木马病毒原理及特征分析PPT文件格式下载.ppt

1、这时的目标计算机就是大家常听到的“肉鸡”了！10/27/202242特洛伊木马病毒的危害性n 特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序。n 除此以外，木马还有其自身的特点：n 窃取内容；远程控制。10/27/2022510/27/20226n 常见的特洛伊木马，例如Back Orifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。n 由于功能全面，所以

2、这些特洛伊木马的体积也往往较大，通常达到100 KB至300 KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。常见的特洛伊木马10/27/20227n 对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10 KB到30 KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。常见的特洛伊木马10/27/20228n Back Orifice是一个远程访问特洛伊木马的病毒，该程序使黑客可以经TCP/IP网络进入并控制windows系统并任意访问系

3、统任何资源，通过调用cmd.exe系统命令实现自身的功能，其破坏力极大。n SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。q SubSeven还具有其他功能：攻击者可以远程交换鼠标按键，关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机 常见的特洛伊木马10/27/20229n在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的

4、影响力之巨大。n 该软件主要用于远程监控，自动跟踪目标机屏幕变化等。冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。1自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5远程文件

5、操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；常见的特洛伊木马10/27/202210常见的特洛伊木马n灰鸽子（Hack.Huigezi）是一个集多种控制方法于一体的木马病毒，一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。n自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注

6、。2004年、2005年、2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。10/27/202211特洛伊木马的定义n木马与病毒q一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的q特洛伊木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的q木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中q木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广

7、义病毒的一个子类n木马的最终意图是窃取信息、实施远程监控n木马与合法远程控制软件（如pcAnyWhere）的主要区别在于是否具有隐蔽性、是否具有非授权性10/27/202212特洛伊木马的结构n木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成10/27/202213特洛伊木马的基本原理n运用木马实施网络入侵的基本过程10/27/202214特洛伊木马的基本原理n木马控制端与服务端连接的建立q控制端要与服务端建立连接必须知道服务端的木马端口和IP地址q由于木马端口是事先设定的，为已知项，所以最重要的是如何获得服务端的IP地址q获得服务端的IP地址的方法主要有两种：信息反

8、馈和IP扫描10/27/202215特洛伊木马的基本原理木马控制端与服务端连接的建立木马控制端与服务端连接的建立10/27/202216特洛伊木马的基本原理n木马通道与远程控制q木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道q控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作10/27/202217特洛伊木马的传播方式n木马常用的传播方式，有以下几种：q以邮件附件的形式传播n控制端将木马伪装之后添加到附件中，发送给收件人q通过OICQ、QQ等聊天工具软件传播n在进行聊天时，利用文件传送功能发送伪装过的木

9、马程序给对方q通过提供软件下载的网站（Web/FTP/BBS）传播n木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马q通过一般的病毒和蠕虫传播q通过带木马的磁盘和光盘进行传播10/27/202218特洛伊木马技术的发展n木马的发展及成熟，大致也经历了两个阶段qUnix阶段qWindows阶段n木马技术发展至今，已经经历了4代q第一代木马n只是进行简单的密码窃取、发送等，没有什么特别之处q第二代木马n在密码窃取、发送等技术上有了很大的进步，冰河可以说是

10、国内木马的典型代表之一q第三代木马n在数据传输技术上，又做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度q第四代木马n在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI（Process Status API），实现木马程序的隐藏10/27/202219木马的高级技术10/27/202220驻留在内存n为了生存，病毒要尽可能长时间地驻留在内存中，而不是host程序一结束就完蛋了。n有三种种方法，一是象Funlove那样在系统目录里释放一个文件，并修改注册表或者建立一个系统服务。这种方式很普通，也很

11、普遍，大多数病毒包括蠕虫都这么干。n另一种方式则是感染所有的已运行进程。在Win2K下很容易实现,CreateRemoteThread，但要想在所有Win32平台下实现，则要比较高的技巧。n工作在ring 0病毒，内核模式病毒。10/27/202221内核模式病毒nWindowsNT/2K环境下第一个以内核模式驱动程序运行，并驻留内存的寄生型病毒是Infis.nInfis作为内核模式驱动程序驻留内存，并且挂钩文件操作，它能够在文件打开时立即感染该文件。n安装程序把病毒拷贝到系统内存中，并在系统注册表中添加该病毒的注册项。该病毒把自己的可执行代码连同自己的PE文件头一起追加到目标文件的末尾，然后

12、从自己代码中提取出一个名为INF.SYS的独立驱动程序，把这个程序保存在%SystemRoot%system32 drivers目录下，修改注册表，保证下一次系统启动时病毒也能够进入运行状态。10/27/202222检测方法n检查系统驱动程序列表中已经装入的驱动程序的名称，如果在驱动程序列表中发现了病毒驱动程序，说明基本上感染了病毒n病毒可能使用隐藏技术避免在驱动程序列表中出现，需要通过计算机管理器中的驱动程序列表。10/27/202223病毒的隐藏技术n隐藏是病毒的天性，在业界对病毒的定义里，“隐蔽性”就是病毒的一个最基本特征，任何病毒都希望在被感染的计算机中隐藏起来不被发现，因为病毒都只有

13、在不被发现的情况下，才能实施其破坏行为。为了达到这个目的，许多病毒使用了各种不同的技术来躲避反病毒软件的检验，这样就产生了各种各样令普通用户头痛的病毒隐藏形式。n隐藏窗口&隐藏进程&隐藏文件 q桌面看不到q任务管理器中不可见 q文件中看不到10/27/202224进程隐藏nWindows 9x中的任务管理器是不会显示服务类进程，结果就被病毒钻了空子，病毒将自身注册为“服务进程”，可以躲避用户的监视。nWindows2000/xp/2003等操作系统上已经无效了，直接使用系统自带的任务管理器便能发现和迅速终止进程运行。10/27/202225通过DLL实现进程隐藏nWindows系统的另一种“可

14、执行文件”-DLL，DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。n运行DLL文件最简单的方法是利用Rundll32.exe，Rundll/Rundll32是Windows自带的动态链接库工具，可以用来在命令行下执行动态链接库中的某个函数，Rundll32的使用方法如下：Rundll32 DllFileName FuncName例如我们编写了一个MyDll.dll，这个动态链接库中定义了一个MyFunc的函数，那么，我们通过Rundll32.exe MyDll.dll MyFunc就可以执行MyFunc函数的功能。假设我们在MyFunc函数中实现了病毒的功能，那么我们不就可以通过Rundll32来运行这个病毒了么？在系统管理员看来，进程列表中增加的是Rundll32.exe而并不是病毒文件，这样也算是病毒的一种简易欺骗和自我保护方法 10/27/202226特洛伊DLL n特洛伊DLL的工作原理是使用木马DLL替换常用的DLL文件，通过函数转发器将正常的调用转发给原DLL，截获并处理特定的消息。n例如，我们知道WINDOWS的Socket1.x的函数都是存放在wsock32.dll中的，那么我们自己写一个wsock32.dll文件，替换掉原先的wsock32.dll（将原先的DLL文件重命名为wsockold.dll）我们的ws