深度剖析木马的植入与攻击.doc

深度剖析木马的植入与攻击

\o平安问题平安问题2010-09-1813:57:43阅读54评论0字号：大中小订阅

为了学习转的：

第3章深度剖析木马的植入与攻击

●木马是如何实施攻击的

●木马的植入与隐藏

●木马信息反响

●常用木马例说

●木马的去除和防范

木马，也称特伊洛木马，英文名称为Trojan。其本身就是为了入侵个人电脑而开发的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。Windows本身没有监视网络的软件，所以不借助其它工具软件，许多时候是很难知道木马的存在和黑客的入侵的。

由于很多新手对平安问题了解不多，所以并不知道自己的计算机中了“木马”该如何去除。虽然现在市面上有很多新版杀毒软件都可以自动去除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现自己是否中“木马”了。

3-1木马是如何实施攻击的

木马是黑客最常用的攻击方法，因此，在本章中将使用较大篇幅来介绍木马的攻防技术。木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等，一台计算机一旦被一个功能强大的木马植入，攻击者就可以像操作自己的计算机一样控制这台计算机，甚至可以远程监控这台计算机上的所有操作。

尽管资深的黑客是不屑于使用木马的，但在对网络平安事件的分析统计里，却发现有相当局部的网络入侵是通过木马来进行的，包括2002年微软被黑一案，据说就是通过一种普通的蠕虫木马侵入微软的系统，并且窃取了微软局部产品源代码的。

3-1-1木马是如何侵入系统的

小博士，你好！可以给我讲一下木马是如何侵入系统的吗？

没问题，一般的木马都有客户端和效劳器端两个执行程序，其中客户端用于攻击者远程控制植入木马的计算机，效劳器端程序就是通常所说的木马程序。攻击者要通过木马攻击计算机系统，他所做的第一步就是要把木马的效劳器端程序植入到被攻击的计算机里面。

目前木马入侵的主要途径，还是先通过一定的方法把木马执行档案弄到被攻击者的计算机系统里，如浏览网页、收看邮件、下载信息时，通过一定的提示成心误导被攻击者翻开执行档案，比方成心谎称这是个木马执行档案是朋友送给自己贺卡，可能在翻开这个档案后，确实有贺卡的画面出现，但这时木马却已经悄悄在自己的后台执行了。

一般的木马执行档案非常小，大多都是几K到几十K，如果把木马连接到正常档案上，是很难发现的，所以有一些网站提供的软件下载往往是连接了木马档案的，在执行这些下载的档案时，也同时执行了木马。

木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入，由于微软的IE浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者计算机进行档案操作等控制，前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的Html网页。

如果攻击者有方法把木马执行档案上传到攻击计算机的一个可执行WWW目录夹里面，他就可以通过编写CGI程序在攻击计算机上执行木马目录。

木马还可以利用系统的一些漏洞进行植入，如微软著名的IIS效劳器溢出漏洞，通过一个IISHACK攻击程序即可使IIS效劳器崩溃，并且同时攻击效劳器执行远程木马执行档案。

木马在被植入攻击计算机后，它一般会通过一定的方式把入侵计算机的信息发送给攻击者〔如计算机的IP地址、木马植入的端口等〕，这样攻击者有这些信息才能够与木马里应外合，控制攻击计算机。

早期的木马大多都是通过发送电子邮件的方式把入侵信息告诉攻击者，有一些木马档案干脆把计算机所有的密码用邮件的形式通知给攻击者，这样攻击时就不用直接连接被攻击计算机即可获得一些重要数据，如攻击QQ密码的GOP木马即是如此。

使用电子邮件的方式对攻击者来说并不是最好的一种选择，因为如果木马被发现，那么可能通过这个电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。

由于任何木马都有一个效劳端程序，要对一台目标机进行远程控制都必须将效劳端程序送入目标机，并诱骗目标机执行该程序。这是用木马进行远程控制中的重要一步，也是很有技巧的一步。

3-1-2木马是如何实施攻击的

木马可以以任何形式出现，可能是任何由用户或客户引入到系统中的程序。其提供或隐藏了一些功能，这些功能可以泄漏一些系统的私有信息或者控制该系统，这样，它实际上就潜伏着很大的危险性。

通常木马采取六个步骤实施攻击。

配置木马〔伪装木马〕→传播木马〔通过E-mail或者下载〕→运行木马〔自动安装、自启动〕→信息泄漏〔通过E-mail、IRC或QQ的方式使自己的信息泄露出去〕→建立连接→远程控制，如图3-1所示。

图3-1木马攻击的步骤

至此，木马就