“摆渡”木马原理与防范策略.docx

“摆渡”木马原理与防范策略 - - - - - -精品可编辑word学习资料 gO2D1K2U9V6 — — hA6K1U5Z7U5 — — lR7A7Q8G5I4 “摆渡”木马原理与防策略 商晓燕 1 解放军理工高校通信工程学院争论生 1 队 ； 210007 Principles of "FerryTrojan"and Prevention Strategies SHANGXiaoYan1 Postgraduate Team 1 ICE, PLAUST, Nanjing 210007 |精. |品. |可. |编. |辑. |学. |习. |资. |料. * | * | * | * | |欢. |迎. |下. |载.  Abstract: Keywords: 摘 要:“摆渡”木马是一种利用可移动设备从与互联网物理隔离的部网络中窃取文件 资料的信息攻击的工具； 论文从“摆渡” 木马的原理入手， 分析了 “摆渡” 木马的工作流程、启动方式和运行方式，争论了木马的隐匿性与危害性，并提出了多种相应的防策略， 关键字 : 信息安全，“摆渡木马” ,U 盘病毒 引言 随着信息技术的快速进展和互联网的日益普及， 给人们的生活带来了庞大的便利， 在享受这些便利的同时，也面临着来至网络的各种安全威逼，如网络攻击、病毒、木马等；在全 球互联网的形势下， 信息安全至关重要， 一个国家信息系统的失控和崩溃将导致整个国家的 经济瘫痪，进而会影响到国家安全 [1] ；为此，政府机关、军队、银行、科研机构等重要部门和涉密单位出于信息安全的考虑， 一般将单位自建的部网络与互联网之间实施严格的物理隔离，而 U盘一度成为、外网离线交换文件数据的首选工具，而“摆渡”木马因此应运而生， 是一种特地针对移动储备设备， 从与互联网物理隔离的部网络中窃取文件资料的信息攻击手段；论文将主要介绍“摆渡”木马的工作原理及其防策略； “摆渡”木马原理 “摆渡”木马是一种间谍人员定制的特别木马，隐匿性、针对性很强，一般只感染特定 的运算机， 一般杀毒软件和木马查杀工具难以准时发觉， 对国家重要部门和涉密单位的信息安全威逼庞大； 木马工作流程 “摆渡”木马其感染机制与 U 盘病毒的传播机制完全一样，只是感染目标运算机后，它会尽量隐匿自己的踪迹，不会显现一般 U 盘病毒感染后的症状，如更换盘符图标，破坏系 统数据等， 它唯独的动作就是利用关键字匹配等手段扫描系统中的文件数据， 并将敏锐文件 静静写回 U 盘中，一旦这个 U 盘再插入到连接互联网的运算机上，就会将这些敏锐文件自 动发送到互联网上指定的运算机中或者中，而且以后在被感染的运算机上使用的 U 盘都会感染“摆渡”木马；图 2-1 描述了木马的工作流程： |精. |品. |可. |编. |辑. |学. |习. |资. |料. * | * | * | * | |欢. |迎. |下. |载.  Internet 检测上网状态发送文件 可移动设备（木马） Hacker 感染木马 文件打包回写 感染主机搜寻文件 内部网络 图 2-1 “摆渡”木马工作流程 在现实生活中， 被河流隔断的两岸往往利用渡船进行摆渡实现相互交通，而“摆渡” 木马就像部网络和互联网的一条渡船， 尽管没有连接互联网， 但是隐秘文件仍是不断的通过中 了木马的 U 盘向外传播；假如木马利用部网络感染全部局域网主机，后果将更加严峻； 木马启动与运行方式 木马启动方式 “摆渡”木马在本质上仍是一种 U 盘病毒，其自启动方式仍主要依靠于 windows 系统的的自动运行功能，当已感染木马的 U 盘被插入部网络的运算机时时，由于自动播放功能 的存在， 木马文件自动运行， 即实施了对被插入机器的感染并实施文件窃取； 这种特性是通 过 U 盘根目录下的 Autorun.inf 文件实现的，其中最隐匿的 Autorun.inf 文件如下所示： [autorun] |精. |品. |可. |编. |辑. |学. |习. |资. |料. * | * | * | * | |欢. |迎. |下. |载. Open=“ U 盘根目录下的木马文件的名称” Shell\open=打开 (＆ O) Shell\open\mand= “U 盘根目录下的木马文件的名称” Shell\open\Default=l Shell\aUtoplay\Default=2 Shell\autoplay= 自动播放 (＆ P) Shell\autoplay\mand= “ U 盘根目录下的木马文件的名称” Shell\explore= 资源治理器 (＆ X) Shell\explore\mand= “ U 盘根目录下的木马文件的名称” 之所以说这个 Autorun.inf 文件很隐匿，是由于该 U