恶意代码及防护技术(II).ppt

第12讲 恶意代码与防护技术-II 杨 明 紫金学院计算机系 内容 特洛伊木马 蠕虫 恶意代码的概念 定义 指以危害信息安全等不良意图为目的程序或代码 潜伏在受害计算机系统中实施破坏或窃取信息 分类 特洛伊木马 “特洛伊木马” （trojan horse）简称“木马”，名字来源于古希腊传说，荷马史诗中木马计的故事。 “木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件。 它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。 特洛依木马举例 Back Orifice Cult of the Dead Cow在1998年8月发布, 公开源码软件，是功能强大的远程控制器木马。 boserver.exe、boconfig.exe、bogui.exe 在BO服务器上启动、停止基于文本的应用程序 目录和文件操作。包括创建、删除、查看目录、查找、解压、压缩。 共享。创建共享资源 HTTP服务。启动或停止HTTP服务。 击键记录。将BO服务器上用户的击键记录在一个文本文件中，同时记录执行输入的窗口名。（可以获得用户口令） 特洛依木马举例 视频输入、播放。捕捉服务器屏幕到一个位图文件中。 网络连接。列出和断开BO服务器上接入和接出的连接，可以发起新连接。 查看信息。查看所有网络端口、域名、服务器和可见的共享“出口”。返回系统信息，包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器类型、硬盘容量及使用空间。 端口重定向。 注册表 锁住或重启计算机。 传输文件 木马的特征 木马的工作原理 木马的组成结构 客户端：即控制端，安装在攻击者机器上的部分。 服务端：即被控制端，通过各种手段植入目标机器的部分。 而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统。 木马的工作原理 木马植入技术 木马植入技术 主动植入与被动植入两类 主动植入技术主要包括 利用系统自身漏洞植入 利用第三方软件漏洞植入 利用即时通信软件发送伪装的木马文件植入 利用电子邮件发送植入木马 被动植入主要包括 软件下载 利用共享文件 利用Autorun文件传播 网页浏览传播 木马的欺骗技术 木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。 木马欺骗技术 伪装成其它类型的文件，可执行文件需要伪装其它文件。如伪装成图片文件。 合并程序欺骗。 插入其它文件内部。 伪装成应用程序扩展组件。 把木马程序和其它常用程序利用WinRar捆绑在一起，将其制作成自释放文件。 在Word文档中加入木马文件。 木马隐藏技术 主机隐藏 主要指在主机系统上表现为正常的进程。 主要有文件隐藏、进程隐藏等。 文件隐藏主要有两种方式 采用欺骗的方式伪装成其它文件 伪装成系统文件 进程隐藏 动态链接库注入技术，将“木马”程序做成一个DLL文件，并将调用动态链接库函数的语句插入到目标进程，这个函数类似于普通程序中的入口程序。 Hooking API技术。通过修改API函数的入口地址的方法来欺骗试图列举本地所有进程的程序。 激活木马 触发条件 注册表：HKLM\Software\Microsoft\Windows\CurrentVersion\Run或RunServices win.ini autoexec.bat和config.sys 捆绑文件 启动菜单 运行木马 木马被激活后，进入内存，开启事先定义好的端口，准备与控制端建立连接。 远程控制 建立连接 服务端开启端口 控制端对信息反馈获得IP的网段进行扫描 发现开放特定端口的主机 控制端同该主机建立连接 通过建立的连接，控制端对服务端进行远程控制 窃取密码 文件操作 修改注册表 系统操作 木马防范 查 检查系统进程 检查注册表、ini文件和服务 检查开放端口 监视网络通讯 堵 堵住控制通路 杀掉可疑进程 杀 手工删除 软件杀毒 如何避免木马的入侵 不要执行任何来历不明的软件 不要相信你的邮箱不会收到垃圾和带毒的邮件 不要随便留下你的个人资料 不要随便下载软件 最好使用第三方邮件程序 不要轻易打开广告邮件中附件或点击其中的链接 尽量少用共享文件夹 运行反木马实时监控程序 检测软件chkrootkit 莫里斯蠕虫 莫里斯蠕虫大肆传播 1988年11月2日美国康奈尔大学一年级研究生罗伯特.莫里斯(R.morris)制作了一个蠕虫病毒,并将其投入美国Internet计算机网络，许