知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 技术文献

木马后门攻击与防御原理

发布时间:2011-06-26 05:59:41作者:知识屋

一、 引言

 

特洛伊木马是 Trojan Horse 的中译,是借自"木马屠城记"中那只木马的名字。古希腊有大军围攻特洛伊城,逾年无法攻下。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然 无功,遂留下木马拔营而去。城中得到解围的消息,及得到"木马"这个奇异的战利品,全城饮酒狂欢。到午夜时份,全城军民尽入梦乡,匿于木马中的将士开秘门 游绳而下,开启城门及四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为"特洛伊木马",现今计算机术语借用其名,意思是"一经进入,后患无穷"。 特洛伊木马原则上它和Laplink 、 PCanywhere 等程序一样,只是一种远程管理工具。而且本身不带伤害性,也没有感染力,所以不能称之为病毒 (也有人称之为第二代病毒);但却常常被视之为病毒。原因是如果有人不当的使用,破坏力可以比病毒更强。

 

二、木马攻击原理

 

特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。木马,其实质只是一个通过端口进行通信的网络客户/服务程序。

 

1、基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接 受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于特洛伊木马,被控制 端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。

 

2、程序实现:

 

可以使用VB或VC的Winsock控件来编写网络客户/服务程序, 实现方法如下:

 

服务器端:

 

G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)

 

G_Server.Listen(等待连接)

 

客户端:

 

G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)

 

G_Client.RemotePort=7626(设远程端口为冰河的默认端口)

 

(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个)

 

G_Client.Connect(调用Winsock控件的连接方法)

 

一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接

 

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

 

G_Server.Accept requestID

 

End Sub

 

客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)

 

如果客户断开连接,则关闭连接并重新监听端口

 

Private Sub G_Server_Close()

 

G_Server.Close (关闭连接)

 

G_Server.Listen(再次监听)

 

End Sub

 

客户端上传一个命令,服务端解释并执行命令。

 

3、实现木马的控制功能

 

由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,下面仅对木马的主要功能进行简单的概述, 主要是使用Windows API函数。

 

(1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)

 

keybd_event模拟一个键盘动作。

 

mouse_event模拟一次鼠标事件

 

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:

 

MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置

 

MOUSEEVENTF_MOVE 移动鼠标

 

MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下

 

MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起

 

MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下

 

MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下

 

dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠标坐标

 

(2)记录各种口令信息

 

keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名

 

(3)获取系统信息

 

a.取得计算机名 GetComputerName

 

b.更改计算机名 SetComputerName

 

c.当前用户 GetUserName

 

d.系统路径

 

Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系统对象)

 

Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系统目录)

 

Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安装目录)

 

e.取得系统版本 GetVersionEx

 

f.当前显示分辨率

 

Width = screen.Width screen.TwipsPerPixelX

 

Height= screen.Height screen.TwipsPerPixelY

 

(4)限制系统功能

 

a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:

 

ExitWindowsEx(UINT uFlags,DWORD dwReserved)

 

当uFlags=EWX_LOGOFF 中止进程,然后注销

 

=EWX_SHUTDOWN 关掉系统但不关电源

 

=EWX_REBOOT 重新引导系统

 

=EWX_FORCE强迫中止没有响应的进程

 

=EWX_POWERDOWN 关掉系统及关闭电源

 

b.锁定鼠标,ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以,RECT是定义的一个矩形。

 

c.让对方掉线 RasHangUp

 

d.终止进程 ExitProcess

 

e.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口

 

(5)远程文件操作

 

删除文件:File delete

 

拷贝文件:File copy

 

共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)

 

(6)注册表操作

 

在VB中只要Set RegEdit=CreateObject("WScript.Shell")就可以使用以下的注册表功能:

 

删除键值:RegEdit.RegDelete RegKey

 

增加键值:RegEdit.Write RegKey,RegValue

 

获取键值:RegEdit.RegRead (Value)

三、特洛伊木马隐身方法

 

木马程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要 把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将 程序设为“系统服务”可以伪装自己。当然它也会悄无声息地启动,木马会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方 法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。

 

在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是 可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马” 了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

 

在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确 的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。

 

在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击 至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下, 查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindows CurrentVersionRun”下的 Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USERSoftwareMicrosoftWindows CurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindows CurrentVersionRun”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINESoftware MicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索即可。

 

目前,除了上面介绍的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动 态链接库技术。驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接 库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以 使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的 信息后,隐藏的程序就立即开始运作。

 

四、 特洛伊木马防御原理

 

知道了木马的攻击原理和隐身方法,我们就可以采取措施进行防御了。

 

1.端口扫描

 

端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放,如果失败或超过某个特定的时间(超时), 则说明端口关闭。但对于驱动程序/动态链接木马, 扫描端口是不起作用的。

 

2.查看连接

查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或某个第三方程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,但同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。

 

3.检查注册表

 

上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现冰河在注册表里留下的痕迹。

 

4.查找文件

 

查找木马特定的文件也是一个常用的方法,木马的一个特征文件是 kernl32.exe,另一个是sysexlpr.exe,只要删除了这两个文件,木马就已经不起作用了。如果你只是删除了sysexlpr.exe而 没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了, sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上。

 

另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系 统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器", 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如 果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。

 

五、结束语

 

只要你有一点点的疏忽,就有可能被人安装了木马。所以平时不要随便从网站上下载软件, 不要随便运行别人给的软件,经常检查自己的系统文件、注册表、端口,经常去安全站点查看最新的木马公告等等,提高自己的网络安全意识,了解木马的常见伎 俩,这样对于保证自己电脑的安全不无裨益

(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜