特洛伊木马隐蔽性研究

特洛伊木马隐蔽性研究 Resear ch on Tr ojan Hor se Concealing Meng Lei Abstr act: Based on the principle of Trojan horse,the paper analyzes several kinds of Trojan horse concealing,and briefly di- scusses their advantages and disadvantages. Keywor d: Trojan Horse Concealing Port Rebound Overflow Planting 特洛伊木马(英文叫T″rojanhorse″，以下简称木马)，是 了 ICMP 的回显请求和回显应答报文。一般的 ICMP 木马会 一种基于远程控制的黑客工具，基本过程是控制端向服务 监听 ICMP 报文，当出现特殊的报文时 (比如特殊大小的 包、特殊的报文结构等)会打开T CP 端口等待控制端的连 端发送命令，然后服务端运行这些命令，因而具有非授权性 接。这种木马在没有激活时是不可见的，一旦连接上了控制 和隐蔽性的特点。非授权性是指一旦控制端与服务器端连 端就和普通木马一样，本地可以看到状态为 Established 的 接后，控制端将享有服务端的大部分操作权限，如修改、添 链接(如果端口的最大连接数设为1 ，在远程使用 Connect 加、删除文件，修改注册表，控制鼠标和键盘等，而这些权力 方法进行端口扫描还是没有办法发现的)。一个真正意义 并不是服务端赋予的，是通过木马程序窃取的。隐蔽性是指 上的 ICMP 木马会严格地使用I CMP 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 来进行数据和控 木马的 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 者为了防止木马被发现，会采用多种手段来隐 制命令的传递(数据放在I CMP 的报文中)，在整个过程中 藏木马，这样服务端即使发现感染了木马，由于不能确定木 是不可见的。 马的具体位置，因此没有办法删掉。本文重点研究了木马的 这两种方法都是被动式的，通过察看进程，或者察看注 隐蔽性。 册表 RUN 下面运行的程序，即可发现。因为在系统中增加 了木马文件，所以一般杀毒软件也可以发现。 1.2 进程隐藏 基本的隐藏方式1 在 win9x 时代，注册为系统进程就可以从任务栏中消 1.1 端口隐藏 失，就实现了隐藏。可是在W indow2000 流行的今天，在 木马能够实现远程控制，需要服务端执行客户端命令。 Administrator 下面(Ctrl+Alt+Del)可以看到所有正在运行的 这些都是通过端口进行的，可以说端口是木马的生命之源， 进程，从而发现木马的进程，也就意味着可以删除它。 没有端口木马是无法和外界进行通讯的，更无法进行远程 进程隐藏是指把木马写入驱动和内核的级别，通过拦 控制了。通过察看端口的方法(比如N ETSTAT，一些端口扫 截系统调用的服务，用替代系统功能(改写驱动程序或动 描软件)，可以发现端口的打开情况，进而发现木马。采用″ 态链接库)或者说是嵌入式的方法，来达到隐蔽的目的，从 寄生″和″潜伏″的方法可以解决这个问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 。 而逃过系统对木马的监测。例如:如果系统运行 windows. (1)寄生是找一个已经打开的端口，寄生其上，平时只 exe，同时运行了木马和w indows.exe，而木马嵌入在 win- 是监听，遇到特殊的指令就可以激活木马。由于木马是寄生 dows.exe 中，能看到，但没法删除，因为w indows.exe 是系统 在已有的系统服务上的，因此在扫描或查看系统端口的时 进程，不允许删除。这样就相当于隐藏了木马进程。相关的 候是没有任何异常的，如冰河S、UBSEVEN 等。这一点和反 软件如 ROOTKIT。 弹式木马有很大的相似之处。 虽然所有的操作都在 DLL 中完成会更加隐蔽，但是这 (2)潜伏是指使用 TCP/IP 协议族中的 ICMP 协议而非 大大增加了程序编写的难度。这样的木马大多数只是使用 TCP/UDP 来进行通讯，从而瞒过N etstat 和端口扫描软件。 DLL 进行监听，一旦发现控制端的连接请求就激活自身，运 ICMP 是 IP 协议的附属协议。它是由内核或进程直接处理 而不需要通过端口。最常见的 ICMP 协议就是 Ping，它利用 * 孟蕾 江苏广播电视大学教务处(南京 210036)，研究方向:计算机网络安全 修改稿收到日期:2007- 04- 30 的防火墙拦截，使服务端程序不能收到连接，软非常安全的应用程序，制造一个溢出 BUG 也很容易，如一 工作。同样，局域网内通过代理上网的电脑，因 个收包的代码调用:recv(sock，buf，xxxx,flag)，只需要简单 的调整 XXX 的值就使其存在了一个溢出的漏洞。这种木马 用代理服务器的 IP 地址，而本机没有独立的互 可以认为是综合了″寄生″和″隐藏进程″的优势。 址(只有局域网的 IP 地址)，所以也不能正常 采用这种方法要考虑几个问题:溢出点的定位、溢出覆 型的木马一般不能入侵装有防火墙和在局域网 端主机。 墙的特性进行 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 发现:防火墙对盖后对变量的引用、扩展堆栈的修改等等。这种方法最大的 于连入的连 行非常严格的过滤，但是对于连缺点是技术难度太高，设计者需要对操作系统的漏洞和原 出的连接却疏 是，出现了与一般木马工作原理、内存分配甚至汇编语言等有较深入的研究和较全面的 理相反的反弹式 掌握。 木马，即:服务端(被控制端)主动连接客户端2 结 束 语 不是被动的等待客户端发送命令。为了隐蔽起端口和进程隐藏的方法是目前普遍采用的。该方法比 的监听端口一般开在8 0(提供 HTTP 服务的端 较成熟，很容易实现。进程隐藏的方法已经危害到了 Win- 即使用户使用端口扫描软件检查自己的端口，dows 操作系统的安全和稳定，微软的下一代操作系统将会 会以为是自己在浏览网页(防火墙也会这么认 使用 DLL 数字签名、校验技术等，预计木马D LL 的时代很 快会结束。反弹式和溢出植入型则比较少见。反弹式采用主 动连接，威力较大，而溢出植入型，基于溢出漏洞考虑，使得 服务端连接客户端呢,可以通过主页空间上的 服务器端的代码量很少，对系统的影响非常小，而且激活木 当客户端想与服务端建立连接时，登录到 FTP 服 马的客户端程序只存在内存之中，更难发现和清除。 个 WEB 服务器(一般事先定义好了)，把信息 面的一个文件，并打开端口监听，等待服务端的 端则定期的用 HTTP 协议读取这个文件的内容， 参 考 文 献 户端让自己开始连接时，就主动连接，如此就可[1] 商海波，等. 一种基于行为分析的反木马策略[J]. 上海: 作。 弹式木马威力极大，由于采用主动连接，计算机 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 ，2006，(9):151- 153. 因此一 它无能为力。如果稍有疏忽(比如通[2] 朱虹. 缓冲区溢出检测模型研究[J]. 北京:计算机工程 过改名等 与应用，2006，(10):166- 168. ，变成类似系统进程或者常用应用程序的名 [3] 罗红. 端口反弹型木马的通信技术研究(英文)[J]. 西 马可以轻易的绕过管理员的视线。网络神偷就 安:微电子学与计算机，2006，(2):193- 196.