木马病毒原理及特征分析课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,23:38:10,#,00:03:10,1,木马病毒的原理及特征分析,10:03:151木马病毒的原理及特征分析,00:03:10,2,特洛伊木马的定义,特洛伊木马,(Trojan Horse),，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视,/,控制键盘，或窃取用户信息,古希腊特洛伊之战中利用木马攻陷特洛伊城；现代网络攻击者利用木马，采用伪装、欺骗,(,哄骗，,Spoofing),等手段进入被攻击的计算机系统中，窃取信息，实施远程监控,10:03:152特洛伊木马的定义特洛伊木马(Trojan,00:03:10,3,特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。,控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。他由黑客通过种种途径植入并驻留在目标计算机里。,10:03:153 特洛伊木马是一种秘密潜伏的能,00:03:10,4,木马可以随计算机自动启动并在某一端口进行侦听，在对目标计算机的的数据、资料、动作进行识别后，就对其执行特定的操作，并接受,“,黑客,”,指令将有关数据发送到,“,黑客大本营,”,。,这只是木马的搜集信息阶段，黑客同时可以利用木马对计算 机进行进一步的攻击！这时的目标计算机就是大家常听到的,“,肉鸡,”,了！,10:03:154 木马可以随计算机自动启动并,00:03:10,5,2,特洛伊木马病毒的危害性,特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序。,除此以外，木马还有其自身的特点：,窃取内容；,远程控制。,10:03:1552特洛伊木马病毒的危害性 特,00:03:10,6,10:03:156,00:03:10,7,常见的特洛伊木马，例如,Back Orifice,和,SubSeven,等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、,FTP,服务器、,HTTP,服务器、,Telnet,服务器，还能够寻找和窃取密码。,由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到,100 KB,至,300 KB,，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。,常见的特洛伊木马,10:03:157 常见的特洛伊木马，例如Ba,00:03:10,8,对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是,10 KB,到,30 KB,，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。,常见的特洛伊木马,10:03:158 对于功能比较单一的特洛伊,00:03:10,9,Back Orifice,是一个远程访问特洛伊木马的病毒，该程序使黑客可以经,TCP/IP,网络进入并控制,windows,系统并任意访问系统任何资源，通过调用,cmd.exe,系统命令实现自身的功能，其破坏力极大。,SubSeven,可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。,SubSeven,还具有其他功能：攻击者可以远程交换鼠标按键，关闭,/,打开,Caps Lock,、,Num Lock,和,Scroll Lock,，禁用,Ctrl+Alt+Del,组合键，注销用户，打开和关闭,CD-ROM,驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机,常见的特洛伊木马,10:03:159 Back Orifice是一个远程访问特,00:03:10,10,在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。,该软件主要用于远程监控，自动跟踪目标机屏幕变化等。冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。,1自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；,2记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；,3获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；,4限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；,5远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式,正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；,6注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；,常见的特洛伊木马,10:03:1510在2006年之前，冰河在国内一直是不可动,00:03:10,11,常见的特洛伊木马,灰鸽子（,Hack.Huigezi,）是一个集多种控制方法于一体的木马病毒，一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。,自,2001,年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。,2004,年、,2005,年、,2006,年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。,10:03:1511常见的特洛伊木马灰鸽子（Hack.Hu,00:03:10,12,特洛伊木马的定义,木马与病毒,一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的,特洛伊木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的,木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，,DLL,木马甚至采用动态嵌入技术寄生在合法程序的进程中,木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类,木马的最终意图是窃取信息、实施远程监控,木马与合法远程控制软件,(,如,pcAnyWhere),的主要区别在于是否具有隐蔽性、是否具有非授权性,10:03:1512特洛伊木马的定义木马与病毒,00:03:10,13,特洛伊木马的结构,木马系统软件一般由木马配置程序、控制程序和木马程序,(,服务器程序,),三部分组成,10:03:1513特洛伊木马的结构木马系统软件一般由木马配,00:03:10,14,特洛伊木马的基本原理,运用木马实施网络入侵的基本过程,10:03:1514特洛伊木马的基本原理运用木马实施网络入侵,00:03:10,15,特洛伊木马的基本原理,木马控制端与服务端连接的建立,控制端要与服务端建立连接必须知道服务端的木马端口和,IP,地址,由于木马端口是事先设定的，为已知项，所以最重要的是如何获得服务端的,IP,地址,获得服务端的,IP,地址的方法主要有两种：信息反馈和,IP,扫描,10:03:1515特洛伊木马的基本原理木马控制端与服务端连,00:03:10,16,特洛伊木马的基本原理,木马控制端与服务端连接的建立,10:03:1516特洛伊木马的基本原理木马控制端与服务端连,00:03:10,17,特洛伊木马的基本原理,木马通道与远程控制,木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道,控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作,10:03:1517特洛伊木马的基本原理木马通道与远程控制,00:03:10,18,特洛伊木马的传播方式,木马常用的传播方式，有以下几种：,以邮件附件的形式传播,控制端将木马伪装之后添加到附件中，发送给收件人,通过,OICQ,、,QQ,等聊天工具软件传播,在进行聊天时，利用文件传送功能发送伪装过的木马程序给对方,通过提供软件下载的网站,(Web/FTP/BBS),传播,木马程序一般非常小，只有是几,K,到几十,K,，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马,通过一般的病毒和蠕虫传播,通过带木马的磁盘和光盘进行传播,10:03:1518特洛伊木马的传播方式木马常用的传播方式，,00:03:10,19,特洛伊木马技术的发展,木马的发展及成熟，大致也经历了两个阶段,Unix,阶段,Windows,阶段,木马技术发展至今，已经经历了,4,代,第一代木马,只是进行简单的密码窃取、发送等，没有什么特别之处,第二代木马,在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马的典型代表之一,第三代木马,在数据传输技术上，又做了不小的改进，出现了,ICMP,等类型的木马，利用畸形报文传递数据，增加了查杀的难度,第四代木马,在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入,DLL,线程；或者挂接,PSAPI(Process Status API),，实现木马程序的隐藏,10:03:1519特洛伊木马技术的发展木马的发展及成熟，大,00:03:10,20,木马的高级技术,10:03:1520木马的高级技术,00:03:10,21,驻留在内存,为了生存，病毒要尽可能长时间地驻留在内存中，而不是,host,程序一结束就完蛋了。,有三种种方法，一是象,Funlove,那样在系统目录里释放一个文件，并修改注册表或者建立一个,系统服务,。这种方式很普通，也很普遍，大多数病毒包括蠕虫都这么干。,另一种方式则是感染所有的已运行进程。在,Win2K,下很容易实现,CreateRemoteThread,，但要想在所有,Win32,平台下实现，则要比较高的技巧。,工作在,ring 0,病毒，内核模式病毒。,10:03:1521驻留在内存为了生存，病毒要尽可能长时间地,00:03:10,22,内核模式病毒,WindowsNT/2K,环境下第一个以内核模式驱动程序运行，并驻留内存的寄生型病毒是,Infis.,Infis,作为内核模式驱动程序驻留内存，并且挂钩文件操作，它能够在文件打开时立即感染该文件。,安装程序把病毒拷贝到系统内存中，并在系统注册表中添加该病毒的注册项。该病毒把自己的可执行代码连同自己的,PE,文件头一起追加到目标文件的末尾，然后从自己代码中提取出一个名为,INF.SYS,的独立驱动程序，把这个程序保存在,%SystemRoot%system32 drivers,目录下，修改注册表，保证下一次系统启动时病毒也能够进入运行状态。,10:03:1522内核模式病毒WindowsNT/2K环境,00:03:10,23,检测方法,检查系统驱动程序列表中已经装入的驱动程序的名称，如果在驱动程序列表中发现了病毒驱动程序，说明基本上感染了病毒,病毒可能使用隐藏技术避免在驱动程序列表中出现，需要通过计算机管理器中的驱动程序列表。,10:03:1523检测方法检查系统驱动程序列表中已经装入的,00:03:10,24,病毒的隐藏技术,隐藏是病毒的天性，在业界对病毒的定义里，,“,隐蔽性,”,就是病毒的一个最基本特征，任何病毒都,希望,在被感染的计算机中隐藏起来不被发现，因为病毒都只有在不被发现的情况下，才能实施其破坏行为。为了达到这个目的，许多病毒使用了各种不同的技术来躲避反病毒软件的检验，这样就产生了各种各样令普通用户