3-5-2木马的植入、自启动与隐藏.pptVIP

Virus 计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元3-5 木马病毒防治 木马自启动原理 木马的植入技术 木马自启动实现 第二讲 木马的植入、自启动和隐藏 计算机病毒与防治课程小组 木马隐藏手段 木马隐藏实现 木马入侵 木马的传播途径有很多种，其中最简单的是直接将木马的 服务器端程序拷贝到U盘上。 通过电子邮件传播是一种最简单有效的方法，黑客通常给 用户发电子邮件，而这个加在附件中的软件就是木马的服务器 端程序。 缓冲区溢出攻击是植入木马最常用的手段。据统计，通过 缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。 计算机病毒与防治课程小组 木马植入技术 计算机病毒与防治课程小组 木马入侵 缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段， 通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从 而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。 造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例 如下面程序： void function(char *str)｛ char buffer[16]; strcpy(buffer,str); } 通过缓冲区溢出植入木马 木马入侵 计算机病毒与防治课程小组 上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str 的长度大于16就会造成buffer的溢出，使程序运行出错。存在象strcpy这 样的问题的标准函数还有strcat(),sprintf(), vsprintt(), gets(), scanf()，以及在循环内的getc(), fgetc(), getchar()等。当然，随便 往缓冲区中填东西造成它溢出一般只会出现Segmentation fault错误，而 不能达到攻击的目的。 如果在溢出的缓冲区中写入我们想执行的代码，再覆盖函数返回地址的 内容，使它指向缓冲区的开头，就可以达到运行其它指令的目的。 通过缓冲区溢出植入木马 木马自启动途径 计算机病毒与防治课程小组 1. 利用INI文件实现相关程序的自动启动 win.ini是系统保存在[Windir]目录下的一个系统初始化文件。 系统在起动时会检索该文件中的相关项，以便对系统环境的初始设 置。在该文件中的“[windows]”数据段中，有两个数据项 “load=” 和“run=”。它们的作用就是在系统起动之后自动地装入和运行相关 的程序。 Win.ini: System.ini: [windows] [boot] Shell=Explorer.exe load=file.exe Shell=Explorer.exe run=file.exe 程序自动启动的原理 计算机病毒与防治课程小组 木马自启动途径 2.利用注册表实现相关程序的自动启动 系统注册表保存着系统的软件、硬件及其他与系统配置有关的重要信息，注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft Windows\Current Version]项会影响系统起动过程执行程序，可以向该项添加一个子项，自动启动程序的设置具体可以通过更改以下键值来实现： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] 木马自启动途径 计算机病毒与防治课程小组 3 加入系统启动组 在启动文件夹[Windir]\start menu\progr