网络中木马探寻分析.docVIP

网络中木马探寻分析 　　 [摘要] 网络越来越多地参与人们的生活,网络安全防范越来越重要。常见的网络攻击,就是利用网络木马来控制别人的电脑以达到自己的目的。所以,我们有必要了解木马的攻击方式和它如何被植入我们的电脑以及对它的防范措施。 　　[关键词] 木马 木马攻击 激活方式 防范木马 　　木马,又名特洛伊木马,其名称取自古希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己、加载运行的目的。让我们一起来看看网络中木马惯常的生存方式 　　虽然黑客攻击的过程复杂多变,但是仍然具有规律可循。总体来说,网络攻击过程可划分为7个步骤,具体见表1所示。 　　其中,第一步和第二步属于攻击前的准备阶段,第三步属于攻击的实施阶段,最后两步属于攻击的善后阶段。在第一步中,常用的攻击手段就是植入木马程序。在网络个体中植入木马后,黑客们可以通过激活木马程序,来达到他们的目的,他们常用的手段有如下几种: 　　(1)在Win.ini中启动; 　　(2)修改关联文件; 　　(3)捆绑文件; 　　(4)在System.ini中启动; 　　(5)利用注册表加载运行; 　　(6)在Autoexec.bat和Config.sys中加载运行; 　　(7)在Winstart.bat中启动; 　　(8)“反弹端口”型木马的主动连接方式。 　　下面,让我们一起来详细看一下木马常用的激活方式。 　　1.在Win.ini中启动 　　在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果后面跟着程序,比如: run=c:\\windows\\file.exe load=c:\\windows\\file.exe这个file.exe很可能就是木马程序! 　　2.修改文件关联 　　修改文件关联是木马们常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说,正常情况下TXT文件的打开方式为Notepad.exe文件,但一旦中了文件关联木马,则TXT文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河。“冰河”就是通过修改HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command下的键值,将“C:\\WINDOWS\\NOTEPAD.EXE %1”改为“C:\\WINDOWS\\SYSTEM\\SYSEXPLR.EXE %1”,这样当你双击一个TXT文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了!请大家注意,不仅仅是TXT文件,其它诸如HTM、EXE、ZIP、COM等都是木马的目标,要小心。对付这类木马,只能经常检查HKEY_CLASSES_ROOT\\文件类型\\shell\\open\\command主键,查看其键值是否正常。 　　3.捆绑文件 　　实现这种触发条件,首先,要控制端和服务端已通过木马建立连接;然后,控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 　　4.在System.ini中启动 　　System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer.exe file.exe,注意这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所。 　　5.在Autoexec.bat和Config.sys中加载运行 　　请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所以,在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。 　　6.在Winstart.bat中启动 　　Winstart.bat是一个特殊性丝毫不亚于Autoexec.省略并加载了多数驱动程序之后开始执行(这一点可通过启动时按[F8]键再选择逐