病毒原理7精要.pptVIP

7.4.4 木马的真隐藏技术 可以用远程线程技术启动木马DLL，也可以事先将一段代码复制到远程进程的内存空间，然后通过远程线程起动这段代码 无论是采取哪种方式，都是让木马的核心代码运行于别的进程的内存空间，这样不仅能很好地隐藏自己，也能更好地保护自己 此时的木马，不仅欺骗、进入用户的计算机，甚至进入了用户进程的内部。从某种意义上说，这种木马已经具备了普通病毒的很多特性，如寄生性(与宿主同生共死) 7.4 透视木马开发技术 7.4.5 木马的秘密信道技术 木马程序的数据传递方法 利用TCP、UDP传输数据 利用WinSock与目标机的指定端口建立连接，使用send和recv等API进行数据的传递 这种方法的隐蔽性比较差，在命令行状态下使用netstat命令，就可以查看到当前的活动TCP、UDP连接 攻击者为了不让用户察觉其与木马程序之间的通信，经常使用各种协议来建立控制服务端的秘密通信隧道 利用ICMP协议建立秘密通道 利用HTTP协议建立秘密通道 7.4 透视木马开发技术 7.4.5 木马的秘密信道技术 利用ICMP协议建立秘密通道 ICMP回显请求(type=0)和回显应答(type=8)报文 规范约定ICMP报文中的标识符和序列号字段由发送端任意选择，因此在ICMP包中标识符、序列号和选项数据等部分都可用来秘密携带信息 由于防火墙、入侵检测系统等网络设备通常只检查ICMP报文的首部，因此使用ICMP建立秘密通道时往往直接把数据放到选项数据中 这类秘密信道可以实现直接的客户端和服务端通信，具有准实时的特点 7.4 透视木马开发技术 7.4.5 木马的秘密信道技术 利用HTTP协议建立秘密通道 利用反弹端口型木马的“逆向连接”技术建立木马连接 是合并端口法 使用特殊的手段，在一个端口上同时绑定两个TCP或者UDP连接，通过把木马端口绑定于特定的服务端口之上，比如HTTP的80端口，使得其秘密通信对防火墙更具迷惑性，从而降低秘密通信流量被发现的风险 使用报文伪装技术建立秘密信道 将数据插入到HTTP协议报文的一些无用的段内，然后利用建立TCP连接的三次握手规则进行秘密通信 7.4 透视木马开发技术 7.4.6 木马的远程监控技术 木马的远程监控技术，包括 远程监视技术 对服务端计算机的监视，包括对鼠标、键盘以及屏幕显示、甚至网络流量流向的监视，也包括对服务端计算机系统信息(如磁盘信息、操作系统信息、硬件信息)的搜集 远程控制技术 远程控制则是攻击者控制服务端计算机按照自己的意愿，运行某程序或关闭某服务，包括控制服务端计算机的鼠标、键盘、操作系统、文件系统，或者让其启动/停止某种服务程序，甚至关闭服务端计算机 远程监控功能是木马最主要的功能，也是木马的最终目的 7.4 透视木马开发技术 7.5.1 中木马后常出现的状况 发现一下异常，应当检查计算机是否感染了木马 当浏览一个网站时，弹出来一些广告窗口是很正常的事情，可是如果用户根本没有打开浏览器，而浏览器突然自己打开，并且进入某个网站，那么，就要怀疑是否中了木马 正在操作计算机，突然一个警告框或者是询问框弹出来，问一些用户从来没有在计算机上接触过的问题 Windows系统配置经常被莫名其妙地自动更改 总是无缘无故地读硬盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象 计算机意外地打开了某个端口，用嗅探器发现存在异常的网络数据传输 拨号上网用户离线操作计算机时，突然弹出拨号对话框 7.5 检测和清除特洛伊木马 7.5.2 检测和清除木马的方法 反击恶意代码，最佳的武器是最新的、成熟的病毒扫描工具 扫描工具能够检测出大多数特洛伊木马，并尽可能地使清理过程自动化 许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马，但某些工具的效果令人怀疑，至少不值得完全信任，更何况任何工具软件在防治新木马时都存在一定的滞后性 7.5 检测和清除特洛伊木马 7.5.2 检测和清除木马的方法 检测和清除木马的一般流程(对于动态嵌入式DLL木马，一般不是查看端口，而是查看内存模块) 特洛伊木马入侵的一个明显证据是受害计算机上意外地打开了某个端口 7.5 检测和清除特洛伊木马 用Netstat检测 BO木马 7.5.2 检测和清除木马的方法 Windows XP的Netstat工具提供了一个新的-o选项，能够显示出正在使用端口的程序或服务的进程标识符(PID)。有了PID，用任务管理器就可以方便地根据PID找到对应的程序，以便终止之 进程标识符PID与映射名称 7.5 检测和清除特洛伊木马 7.5.3 木马“广外女生”的分析和清除 木马“广外女生”简介 是广东外语外贸大学“广外女生”网络小组的作品，它可以运行于Windows 98、Windo