特洛伊木馬的運(yùn)行原理及其防范措施

《特洛伊木馬的運(yùn)行原理及其防范措施》由會(huì)員分享，可在線閱讀，更多相關(guān)《特洛伊木馬的運(yùn)行原理及其防范措施（10頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學(xué)術(shù)會(huì)議論文集 -15 - 網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學(xué)術(shù)會(huì)議論文集 （甘肅省白銀市氣象局730900） 特洛伊木馬的運(yùn)行原理及其防范措施 [內(nèi)容轉(zhuǎn)廠 本嫉紹了特洛伊木馬的運(yùn)行原理.行為特征及其危害，介紹了幾種防范木馬的基本方法與常用工』 [關(guān)鍵詞]特洛伊木馬TCP/IP網(wǎng)絡(luò) 遠(yuǎn)程控制黑客 1?什么是特洛伊木馬? 特洛伊木馬（以下簡(jiǎn)稱木馬），英文叫做"Trojan horse",其名稱取自希臘神話的特洛伊 木馬記，它是一種基于遠(yuǎn)程控制的黑客工具。其本質(zhì)上屬于客戶機(jī)/服務(wù)器應(yīng)用程序，由兩部分 組成，一個(gè)是服務(wù)器端程序（服務(wù)端），一個(gè)是客戶端

2、程序（控制端）。如果你的電腦受到木 馬攻擊（即被人偷偷安裝了服務(wù)器端程序）,黑客便可通過客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)進(jìn)入并 遠(yuǎn)程控制你的微機(jī)，為所欲為：竊取密碼，刪除,修改，上傳文件，修改注冊(cè)表，甚至重啟.關(guān) 閉或鎖死你的微機(jī)，斷開網(wǎng)絡(luò)連接，控制鼠標(biāo)，鍵盤等。因此，一旦被木馬控制，你的電腦不 僅將毫無(wú)秘密可言，連對(duì)電腦的控制權(quán)也將喪失殆盡。鑒于木馬的巨大危害性.下面本文就木 馬的工作原理，運(yùn)行特證，防范措施等幾個(gè)方面給予詳細(xì)介紹，希望大家對(duì)特洛伊木馬這種攻 擊手段有一個(gè)較為透徹的了解。 2?木馬是如何進(jìn)入你的電腦并啟動(dòng)運(yùn)行的? 新安裝的電腦是沒有木馬存在的，一般黑客要想給你安裝上木馬，一

3、個(gè)辦法是寫信給你， 告訴你有一個(gè)很好的軟件，你下載并運(yùn)行該軟件但卻沒有什么反應(yīng)，這時(shí)候，木馬已經(jīng)安裝到 你的電腦中了。另一個(gè)辦法是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆 綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。木馬首先將自身拷 貝到WINDOWS的 系統(tǒng)文件夾中（C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下），然后在注 冊(cè)表的啟動(dòng)組，非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。 一般的程序需要我們點(diǎn)擊該程序才會(huì)啟動(dòng)，那么木馬是怎樣啟動(dòng)的呢？ 木馬是由其在安裝過程中設(shè)定的觸發(fā)條件啟動(dòng)的。 啟動(dòng)木馬的條件,大致出現(xiàn)在下

4、面八個(gè)地方： ⑴注冊(cè)表:打開 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CuiTentVersion\ 卜的 五個(gè)以Run和RunServices主鍵，在箕中尋找可能是啟動(dòng)木馬的鍵值。 （2）WIN?INI:C:\WINDOWS目錄下有一個(gè)配置文件win.ini,用文本方式打開，在[windows] 字段中有啟動(dòng)命令load=和run三在一般情況下是空白的，如果有啟動(dòng)程序,可能是木馬。 ⑶SYSTEM.INI:C:\WINDOWS @錄下有個(gè)配置文件systemJni,用文本方式打開，在 [386EnhL[mic], [drivers32

5、]中有命令行，在其中尋找木馬的啟動(dòng)命令。 ⑷Autoexec.bat和Config.sys:在C盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方 式一般都需要客戶端與服務(wù)器端建立連接后，將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù) 端覆蓋這兩個(gè)文件才行。 （5比INI：即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的 帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的 To ⑹注冊(cè)表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,査看其鍵值。 舉個(gè)例子，國(guó)產(chǎn)木馬“冰亦'就是修衣HKEY_C

6、LASSES_ROCmtxtfi臥shell\open\command下的 鍵值，將 “C:\WINDOWS \NOTEPAD.EXE%1” 該為 “C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”，這時(shí)你雙 擊一個(gè)TXT文件后，原本應(yīng)用NOTEPAD打開文件的，現(xiàn)在卻變成啟動(dòng)木馬 程序了。還要說(shuō)明的是不光是TXT文件，通過修改HTML, EXE, ZIP等文件的啟動(dòng)命令的 鍵值都可以啟動(dòng)木馬，不同之處只在于“文件類型”這個(gè)主鍵的差別。 ⑺捆綁文件:實(shí)現(xiàn)這種觸發(fā)條件首先要木馬客戶端和服務(wù)器端已建立連接，然后客戶端用丄 具軟件將木馬文件和某一應(yīng)用程序捆綁在一起.然后上傳到

7、服務(wù)端覆蓋原文件，這樣即使木 馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被安裝上去了。 ⑻啟動(dòng)菜單:在“開始…程序一啟動(dòng)”選項(xiàng)下也可能有木馬的觸發(fā)條件。 一旦滿足木馬啟動(dòng)的觸發(fā)條件，木馬就被激活，進(jìn)入內(nèi)存，并開啟事先定義的木馬端， 準(zhǔn)備與客戶端建立連接。 3?木馬的運(yùn)行原理 如果木馬只是被激活，潛入內(nèi)存運(yùn)行，而你沒有上網(wǎng)，那么木馬是不會(huì)對(duì)你的微機(jī)與信息 構(gòu)成危害的，但是，你一旦上網(wǎng)，黑客便可通過客戶端程序經(jīng)由TCP/IP網(wǎng)絡(luò)與在你的微機(jī)中運(yùn) 行的木馬建立連接，從而竊取信息，控制機(jī)器o具體的連接過程如下： -17 - 網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學(xué)術(shù)會(huì)議論文集

8、 -# - 網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學(xué)術(shù)會(huì)議論文集 202. 102.47. 56 一 ① ①控軸IIP②木耳端口③農(nóng)務(wù)林口 ?IK#miP 機(jī)為服務(wù)端，對(duì)于A機(jī)來(lái)說(shuō)要與B機(jī)建立連接必須知道B機(jī) 如上圖所示A機(jī)為控制端， ■■ 的木馬端口和IP地址，由于木馬端口是A機(jī)事先設(shè)定的，為已知項(xiàng)，所以最重要的是如何獲 得B機(jī)的IP地址。獲得B機(jī)的IP地址的方法主要有兩種：信息反饋和IP掃描。所謂信息反饋 是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過E-mail, irc或ico的方式告 知控制端用戶。從這封郵件中可以知道服務(wù)端的IP以及一些軟硬件信息，包括使用的操作系統(tǒng)，

9、 系統(tǒng)目錄，硬盤分區(qū)情況，系統(tǒng)口令等。另一種獲取IP的方法是IP掃描，由于撥號(hào)上網(wǎng)的IP 是動(dòng)態(tài)的.即用戶每次上網(wǎng)的IP都是不同的，所以控制端必須通過IP掃描才能確定B機(jī)的IP 地址。因?yàn)锽機(jī)裝有木馬程序，所以它的木馬端口 7626是處于開放狀態(tài)的，所以現(xiàn)在A機(jī)只 要掃描IP地址段中7626端口開放的主機(jī)就行了，例如圖中B機(jī)的1P地址是202.96.96,101,當(dāng) A機(jī)掃描到這個(gè)IP時(shí)發(fā)現(xiàn)它的7626端口是開放的，那么這個(gè)IP就會(huì)被添加到列表中，這時(shí)A 機(jī)就可以通過木馬的控制端程序向B機(jī)發(fā)出連接信號(hào)，B機(jī)中的木馬程序收到信號(hào)后立即作出 響應(yīng)，當(dāng)A機(jī)收到響應(yīng)的信號(hào)后，開啟一個(gè)隨機(jī)端口 1031

10、與B機(jī)的木馬端口 7626建立連接， 到這時(shí)一個(gè)木馬連接才算真正建立。值得一提的要掃描整個(gè)IP地址段顯然費(fèi)時(shí)費(fèi)力，一般來(lái) 說(shuō)控制端都是先通過信息反饋獲得服務(wù)端的IP地址。 木馬連接建立后.控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道，控制端上的客戶端程序 可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制(也就是 命令木馬做事情了〉。下面介紹一下控制端能夠獲取的控制權(quán)限. IV (1) 竊取密碼：一切以明文的形式，?形式或緩存在CACHE中的密碼都能被木馬偵測(cè)到，此 外很多木馬還提供有擊鍵記錄功能，它將會(huì)記錄服務(wù)端每次敲擊鍵盤的動(dòng)作，所以一旦有木馬 入侵，密碼將很容

11、易被竊取。 (2) 文件操作：控制端可藉由遠(yuǎn)程控制對(duì)服務(wù)端上的文件進(jìn)行刪除，新惠修改，上傳，下載，運(yùn)行, 更改屬性等一系列操作，基本涵蓋了 WINDOWS平臺(tái)上所有的文件操作功能。 、(3)修改注冊(cè)表：控制端可任意修改服務(wù)端注冊(cè)表.包括刪除，新建或修改主鍵，子鍵，鍵 值。有了這項(xiàng)功能控制端就可以禁止服務(wù)端軟驅(qū)，光驅(qū)的使用，鎖住服務(wù)端的注冊(cè)表，將服務(wù) 端上木馬的觸發(fā)條件設(shè)置得更隱蔽的一系列高級(jí)操作? (4)系統(tǒng)操作：這項(xiàng)內(nèi)容包括重啟或關(guān)閉服務(wù)端操作系統(tǒng)，斷開服務(wù)端網(wǎng)絡(luò)連接，控制服務(wù) 端的鼠標(biāo)，鍵盤，監(jiān)視服務(wù)端桌面操作，査看服務(wù)端進(jìn)程等。 4 ?木馬的識(shí)別 木馬被激活后，進(jìn)入內(nèi)存，并開啟

12、事先定義的木馬端口，準(zhǔn)備與控制端建立連接。這時(shí)可 以在MS-DOS方式下，鍵入NETSTAT -AN査看端口狀態(tài)，一般個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì) 有端口開放的，如果有端口開放，你就要注意是否感染木馬了。 在上網(wǎng)過程中要下載軟件，發(fā)送信件，網(wǎng)上聊天等必然打開一些端口，下面是一些常用的端口: (1) 1-1024之間的端口：這些端口叫保留端口，是專給一些對(duì)外通訊的程序用的，如FTP 使用21, SMTP使用25. POP3使用110等。只有很少木馬會(huì)用保留端口作為木馬端口的。 (2) 1025以上的連續(xù)端口：在上網(wǎng)瀏覽網(wǎng)站時(shí)，瀏覽器會(huì)打開多個(gè)連續(xù)的端口下載文字，圖 片到本地硬盤上，這些端口都

13、是1025以上的連續(xù)端口。 (3) 4000端口：這是OICQ的通訊端口。 (4) 6667端口：這是IRC的通訊端口。 除上述的端口基本可以排除在外，如發(fā)現(xiàn)還有其它端口打開.尤其是數(shù)值比較大的端口， 那就要懷疑是否感染了木馬.當(dāng)然如果木馬有定制端口的功能，那任何端口都有可能是木馬端 口。 每個(gè)木馬所打開的端口不同，根據(jù)端口號(hào)，可以識(shí)別不同的木馬，比如NETSPY木馬的端 口是7306, SUB7的端口是1243,但是，有些木馬的端口號(hào)是可以改變的，比如SUB7,黑客 通過控制器可以將端口號(hào)改變成12345等號(hào)碼。 如果有可疑的端口開放，你按照以下步驟進(jìn)行先記下這個(gè)端口號(hào)，然后打開A

14、TM軟件 看看內(nèi)存中正在運(yùn)行那些軟件，請(qǐng)把這些軟件名稱和硬盤位置用筆記到紙上，然后終止某個(gè)程 序運(yùn)行，如果端口還是開放著，那么被你終止運(yùn)行的程序不是木馬，然后繼續(xù)終止下一個(gè).直 到端口不再開放，就也就找到了木馬。 5清除木馬 找到木馬以后，需要做的第一件事情就是備份，需要備份注冊(cè)表，防止系統(tǒng)崩潰，備份有 可能是木馬的文件，如果不是木馬就可以恢復(fù)。 備份以后，還需要驗(yàn)證一下究竟是不是木馬：新建一個(gè)目錄，把木馬移到這里，運(yùn)行.看 看端口打開嗎？原目錄中是不是又生成了這個(gè)文件？如果是的話就可以確認(rèn)為木馬。 刪除木馬時(shí)，先不要在硬盤上刪除該文件！你應(yīng)該先終止該程序在內(nèi)存中的運(yùn)行，保證端 口沒有

15、打開。 其次，運(yùn)行REGEDIT,到注冊(cè)表中去査包含該文件名的鍵值，如果在啟動(dòng)組中找到就先 用筆記下鍵值，然后刪除。如果在非啟動(dòng)組中找到，你應(yīng)該設(shè)法恢復(fù)被木馬修改之前的鍵值， 如果不能恢復(fù)，就先用筆記下鍵值，然后刪除。 再次，到硬盤上去找包含該木馬文件名的INI和EXE或者DLL文件。 如果找到INI文件'先打開看看是在什么位置，比如是foxmail.ini的話，啟動(dòng)fbxmail看看, 木馬是不是進(jìn)入內(nèi)存，端口有沒有打開，如果是的話，那么是foxmailJni被修改了，幫助木馬 啟動(dòng)。修改INI文件，刪除與木馬有關(guān)的部分，就可以了。 如果是其他的EXE文件啟動(dòng)，那么運(yùn)行這個(gè)程序，如果

16、木馬被裝入內(nèi)存，打開了端口，說(shuō) 明要么是該文件啟動(dòng)木馬程序的，要么是該文件捆綁了木馬程序；如果是WINDOWS自帶的程 序，可以到安裝光盤上去禪放一個(gè)出來(lái)，覆蓋一下就行了；如果是你自己安裝的程序，可以到 其他地方弄一個(gè)來(lái)，重新安裝一下；對(duì)于DLL文件，方法與EXE文件的一樣。另外，還應(yīng)注 意后綴名是DL的文件J 最厲，重新啟動(dòng)你的機(jī)器，然后刪除硬盤上的木馬文件。 6?識(shí)別與清除木馬的常用工具 用手工判斷端口的方法只能識(shí)別一部分木馬，而且操作多有不便。因此，對(duì)付木馬你必須 有兒款上手的工具： (l)tcpview： 査看端口和線程的有力工具。只要木馬在內(nèi)存中運(yùn)行，一定會(huì)打開某個(gè)端口，只

17、要黑客進(jìn) 入你的電腦，就會(huì)有新的線程。 下載地址： ( -19 - 網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學(xué)術(shù)會(huì)議論文集 ⑵ ATM： 木馬在內(nèi)存中運(yùn)行，你想終止它運(yùn)行，ATM是最好的，它被漢化了，而且不用安裝的，你 可以在界面上清楚地看到什么軟件在運(yùn)行，軟件的硬盤位置等，對(duì)查找木馬很有幫助。 (3) REGEDIT 這是windows自帶的，位置是：C:\WINDOWS\REGEDIT.EXE,注冊(cè)表修改工具，大部分 的木馬是在注冊(cè)表的啟動(dòng)組添加鍵值，以便在電腦啟動(dòng)的時(shí)候運(yùn)行，你可以使用REGEDIT對(duì) 注冊(cè)表進(jìn)行修改，但是，請(qǐng)千萬(wàn)小心，弄錯(cuò)了可能造成系統(tǒng)崩潰。 (4) LOCKD

18、OWN 被認(rèn)為是最好的防御工具，能監(jiān)視注冊(cè)表的變化，能刪除很多木馬，目前能識(shí)別488個(gè)木 馬。卜載地址；(http://downloadJ ⑸木馬克星iparmor : 可以查殺5021種國(guó)際木馬，112種電子郵件木馬，保證查殺冰河類文件關(guān)聯(lián)木馬，oicq類 寄生木馬，icmp類幽靈木馬，網(wǎng)絡(luò)神偷類反彈木馬。內(nèi)置木馬防火墻，任何黑客試圖與本機(jī)建立 連接，都需要Iparmor確認(rèn)，不僅可以査殺木馬，更可以査黑客。 下載地址:(http://wwwJuosoftxom/iparmor.exe) □ ⑹殺毒軟件 大部分殺毒軟件都具有查殺木馬的功能。 7■木馬的預(yù)防 7.1不要隨便運(yùn)行

19、不太了解的人給你的程序，特別是后綴名為exe的可執(zhí)行程序。特洛伊木 馬程序很多，它們的安裝服務(wù)器有Boserve.exe(122k),NETSPY.EXE( 127k),如果你從Email收 到或卜'載了大小和上述文件一樣的EXE文件，運(yùn)行時(shí)可要小心了。運(yùn)行后如果程序突然消失， 或者是無(wú)任何反應(yīng)，那你很可能是被攻擊了。 co 7.2不要去不正規(guī)的站點(diǎn)(例如：黑客網(wǎng)站)去下載軟件，因?yàn)椋S多黑客將木馬隱藏在其 他軟件的安裝程序里，當(dāng)你安裝所下載的軟件時(shí)，就一并將木馬安裝到你的電腦。 7.3上網(wǎng)時(shí)留心査看網(wǎng)絡(luò)傳輸數(shù)據(jù)的變化，如果你沒有上傳或下載資料，卻顯示一直有上下 行的的數(shù)據(jù)傳輸，那么

20、.就要當(dāng)心是否受到木馬的攻擊，黑客正在竊取你的資料。 7.4防御工具LockDown LOCKDOWN被認(rèn)為是最好的動(dòng)態(tài)防護(hù)裝置。能監(jiān)視幾個(gè)WINDOWS的系統(tǒng)文件，如注冊(cè) 表和SYSTEM.INI等，如果發(fā)生改變，就立刻告訴你。那么當(dāng)你不小心運(yùn)行了某些包含木馬的 軟件，它就會(huì)提醒你。它的好處在于，能隨時(shí)監(jiān)視注冊(cè)表等文件的變化，你不用擔(dān)心誤操作， 它會(huì)提醒你，并且對(duì)刪除木馬有幫助。 7.5養(yǎng)成經(jīng)常查殺木馬的良好習(xí)慣，并留心升級(jí)最新的查殺木馬的工具或殺毒軟件。 -# - 特洛伊木馬的運(yùn)行原理及其防范措施 作者： [B 丈 t 楊文科 作者單位： 甘肅省白銀市氣象局 本文鏈接： 下載時(shí)間：2010年5月 20日