特洛伊木馬的運行原理及其防范措施

《特洛伊木馬的運行原理及其防范措施》由會員分享，可在線閱讀，更多相關(guān)《特洛伊木馬的運行原理及其防范措施（10頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學術(shù)會議論文集 -15 - 網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學術(shù)會議論文集 （甘肅省白銀市氣象局730900） 特洛伊木馬的運行原理及其防范措施 [內(nèi)容轉(zhuǎn)廠 本嫉紹了特洛伊木馬的運行原理.行為特征及其危害，介紹了幾種防范木馬的基本方法與常用工』 [關(guān)鍵詞]特洛伊木馬TCP/IP網(wǎng)絡(luò) 遠程控制黑客 1?什么是特洛伊木馬? 特洛伊木馬（以下簡稱木馬），英文叫做"Trojan horse",其名稱取自希臘神話的特洛伊 木馬記，它是一種基于遠程控制的黑客工具。其本質(zhì)上屬于客戶機/服務(wù)器應(yīng)用程序，由兩部分 組成，一個是服務(wù)器端程序（服務(wù)端），一個是客戶端

2、程序（控制端）。如果你的電腦受到木 馬攻擊（即被人偷偷安裝了服務(wù)器端程序）,黑客便可通過客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進入并 遠程控制你的微機，為所欲為：竊取密碼，刪除,修改，上傳文件，修改注冊表，甚至重啟.關(guān) 閉或鎖死你的微機，斷開網(wǎng)絡(luò)連接，控制鼠標，鍵盤等。因此，一旦被木馬控制，你的電腦不 僅將毫無秘密可言，連對電腦的控制權(quán)也將喪失殆盡。鑒于木馬的巨大危害性.下面本文就木 馬的工作原理，運行特證，防范措施等幾個方面給予詳細介紹，希望大家對特洛伊木馬這種攻 擊手段有一個較為透徹的了解。 2?木馬是如何進入你的電腦并啟動運行的? 新安裝的電腦是沒有木馬存在的，一般黑客要想給你安裝上木馬，一

3、個辦法是寫信給你， 告訴你有一個很好的軟件，你下載并運行該軟件但卻沒有什么反應(yīng)，這時候，木馬已經(jīng)安裝到 你的電腦中了。另一個辦法是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆 綁在軟件安裝程序上，下載后，只要一運行這些程序，木馬就會自動安裝。木馬首先將自身拷 貝到WINDOWS的 系統(tǒng)文件夾中（C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下），然后在注 冊表的啟動組，非啟動組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。 一般的程序需要我們點擊該程序才會啟動，那么木馬是怎樣啟動的呢？ 木馬是由其在安裝過程中設(shè)定的觸發(fā)條件啟動的。 啟動木馬的條件,大致出現(xiàn)在下

4、面八個地方： ⑴注冊表:打開 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CuiTentVersion\ 卜的 五個以Run和RunServices主鍵，在箕中尋找可能是啟動木馬的鍵值。 （2）WIN?INI:C:\WINDOWS目錄下有一個配置文件win.ini,用文本方式打開，在[windows] 字段中有啟動命令load=和run三在一般情況下是空白的，如果有啟動程序,可能是木馬。 ⑶SYSTEM.INI:C:\WINDOWS @錄下有個配置文件systemJni,用文本方式打開，在 [386EnhL[mic], [drivers32

5、]中有命令行，在其中尋找木馬的啟動命令。 ⑷Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方 式一般都需要客戶端與服務(wù)器端建立連接后，將已添加木馬啟動命令的同名文件上傳到服務(wù) 端覆蓋這兩個文件才行。 （5比INI：即應(yīng)用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的 帶有木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達到啟動木馬的目的 To ⑹注冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,査看其鍵值。 舉個例子，國產(chǎn)木馬“冰亦'就是修衣HKEY_C

6、LASSES_ROCmtxtfi臥shell\open\command下的 鍵值，將 “C:\WINDOWS \NOTEPAD.EXE%1” 該為 “C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”，這時你雙 擊一個TXT文件后，原本應(yīng)用NOTEPAD打開文件的，現(xiàn)在卻變成啟動木馬 程序了。還要說明的是不光是TXT文件，通過修改HTML, EXE, ZIP等文件的啟動命令的 鍵值都可以啟動木馬，不同之處只在于“文件類型”這個主鍵的差別。 ⑺捆綁文件:實現(xiàn)這種觸發(fā)條件首先要木馬客戶端和服務(wù)器端已建立連接，然后客戶端用丄 具軟件將木馬文件和某一應(yīng)用程序捆綁在一起.然后上傳到

7、服務(wù)端覆蓋原文件，這樣即使木 馬被刪除了，只要運行捆綁了木馬的應(yīng)用程序，木馬又會被安裝上去了。 ⑻啟動菜單:在“開始…程序一啟動”選項下也可能有木馬的觸發(fā)條件。 一旦滿足木馬啟動的觸發(fā)條件，木馬就被激活，進入內(nèi)存，并開啟事先定義的木馬端， 準備與客戶端建立連接。 3?木馬的運行原理 如果木馬只是被激活，潛入內(nèi)存運行，而你沒有上網(wǎng)，那么木馬是不會對你的微機與信息 構(gòu)成危害的，但是，你一旦上網(wǎng)，黑客便可通過客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)與在你的微機中運 行的木馬建立連接，從而竊取信息，控制機器o具體的連接過程如下： -17 - 網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學術(shù)會議論文集

8、 -# - 網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學術(shù)會議論文集 202. 102.47. 56 一 ① ①控軸IIP②木耳端口③農(nóng)務(wù)林口 ?IK#miP 機為服務(wù)端，對于A機來說要與B機建立連接必須知道B機 如上圖所示A機為控制端， ■■ 的木馬端口和IP地址，由于木馬端口是A機事先設(shè)定的，為已知項，所以最重要的是如何獲 得B機的IP地址。獲得B機的IP地址的方法主要有兩種：信息反饋和IP掃描。所謂信息反饋 是指木馬成功安裝后會收集一些服務(wù)端的軟硬件信息，并通過E-mail, irc或ico的方式告 知控制端用戶。從這封郵件中可以知道服務(wù)端的IP以及一些軟硬件信息，包括使用的操作系統(tǒng)，

9、 系統(tǒng)目錄，硬盤分區(qū)情況，系統(tǒng)口令等。另一種獲取IP的方法是IP掃描，由于撥號上網(wǎng)的IP 是動態(tài)的.即用戶每次上網(wǎng)的IP都是不同的，所以控制端必須通過IP掃描才能確定B機的IP 地址。因為B機裝有木馬程序，所以它的木馬端口 7626是處于開放狀態(tài)的，所以現(xiàn)在A機只 要掃描IP地址段中7626端口開放的主機就行了，例如圖中B機的1P地址是202.96.96,101,當 A機掃描到這個IP時發(fā)現(xiàn)它的7626端口是開放的，那么這個IP就會被添加到列表中，這時A 機就可以通過木馬的控制端程序向B機發(fā)出連接信號，B機中的木馬程序收到信號后立即作出 響應(yīng)，當A機收到響應(yīng)的信號后，開啟一個隨機端口 1031

10、與B機的木馬端口 7626建立連接， 到這時一個木馬連接才算真正建立。值得一提的要掃描整個IP地址段顯然費時費力，一般來 說控制端都是先通過信息反饋獲得服務(wù)端的IP地址。 木馬連接建立后.控制端端口和木馬端口之間將會出現(xiàn)一條通道，控制端上的客戶端程序 可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進行遠程控制(也就是 命令木馬做事情了〉。下面介紹一下控制端能夠獲取的控制權(quán)限. IV (1) 竊取密碼：一切以明文的形式，?形式或緩存在CACHE中的密碼都能被木馬偵測到，此 外很多木馬還提供有擊鍵記錄功能，它將會記錄服務(wù)端每次敲擊鍵盤的動作，所以一旦有木馬 入侵，密碼將很容

11、易被竊取。 (2) 文件操作：控制端可藉由遠程控制對服務(wù)端上的文件進行刪除，新惠修改，上傳，下載，運行, 更改屬性等一系列操作，基本涵蓋了 WINDOWS平臺上所有的文件操作功能。 、(3)修改注冊表：控制端可任意修改服務(wù)端注冊表.包括刪除，新建或修改主鍵，子鍵，鍵 值。有了這項功能控制端就可以禁止服務(wù)端軟驅(qū)，光驅(qū)的使用，鎖住服務(wù)端的注冊表，將服務(wù) 端上木馬的觸發(fā)條件設(shè)置得更隱蔽的一系列高級操作? (4)系統(tǒng)操作：這項內(nèi)容包括重啟或關(guān)閉服務(wù)端操作系統(tǒng)，斷開服務(wù)端網(wǎng)絡(luò)連接，控制服務(wù) 端的鼠標，鍵盤，監(jiān)視服務(wù)端桌面操作，査看服務(wù)端進程等。 4 ?木馬的識別 木馬被激活后，進入內(nèi)存，并開啟

12、事先定義的木馬端口，準備與控制端建立連接。這時可 以在MS-DOS方式下，鍵入NETSTAT -AN査看端口狀態(tài)，一般個人電腦在脫機狀態(tài)下是不會 有端口開放的，如果有端口開放，你就要注意是否感染木馬了。 在上網(wǎng)過程中要下載軟件，發(fā)送信件，網(wǎng)上聊天等必然打開一些端口，下面是一些常用的端口: (1) 1-1024之間的端口：這些端口叫保留端口，是專給一些對外通訊的程序用的，如FTP 使用21, SMTP使用25. POP3使用110等。只有很少木馬會用保留端口作為木馬端口的。 (2) 1025以上的連續(xù)端口：在上網(wǎng)瀏覽網(wǎng)站時，瀏覽器會打開多個連續(xù)的端口下載文字，圖 片到本地硬盤上，這些端口都

13、是1025以上的連續(xù)端口。 (3) 4000端口：這是OICQ的通訊端口。 (4) 6667端口：這是IRC的通訊端口。 除上述的端口基本可以排除在外，如發(fā)現(xiàn)還有其它端口打開.尤其是數(shù)值比較大的端口， 那就要懷疑是否感染了木馬.當然如果木馬有定制端口的功能，那任何端口都有可能是木馬端 口。 每個木馬所打開的端口不同，根據(jù)端口號，可以識別不同的木馬，比如NETSPY木馬的端 口是7306, SUB7的端口是1243,但是，有些木馬的端口號是可以改變的，比如SUB7,黑客 通過控制器可以將端口號改變成12345等號碼。 如果有可疑的端口開放，你按照以下步驟進行先記下這個端口號，然后打開A

14、TM軟件 看看內(nèi)存中正在運行那些軟件，請把這些軟件名稱和硬盤位置用筆記到紙上，然后終止某個程 序運行，如果端口還是開放著，那么被你終止運行的程序不是木馬，然后繼續(xù)終止下一個.直 到端口不再開放，就也就找到了木馬。 5清除木馬 找到木馬以后，需要做的第一件事情就是備份，需要備份注冊表，防止系統(tǒng)崩潰，備份有 可能是木馬的文件，如果不是木馬就可以恢復(fù)。 備份以后，還需要驗證一下究竟是不是木馬：新建一個目錄，把木馬移到這里，運行.看 看端口打開嗎？原目錄中是不是又生成了這個文件？如果是的話就可以確認為木馬。 刪除木馬時，先不要在硬盤上刪除該文件！你應(yīng)該先終止該程序在內(nèi)存中的運行，保證端 口沒有

15、打開。 其次，運行REGEDIT,到注冊表中去査包含該文件名的鍵值，如果在啟動組中找到就先 用筆記下鍵值，然后刪除。如果在非啟動組中找到，你應(yīng)該設(shè)法恢復(fù)被木馬修改之前的鍵值， 如果不能恢復(fù)，就先用筆記下鍵值，然后刪除。 再次，到硬盤上去找包含該木馬文件名的INI和EXE或者DLL文件。 如果找到INI文件'先打開看看是在什么位置，比如是foxmail.ini的話，啟動fbxmail看看, 木馬是不是進入內(nèi)存，端口有沒有打開，如果是的話，那么是foxmailJni被修改了，幫助木馬 啟動。修改INI文件，刪除與木馬有關(guān)的部分，就可以了。 如果是其他的EXE文件啟動，那么運行這個程序，如果

16、木馬被裝入內(nèi)存，打開了端口，說 明要么是該文件啟動木馬程序的，要么是該文件捆綁了木馬程序；如果是WINDOWS自帶的程 序，可以到安裝光盤上去禪放一個出來，覆蓋一下就行了；如果是你自己安裝的程序，可以到 其他地方弄一個來，重新安裝一下；對于DLL文件，方法與EXE文件的一樣。另外，還應(yīng)注 意后綴名是DL的文件J 最厲，重新啟動你的機器，然后刪除硬盤上的木馬文件。 6?識別與清除木馬的常用工具 用手工判斷端口的方法只能識別一部分木馬，而且操作多有不便。因此，對付木馬你必須 有兒款上手的工具： (l)tcpview： 査看端口和線程的有力工具。只要木馬在內(nèi)存中運行，一定會打開某個端口，只

17、要黑客進 入你的電腦，就會有新的線程。 下載地址： ( -19 - 網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學術(shù)會議論文集 ⑵ ATM： 木馬在內(nèi)存中運行，你想終止它運行，ATM是最好的，它被漢化了，而且不用安裝的，你 可以在界面上清楚地看到什么軟件在運行，軟件的硬盤位置等，對查找木馬很有幫助。 (3) REGEDIT 這是windows自帶的，位置是：C:\WINDOWS\REGEDIT.EXE,注冊表修改工具，大部分 的木馬是在注冊表的啟動組添加鍵值，以便在電腦啟動的時候運行，你可以使用REGEDIT對 注冊表進行修改，但是，請千萬小心，弄錯了可能造成系統(tǒng)崩潰。 (4) LOCKD

18、OWN 被認為是最好的防御工具，能監(jiān)視注冊表的變化，能刪除很多木馬，目前能識別488個木 馬。卜載地址；(http://downloadJ ⑸木馬克星iparmor : 可以查殺5021種國際木馬，112種電子郵件木馬，保證查殺冰河類文件關(guān)聯(lián)木馬，oicq類 寄生木馬，icmp類幽靈木馬，網(wǎng)絡(luò)神偷類反彈木馬。內(nèi)置木馬防火墻，任何黑客試圖與本機建立 連接，都需要Iparmor確認，不僅可以査殺木馬，更可以査黑客。 下載地址:(http://wwwJuosoftxom/iparmor.exe) □ ⑹殺毒軟件 大部分殺毒軟件都具有查殺木馬的功能。 7■木馬的預(yù)防 7.1不要隨便運行

19、不太了解的人給你的程序，特別是后綴名為exe的可執(zhí)行程序。特洛伊木 馬程序很多，它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE( 127k),如果你從Email收 到或卜'載了大小和上述文件一樣的EXE文件，運行時可要小心了。運行后如果程序突然消失， 或者是無任何反應(yīng)，那你很可能是被攻擊了。 co 7.2不要去不正規(guī)的站點(例如：黑客網(wǎng)站)去下載軟件，因為，許多黑客將木馬隱藏在其 他軟件的安裝程序里，當你安裝所下載的軟件時，就一并將木馬安裝到你的電腦。 7.3上網(wǎng)時留心査看網(wǎng)絡(luò)傳輸數(shù)據(jù)的變化，如果你沒有上傳或下載資料，卻顯示一直有上下 行的的數(shù)據(jù)傳輸，那么

20、.就要當心是否受到木馬的攻擊，黑客正在竊取你的資料。 7.4防御工具LockDown LOCKDOWN被認為是最好的動態(tài)防護裝置。能監(jiān)視幾個WINDOWS的系統(tǒng)文件，如注冊 表和SYSTEM.INI等，如果發(fā)生改變，就立刻告訴你。那么當你不小心運行了某些包含木馬的 軟件，它就會提醒你。它的好處在于，能隨時監(jiān)視注冊表等文件的變化，你不用擔心誤操作， 它會提醒你，并且對刪除木馬有幫助。 7.5養(yǎng)成經(jīng)常查殺木馬的良好習慣，并留心升級最新的查殺木馬的工具或殺毒軟件。 -# - 特洛伊木馬的運行原理及其防范措施 作者： [B 丈 t 楊文科 作者單位： 甘肅省白銀市氣象局 本文鏈接： 下載時間：2010年5月 20日