特洛伊木马前世今生0430.docVIP

特洛伊木马的前世今生 贺朝晖/文 （charles809@163.com） 3000多年前，特洛伊10年之久希腊全部登上战船撤城前留下一巨大的木马特洛伊人地把木马当作战利品抬进城去全城饮酒狂欢。到午夜时分，军民尽入梦乡，藏在木马里的希腊士兵开秘门游绳而下从内部打开了坚不可摧的城门特洛伊立刻被攻陷，杀掠和大火将整个城市毁灭国王被杀死，海伦被带回希腊——计算机木马。湖北省公安厅成功破获网络黑客大案，查封了国内规模最大的黑客培训网站“黑鹰安全网”，首次揭开我国百亿木马制作、销售到技术培训“产业链”黑幕。Hydraq使用了在中国期刊上发表的一种算法，据此认为攻击源头来自中国。《纽约时报》还指出，中国黑客受兴趣和金钱驱使，黑客大会、黑客培训学院等机构以及《黑客X档案》、《黑客防线》等刊物十分普及，专门教授如何侵入计算机、植入木马等知识，上海交通大学以及山东蓝翔技工学校被点名。 相关数据表明，特洛伊木马已成为当前各国计算机病毒和安全入侵事件的绝对主角，红色代码、Nimuda、冲击波等肆虐一时的蠕虫病毒早已风光不再。恶意程序被通过各种方式植入计算机，向入侵者开启 “后门”，用户各种操作，所有文件、程序以及使用的账号、密码就无安全可言了大行其道，盗取有价值的信息和资料，中国计算机网络应急技术处理中心统计，2008年 “木马产业链”的黑色收入超过2.38亿元，造成的损失超过了76亿元2009年黑色产业链的规模达100亿元随着网络游戏的兴盛，病毒仍然有着庞大的市场和生存空间，未来病毒的主流病毒制造进入 “机械化”时代1.木马特征概述 计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏文件、发送密码、记录键盘和拒绝服务攻击等特殊功能的后门程序。）。1.1 数量和种类繁多 英国著名的反病毒杂志Virus Bulletin 2010年最新恶意软件流行表显示，各种具有木马性质的病毒占据了半数以上。我国2009电脑病毒疫情及互联网安全报告，2009年金山毒霸共截获新增病毒和木马2068个，在新增病毒中木马数量多达1522个，占73.6%。BackDoor、DownLoader、Dropper、Agent、Infostealer简易便捷的远程监控，通常带有被入侵计算机的图形界面，如冰河、灰鸽子；DownLoader病毒下载器访问病毒作者创建的Web或ftp网站下载其他木马、病毒、蠕虫、组件并执行；Dropper释放器运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏，如冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等；Agent木马代理程序是一个庞大的家族，在被入侵的计算机上安装各种恶意软件或广告软1.2 有很强的针对性 现代的计算机木马不再是技术至上者纯粹业余爱好的产物，它业已成为一种犯罪驱动（crime-driven）的行为，具有强烈的目的性，高水平的职业编程员越来越多地卷入其中。其目标分两类：一是远程控制类网上有价值的信息和资料，特别是网上证券交易账号密码网络游戏账号密码、虚拟装备等，获取利益网银木马Win32.Troj.BankJp.a一进驻系统，会自行找系统中的“个人银行专业版”的窗口并盗取网银账号密码，替换大量系统文件，并进行键盘记录，能实现自动更新，严重威胁用户财产及隐私安全。网游大盗” Trojan/PSW.GamePass.agvo在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《R2 Online》玩家的游戏账号、游戏密码、仓库密码、角色等级、金钱数量、所在区服等信息，并发送到指定的远程服务器上。手段。有些病毒并没有复杂的程序设计与系统底层调用，但创新的欺骗方式使得用户防不胜防由于客不具备数字证书、U盾等身份合法性验证条件，无法直接利用盗取的网银账号以及密码，“网银窃贼”变种（TrojanSpy.Banker.ied）盗窃方法在被感染计算机的后台秘密监视用户打开的所有窗口标题，一旦发现指定标题的窗口，如“广东发展银行网上支付系统” 、“中国工商银行新一代网上银行”等，便会跳转到不同网上银行的汇款单页面，通过修改用户的汇款单汇入账号来达到窃财的目的，用户未发现异常并完成该笔交易，则用户的资金将被转入客指定的账户中。1.3 技术日趋复杂化 在病毒与反病毒的大战中，攻守双方的技术和水平不断地螺旋式上升，当前病毒技术的复杂程度远远超过了一般人员的想象。最初的木马以EXE可执行文件的形式存在，单点攻击，在系统进程列表中现身；随后木马改成以DLL动态可加载形式，通过替换系统DLL或注入系统进程（如资源管理器Explorer.exe）隐藏自身并挂接API；在数据传递上，出现了ICMP等类型的木马，利