木马攻击与防范技.docVIP

木马攻击与防范技术当你在网上尽情畅游之时，你是否知道网上正有不少窥探者正伺机窃取你的个人隐私、破坏你的机器呢？网上有陷阱，网上有窃贼，这已经不是一个危言耸听的话题，而是实实在在发生在你我身边的事。了解一些入侵的手段，采取一定的防范措施木马程序的技术原理 木马程序也叫特洛伊（Trojan）木马程序，来源于希腊神话中的希腊士兵藏在木马内进入特洛伊城从而占领它的故事。 木马程序是一种基于客户机/服务器架构的网络通信软件，与正规的远程控制软件相比，它存在着隐蔽安装、非授权操作、破坏用户机器、窃取个人信息等特征，是一种危害极大的程序。一般将受害计算机称作服务器端，对受害计算机进行远程控制的计算机称作客户机端，真正建立联系后，二者的角色是可以互换的。木马程序依托的网络环境一般为采用TCP/IP协议的计算机网络。 木马程序相应分为客户端程序和服务器端程序两部分，其中服务器端在目标计算机上驻留，获取目标计算机的操作权限，完成对目标计算机的操控；客户端由控制者操纵，向服务器端传输指令，用以控制远程目标计算机。通常情况下，服务器端程序通过隐蔽手段驻留目标计算机后，篡改本机的网络设置，开放本地网络端口，通过一定的手段向客户端传递宿主计算机的网络信息，如IP地址、网络端口等，并实时监听网络连接请求；客户端程序获得受害计算机的相关信息后，主动向服务器端程序发出连接请求，建立通信关系，实现对目标计算机进行操控，也有由服务器端主动向客户端发出连接请求并建立通信关系的。 　一旦服务器端和客户机端建立通信联系，服务器端计算机就完全处于木马程序的控制之下，客户端可以通过预先约定好的命令来操控服务器程序执行非授权的行为，如删除文件、修改注册表、打开或关闭服务、重启计算机、监视宿主机的操作、传输宿主机上的相关资料等，也可以以受控计算机为跳板，向网络上其它主机发起攻击。 木马攻击方式 木马的攻击方式，在本文主要是知其如何地进行感染与渗透，并且进行自身的隐藏，以及进行资料的搜集或者破坏等活动。木马其攻击过程的一个典型过程如下：当服务器端在目标计算机上被执行后，这时木马程序开启默认的端口从而实现监听，而在客户机给服务器的程序发出链接请求要求时，就进行响应：有关程序开始运行实现对答客户机的应答，这样就建立了服务器端程序跟客户端之间的连接。建立链接以后，指令从客户端来发出，而服务器中则进行指令的分析与执行，并将数据传送到客户端，以达到控制主机的目的。 （一）目标的感染与植入 向目标主机成功植入木马是木马成功运行、发挥作用的前提。这一过程通常包含伪装、捆绑、漏洞利用等一切可能利用的技术手段。这个过程主要有：1.脚本种植技术。利用网页木马，网页木马就是当用户浏览某网页时，自动下载并运行某“木马”程序。2.利用脚本方式植入。通过script、activex及asp、cgi交互脚本的方式植入。3.利用系统漏洞植入。利用系统的其他一些漏洞进行植入。4.远程安装。通过一定的方法把木马执行文件传送到目标主机的电脑里再进行远程安装。二）自动加载在自动加载过程，本身也是一个隐藏着的行为。这需要在操作系统启动的时候同步地启动自身，以此达到让木马在宿主机中自动运行的目的。常见的木马启动方式有：启动项加入注册表；win.ini和system.ini中的load节中添加启动项；autoexe.bat中添加；修改boot.ini的配置；修改explorer.exe参数等等。 （三）进程隐藏以及文件隐藏早期的木马进程的隐藏采取的措施比较简单，windows9x系统要实现进程的隐藏可以通过把木马程序注册为服务的方式来达到。在windows?nt/2000下，有些进程名字改得和系统进程非常相似，迷惑使用的人；也有的利用hook?api技术修改函数的入口点欺骗列举本地进程的api函数；当然更好的是使用rundll32.exe设计技术运行木马本身，这样在进程列表中显示出来的就是rundll而非木马的可执行文件名，文件管理器中不能正确地列出木马的可执行文件。除了进程隐藏，还需要对静态文件的隐藏于保密，这里不赘述了。 总而言之，各怀鬼胎的木马通过以上隐秘的方式，实现了对计算机的攻击。 、木马程序的植入过程 　木马程序有着巨大的破坏性，它首先要千方百计地把服务器端程序隐蔽植入目标计算机中。木马程序主要有以下几种植入方法： 　１．利用电子邮件进行传播。攻击者将木马程序伪装成电子邮件附件的形式发送出去，收信方只要查看邮件附件就会使木马程序得到运行并安装入系统。 ２．通过即时通信软件传播。利用ＱＱ，ＭＳＮ等即时通信软件，向目标机器传送文件，并在受骗用户接收藏有木马程序的文件时自动完成木马的植入。 ３．利用网络下载进行传播。攻击者把木马捆绑到其它正常文件上，以提供软件下载为名诱使上网者下载运行，只要运行这些程序，木马就会自