木马病毒原理及特征分析.ppt

**文件隐藏早期，把病毒文件属性设为隐藏，修改文件不显示隐藏文件。高级阶段通过HOOK文件读取函数，自动隐藏病毒文件。公开的主流检测隐藏文件主要有两种方法：第一种是文件系统层的检测，属于这一类的有Icesword，darkspy，gmer等。第二种便是磁盘级别的低级检测（DiskLow-LevelScanning），属于这一类的ark也很多，典型代表为rootkitunhooker，filereg（is的插件），rootkitrevealer，blacklight等。第31页,共47页，2024年2月25日，星期天**加壳木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己体内的木马体并执行之。第32页,共47页，2024年2月25日，星期天**通信隐藏通信隐藏是指利用授权的通信手段和载体进行在系统安全策略允许之外的非授权的通信活动。通信隐藏主要包括通信内容、流量、信道和端口的隐藏。木马常用的通信隐藏方法是对传输内容加密,这可以采用常见/自定义的加密、解密算法实现，但这只能隐藏通信内容,无法隐藏通信信道。采用网络隐蔽通道技术不仅可以成功地隐藏通信信道，还可以隐藏通信内容。第33页,共47页，2024年2月25日，星期天**网络隐蔽通道TCP/IP协议族中,有许多信息冗余可用于建立网络隐蔽通道。木马可以利用这些网络隐蔽通道突破网络安全机制，比较常见的有:ICMP畸形报文传递、HTTP隧道技术,自定义TCP/UDP报文等。采用网络隐蔽通道技术，如果选用一般安全策略都允许的端口通信,如80端口，则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。第34页,共47页，2024年2月25日，星期天**使用TCP协议隐蔽通信--反向连接技术为了克服服务端在某一端口上侦听易被发现这一缺点，现在服务端不再侦听端口，而是去连接客户端在侦听的某一端口。这样用一般的portscanner或者fport就发现不了服务端了。而为了更好的麻痹宿主机，客户端侦听的端口一般是21，80,23这种任何人都要访问的端口。虽然在安装了防火墙的机器上，服务端去连接客户端还是要引起防火墙报警，但是一个粗心的用户很可能会忽略“应用程序xxxxx试图访问xxx.xxx.xxx.xxx通过端口80”这样的警告。客户端侦听，服务端连接。这就是所谓的反向连接技术了。第35页,共47页，2024年2月25日，星期天**使用TCP协议隐蔽通信--反向连接技术这种反向连接技术要解决的一个问题是，服务端如何找到客户端。由于一般客户端都是拨号上网的，没有一个固定的IP，所以客户端IP不可能硬编码在服务端程序中。http访问获取地址方式。控制端将本机的ip地址更新到存放于ftp空间的文件中，被控端采用http方式访问该文件，从而获取控制端的ip地址。通过域名获取地址方式。攻击者需要申请一个动态域名，并通过域名解析服务客户端软件如PeanutHull等把域名与控制端主机绑定，再将此域名预先设置在控制端中，则被控端就可以通过访问此域名上线了。所以还有一种方法是使用RAWsocket来收听ECHOREPLY类型的ICMP包，在ICMP数据包的数据去就包含了客户端IP。对于普通用户来说，由于要上网浏览，这样的ICMP包是很少过滤掉的。第36页,共47页，2024年2月25日，星期天**使用UDP协议通信服务端侦听，客户端连接；客户端侦听，服务端连接。方法和安全性与使用TCP协议差不多。需要注意的是UDP不是一个可靠的协议，所以，必须在UDP协议的基础上设计一个自己的可靠的报文传递协议。第37页,共47页，2024年2月25日，星期天**用ICMP来通信既然客户端可以通过发一个ICMP(ECHOREPLY)来告诉服务端它的IP，那为什么不把所有服务端和客户端的通讯都建立在ICMP基础上呢?服务端向客户端发ICMP(ECHOREQUEST)，客户端向服务端发ICMP(ECHOREPLY)，然后可以在ICMP基础上建立一个自己的可靠数据报通讯协议。如果不怕麻烦的话，还可以建立一个TCPoverICMP。由于一般的用户这两类ICMP包都是设为无警告放行的，这种