是一种人为的程序,都属于电脑病毒,但是在某种程度上木马的危害性比病毒更可怕。以前的电脑病毒完全是为了搞破坏,破坏电脑里的资料和数据,除了破坏之外就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索,或为了炫耀自己的技术,但木马是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,达到了偷窥别人隐私和得到经济利益的目的。为了能在应用网络的同时更好的保护自己的隐私和利益,应该多关注那些对网络有害的因素,了解和掌握一些木马的知识,达到不受其侵害,同时更多的是防范意识,多数木马都是用户在不知情的情况下无意中主动感染的,所以提高防范意识,让自己的计算机对木马说,不!
扫一扫
809
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
