木馬攻防感想

木馬攻防的感想刖言木馬技術(shù)是最常見的網(wǎng)絡(luò)攻擊手段之一，它對網(wǎng)絡(luò)環(huán)境中計(jì)算機(jī)信息資源造成了很大的危害。文中介紹了木馬程序的概念、基本原理和分類，針對常見的木馬攻擊方式提出了一些防范措施。木馬的危害，在于它能夠遠(yuǎn)程控制你的電腦。當(dāng)你成為''肉雞〃的時(shí)候，別人（控制端）就可以進(jìn)入你的電腦，偷看你的文件、*密碼、甚至用你的QQ發(fā)一些亂七八糟的東西給你的好友，木馬大量出現(xiàn)，在于它有著直接的商業(yè)利益。一旦你的網(wǎng)上銀行密碼被盜，哭都來不及了。正因?yàn)槿绱?，現(xiàn)在木馬越繁殖越多，大有'野火燒不盡〃之勢。木馬與病毒相互配合、相得益彰，危害越來越大?！娟P(guān)鍵詞】：木馬程序、攻擊手段、防范技術(shù)、木馬的危害一、木馬概述木馬的定義及特征1.1木馬的定義在古羅馬的戰(zhàn)爭中，古羅馬人利用一只巨大的木馬，麻痹敵人，贏得了戰(zhàn)役的勝利，成為一段歷史佳話。而在當(dāng)今的網(wǎng)絡(luò)世界里，也有這樣一種被稱做木馬的程序，它為自己帶上偽裝的面具，悄悄地潛入用戶的系統(tǒng)，進(jìn)行著不可告人的行動(dòng)。有關(guān)木馬的定義有很多種，作者認(rèn)為，木馬是一種在遠(yuǎn)程計(jì)算機(jī)之間建立起連接，使遠(yuǎn)程計(jì)算機(jī)能夠通過網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序，它的運(yùn)行遵照TCP/IP協(xié)議，由于它像間諜一樣潛入用戶的電腦，為其他人的攻擊打開后門，與戰(zhàn)爭中的“木馬”戰(zhàn)術(shù)十分相似，因而得名木馬程序。木馬程序一般由兩部分組成的，分別是Server（服務(wù)）端程序和Client（客戶）端程序。其中Server端程序安裝在被控制計(jì)算機(jī)上，Client端程序安裝在控制計(jì)算機(jī)上，Server端程序和Client端程序建立起連接就可以實(shí)現(xiàn)對遠(yuǎn)程計(jì)算機(jī)的控制了。首先，服務(wù)器端程序獲得本地計(jì)算機(jī)的最高操作權(quán)限，當(dāng)本地計(jì)算機(jī)連入網(wǎng)絡(luò)后，客戶端程序可以與服務(wù)器端程序直接建立起連接，并可以向服務(wù)器端程序發(fā)送各種基本的操作請求，并由服務(wù)器端程序完成這些請求，也就實(shí)現(xiàn)了對本地計(jì)算機(jī)的控制。因?yàn)槟抉R發(fā)揮作用必須要求服務(wù)器端程序和客戶端程序同時(shí)存在，所以必須要求本地機(jī)器感染服務(wù)器端程序，服務(wù)器端程序是可執(zhí)行程序，可以直接傳播，也可以隱含在其他的可執(zhí)行程序中傳播，但木馬本身不具備繁殖性和自動(dòng)感染的功能。1.2木馬的特征據(jù)不完全統(tǒng)計(jì)，目前世界上有上千種木馬程序。雖然這些程序使用不同的程序設(shè)計(jì)語言進(jìn)行編制，在不同的環(huán)境下運(yùn)行，發(fā)揮著不同的作用，但是它們有著許多共同的特征。（1）隱蔽性隱蔽性是木馬的首要特征。木馬類軟件的server端在運(yùn)行時(shí)會(huì)使用各種手段隱藏自己，例如大家所熟悉的修改注冊表和ini文件，以便機(jī)器在下一次啟動(dòng)后仍能載入木馬程序。通常情況下，采用簡單的按“Alt+Ctrl+Del”鍵是不能看見木馬進(jìn)程的。還有些木馬可以自定義通信端口，這樣就可以使木馬更加隱秘。木馬還可以更改server端的圖標(biāo)，讓它看起來象個(gè)zip或圖片文件，如果用戶一不小，就會(huì)讓當(dāng)。（2） 功能特殊性通常，木馬的功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索目標(biāo)計(jì)算機(jī)中的口令，設(shè)置口令，掃描IP發(fā)現(xiàn)中招的機(jī)器，記錄用戶事件，遠(yuǎn)程注冊表的操作，以及顛倒屏幕，鎖定鼠標(biāo)等功能。（3） 自動(dòng)運(yùn)行性木馬程序通過修改系統(tǒng)配置文件或注冊表的方式，在目標(biāo)計(jì)算機(jī)系統(tǒng)啟動(dòng)時(shí)即自動(dòng)運(yùn)行或加載。（4） 欺騙性木馬程序要達(dá)到其長期隱蔽的目的，就必需借助系統(tǒng)中已有的文件，以防被用戶發(fā)現(xiàn)。木馬程序經(jīng)常使用的是常見的文件名或擴(kuò)展名，如“dll\win\sys\explorer等字樣，或者仿制一些不易被人區(qū)別的文件名，如字母“l(fā)”與數(shù)字“1”、字母“o”與數(shù)字“0”。還有的木馬程序?yàn)榱穗[藏自己，把自己設(shè)置成一個(gè)ZIP文件式圖標(biāo)，當(dāng)你一不小心打開它時(shí)，它就馬上運(yùn)行。木馬編制者還在不斷地研究、發(fā)掘欺騙的手段，花樣層出不窮，讓人防不勝防。（5） 自動(dòng)恢復(fù)性現(xiàn)在，很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。計(jì)算機(jī)一旦感染上木馬程序，想單獨(dú)靠刪除某個(gè)文件來清除，是不太可能的。木馬的工作原理特洛伊木馬（其名稱取自希臘神話的特洛伊木馬記，以下簡稱木馬）的英文為“TrojanHorse”，是一種基于遠(yuǎn)程控制的黑客工具程序。因此，查殺木馬最關(guān)鍵的還是要知道木馬的工作原理。常見的普通木馬一般是客戶端/服務(wù)端（Client/Server,C/S）模式，客戶端/服務(wù)端之間采用TCP/UDP的通信方式，攻擊者控制的相應(yīng)的客戶端程序，服務(wù)端程序是木馬程序，木馬程序被植入到毫不知情的用戶的計(jì)算機(jī)中。以“里應(yīng)外和”的工作方式，服務(wù)端通過打開特定的端口并進(jìn)行監(jiān)聽，這些端口好像“后門”一樣，所以，也有人把特洛伊木馬叫做后門工具。攻擊者所掌握的客戶端程序向該端口發(fā)出請求（ConnectRequest），木馬便與其連接起來。攻擊者可以使用控制器進(jìn)入計(jì)算機(jī)，通過客戶端程序命令達(dá)到控制服務(wù)器端的目的。這類木馬的一般工作模式如下圖所示。木馬的分類根據(jù)木馬程序?qū)τ?jì)算機(jī)的具體動(dòng)作方式，可以把現(xiàn)在存在的木馬程序分為以下的幾類。1、 遠(yuǎn)程訪問型木馬遠(yuǎn)程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬起著遠(yuǎn)程控制的功能，用起來非常簡單，只需一些人運(yùn)行服務(wù)端程序，同時(shí)獲得他們的ip地址，控制者就能任意訪問被控制端的計(jì)算機(jī)。這種木馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任意的事情，比如鍵盤記錄、上傳和下載功能、發(fā)射一個(gè)“截取屏幕”等等。這種類型的木馬有著名的BO(BackOffice)、國產(chǎn)的冰河等。2、 密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)的這類木馬程序不會(huì)在每次Windows重啟時(shí)都自動(dòng)加載，它們大多數(shù)使用25端口發(fā)送電子郵件。3、 鍵盤記錄型木馬鍵盤記錄型木馬是非常簡單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種木馬程序隨著Windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一個(gè)用戶事件，然后通過郵件或其他方式發(fā)送給控制者。4、 毀壞型木馬大部分木馬程序只竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動(dòng)地刪除受控制者計(jì)算機(jī)上所有的.dll或.ini或.exe文件，甚至遠(yuǎn)程格式化受害者硬盤。毀壞型木馬的危害很大，一旦計(jì)算機(jī)被感染而沒有即時(shí)刪除，系統(tǒng)中的信息會(huì)在頃刻間“灰飛煙滅”。5、 FTP型木馬FTP型木馬打開被控制計(jì)算機(jī)的21端口(FTP所使用的默認(rèn)端口)，使每一個(gè)人都可以用一個(gè)FTP客戶端程序來不用密碼連接到受控制端計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳和下載，竊取受害者的機(jī)密文件。6、 DoS攻擊木馬隨著DoS攻擊越來越廣泛的應(yīng)用，被用作DoS攻擊的木馬也越來越流行起來。當(dāng)黑客入侵一臺機(jī)器后，給他種上DoS攻擊木馬，那么日后這臺計(jì)算機(jī)就成為黑客DoS攻擊的最得力助手了。黑客控制的肉雞數(shù)量越多，發(fā)動(dòng)DoS攻擊取得成功的機(jī)率就越大。所以，這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而是體現(xiàn)在黑客利用它來攻擊一臺又一臺計(jì)算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來損失。

還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機(jī)器被感染，木馬就會(huì)隨機(jī)生成各種各樣主題的信件，對特定的郵箱不停地發(fā)送郵件，一直到對方癱瘓、不能接受郵件為止。7、 反彈端口型木馬木馬開發(fā)者在分析了防火墻的特性后發(fā)現(xiàn)：防火墻對于連入的鏈接往往會(huì)進(jìn)行非常嚴(yán)格的過濾，但是對于連出的鏈接卻疏于防范。與一般的木馬相反，反彈端口型木馬的服務(wù)端（被控制端）使用主動(dòng)端口，客戶端（控制端）使用被動(dòng)端口。木馬定時(shí)監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動(dòng)連結(jié)控制端打開的被動(dòng)端口；為了隱蔽起見，控制端的被動(dòng)端口一般開在80，即使用戶使用掃描軟件檢查自己的端口時(shí)，發(fā)現(xiàn)類似TCPUserIP:1026ControllerIP:80ESTABLISHED的情況，稍微疏忽一點(diǎn)，就會(huì)以為是自己在瀏覽網(wǎng)頁，因?yàn)闉g覽網(wǎng)頁都會(huì)打開80端口的。8、 代理木馬黑客在入侵的同時(shí)掩蓋自己的足跡，謹(jǐn)防別人發(fā)現(xiàn)自己的身份是非常重要的，因此，給被控制的肉雞種上代理木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板就是代理木馬最重要的任務(wù)。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet，ICQ，IRC等程序，從而隱蔽自己的蹤跡。9、 程序殺手木馬上面的木馬功能雖然形形色色，不過到了對方機(jī)器上要發(fā)揮自己的作用，還要過防木馬軟件這一關(guān)才行。常見的防木馬軟件有ZoneAlarm,NortonAnti-Virus等。程序殺手木馬的功能就是關(guān)閉對方機(jī)器上運(yùn)行的這類程序，讓其他的木馬更好地發(fā)揮作用木馬的功能木馬程序的危害是十分大的，它能使遠(yuǎn)程用戶獲得本地機(jī)器的最高操作權(quán)限，通過網(wǎng)絡(luò)對本地計(jì)算機(jī)進(jìn)行任意的操作，比如刪添程序、鎖定注冊表、獲取用戶保密信息、遠(yuǎn)程關(guān)機(jī)等。木馬使用戶的電腦完全暴露在網(wǎng)絡(luò)環(huán)境之中，成為別人操縱的對象。就目前出現(xiàn)的木馬來看，大致具有以下功能：1、 自動(dòng)搜索已中木馬的計(jì)算機(jī)；2、 對對方資源管理，復(fù)制文件、刪除文件、查看文件內(nèi)容、上傳文件、下載文件等；3、 遠(yuǎn)程運(yùn)行程序；4、 跟蹤監(jiān)視對方屏幕；5、 直接屏幕鼠標(biāo)控制，鍵盤輸入控制；6、 監(jiān)視對方任務(wù)且可以中止對方任務(wù)；7、 鎖定鼠標(biāo)、鍵盤和屏幕；

8、 遠(yuǎn)程重新啟動(dòng)計(jì)算機(jī)、關(guān)機(jī)；9、 記錄、監(jiān)視按鍵順序、系統(tǒng)信息等一切操作；10、 隨意修改注冊表；11、 共享被控制端的硬盤；12、 亂屏等耍弄人操作。木馬的工作過程配置木馬一般來說，一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)以下兩個(gè)功能。（1） 木馬偽裝。木馬配置程序?yàn)榱嗽诜?wù)器端盡可能隱藏好，會(huì)采用多種偽裝手段，如修改圖標(biāo)、捆綁文件、定制端口、自我銷毀等。（2） 信息反饋。木馬配置程序會(huì)根據(jù)信息反饋的方式或地址進(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址、IRC號、ICQ號等。傳播木馬配置好木馬后，就要傳播過去。木馬的傳播方式主要有：控制端通過E-mail將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開附件就會(huì)感染木馬；軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝；通過QQ等通信軟件進(jìn)行傳播；通過病毒的夾帶把木馬傳播出去。啟動(dòng)木馬木馬程序傳播給對方后，接下來是啟動(dòng)木馬。一種方式是被動(dòng)地等待木馬或捆綁木馬的程序被主動(dòng)運(yùn)行，這是最簡單的木馬。大多數(shù)首先將自身復(fù)制到Windows的系統(tǒng)文件夾中（C:\WINNT,C:\WINNT\system32或C:\WINNT\temp目錄下），然后寫入注冊表啟動(dòng)組，非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。一般系統(tǒng)重新啟動(dòng)時(shí)木馬就可以啟動(dòng)，然后木馬打開端口，等待連接。建立連接一個(gè)木馬連接的建立必須滿足兩個(gè)條件：一是服務(wù)器端已安裝了木馬程序；二是控制端、服務(wù)器端都要在線。在此基礎(chǔ)上控制端可以通過木馬端口與服務(wù)器端建立連接?？刂贫丝梢愿鶕?jù)提前配置的服務(wù)器地址、定制端口來建立連接；或者是用掃描器，根據(jù)掃描結(jié)果中檢測哪些計(jì)算機(jī)的某個(gè)端口開放，從而知道該計(jì)算機(jī)里某類木馬的服務(wù)器端在運(yùn)行，然后建立連接;或者根據(jù)服務(wù)器端主動(dòng)發(fā)回來的信息知道服務(wù)器端的地址、端口，然后建立連接。遠(yuǎn)程控制前面的步驟完成之后，就是最后的目的階段，對服務(wù)器端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)竊取密碼、文件操作、修改注冊表、鎖住服務(wù)器端以及系統(tǒng)操作等。二、木馬的傳播方式系統(tǒng)漏洞一個(gè)新安裝的系統(tǒng)在沒有安裝任何系統(tǒng)補(bǔ)丁和防火墻程序時(shí)，它遭受木馬種植的危險(xiǎn)機(jī)率非常大.眾所周知,Windows系統(tǒng)的漏洞非常多，即使你不做任何事只要系統(tǒng)連接上了網(wǎng)絡(luò)，黑客們就可以通過網(wǎng)絡(luò)掃描程序來找到你的電腦，然后再通過系統(tǒng)漏洞直接進(jìn)入你的電腦，然后在你的系統(tǒng)中偷偷安裝上木馬程序，讓你在不知不覺間就中了招，成為了別人的肉雞.文件捆綁這是黑客種植木馬最常用的手段之一.將木馬程序捆綁在正常的程序或文件中，當(dāng)別人下載并運(yùn)行后，被捆綁木馬的程序和文件可以正常運(yùn)行，但在運(yùn)行過程中,木馬程序也已經(jīng)悄悄運(yùn)行了，這起到了很好的迷惑作用.黑客通常會(huì)將木馬程序捆綁到一個(gè)廣為傳播的熱門軟件上來誘使他人下載，并把它放到下載網(wǎng)站或網(wǎng)站論壇中使其在網(wǎng)絡(luò)上傳播.文件偽裝將木馬程序偽裝成其它文件是黑客種植木馬最簡單也是最常用的手段.比如修改木馬程序的圖標(biāo)，文件名或后綴名,使它看起來與另外一個(gè)正常文件別無二樣，而且為了讓人容易接受，常常會(huì)偽裝成熱門文件來誘使對方打開.偽裝木馬最常用的傳播方式就是通過電子郵件和QQ等即時(shí)通訊軟件來傳播.很多朋友對電子郵件的附件或QQ好友發(fā)送的文件會(huì)毫不猶豫的點(diǎn)擊接受，就這樣因?yàn)橐粫r(shí)粗心大意中了木馬.有的黑客在第一次發(fā)送偽裝的木馬程序給對方后，如果對方運(yùn)行后發(fā)現(xiàn)有疑問時(shí)，他就會(huì)解釋說程序壞了或是發(fā)錯(cuò)了，然后重新發(fā)送正常的程序給對方來消除對方的疑慮，而此時(shí)木馬程序已經(jīng)在運(yùn)行了.網(wǎng)頁木馬網(wǎng)頁木馬是通過網(wǎng)頁瀏覽傳播的一種木馬種植方式，此方法非常隱蔽,常常讓人在不知不覺間中招.黑客會(huì)將制作好的木馬程序放到網(wǎng)頁中，當(dāng)人們在瀏覽這些網(wǎng)頁時(shí)，木馬程序會(huì)通過系統(tǒng)或軟件的漏洞自動(dòng)安裝，或是以瀏覽該網(wǎng)頁必須的插件等名義誘騙用戶點(diǎn)擊安裝等等。方式偷偷進(jìn)駐到別人的電腦中，讓人防不勝防.三、木馬攻防感想計(jì)算機(jī)的廣泛應(yīng)用把人類帶入了一個(gè)全新的時(shí)代，特別是計(jì)算機(jī)網(wǎng)絡(luò)的社會(huì)化，已經(jīng)成為了信息時(shí)代的主要推動(dòng)力。然而，網(wǎng)絡(luò)是一把雙刃劍，隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展。尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，帶來了前所未有