冰河攻击与防范技术.doc

PAGE PAGE 2 冰河木马攻击与防范分析 摘 要：黑客和病毒是计算机网络安全普遍的威胁，其中尤以木马病毒最为典型，且流传最广。它的危害在于赤裸裸的偷偷监视别人和盗窃别人的密码、数据等，对于网络用户而言，这是一个巨大的安全威胁。冰河木马是国人编写的木马经典之作，文章就冰河木马远程控制的实现原理及消除办法进行探讨，对木马隐藏和启动的实现原理进行分析，揭示木马的工作机制，并提出相关的解决办法，给出木马的防治策略。提示人们要时刻注意网络安全，保证自身利益不要受到侵害，对广大的网络用户来说是具有非常重要的意义的。 关键词：冰河木马；隐藏；端口；加载；启动；服务端；客户端；远程控制 1 绪论 随着人类生活水平的逐渐提升，网络已成为人们生活中必不可少的一个部分，但是网络的安全问题让人们不得不担忧。尤其是近几年，网络业务越来越多，许许多多的人采用了网络的方式来处理自己的日常生活事务，电子银行、网上购物已成为人们处理事务的常事了。但是由于一些不法分子企图通过网络的方式来谋取非法的利益，尤其是一些敏感领域及一些数额较大的交易，更是成为了不法分子攻击的目标，给广大的网络用户带来了巨大的安全威胁，并造成了许多难以估计的损失。 黑客和计算机病毒是网络安全最为普遍的威胁。特洛伊木马就是这样的一种病毒，它没有自我复制能力，但它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。而完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑，为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。 而冰河木马是国人编写的木马的经典之作，文章就冰河木马远程控制的实现原理及消除办法进行探讨，揭示木马普遍的工作原理，并提出相关的解决办法，提示人们要时刻注意网络的安全，保证自身利益不要受到侵害，对广大的网络用户而言是具有非常重要的意义的。 2 木马的定义、分类及发展 在进行讨论木马病毒之前，首先要认识一下什么叫木马，知道木马的定义，了解木马的基本特性，木马病毒的分类及发展情况。 2.1木马的定义 “木马”程序是目前比较流行的病毒文件，但它与一般的病毒不同，它究竟与病毒有什么不同之处，有必要认识一下病毒及木马的定义，再对比分析病毒与木马的区别与联系。 2.1.1病毒的定义及特点 病毒是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 计算机病毒的特点：计算机病毒是人为的特制程序，具有自我复制能力，具有很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性。 2.1.2木马的定义及特点 特洛伊木马，英文叫做Trojan house,其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 2.1.3木马与病毒的区别和联系 木马和病毒都是一种人为的程序，都属于电脑病毒，而电脑病毒的作用，其实完全就是为了搞破坏，破坏电脑里的资料数据，除了破坏之外，其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术。 但“木马”不一样，木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码、数据等，如盗窃管理员密码、子网密码、搞破坏，或者好玩，偷窃上网密码用于它用，游戏帐号、股票帐号、甚至网上银行帐户等等，达到偷窥别人隐私和得到经济利益的目的。 所以木马的作用比早期的电脑病毒更加有用，更能够直接达到使用者的目的。导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序，这就是目前网上大量木马泛滥成灾的原因。 鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样，所以木马虽然属于病毒中的一类，但是要单独的从病毒类型中间剥离出来，独立的称之为“木马”程序。 2.2木马的分类 自木马程序诞生至今，己经出现了多种类型，想要把它们来一次完全的列举和说明是不可能的事情，更何况大多数的木马都不是单一功能的木马，它们往往具有很多种功能的集成品，甚至有很多从未公开的功能在一些木马中也广泛地存在着。但是，对于木马程序还是有一个初步的分类，它主要包括远程控制木马、密码发送木马、键盘记录木马、破坏性质的木马、DOS攻击木马、代