特洛伊木马隐蔽性的研究.docVIP

特洛伊木马隐蔽性的研究 　　摘要：从木马原理出发。分析了几种木马隐藏方法。并对各自优缺点做了简要评论。 　　关键词：木马 隐蔽性 端口 反弹 溢出植入 　　中图分类号：TP309.5 　　文献标识码： A 文章编号：1002-2422(2007)05-0004-02 　　 　　特洛伊木马(英文叫“Trojanhorse”，以下简称木马)，是一种基于远程控制的黑客工具，基本过程是控制端向服务端发送命令，然后服务端运行这些命令，因而具有非授权性和隐蔽性的特点。非授权性是指一旦控制端与服务器端连接后，控制端将享有服务端的大部分操作权限，如修改、添加、删除文件，修改注册表，控制鼠标和键盘等，而这些权力并不是服务端赋予的，是通过木马程序窃取的。隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段来隐藏木马，这样服务端即使发现感染了木马，由于不能确定木马的具体位置，因此没有办法删掉。本文重点研究了木马的隐蔽性。 　　 　　1　基本的隐藏方式 　　 　　1.1　端口隐藏 　　木马能够实现远程控制，需要服务端执行客户端命令。这些都是通过端口进行的，可以说端口是木马的生命之源，没有端口木马是无法和外界进行通讯的，更无法进行远程控制了。通过察看端口的方法(比如NETSTAT。一些端口扫描软件)，可以发现端口的打开情况，进而发现木马。采用“寄生”和“潜伏”的方法可以解决这个问题。 　　(1)寄生是找一个已经打开的端口，寄生其上，平时只是监听，遇到特殊的指令就可以激活木马。由于木马是寄生在已有的系统服务上的，因此在扫描或查看系统端口的时候是没有任何异常的，如冰河、SUBSEVEN等。这一点和反弹式木马有很大的相似之处。 　　(2)潜伏是指使用TCP／IP协议族中的ICMP协议而非TCP/UDP来进行通讯，从而瞒过Netstat和端口扫描软件。ICMP是IP协议的附属协议。它是由内核或进程直接处理而不需要通过端口。最常见的ICMP协议就是Ping，它利用了ICMP的回显请求和回显应答报文。一般的ICMP木马会监听ICMP报文，当出现特殊的报文时(比如特殊大小的包、特殊的报文结构等)会打开TCP端口等待控制端的连接。这种木马在没有激活时是不可见的，一旦连接上了控制端就和普通木马一样，本地可以看到状态为Established的链接(如果端口的最大连接数设为1，在远程使用Connect方法进行端口扫描还是没有办法发现的)。一个真正意义上的ICMP木马会严格地使用ICMP协议来进行数据和控制命令的传递(数据放在ICMP的报文中)，在整个过程中是不可见的。 　　这两种方法都是被动式的，通过察看进程，或者察看注册表RUN下面运行的程序，即可发现。因为在系统中增加了木马文件，所以一般杀毒软件也可以发现。 　　 　　1.2　进程隐藏 　　在win9x时代，注册为系统进程就可以从任务栏中消失，就实现了隐藏。可是在Window2000流行的今天，在Administrator下面(Ctrl＋Ah+Del)可以看到所有正在运行的进程，从而发现木马的进程，也就意味着可以删除它。 　　进程隐藏是指把木马写入驱动和内核的级别，通过拦截系统调用的服务，用替代系统功能(改写驱动程序或动态链接库)或者说是嵌入式的方法，来达到隐蔽的目的，从而逃过系统对木马的监测。例如：如果系统运行windows.exe，同时运行了木马和windows.exe，而木马嵌入在win-dows.exe中，能看到，但没法删除，因为windows.exe是系统进程，不允许删除。这样就相当于隐藏了木马进程。相关的软件如ROOTKIT。 　　虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，运行一个绑端口的进程进行正常的木马操作，操作结束后关掉进程，继续进入休眠状态。 　　采用替代系统功能的方法(改写驱动程序或动态链接库)，这样做的结果是：系统中没有增加新的文件，不能用扫描的方法查杀；不需要打开新的端口，不能用端口监视的方法查杀；没有新的进程，使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行，在正常运行时木马几乎没有任何的症状，一旦木马的控制端向被控端发出特定的信息后，隐藏的程序就立即开始运作。 　　这样的木马也存在着一些问题：由于是写入内核和驱动的，对系统会有较大影响，因此容易被发现；代码量较多，编写程序有较大难度；是被动式的。 　　 　　1.3　反弹式木马 　　如果服务端装有防火墙，客户端发起的连接就会被服务端主机上的防火墙拦截，使服务端程序不能收到连接，软件不能正常工作。同样，局域网内通过代理上网的电脑，因为是多台共用代理服务器的IP地址，而