木马知识讲座.docVIP

木马知识讲座 木马知识讲座 -------------------------------------------------------------------------------- 发表日期：2005年12月16日 已经有457位读者读过此文 一、 木马的传播方式 早期的病毒主要依靠软盘传播，现在主要的传播媒介是网络。木马传播主要需完成两个任务:借助网络，使木马程序悄然非法进入计算机，并实现自启动。 1)网页传播:随着网页中脚本语言功能的日益强大，木马利用网页浏览器(比如IE)和系统的漏洞实现传播。脚本语言，比如JaveScript，一些ACTIVEX控件以及以hta为后缀的网页文件都具备文件操作能力，其中包括二进制文件的操作，这为木马传播提供了强大的手段。更不幸的是，他们都具有本地用户权限，可以在本地执行。微软为Windows系统提供了WSH(Windows Scripting Host，Win98捆绑安装了它，其它Windows系统也可以选择安装)，它可以解释执行JaveScript VBScript之类的语言，ACTIVEX具有天生良好的可移植性，我们甚至可以把它看作一个小的Application文件，。hta网页同样威力无穷，以通过FSO和ADOSTREAM两个组件来实现文件操作，它由系统中的Mshta.exe解释执行。 一种简易网页木马的传播原理：IE在浏览网页时通常会把网页保存到系统临时文件夹内，把木马文件的文件头换成网页中合法文件的文件头，比如网页上的图片或者声音文件，待它保存到临时文件夹后，在网页中用具有二进制文件操作能力的语言还原它，并修改注册表，实现自启动。有的网页为了提高了欺骗性不仅对网页脚本进行了加密，而且分解词组，网页脚本如果不解密用文本打开会出现乱码，网页中的关键字被分割，这样可以躲过一些杀毒软件的阻截。木马的隐蔽下载还有许多其它的方式:通过网页中的恶意代码把IE安全级别里的默认的“禁用下栽未签名的ActiveX控件”选项，变为“启用下栽未签名的ACTIVEX控件”，然后再打开一个网页，内容是下载一个未签名的ACTIVEX控件，实质就是所要执行的exe文件。也可以利用脚本语言在本地写一个新脚本，然后在本地运行，内容是下载一个木马文件，系统会以为是用户的正常下载行为，由于木马文件不大，往往无法引起用户的注意。利用恶意代码共享硬盘，其实就是对注册表的修改，下载木马就更不是什么难事了。IE的许多漏洞可以被利用，比如IE5的EML漏洞，伪装地址栏漏洞，Object Data漏洞，Modal Dialog区域绕过漏洞等等，当然这些漏洞只要打了补丁是可以弥补的，但我相信新的漏洞肯定还会不断出现，所以通过网页传播木马一直是木马传播的主流。 2)下载文件:随着网络资源的共享，我们可以在网上找到自己需要的资源并下载到计算机上，很多时候我们无法确认我们下载的资源是否就是我们本想得到的东西，因为要欺骗下载者实在不是什么难事。 3)邮件传播:通过邮件传播木马主要有三种方式： 1利用OutLook和OutLook Express邮件客户端软件的漏洞进行木马传播，这类邮件夹杂着恶意代码，当浏览信件，点击附件，甚至只是把鼠标放在附件上时就可能感染木马。有人建议尽量用其它软件代替这两款软件，比如Foxmail，其实Foxmail同样很难不存在漏洞，只是因为这两款软件全球使用量最大，黑客对它们的漏洞研究得比较透彻罢了。 2在邮件中加入网页链接，利用网页实现木马的传播。 3在附件中放置如2)所述的欺骗文件，待你下载后执行。 4)其它:木马的传播还有一些其它的途径，或者把几种方法结合起来。比如现在网上流行的即时通讯软件(ICQ OICQ MSN)都可以借助网页链接传播木马，QQ尾巴就曾经风靡一时。对于主机空间提供商而言，由于允许客户上传数据，木马可以较轻松的进入主机，其安全问题就更复杂了，如利用早期的IIS服务器溢出漏洞，木马就可以获取高权限，实现计算机的非法控制。 二 木马的运行特性 木马以非法获取计算机的控制权，窃取数据为目的，这决定了它的一些特性，了解和总结木马的特性，对于清楚它的运作原理，并采取适合的防范措施都是有益处的。 木马从传播开始就具有很强的隐蔽性，这和有些病毒不同，这些病毒有很强的自我复制的能力，一旦感染就会在整个文件系统中蔓延，这对于木马而言是很容易暴露自己的。木马的隐避性是其必需的基本功能，它贯穿了木马的整个设计过程，是一个木马优秀与否的重要衡量标志。木马要较好的隐藏自己，至少要做到两点:木马程序自身的隐蔽和程序运行后的隐蔽。木马程序往往隐藏在系统文件夹中，其中尤以藏在windows文件夹下和system文件夹下居多，木马程序的名字会和一些系统程序相仿甚至相同(同名不同文件夹)。