深度剖析木马的植入与攻击.docVIP

深度剖析木马的植入与攻击 安全问题2010-09-18 13:57:43阅读54评论0字号：大中小订阅 为了学习转的: 第3章深度剖析木马的植入与攻击 ?木马是如何实施攻击的 ?木马的植入与隐藏 ?木马信息反馈 ?常用木马例说 ?木马的清除和防范 木马,也称特伊洛木马，英文名称为Trojan0其本身就是为了入侵个人电脑而开发的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵不会在电脑的屛 幕上显示出任何痕迹。Windows木身没有监视网络的软件，所以不借助其它工具软件，许多时候是很难知道木马的心在和黑客的入侵的。 由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了 “木马”该如何清除。虽然现在市面上冇很多新版杀薄软件都可以自动清除“木马”，但它们并 不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现口己杲否中“木马” 了。 3-1木马是如何实施攻击的 木马是黑客最常用的攻击方法，因此，在本章中将使用较大篇幅来介绍木马的攻防技术。木马的危害性在于它对电脑系统强大的控制和破坏能力、窈取密码、控制系 统操作、进行文件操作等，一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作口己的计算机?样控制这台计算机，甚至可以远程监控这台计算机上的 所有操作。 尽管资深的黑客绘不屑于使用木马的，但在对网络安全寧件的分析统计里，却发现令相当部分的网络入侵绘通过木马來进行的，包括2002年微软彼黑一案，据说就 是通过--种眸通的蠕虫木马侵入微软的系统，并且窃取了微软部分产品源代码的。 3-1-1木马是如何侵入系统的 小博士，你好！可以给我讲一下木马是如何侵入系统的吗？ 没问题,一般的木马都有客户端和服务器瑞两个执行程序，其屮客户端用于攻击者远程控制植入木马的计算机，服务器端程序就杲通常所说的木吗程序。攻击者要通 过木马攻击计算机系统，他所做的第一步就超要把木马的服务器端程序植入到被攻击的计算机里面。 目前木马入侵的主要途径，还是先通过一定的方法把木勺执行档案弄到被攻击者的计算机系统里，如浏览网页、收看邮件、下栽信息时，通过一定的提示故意谋导被 攻击者打开执行档案，比如故意谎称这是个木马执行档案是朋友送给白己贺卡，可能在打开这个档案后，确实有贺卡的価而出现，但这时木马却已经悄悄在白己的后 台执行了。 一般的木马执行档案非常小，大赛都是几K到儿十K,如果把木马连接到正常档案上，迅很难发现的，所以冇一些网站提供的软件下战往往迅连接了木马档案的，在 执行这些下载的档案时，也同时执行了木马。 木马也可以通过Script、ActiveX及ASP、CGI交互脚木的方式植入，由于微软的IE浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和 木马，英至直接对浏览者计算机进行档案操作等控制，前不久就出现-个利用微软Scripts脚木漏洞对浏览者硬盘进行格式化的Html网页。 如果攻击者冇办法把木马执行档案上传到攻击计算机的一个可执行WWW |=|录夹里而，他就可以通过编写CGI程序在攻击计算机上执行木马目录。 木马还可以利用系统的一些漏洞进行植入，如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即可使IIS服务器屈溃，并且同时攻击服务器执行远程木 马执行档案。 木马在被植入攻击计算机后，它一般会通过一定的方式把入侵计算机的信息发送给攻击者（如计算机的IP地址、木马植入的端口等），这样攻击者冇这些信息才能够 与木马里应外合，控制攻击计算机。 早期的木马大筋都是通过发送电子邮件的方式把入侵信息告诉攻击者，育一些木马档案干脆把计算机所有的密码用邮件的形式通知给攻击者，这样攻击时就不用直接 连接被攻击计算机即可获側一些巫耍数据，如攻击QQ密码的GOP木马即是如此。 使用电子邮件的方式对攻击者來说并不是最好的-种选择，因为如果木马被发现，贝何能通过这个电子邮件的地址找出攻击者。现在还有一些木马采用的杲通过发送 UDP或者ICMP数据包的方式通知攻击者。 由于任何木马都冇一个服务端程序，要对一台目标机进行远程控制都必须将服务端程序送入目标机，并诱骗日标机执行该程序。这是用木马进行远程控制中的重耍一 步，也是很有技巧的一步。 3-1-2木马是如何实施攻击的 木马可以以任何形式出现，可能是任何由用户或客户引入到系统屮的程序。其提供或隐藏了一些功能，这些功能可以泄漏-些系统的私有信息或者控制该系统，这样， 它实际上就潜伏着很大的危险性。 通常木马采取六个步骤实施攻击。 配置木马（伪装木马）一传播木马（通过E-mail或者下载）一运行木马（口动安装、自启动）一信息泄漏（通过E-mail、IRC或QQ的方式使白己的信息泄探出去） -建立连接-*远程控制，如图3?1所示。 图3?1木马攻