传统特洛伊木马的工作原理.docx

1、传统特洛伊木马的工作原理史少甫 20092420229 通信2班一、 什么是特洛伊木马特洛伊木马（TrojanHorse，以下简称木马）的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序，这些特殊功能处于隐藏状态，执行时不为人发觉。特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端建立连接后，控制端将窃取服务端的密码及大部分操作权限，包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端

2、的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的，而是通过木马程序窃取的。木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。1、硬件部分 建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。2、软件部分 实现远程控制所必须的软件

3、程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得 更隐蔽的程序。3、具体连接部分通过 I NTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。控制端 I P，服务端 I P：即控制端，服务端的网络地址，也是木马进行数据传输的目 的。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达 控制端程序或木马程序。二木马的特征木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice

4、(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征1、隐蔽性是其首要的特征如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自

5、己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。它的隐蔽性主要体现在以下两个方面：a、不产生图标它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible”属性设置为“False”、把“ShowintaskBar”属性

6、设置为“Flase”即可；b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。2、它具有自动运行性它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。3、木马程序具有欺骗性木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dllwinsysexplorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用

7、系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。4、具备自动恢复功能现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。5、能自动打开特别的端口木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑

8、客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。6、功能的特殊性通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操

9、作而已，而不是用来黑对方的机器的。对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机，即侵入被攻击主机的入侵程序属于服务程序，攻击者的控制程序属于客户程序。计算机感染特洛伊木马后，会受到特络伊木马程序的控制，有以下几种典型现象：（1）有未知程序试图建立网络连接。（2）系统中有可疑的进程在运行等现象。（3）系统运行速度越来越慢，且CPU资源占用率高。（4）任务表中有可疑的文件在运行。（5）系统长时间读写硬盘或搜索软盘。（6）系统经常死机或重启等。二 特洛伊木马的攻击步骤 用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。22配置木马

10、 一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：（1）木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手 段，如修改图标 ，捆绑文件，定制端口，自我销毁等等（2）信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈 的邮件地址、I CO 号等等。222传播木马（1）传播方式木马的传播方式主要有两种：一种是通过 E- MAI L，控制端将木马程序以附件的形式夹在 邮件中发送出 去， 收信人只要打开附件系统就会感染木马; 另一种是软件下载，一些非正规 的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下

11、载后，只要一运行这些程 序，木马就会自动安装。（2）伪装方式 鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这 是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低 用户警觉，欺骗用户的目 的。一般来说有以下几种：(1)修改图标也许你会在在 E- MAI L 的附件中看到一个很平常的文本图标，但是我不得不告 诉你，这也 有可能是个木马程序，现在 已经有木马可以将木马服务端程序的图标改成 HTML，TXT， ZI P 等各种文件的图标，这有相当大的迷 惑性，但是目前提供这种功能的木马还不多见，并且这 种 伪装也不是无懈可击的，所以不必整天

12、提 心吊胆，疑神疑鬼的。(2)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的 情况下 ，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件( 即 EXE，COM 一类的文 件) 。(3)出错显示有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程 序， 木马的 设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木 马程序时，会弹出一个如下图所示的错误提示框( 这当然是假的) ，错误 内容可自由 定义，大多会定制成 一些诸如”文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时，木

13、马却悄悄侵入了 系统。(4)定制端口 很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的 端口就 知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端 用户可 以在 1024- 65535 之间任选一个端口作为木马端口( 一般不选 1024 以下的端口) ，这 样就给判断 所感染木马类型带 来了麻烦。(5)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到 WI NDOWS 的系统文件夹中( C: WI NDOWS 或 C: WI NDOWSSYSTEM 目录下) ，一 般来说 原木马文件

14、 和系统文件夹中的木马文件的大小是一样的( 捆绑文件的木马除外) ，那么 中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件，然后根据原木马的 大小去系统 文件夹找相同大小的文件， 判断一下哪个是木马就行了。而木马的自我销毁功能 是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没 有查杀木马的工 具帮助下，就很难删除木马了。(6)木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，按 图索骥在系统文件夹查找特定的文件，就可以断定中了什么木马。所以现在有很多木马都 允许控 制端用户自由定制安装后的木马文件名，这

15、样很难判断所感染的木马类型了。23运行木马 服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WI NDOWS 的 系统文件夹中( C: WI NDOWS 或 C: WI NDOWSSYSTEM 目录下) ，然后在注册表，启动 组，非启动组中设置好木马 的触发条件 ，这样木马的安装就完成了。安装后就可以启动木马 了。( 1) 由触发条件激活木马 触发条件是指启动木马的条件，大致出现在下面八个地方1)注册表: 打开 HKEY_LOCAL_MACHI NESoft war eMi cr osoft Wi ndowsCurr ent Ver si on下 的五个以 Run

16、和 RunSer vi ces 主键，在其中寻找可能是启动木马的键值。2）WI N.I NI: C: WI NDOWS 目录下有一个配置文件 wi n. i ni ，用文本方式打开，在 wi ndows字段中有启动 命令 l oad=和 r un=，在一般情况下是空白的，如果有启动程序，可能是木马。3）SYSTEM.I NI: C: WI NDOWS 目录下有个配置文件 syst em. i ni ，用文本方式打开，在 386Enh ， mi c ， dr i ver s32 中有命令行，在其中寻找木马的启动命令。4）Aut oexec. bat 和 Conf i g. sys: 在 C 盘根

17、目录下的这两个文件也可以启动木马。但这种 加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上 传 到服务端覆盖这两个文件才行。5）* .I NI: 即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作 好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马 的目的了。6）注册表: 打开 HKEY_CLASSES_ROOT文件类型shel l opencommand 主键，查看其键值。 举个例子，国产 木马”冰河”就是修改 HKEY_CLASSES_ROOTt xtf i l eshel l opencommand 下

18、 的键值，将”C : WI NDOWS NOTEPAD. EXE %1”改为”C: WI NDOWSSYSTEMSYSEXPLR. EXE%1”，这时你双 击一个 TXT 文件 后，原本应用 NOTEPAD 打开文件的，现在却变成启动木马程序了。还要说明 的是不光是 TXT 文件 ，通过修改 HTML，EXE，ZI P 等文件的启动命令的键值都可以启动木马 ，不同之处只在于”文件类型”这个主键的差别，TXT 是 t xtf i l e，ZI P 是WI NZI P，大家可以 试着去找一下。7）捆绑文件: 实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端 用户用工具 软件将木马

19、文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这 样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。8）启动菜单: 在”开始- 程序- 启动”选项下也可能有木马的触发条件( 2) 木马运行过程 木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在 MS- DOS 方式下，键入 NETSTAT - AN 查看端口状态，一般个人电脑在脱机状态 下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的 端口：( 1) 1- 1024

20、之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如 FTP 使用 21， SMTP 使用 25，POP3 使用 110 等。只有很少木马会用保留端口作为木马端口 的。( 2) 1025 以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字， 图片到本地 硬盘上，这些端口都是 1025 以上的连续端口。( 3) 4000 端口：这是 OI CQ 的通讯端口。( 4) 6667 端口：这是 I RC 的通讯端口。 除上述的端口基本可以排除在外，如发现还有其 它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制 端口的功能，那任何端口都有可

21、能是木马端口。24 信息泄露一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安 装后会收集一些服务端的软硬件信息，并通过 E- MAI L、I RC 或 I CQ 的方式告知控制端用户。从中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分 区况， 系统口令等，在这些信息中，最重要的是服务端 I P，因为只有得到这个参数，控制端 才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。25 建立连接这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条 件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在

22、此基础上控制端可以 通过木马端口与服 务端建立连接。假设 A 机为控制端，B 机为服务端，对于 A 机来说要与 B 机建立连接必须知道 B 机的木马 端口和 I P 地 址，由于木马端口是 A 机事先设定的，为已知项，所以最重要的是如何获得 B 机 的 I P 地址。获得 B 机的 I P 地址的方法主要有两种：信息反馈和 I P 扫描。对于前一种已在上 一节中已经介绍过了，不再赘述，我们 重点来介绍 I P 扫描，因为 B 机装有木马程序，所以它 的木马端口 7626 是处于开放状态的，所以现在 A 机只 要扫描 I P 地址段中 7626 端口开放的主 机就行了，例如图中 B 机的 I P

23、 地址是 202. 102. 47. 56，当 A 机扫描到 这个 I P 时发现它的 7626 端口是开放的，那么这个 I P 就会被添加到列表中，这时 A 机就可以通过木马的控 制端 程序向 B 机发出连接信号，B 机中的木马程序收到信号后立即作出响应，当 A 机收到响应的信 号后，开启一个随即端口 1031 与 B 机的木马端口 7626 建立连接到这时一个木马连接才算真正建立。值得一提的要扫描整个 IP地址段显然费时费力，一般来说控制端都是先通过信息 反馈获得服务端的 IP 地址，由拨号上网的 I P 是动态的，即用户每次上网的 I P 都是不同 的，但是这个 I P 是在一定范围内变

24、动的，如果 B 机的 I P 是 202. 102. 47. 56，那么 B 机上网I P 的变动范围是在 202. 102. 000. 000- 202. 102. 255. 255，所以 每次控制端只要搜索这个 I P地址段就可以找到 B 机了。26 远程控制 木马连接建立后，控制端端口和木马端口之间将会出现一条通道，控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序 对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想 象的要大。( 1) 窃取密码：一切以明文的形式，* 形式或缓存在 CACHE 中的密码都能被木马侦测到， 此外很多

25、木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有 木马入侵， 密码将很容易被窃取。( 2) 文件操作：控制端可藉由远程控制对服务端上的文件进行删除，新建，修改，上传， 下载，运行，更改属 性等一系列操作，基本涵盖了 WI NDOWS 平台上所有的文件操作功能。( 3) 修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将 服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。( 4) 系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠

26、标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务 端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪。木马运行原理27 特洛伊木马常用的侦听端口port 21 - Blade Runner，Doly Trojan，Fore，Invisible FTP，WebEx，WinCrash port 23 - Tiny Telnet Server port 25 - Antigen，Email Password Sender，Haebu Coceda，Shtrilitz Stealth，Terminator，WinPC，WinSpy port 31 - Ha

27、ckers Paradise port 80 - Executor port 456 - Hackers Paradise port 555 - Ini-Killer，Phase Zero，Stealth Spy port 666 - Satanz Backdoor port 1001 - Silencer，WebEx port 1011 - Doly Trojan port 1170 - Psyber Stream Server，Voice port 1234 - Ultors Trojan port 1245 - VooDoo Doll port 1492 - FTP99CMP port

28、1600 - Shivka-Burka port 1807 - SpySender port 1981 - Shockrave port 1999 - BackDoor port 2001 - Trojan Cow port 2023 - Ripper port 2115 - Bugs port 2140 - Deep Throat，The Invasor port 2801 - Phineas Phucker port 3024 - WinCrash port 3129 - Masters Paradise port 3150 - Deep Throat，The Invasor port 3

29、700 - Portal of Doom port 4092 - WinCrash port 4590 - ICQTrojan port 5000 - Sockets de Troie port 5001 - Sockets de Troieport 5321 - Firehotcker port 5400 - Blade Runner port 5401 - Blade Runner port 5402 - Blade Runner port 5569 - Robo-Hack port 5742 - WinCrash port 6670 - DeepThroat port 6771 - De

30、epThroat port 6969 - GateCrasher，Priority port 7000 - Remote Grab port 7300 - NetMonitor port 7301 - NetMonitor port 7306 - NetMonitor port 7307 - NetMonitor port 7308 - NetMonitor port 7789 - ICKiller port 9872 - Portal of Doom port 9873 - Portal of Doom port 9874 - Portal of Doom port 9875 - Porta

31、l of Doom port 9989 - iNi-Killer port 10067 - Portal of Doom port 10167 - Portal of Doom port 11000 - Senna Spy port 11223 - Progenic trojan port 12223 - Hack99 KeyLogger port 12345 - GabanBus，NetBus port 12346 - GabanBus，NetBus port 12361 - Whack-a-mole port 12362 - Whack-a-mole port 16969 - Priority port 20001 - Millennium port 20034 - NetBus 2 Pro port 21544 - GirlFriend port 22222 - Prosiak port 23456 - Evil FTP，Ugly FTP port 26274 - Delta port 31337 - Back Orifice port 31338 - Back Orifice，DeepBO port 31339 - NetSpy DK port 31666 - BOWhack port 33333 - Prosiak port 34324 - BigGluck，TN