木马型网络攻击技术研究.docVIP

木马型网络攻击技术研究 　　摘 要：随着科学技术的进步与发展，人类社会正在向网络社会迈进，人们的生活已经和网络产生了密不可分的关系，各个领域的进步与发展也都离不开网络技术，人们的决策已经越来越依赖于信息技术，它也使得信息站成为可能。信息站将成为未来战争的一个新兴的形式之一，它的涉及面非常广，既可以破坏军事指挥，武器控制等，还可以使得诸如金融、商业、电力等遭受破坏。而目前应用最广的病为人所知程度最广的就是木马病毒所造成的对于网络的攻击。在这个背景之下，对于木马型网络攻击技术的分析和研究具有重要的现实意义。 关键词：木马型；网络攻击；技术分析 网络攻击是指攻击者利用各种控制计算机的攻击手段通过网络技术实现对目标主机系统发动攻击，旨在破坏对方的网络系统或是获取更多有价值的信息。伴随着科技的日益更新和发展，网络攻击技术的发展也呈现出自动化、快速化、动态化的发展趋势。本文将通过两个方面对当前的木马型网络攻击技术进行分析，一方面是对于木马进行简单论述，另一方面是对木马型网络攻击技术的实现的关键技术进行介绍。 一、木马的简要介绍 所谓计算机木马其实是源于古希腊中的特洛伊木马的故事，木马病毒是一种隐藏在计算机网络中的一种可以在毫无察觉的情况下对受害系统进行破坏或窃取的病毒。与一般的病毒一样，木马病毒也是从Unix平台中产生的，直接作用于常见的Windows操作系统中。截至目前为止，木马程序已经更新了好几代，它的危害性和隐藏的密闭性也在不断的提高，目前木马主要包括以下几种类型：远程控制型；密码发送型；键盘记录型；毁坏型；FTP型。它们主要是根据木马对于计算机的具体动作形式来进行划分的。据不完全统计，当前世界上木马已有好几千种，它们虽然都是通过程序实现，但是由于运行的环境的差异性，它们所发生的作用也不尽相同。木马具有隐蔽性、欺骗性、自动恢复性、功能的特殊性。它们都是木马的基本特征。 二、实现木马型网络攻击技术的关键技术 1.木马隐藏技术 木马的隐藏性是木马的最主要特征之一，也是支撑木马在目标主机系统上生存下去的重要特性，因此隐藏技术也是实现木马型网络技术攻击技术的关键性技术。当前木马的隐藏主要分为两种，一种是木马进程的隐藏，另一种是对木马客户端与服务端之间的通信隐藏。木马的伪隐藏是指木马在进程列表中消失，而木马进程仍然进行。而真隐藏是指木马程序将会彻底的不存在或是消失，木马将不再以一个进程或是服务的方式存在。 （1）木马伪隐藏技术。对于木马的伪隐藏的实现相对于真隐藏来说较简单一些。要想实现木马的伪隐藏只需要将木马系统的服务端程序注册为一个服务，那么就可以实现木马进程的隐藏。当一个进程改变了运行的形式而以服务的方式存在的时候，进程将自动实现后台运行，将不会在列表中出现，但这种隐藏技术只能在Windows9X的平台下才能使用。 （2）DLL木马技术。一般情况下，Windows系统的主要的执行文件有Exe和Com文件，这两种文件具有一个共性那就是在文件的运行过程中，都会产生过形成一个独立的进程，因此寻找特定的特殊的进程也是查杀木马的主要方法。而伴随着木马查杀软件的更新和发展，要想实现木马的真正隐藏，要么让木马进程真正的隐藏起来，要么不使用木马进程。而前者的实现可以采用PSAPI，PDH等方法，而实现后者的主要方法就是DLL木马技术。而运行DLL文件的最简单最常用的方法就是Rundll32.exe，Rubdll/Rundll32，它们是系统自带的一种动态链接的工具。针对不同的木马DLL，我们采用不同的加载方法，最常用的加载方法是远程加载法和钩子加载法。 （3）动态代码嵌入技术。所谓动态代码嵌入技术就是将原来的木马进程通过映像的方式拷贝复制到既定的目标进程中，然后紧接着结束当前的木马进程，等到目标进程运行的时候，再通过木马函数对木马进程继续拧重启，这样的话，木马进程将只会仅仅作为一个新的线程而存在，更具有隐蔽性。这种技术既可以适应木马服务器的运行需要，也适应了客户端通信，隐蔽通信的需要。 2.通信安全性技术 木马的客户端和服务器之间的通信安全主要分为两个阶段，一个是隐蔽通信技术，一个是通信的可靠性技术。其实通信的安全性技术也是木马隐藏技术的一个重要组成部分。所谓隐蔽通信技术就是指在用户毫无知情的情况之下仍能实现木马客户端和服务器之间的连接作用，而这种技术实现的关键就是能否顺利的渗透计算机的防火墙，当前渗透防火墙进行隐蔽通信的方法主要有反向连接技术、隐蔽通道技术。而通信可靠性技术就是指通过认证、加密或压缩技术提高木马客户端与服务器端通信的可靠性。 3.植入传播技术 木马的植入方法主要有： （1）将原来的木马文件转换成为BMP格式。BMP文件通常状况下都具有54个字节，只