(精品)第八章 计算机木马防范

Slide Title,*,主讲人,:,于长青 邮件,地址,：,西安工业大学北方信息工程,学院,第八讲 计算机木马防范,本讲的目标,了解计算机木马的工作原理,掌握查杀计算机木马的方法（手动方式、专用工具）；,授课建议,了解计算机木马的工作原理,掌握查杀计算机木马的方法（手动方式、专用工具）；,木马程序的利用与监测,“,木马,”,指一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。,木马原则上和,Laplink,、,PCanywhere,等程序一样，只是一种远程管理工具,木马本身不带伤害性，也没有感染力，所以不能称之为病毒,(,也有人称之为第二代病毒,),计算机木马种类,键盘记录型木马,主要用来截取用户的密码资料信息，类似于,QQ,、,msn,、魔兽世界等大多网游或即使通讯程序的密码，当然，对于用户网上银行的资料记录，这类木马也能够记录下来。,远程监控型木马,Dos,攻击木马,木马技术的发展,第一代木马,个将自己伪装成特殊的程序或文件的软件，如本身伪装成一个用户登陆窗口，当用户运行了木马伪装的登陆窗口，输入用户名与密码后，木马将自动记录数据并转发给供给者，入侵者借此来获得用户的重要信息，达到自己的目的。,第二代木马,有能够进行的远程控制操作,第三代木马,由原来的服务端被动连接变为服务端主动连接,第四代木马,远程线程插入技术，将木马线程插入,DLL,线程中，增加了隐藏进程技术,典型的,C/S,结构，,隐蔽性差,隐藏、自启动和操纵服,务器等技术上有长足进步,隐藏、自启动和数据传递技术上,有根本性进步，出现了以,ICMP,进行数,据传输的木马,采用改写和替换系统文件的做法,木马连接方式,传统方式,端口反弹方式,计算机木马工作原理,运行机制,木马运行机制,第一步：木马客户端会将自己的,IP,地址以及监听端口发送给一个,“,中间机器,”,，如某网页文件，,http:/ send,欺骗,木马隐藏,在任务栏里隐藏,任务栏中隐藏文件图标,在任务管理器隐藏,把木马设置为,“,系统服务,”,，,通信端口的隐藏,加载方式,最新隐身技术,通过修改虚拟设备驱动程序,(VXD),或修改动态链接库,(DLL),来加载木马,特洛伊木马隐身方法,主要途径有,躲避,（改成重要的系统文件名）,绑定器,（将木马和合法程序混合在一起产生一个可执行的程序）,在任务栏中隐藏自己,“,化妆,”,为驱动程序,使用动态链接库技术,木马启动方式,在,win.ini,中启动,在,system.ini,中启动,通过启动组实现自启动,*.ini,修改文件关联,捆绑文件,反弹技术,木马潜伏时的常见症状,网速突然很慢，系统性能显著下降,系统进程中出现陌生进程,浏览器经常弹出网页窗口,计算机莫名重启或关机,手工查杀木马,1.,查看计算机启动时启动的所有程序有无陌生进程,2.,查看系统服务，有无非自身安装的服务。,3.,找到上述两种方式查找出的木马以及其相关程序路径。,4.,结束木马进程，删除木马启动项以及木马本身。,灰鸽子的特征,灰鸽子木马使用了,“,线程插入,”,技术以及,“,Rootkit,隐藏,”,技术。其进程在,“,任务资源管理器,”,上无法被发现。其次在,“,服务,”,列表中也隐藏了起来。,灰鸽子木马的客户端在执行后，会将其自身拷贝到系统目录（,C:windowssystem32,）下，紧接着，会释放出两个,dll,文件。比如我们设定的客户端名称是,Setup.exe,，那么运行该客户端后，会在系统目录下新增,Setup.exe,、,Setup.dll,、,Setup_Hook.dll,三个文件。,其中，,Setup.exe,是灰鸽子服务端主程序，,Setup.dll,文件实现后门功能，与灰鸽子控制端进行通信。,Setup_Hool.dll,则是通过拦截,API,调用来隐藏病毒。因此，中了灰鸽子后，我们看不到灰鸽子文件，也看不到灰鸽子在注册表以及服务项里的键值。随着灰鸽子服务端设置的不同，,Hook.dll,会插入,explorer.exe,（或者,Iexplore.exe,）进程中。,由于灰鸽子拦截了,API,调用，在常规下，木马程序文件和它注册的服务项均被隐藏，即使用户设置了,“,显示所有隐藏文件,”,，在系统目录下你也看不到它们。所以，要清除灰鸽子，用户首先得进入安全模式下。,手动清除灰鸽子木马,清除灰鸽子的服务；,删除灰鸽子程序文件，重启系统，进入,“,安全模式,”,设置显示所有文件,在系统目录下，找到,Setupdll.dll,和,Setupapi.dll,修改注册表值,HKEY_LOCAL_MACHINGSYSTEMCurrentControlSetServices,，以点击查找找到灰鸽子对应的服务选项,(GrayPigeon),来删除灰鸽子的自启动服务。,木马查杀工具,IceSword,木马查杀工具,AVG Anti-Spyware,木马防御方法总结,端口扫描,扫描程序尝试连接某个端口，如果成功，则说明端口开放；否则关闭。但对于驱动程序,/,动态链接木马，扫描端口不起作用,查看连接,在本地机上通过,netstat-a,查看所有的,TCP/UDP,连接,查看启动文件,AUTOEXEC.BAT,CONFIG.SYS,WIN.BAT,SYSTEM.INI,WIN.INI,检查注册表,通过检查注册表来发现木马在注册表里留下的痕迹,查看内存,查找文件,木马的特征文件，特殊端口,