第7章 特洛伊木马

null计算机病毒与反病毒技术计算机病毒与反病毒技术合肥工业大学计算机与信息学院 张仁斌主要内容主要内容特洛伊木马的概念 特洛伊木马的伪装方式、隐藏方式、自动启动方式 特洛伊木马的原理及其危害 特洛伊木马的自动启动技术、隐藏技术、远程监控技术第7章 特洛伊木马7.1.1 特洛伊木马的定义7.1.1 特洛伊木马的定义特洛伊木马(Trojan Horse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息 古希腊特洛伊之战中利用木马攻陷特洛伊城；现代网络攻击者利用木马，采用伪装、欺骗(哄骗，Spoofing)等手段进入被攻击的计算机系统中，窃取信息，实施远程监控7.1 特洛伊木马概述7.1.1 特洛伊木马的定义7.1.1 特洛伊木马的定义木马与病毒 一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的 特洛伊木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的 木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类 木马的最终意图是窃取信息、实施远程监控 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性7.1 特洛伊木马概述7.1.2 特洛伊木马的结构7.1.2 特洛伊木马的结构木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成7.1 特洛伊木马概述7.1.3 特洛伊木马的基本原理7.1.3 特洛伊木马的基本原理运用木马实施网络入侵的基本过程7.1 特洛伊木马概述7.1.3 特洛伊木马的基本原理7.1.3 特洛伊木马的基本原理用netstat查看木马打开的端口7.1 特洛伊木马概述7.1.3 特洛伊木马的基本原理7.1.3 特洛伊木马的基本原理木马控制端与服务端连接的建立 控制端要与服务端建立连接必须知道服务端的木马端口和IP地址 由于木马端口是事先设定的，为已知项，所以最重要的是如何获得服务端的IP地址 获得服务端的IP地址的方法主要有两种：信息反馈和IP扫描7.1 特洛伊木马概述7.1.3 特洛伊木马的基本原理7.1.3 特洛伊木马的基本原理木马控制端与服务端连接的建立7.1 特洛伊木马概述7.1.3 特洛伊木马的基本原理7.1.3 特洛伊木马的基本原理木马通道与远程控制 木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作7.1 特洛伊木马概述7.1.3 特洛伊木马的基本原理7.1.3 特洛伊木马的基本原理木马的基本原理 特洛伊木马包括客户端和服务器端两个部分，也就是说，木马其实是一个服务器-客户端程序 攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上，诱使用户运行合法软件。只要用户运行该软件，特洛伊木马的服务器就在用户毫无察觉的情况下完成了安装过程 攻击者要利用客户端远程监视、控制服务器，必需先建立木马连接；而建立木马连接，必需先知道网络中哪一台计算机中了木马 获取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间的联系通道，攻击者就可以利用客户端程序向服务器程序发送命令，达到操控用户计算机的目的7.1 特洛伊木马概述7.1.4 特洛伊木马的传播方式7.1.4 特洛伊木马的传播方式木马常用的传播方式，有以下几种： 以邮件附件的形式传播 控制端将木马伪装之后添加到附件中，发送给收件人 通过OICQ、QQ等聊天工具软件传播 在进行聊天时，利用文件传送功能发送伪装过的木马程序给对方 通过提供软件下载的网站(Web/FTP/BBS)传播 木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马 通过一般的病毒和蠕虫传播 通过带木马的磁盘和光盘进行传播7.1 特洛伊木马概述7.1.5 特洛伊木马的危害7.1.5 特洛伊木马的危害木马的危害即木马能实现的功能，包括： 窃取数据 接受非授权操作者的指令 远程管理服务端进程 篡改文件和数据 删除文件和数据 操纵注册表 监视服务器的一切动作 释放病毒 使系统自毁7.1 特洛伊木马概述7.2.1 特洛伊木马的特性7.2.1 特洛伊木马的特性特洛伊木马具有如下特性： 隐蔽性 非授权性 欺骗性 自动运行性 自动恢复性 主动性 功能的特殊性7.2 特洛伊木马的特性与分类7.2.2 特洛伊木马的分类7.2.2 特洛伊木马的分类按照对计算机的破坏方式分类 破坏型 密码发送型 远程访问型 键盘记录型 DoS攻击型 代理型 FTP型 程序杀手型按传输方式分类 主动型 反弹端口型 嵌入式木马7.2 特洛伊木马的特性与分类7.3.1 木马的伪装方式7.3.1 木马的伪装方式木马通过伪装达到降低用户警觉、欺骗用户的目的 修改图标 捆绑文件 出错提示 自我销毁 木马更名 7.3 特洛伊木马的伪装、隐藏与启动7.3.2 木马的隐藏方式7.3.2 木马的隐藏方式木马的隐藏方式 在任务栏里隐藏 在任务管理器里隐藏 定制端口 隐藏通讯 新型隐身技术7.3 特洛伊木马的伪装、隐藏与启动7.3.3 木马的启动方式7.3.3 木马的启动方式经常用的方法主要有以下几种 集成(捆绑)到应用程序中 隐藏在Autoexec.bat和Config.sys中 潜伏在Win.ini中 在System.ini中藏身 隐蔽在Winstart.bat中 隐藏在应用程序的启动配置文件中 伪装在普通文件中 内置到注册表中 隐形于启动组中 修改文件关联 修改运行可执行文件的方式 设置在超级链接中 7.3 特洛伊木马的伪装、隐藏与启动7.4.1 特洛伊木马技术的发展7.4.1 特洛伊木马技术的发展木马的发展及成熟，大致也经历了两个阶段 Unix阶段 Windows阶段 木马技术发展至今，已经经历了4代 第一代木马 只是进行简单的密码窃取、发送等，没有什么特别之处 第二代木马 在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马的典型代表之一 第三代木马 在数据传输技术上，又做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度 第四代木马 在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI(Process Status API)，实现木马程序的隐藏7.4 透视木马开发技术7.4.2 木马程序的自动启动技术7.4.2 木马程序的自动启动技术木马程序的第一次运行，需要用户主动执行，这一次主要是利用伪装方式诱骗用户运行安装木马程序。此后，一般会在用户启动系统的同时自动加载木马程序 让程序自动运行的方法比较多 加载程序到启动组，写程序启动路径到注册表的自动启动键值 修改Boot.ini 通过注册表里的输入法键值直接挂接启动 通过修改Explorer.exe启动参数等方法7.4 透视木马开发技术7.4.3 木马的伪隐藏技术7.4.3 木马的伪隐藏技术进程、线程和服务 进程 一个正常的Windows应用程序，在运行之后，都会在系统之中产生一个进程，同时，每个进程，分别对应了一个不同的PID(Progress ID，进程标识符)。这个进程会被系统分配一个虚拟的内存地址空间，一切相关的程序操作，都会在这个虚拟的空间中进行 线程 一个进程，可以存在一个或多个线程，线程之间同步执行多种操作。一般情况下，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃 服务 一个进程当以服务的方式工作的时候，它将在后台工作，Windows 9x下不会出现在进程列表中，但是，在Windows NT/2000下，仍然会显示在进程列表中，并且可以通过服务管理器检查任何的服务程序是否被启动运行7.4 透视木马开发技术7.4.3 木马的伪隐藏技术7.4.3 木马的伪隐藏技术伪隐藏与真隐藏 隐藏木马的服务器端，可以伪隐藏，也可以是真隐藏 伪隐藏 指程序的进程仍然存在，只不过是让他消失在进程列表中 真隐藏 程序彻底地消失，不是以一个进程或者服务的方式工作 伪隐藏的方法 把木马服务器端的程序注册为一个服务就可以从进程列表中消失，因为系统不认为它是一个进程。但是，这种方法只适用于Windows 9x的系统，对于Windows NT、Windows 2000等，通过服务管理器，照样会发现在系统中注册过的服务7.4 透视木马开发技术7.4.3 木马的伪隐藏技术7.4.3 木马的伪隐藏技术Windows NT/2000下的伪隐藏 API的拦截技术，也称作进程欺骗技术。在Windows中有多种方法能够看到进程的存在：PSAPI（Process Status API）、PDH（Performance Data Helper）、ToolHelp API。如果能够欺骗用户或入侵检测软件用来查看进程的函数(例如截获相应的API调用，替换返回的数据)，就完全能实现进程隐藏 例如，通过建立一个后台的系统钩子，拦截PSAPI的EnumProcessModules等相关的函数来实现对进程和服务的遍历调用的控制，当检测到进程ID(PID)为木马程序的服务器端进程的时候直接跳过，这样就实现了进程的隐藏7.4 透视木马开发技术7.4.3 木马的伪隐藏技术7.4.3 木马的伪隐藏技术通过注册服务程序，实现进程伪隐藏7.4 透视木马开发技术7.4.4 木马的真隐藏技术7.4.4 木马的真隐藏技术真隐藏则是让程序彻底地消失，不是以一个进程或者服务的方式工作 当进程为真隐藏的时候，那么这个木马服务器运行之后，就不应该具备一般进程的表现，也不应该具备服务的表现，也就是说，完全溶进了系统的内核 不把木马作为一个应用程序，而把它作为一个线程、一个其他应用程序的线程，将其注入到其他应用程序的地址空间，而这个应用程序对于系统来说，是一个必不可少、绝对安全的程序，这样，就达到了彻底隐藏的效果，这样的结果，增加了查杀木马的难度7.4 透视木马开发技术7.4.4 木马的真隐藏技术7.4.4 木马的真隐藏技术利用DLL实现简单隐藏 假设编写了一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现该进程而并不会出现该木马DLL 如果该进程是可信进程(如资源管理器Explorer.exe)，那么木马DLL作为该进程的一部分，也将成为被信赖的一员而为所欲为 运行DLL文件最简单的方法是利用RunDLL32.exe Rundll32.exe MyDll MyFunc 如果在MyDll.DLL的MyFunc函数中实现了木马的功能，在系统管理员看来，进程列表中增加的是Rundll32.exe而并不是木马文件，这样也是木马的一种简易欺骗和自我保护方法7.4 透视木马开发技术7.4.4 木马的真隐藏技术7.4.4 木马的真隐藏技术DLL木马 使用RunDLL32的方法进行进程隐藏是简易的，但非常容易被识破 比较高级的方法是使用DLL木马 工作原理是替换常用的DLL文件，截获并处理特定的消息，将正常的调用转发给原DLL 例如，Windows的Socket 1.x的函数都存放在wsock32.dll中，可以写一个wsock32.dll文件，替换原先的wsock32.dll(将其重命名为wsockold.dll，完全实现原DLL的功能是比较麻烦的事情，一般也没这个必要) DLL木马wsock32.dll只做两件事：一是如果遇到不认识的调用，就直接转发给wsockold.dll(使用函数转发器forward)；二是遇到特殊的请求(事先约定的)就解码并处理。这样，理论上只要木马编写者通过Socket远程输入一定的暗号，就可以控制wsock32.dll(木马DLL)做任何操作7.4 透视木马开发技术7.4.4 木马的真隐藏技术7.4.4 木马的真隐藏技术DLL木马技术是比较古老的技术，因此微软也对此做了相当的防范 在Windows 2000的system32目录下有一个dllcache目录，一旦操作系统发现被保护的DLL文件被篡改(利用数字签名技术)，就会自动从dllcache中恢复该文件 这个方法也不能算是DLL木马的最佳选择 采用动态嵌入技术的DLL木马 DLL木马的最高境界是动态嵌入技术 动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技术。Windows系统中的每个进程都有自己的私有内存空间，一般不允许别的进程对这个私有空间进行操作，但是实际上，仍然可以利用种种方法进入并操作进程的私有内存。在多种动态嵌入技术(窗口钩子即Hook函数、挂接API、远程线程)中，常用的是远程线程技术7.4 透视木马开发技术7.4.4 木马的真隐藏技术7.4.4 木马的真隐藏技术在进程中，可以通过CreateThread函数创建线程 通过CreateRemoteThread也同样可以在另一个进程内创建新线程，被创建的远程线程同样可以共享远程进程的地址空间 创建一个远程线程，进入远程进程的内存地址空间，就拥有了该远程进程的权限，可以启动一个DLL木马，甚至随意篡改该进程的数据7.4 透视木马开发技术7.4.4 木马的真隐藏技术7.4.4 木马的真隐藏技术动态嵌入的实现步骤 ①通过OpenProcess 函数打开试图嵌入的进程 因为需要写入远程进程的内存地址空间，所以必须申请足够的权限，包括远程创建线程、远程VM操作、远程VM写权限 ②为LoadLibraryW函数线程启动DLL木马准备参数 LoadLibraryW函数是在kernel32.dll中定义的一个功能函数，用于加载DLL文件，它只有一个参数，就是DLL文件的绝对路径名(也就是木马DLL文件的全路径文件名)。由于木马DLL是在远程进程内调用的，所以还需要将这个文件名复制到远程地址空间 ③计算LoadLibraryW的入口地址，启动远程线程LoadLibraryW，通过远程线程调用木马DLL7.4 透视木马开发技术7.4.4 木马的真隐藏技术7.4.4 木马的真隐藏技术可以用远程线程技术启动木马DLL，也可以事先将一段代码复制到远程进程的内存空间，然后通过远程线程起动这段代码 无论是采取哪种方式，都是让木马的核心代码运行于别的进程的内存空间，这样不仅能很好地隐藏自己，也能更好地保护自己 此时的木马，不仅欺骗、进入用户的计算机，甚至进入了用户进程的内部。从某种意义上说，这种木马已经具备了普通病毒的很多特性，如寄生性(与宿主同生共死)7.4 透视木马开发技术7.4.5 木马的秘密信道技术7.4.5 木马的秘密信道技术木马程序的数据传递方法 利用TCP、UDP传输数据 利用WinSock与目标机的指定端口建立连接，使用send和recv等API进行数据的传递 这种方法的隐蔽性比较差，在命令行状态下使用netstat命令，就可以查看到当前的活动TCP、UDP连接 攻击者为了不让用户察觉其与木马程序之间的通信，经常使用各种协议来建立控制服务端的秘密通信隧道 利用ICMP协议建立秘密通道 利用HTTP协议建立秘密通道7.4 透视木马开发技术7.4.5 木马的秘密信道技术7.4.5 木马的秘密信道技术利用ICMP协议建立秘密通道 ICMP回显请求(type=0)和回显应答(type=8)报文 规范约定ICMP报文中的标识符和序列号字段由发送端任意选择，因此在ICMP包中标识符、序列号和选项数据等部分都可用来秘密携带信息 由于防火墙、入侵检测系统等网络设备通常只检查ICMP报文的首部，因此使用ICMP建立秘密通道时往往直接把数据放到选项数据中 这类秘密信道可以实现直接的客户端和服务端通信，具有准实时的特点7.4 透视木马开发技术7.4.5 木马的秘密信道技术7.4.5 木马的秘密信道技术利用HTTP协议建立秘密通道 利用反弹端口型木马的“逆向连接”技术建立木马连接 是合并端口法 使用特殊的手段，在一个端口上同时绑定两个TCP或者UDP连接，通过把木马端口绑定于特定的服务端口之上，比如HTTP的80端口，使得其秘密通信对防火墙更具迷惑性，从而降低秘密通信流量被发现的风险 使用报文伪装技术建立秘密信道 将数据插入到HTTP协议报文的一些无用的段内，然后利用建立TCP连接的三次握手规则进行秘密通信7.4 透视木马开发技术7.4.6 木马的远程监控技术7.4.6 木马的远程监控技术木马的远程监控技术，包括 远程监视技术 对服务端计算机的监视，包括对鼠标、键盘以及屏幕显示、甚至网络流量流向的监视，也包括对服务端计算机系统信息(如磁盘信息、操作系统信息、硬件信息)的搜集 远程控制技术 远程控制则是攻击者控制服务端计算机按照自己的意愿，运行某程序或关闭某服务，包括控制服务端计算机的鼠标、键盘、操作系统、文件系统，或者让其启动/停止某种服务程序，甚至关闭服务端计算机 远程监控功能是木马最主要的功能，也是木马的最终目的7.4 透视木马开发技术7.5.1 中木马后常出现的状况7.5.1 中木马后常出现的状况发现以下异常，应当检查计算机是否感染了木马 当浏览一个网站时，弹出来一些广告窗口是很正常的事情，可是如果用户根本没有打开浏览器，而浏览器突然自己打开，并且进入某个网站，那么，就要怀疑是否中了木马 正在操作计算机，突然一个警告框或者是询问框弹出来，问一些用户从来没有在计算机上接触过的问题 Windows系统配置经常被莫名其妙地自动更改 总是无缘无故地读硬盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象 计算机意外地打开了某个端口，用嗅探器发现存在异常的网络数据传输 拨号上网用户离线操作计算机时，突然弹出拨号对话框7.5 检测和清除特洛伊木马7.5.2 检测和清除木马的方法7.5.2 检测和清除木马的方法反击恶意代码，最佳的武器是最新的、成熟的病毒扫描工具 扫描工具能够检测出大多数特洛伊木马，并尽可能地使清理过程自动化 许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马，但某些工具的效果令人怀疑，至少不值得完全信任，更何况任何工具软件在防治新木马时都存在一定的滞后性7.5 检测和清除特洛伊木马7.5.2 检测和清除木马的方法7.5.2 检测和清除木马的方法检测和清除木马的一般流程(对于动态嵌入式DLL木马，一般不是查看端口，而是查看内存模块) 特洛伊木马入侵的一个明显证据是受害计算机上意外地打开了某个端口7.5 检测和清除特洛伊木马用Netstat检测 BO木马7.5.2 检测和清除木马的方法7.5.2 检测和清除木马的方法Windows XP的Netstat工具提供了一个新的-o选项，能够显示出正在使用端口的程序或服务的进程标识符(PID)。有了PID，用任务管理器就可以方便地根据PID找到对应的程序，以便终止之进程标识符PID与映射名称7.5 检测和清除特洛伊木马7.5.3 木马“广外女生”的分析和清除7.5.3 木马“广外女生”的分析和清除木马“广外女生”简介 是广东外语外贸大学“广外女生”网络小组的作品，它可以运行于Windows 98、Windows 98SE、Windows ME、Windows NT、Windows 2000或已经安装Winsock2.0的Windows 95/97上 该木马把启动项设在HKLM\ SOFTWARE \Classes\exefile\shell\open\command\下，这个注册表项的作用是定义运行可执行文件的格式 木马将HKLM\ SOFTWARE \Classes\exefile\shell\open\command\下的键值由原来的“"%1" %*”修改为“C:\WINDOWS\System32\DIAGCFG.EXE "%1" %*”，包含了木马程序DIAGCFG.EXE，此后每次再运行任何可执行文件时都要先运行DIAGCFG.EXE，即启动木马7.5 检测和清除特洛伊木马7.5.3 木马“广外女生”的分析和清除7.5.3 木马“广外女生”的分析和清除木马端口 Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行中运行fport.exe，可以看到：7.5 检测和清除特洛伊木马7.5.3 木马“广外女生”的分析和清除7.5.3 木马“广外女生”的分析和清除清除木马 由于“广外女生”木马自启动项的特殊性，如果先删除C:\WINDOWS\System32\目录下的DIAGCFG.EXE，将无法在系统中运行任何可执行文件。因此，清除该木马应按如下步骤，不能颠倒： (1)按“开始”菜单，选择“运行”，输入regedit，按确定，打开下面键值：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但是不要修改，因为如果这时就修改注册表，DIAGCFG.EXE进程仍然会立刻把它改回来 (2)打开“任务管理器”，找到DIAGCFG.EXE这个进程，选中它，按“结束进程”来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时又会启动DIAGCFG.EXE 7.5 检测和清除特洛伊木马7.5.3 木马“广外女生”的分析和清除7.5.3 木马“广外女生”的分析和清除(3)把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原来的“C:\WINDOWS\System32\DIAGCFG.EXE "%1"%*”改为“"%1"%*”。这样，即使不删除DIAGCFG.EXE文件，只要用户不再双击运行之，木马就会因无激活机会而不能继续实施破坏 (4)删除C:\WINDOWS\System32\目录下的DIAGCFG.EXE 如果要深入分析这个木马，可以在第(4)步中不删除它，而是把它拷贝到其他的目录以便研究7.5 检测和清除特洛伊木马思考题思考题1．简述特洛伊木马的基本原理。 2．如何理解木马与病毒的关系？ 3．木马有哪些伪装方式、隐藏方式、自动启动方式？ 4．针对木马利用Windows注册表实现自动启动的各种途径(诸键值)，查阅与注册表操作相关的API函数，编程实现敏感键值的监视与自动清除或恢复。 5．如何预防木马？结合木马的藏身之所、隐藏技术， 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 清除木马的方法。