基于木馬入侵防御(一基本原理)

基于木馬的入侵防御木馬原理前言入侵者在攻擊成功以后，大多數(shù)種植一個(gè)自己的木馬，已備以后方便進(jìn)入系統(tǒng)。本章將介紹木馬的種類和原理。木馬的組成完整的木馬程序一般由兩個(gè)組成，一個(gè)是服務(wù)器程序，一個(gè)是控制器程序。“中了木馬”就是指安裝了木馬的服務(wù)器程序，若你的電腦被安裝了服務(wù)器程序，則擁有控制器程序的人就可以通過網(wǎng)絡(luò)控制你的電腦、為所欲為，這時(shí)你電腦上的各種文件、程序，以及在你電腦上使用的帳號(hào)、密碼就無安全可言了。木馬的工作原理實(shí)際就是一個(gè)C/S模式的程序（里應(yīng)外合）操作系統(tǒng)被植入木馬的PC（server程序）TCP/IP協(xié)議端口被植入木馬的PC（client程序）操作系統(tǒng)TCP/IP協(xié)議端口控制端端口處于監(jiān)聽狀態(tài)木馬的工作原理木馬主要通過郵件、下載等途徑傳播木馬還可通過Script、ActiveX及ASP.CGI等交互腳本進(jìn)行傳播一方面，木馬的服務(wù)器端程序會(huì)盡可能地隱蔽行蹤，同時(shí)監(jiān)聽某個(gè)端口，等待客戶端連接；另一方面，服務(wù)器端程序通過修改注冊(cè)表等方法實(shí)現(xiàn)自啟動(dòng)功能。操作小任務(wù)1：打開冰河木馬的控制端程序,生成一個(gè)服務(wù)器端程序(即被控制端程序),要求配置具體信息如下:安裝路徑為默認(rèn)文件名稱為姓名拼音,如lili.exe進(jìn)程名稱為姓名拼音。訪問口令自己定義。監(jiān)聽端口自定義。操作小任務(wù)2：驗(yàn)證操作小任務(wù)1的配置，把冰河木馬的服務(wù)器段程序以某種方式放到目標(biāo)主機(jī)上，并執(zhí)行。逐一驗(yàn)證查看操作小任務(wù)1的配置，所有的驗(yàn)證要求截屏。木馬的種類破壞型密碼發(fā)送型遠(yuǎn)程訪問型鍵盤記錄型Dos攻擊木馬代理木馬ftp木馬程序殺手木馬反彈端口型木馬破壞型惟一的功能就是破壞并且刪除文件，可以自動(dòng)的刪除電腦上的DLL、INI、EXE文件。密碼發(fā)送型可以找到隱藏密碼并把它們發(fā)送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計(jì)算機(jī)中，認(rèn)為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。許多黑客軟件可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟件長(zhǎng)期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。遠(yuǎn)程訪問型最廣泛的是特洛伊馬，只需有人運(yùn)行了服務(wù)端程序，如果客戶知道了服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。以下的程序可以實(shí)現(xiàn)觀察"受害者"正在干什么，當(dāng)然這個(gè)程序完全可以用在正道上的，比如監(jiān)視學(xué)生機(jī)的操作。鍵盤記錄木馬這種特洛伊木馬是非常簡(jiǎn)單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼DoS攻擊木馬隨著DoS攻擊越來越廣泛的應(yīng)用，被用作DoS攻擊的木馬也越來越流行起來。當(dāng)你入侵了一臺(tái)機(jī)器，給他種上DoS攻擊木馬，那么日后這臺(tái)計(jì)算機(jī)就成為你DoS攻擊的最得力助手了。你控制的肉雞數(shù)量越多，你發(fā)動(dòng)DoS攻擊取得成功的機(jī)率就越大。所以，這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺(tái)又一臺(tái)計(jì)算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來?yè)p失。特洛伊木馬具有的特性隱蔽性自動(dòng)運(yùn)行性具備自動(dòng)恢復(fù)功能能自動(dòng)打開特別的端口功能的特殊性操作小任務(wù)3：控制端找到那些電腦中了服務(wù)器端程序，進(jìn)而可以控制它。找到以后，嘗試以下控制操作，并截屏。在查看對(duì)方電腦上文件,創(chuàng)建文件，刪除文件。查看對(duì)方電腦的屏幕.控制對(duì)方電腦的屏幕.信使服務(wù),發(fā)送hello信息修改對(duì)方電腦的桌面重新啟動(dòng)對(duì)方電腦木馬是如何啟動(dòng)的作為一個(gè)優(yōu)秀的木馬，自啟動(dòng)功能是必不可少的，這樣可以保證木馬不會(huì)因?yàn)槟愕囊淮侮P(guān)機(jī)操作而徹底失去作用。正因?yàn)樵擁?xiàng)技術(shù)如此重要，所以，很多編程人員都在不停地研究和探索新的自啟動(dòng)技術(shù)，并且時(shí)常有新的發(fā)現(xiàn)。一個(gè)典型的例子就是把木馬加入到用戶經(jīng)常執(zhí)行的程序(例如explorer.exe)中，用戶執(zhí)行該程序時(shí)，則木馬自動(dòng)發(fā)生作用。當(dāng)然，更加普遍的方法是通過修改Windows系統(tǒng)文件和注冊(cè)表達(dá)到目的。木馬如何啟動(dòng)在win.ini中啟動(dòng)在win.ini中的[windows]字段中有啟動(dòng)命令“l(fā)oad=”、“run=”,默認(rèn)情況下，“=”后面是空的，可以把加載程序?qū)懺谶@里，如：

run=c:\windows\sample.exe在system.ini中啟動(dòng)system.ini位于windows的安裝目錄下，其中[boot]字段的shell=Explorer.exe是木馬常用來隱藏加載的地方，通常的做法是：shell=Explorer.exesample.exesystem.ini中的[386Enh]字段中的“driver=路徑\程序名”也可以用來實(shí)現(xiàn)自啟動(dòng)，此外[mic]、[drivers]、[drivers32]也是加載程序的好地方。木馬如何啟動(dòng)通過啟動(dòng)組實(shí)現(xiàn)自啟動(dòng)啟動(dòng)組是專門用來實(shí)現(xiàn)程序自啟動(dòng)地地方，位于“c:\documentsandsetting\administrator\starmenu\program\startup”,注冊(cè)表中對(duì)應(yīng)的位置為：“HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\shellfolders”.*.ini后綴為.ini的文件是系統(tǒng)中應(yīng)用程序的啟動(dòng)配置文件，木馬利用這些文件能自啟動(dòng)應(yīng)用程序的特點(diǎn)，將制作好的帶有木馬服務(wù)端程序的自啟動(dòng)命令的文件上傳到目標(biāo)主機(jī)，就可達(dá)到自啟動(dòng)的目的在Autoexec.bat和Config.sys中加載運(yùn)行請(qǐng)大家注意，在C盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將己添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行，而且采用這種方式不是很隱蔽。容易被發(fā)現(xiàn)，所以在Autoexec.bat和Confings中加載木馬程序的并不多見，但也不能因此而掉以輕心。在Winstart.bat中啟動(dòng)Winstart.bat是一個(gè)特殊性絲毫不亞于Autoexec.bat的批處理文件，也是一個(gè)能自動(dòng)被Windows加載運(yùn)行的文件。它多數(shù)情況下為應(yīng)用程序及Windows自動(dòng)生成，在執(zhí)行了Windows自動(dòng)生成，在執(zhí)行了W并加截了多數(shù)驅(qū)動(dòng)程序之后開始執(zhí)行(這一點(diǎn)可通過啟動(dòng)時(shí)按F8鍵再選擇逐步跟蹤啟動(dòng)過程的啟動(dòng)方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行，危險(xiǎn)由此而來。木馬如何啟動(dòng)修改文件關(guān)聯(lián)修改文件關(guān)聯(lián)是木馬們常用手段(主要是國(guó)產(chǎn)木馬，老外的木馬大都沒有這個(gè)功能)，比方說正常情況下TXT文件的打開方式為Notepad.EXE文件，但一旦中了文件關(guān)聯(lián)木馬，則txt文件打開方式就會(huì)被修改為用木馬程序打開，如著名的國(guó)產(chǎn)木馬冰河就是這樣干的.木馬如何啟動(dòng)捆綁文件實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋源文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬義會(huì)安裝上去。綁定到某一應(yīng)用程序中，如綁定到系統(tǒng)文件，那么每一次Windows啟動(dòng)均會(huì)啟動(dòng)木馬。具備自動(dòng)恢復(fù)功能現(xiàn)在很多的木馬程序中的功能模塊不再由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。當(dāng)你刪除了其中的一個(gè)，以為萬事大吉又運(yùn)行了其他程序的時(shí)候，誰(shuí)知它又悄然出現(xiàn)。像幽靈一樣，防不勝防。操作小任務(wù)4：在冰河木馬的控制端重新配置一個(gè)服務(wù)器端程序，要求如下：勾選“寫入注冊(cè)表啟動(dòng)項(xiàng)”鍵名為自己名字的拼音。勾選“關(guān)聯(lián)”關(guān)聯(lián)類型為“txtfile”.功能的特殊性通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設(shè)置口令、掃描目標(biāo)機(jī)器人的IP地址、進(jìn)行鍵盤記錄、遠(yuǎn)程注冊(cè)表的操作以及鎖定鼠標(biāo)等功能。上面所講的遠(yuǎn)程控制軟件當(dāng)然不會(huì)有這些功能，畢竟遠(yuǎn)程控制軟件是用來控制遠(yuǎn)程機(jī)器，方便自己操作而已，而不是用來黑對(duì)方的機(jī)器的。操