基于木马的黑客攻击技术.docVIP

基于木马的黑客攻击技术 　　摘要：木马程序一般分为客户端程序和服务端程序两部分，客户端程序用于远程控制计算机。而服务端程序，则隐藏到远程计算机中，接收并执行客户端程序发出的命令。本文首先介绍了木马的定义，功能和特点，其次介绍了木马的常见植入技术，包括网站挂马，发送超级链接，电子邮件，缓冲区溢出，和其它病毒形态相结合五种。再次阐述了木马的自启动技术，然后是木马的隐藏技术，包括文件隐藏，进程隐藏和通信隐藏。最后是木马的免杀技术，主要包括加壳，修改特征码和加花指令。 　　关键词：木马；木马植入；木马自启动；木马隐藏；木马免杀 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)08-1pppp-0c 　　 　　1 木马技术的发展情况 　　 　　计算机网络中的木马(Trojan)，是指隐藏在正常程序中的一段具有特殊功能的代码。木马程序一般分为客户端程序和服务端程序两部分，客户端程序用于远程控制计算机。而服务端程序，则隐藏到远程计算机中，接收并执行客户端程序发出的命令。 　　木马的功能很强大，它可以记录用户的按键记录，窃取用户的帐号；远程控制对方机器；获得被控端信息，窃取被控端的资源，复制，修改，删除对方文件，格式化硬盘，上传下载文件等。 　　同时，木马具有隐蔽性和欺骗行强的特点，并且难以根除，是目前攻击计算机信息系统的主要手段之一，对计算机信息系统的安全保密构成了极大的威胁。因此对基于木马的黑客攻击技术的研究已成为计算机信息安全领域的一个热点。 　　基于木马的攻击技术，主要有植入技术，自启动技术，隐藏技术，免杀技术等。 　　 　　2 木马的植入 　　 　　植入木马是进行攻击的首要条件，方法主要有下列几种： 　　(1)网站挂马。经常上网的朋友们都有体会，浏览网页的时候，不知不觉的就中了木马，有些网站，尤其一些中小型网站，被人植入木马，只要点击浏览了就中。 　　(2)网络发送超级连接。这种方式也很常见，比如QQ，MSN。 　　(3)通过电子邮件传播，一般是以附件的形式， 　　(4)利用系统的漏洞，以缓冲区溢出的方法最为常见。因为系统软件一般是用C语言编写，相比较而言，C语言注重灵活和执行效率，对于边界检查做的很不够， 这一点往往被黑客所利用。通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。 　　(5)和其它病毒形态，比如蠕虫病毒结合在一起，由于蠕虫病毒具有传播迅速的特点，这种结合方式，很有杀伤力。 　　 　　3 木马的自启动 　　 　　木马在植入系统之后，一般需要自动启动，那么往往就要利用系统中现有的文件自动启动的方式， 　　3.1 利用windows系统文件实现相关程序的自动启动 　　常用的有win.in,system.ini等。 　　win.ini是在系统启动的时候对系统的初始环境进行设置的文件。使用该文件进行启动的方法如下 (X.exe为要启动的文件名,以下同)： 　　Win.ini: 　　[windows] 　　Load = X.exe 　　Run = X.exe 　　类似的System.ini: 　　[boot] 　　Shell=Explorer.exeX.exe 　　这里需要注意的是， system.ini 只能启动一种文件。 　　注：这两个文件在一些电脑公司的优化版里面已经不再出现。 　　3.2 利用autorun.inf文件 　　这个文件，常常出现在光盘中，用于光盘的自启动。现在也经常被木马所使用，并且把属性设置为隐藏。 　　比如： 　　[AUTORUN] 　　OPEN=X.exe 　　ICON=X.exe 　　很多用户没有关闭“自动播放功能”，这一点很容易被木马所利用。另外，由于 autorun.inf 可以存在于硬盘的每个分区下，给病毒的查杀带来很大难度，如果查杀不彻底，那么，即使格式化了C盘，点击其它盘，马上又中了，非常麻烦。 　　3.3 在开始菜单里面添加 　　C:\Documents and Settings\用户名\「开始」菜单\程序\启动 　　C:\Documents and Settings\All Users\「开始」菜单\程序\启动 　　这种方式重要用于启动一些应用软件，而且很容易的在开始菜单里面看到，所以，木马很少用到。 　　3.4 利用注册表实现相关程序的自动启动 　　其中利用注册表启动项隐蔽启动的地方主要有 　　[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 　　[HKLM\Software\Microsoft\Windows\CurrentVe