木马攻击及防御技术实验报告 .pdfVIP

目录

第一章引言1

第二章木马概述1

2.1木马的定义及特点1

2.2木马的工作原理2

2.3木马的分类

第三章常见的木马攻击手段

3.1捆绑方式

3.2邮件和QQ冒名欺骗

3.3网页木马方式

3.4伪装成其他文件

第四章木马的防范措施

4.1安装个人防火墙、木马查杀软件和及时安装系统补丁

4.2隐藏IP和关闭不必要的端口

4.3使用虚拟计算机

4.4关闭不必要的服务选项

4.5定期检查电脑的启动项

4.6不要随意打开邮件

4.7谨慎下载和安装第三方软件

第五章总结

参考文献

第一章引言

随着计算机的日益普及，人们对于“木马”一词已不陌生。木马危害性大,

隐蔽性强,是目前攻击计算机信息系统的主要手段之一,由木马所造成的信息系

统破坏的情况越来越多,对计算机信息系统的安全保密构成了极大威胁，特别是

近几年来利用木马犯罪的手段层出不穷，给人民带了来巨大损失。尽管相关查杀

软件不断更新换代，但是由于木马程序自身固有的特点及其相应的隐藏技术的不

断提高,对木马程序的检测也变得更加困难。因此，深入对木马的攻击与防范技

术的研究意义重大。

第二章木马概述

2.1木马的定义及特点

木马全称是特洛伊木马（TrojanHorse），原指古希腊士兵藏在木马内进入

[1]

敌方城市从而占领敌方城市的故事。在计算机界把伪装成合法程序或隐藏在合

[2]

法程序中的恶意代码形象的称之为木马。这些代码或执行恶意行为，或为非授

权访问系统的特权功能而提供后门。木马具有隐藏性、反检测、反清除以及与控

[3]

制端通信的特性。

2.2木马的工作原理

木马程序可分为两部分：控制端和被控制端。首先，在控制端（本地计算机）

上配置并生成木马程序。接着，通过直接或隐含在其他的可执行程序中的方式传

播木马程序至被控制端（对方计算机）。然后，在被控制端上运行木马程序，同

时运行控制端上的控制程序对服务端进行连接进而控制对方。最后，控制端一般

会发送命令，如键盘记录命令、文件操作命令以及敏感信息获取命令等，感染木

马程序的被控制端接收并执行这些命令，并返回相应结果到控制端。木马工作原

理图如图1所示。

2.3木马的分类

根据木马程序对计算机的具体操作方式，可以把现在的木马程序分为以下

几类：1）远程控制型；2）密码发送型；3）键盘记录型；4）毁坏型；5）FTP

[4]

型；6）多媒体型。

按木马运行的层次，可分为应用级木马和内核级木马。应用级木马，工作在

操作系统Ring3级，由于计算机底层的操作系统中的程序、库以及内核都未受

影响，这种木马对系统的影响相对较小。典型的应用级木马有：Bingle、网络神

偷、ZXshell、灰鸽子等。内核级木马，运行在操作系统内核中，常采用驱动程

序技术实现内核级木马的加载工作。内核级木马与一般检测工具一样运行在系统

内核，隐蔽性较高，查杀难度大，是当前的主流发展趋势。典型的内核级木马有：

Hackerdoor、HE4HOOK、FURootkit等。

第三章常见的木马攻击手段

3.1捆绑方式

所谓捆绑方式，是指将一个木马程序与正常程序捆绑在一起，从而达到入

侵和“存活”的目的。譬如使用“EXE文件合并粉碎机”，把2个程序选择进去，

然后提取正常程序的图标，点击开始合并即可完成捆绑工作。接着把捆绑好木马

的程序到各大软件下载网站上发布，加点迷惑信息以吸引用户下载，一旦用户下

载和安装所谓的应用程序后，木马的服务端程序就自动加载到用户的计算机

中。即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上

去，继续“存活”下去。

3.2邮件和QQ冒名欺骗

邮件冒名欺骗是指用匿名邮件工具冒充好友或大型网站、机构、单位向别人

发木马附件，别人下载附件并一旦运行就会中木马[5]。如冒充单位的系统管理

员，向各个客户端发送