论文部分内容阅读
摘要:定义了“特洛伊木马”并阐述了其由来,实现了使用VC的Winsock控件编写网络客户/服务模式程序,论述了“特洛伊木马”实现原理和控制原理,分析了其主要特征,并就手动检测和软件查杀双层防护“特洛伊木马”方法做了探讨,提出要维护用户信息和网络安全就必须重视“特洛伊木马”的危害从而加强防护。
关键词:机理;网络安全;特洛伊木马;端口
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-911-02
The Attack and Protection of TrojanHorse
WANG Fu-qiang1, CHEN Yan2, REN Zhi-kao1
(1.Qingdao University of Science and Technology, the College of Information Science and Technology, Qingdao 266061, China ;2.The 2nd Vocational Middle School of Baoding City of Hebei Province, Baoding 071000, China)
Abstract: Have defined TrojanHorse and have set forth whose reason, have come true using the VC Winsock control to compile and compose the network customer/ serving pattern procedure, the mechanism having discussed the TrojanHorse job, has analysed whose principal character , has moved and detecting and the software while you’re at it checking the method weakening bilayer protecting damage must take TrojanHorse seriously as TrojanHorse method having made investigation and discussion , having suggested that need to defend the consumer information and the network safety reinforcing protection thereby.
Key words: Mechanism; Network Security; TrojanHorse; Port
1 引言
“特洛伊木马”也称trojanHorse,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户系统被破坏、信息丢失甚至系统瘫痪。
“特洛伊木马”的本质是一个程序,自动获取计算机相关系统信息和安全信息的程序,随计算机自动启动而启动,附在某一端口侦听目标计算机。其实质只是一个通过端口进行通信的网络客户/服务程序。
2 实现原理与控制原理
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程。对于“特洛伊木马”,被控制端是一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_cliet.exe是客户端应用程序。
2.1 实现原理
可以VC的Winsock控件来编写网络客户/服务程序, 实现如下:
服务器端: G_Server.LocalPort=7626(冰河的默认端口,可修改);G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626(设远程端口为冰河的默认端口)
(在这里分配一个本地端口给G_Client,也可让计算机自动分配)
G_Client.Connect(调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close(关闭连接)
G_Server.Listen (再次监听)
End Sub
客户端上传一个命令,服务端解释并执行命令。
2.2 控制原理
以用户权限运行的木马程序主要功能进行简单的概述, 主要使用Windows API函数。
1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event模拟一个键盘动作;mouse_event模拟一次鼠标事件 ;mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags; MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置 ……
2)记录各种口令信息
keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名
3)获取系统信息
(a) 取得计算机名 GetComputerName ;(b) 更改计算机名 SetComputerName
(c) 当前用户 GetUserName ;(d) 系统路径
Set FileSystem0bject = CreateObject("Scripting。FileSystemObject")(建立文件系统对象)
Set SystemDir = FileSystem0bject。getspecialfolder(1)(取系统目录) ……
4)限制系统功能
(a) 远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
当uFlags=EWX_LOGOFF 中止进程,然后注销
=EWX_SHUTDOWN 关掉系统但不关电源
=EWX_REBOOT 重新引导系统
=EWX_FORCE强迫中止没有响应的进程
=EWX_POWERDOWN 关掉系统及关闭电源
(b) 让对方掉线 RasHangUp
(c) 终止进程 ExitProcess
5)远程文件操作 :删除文件(File delete);拷贝文件(File copy);共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)
6)注册表操作:
在VB中设置Set RegEdit=CreateObject ("WScript.Shell"),开放以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)
TrojanHorse控制某些端口或链接某个端口,如20端口,21端口和80端口……,TrojanHorse通过远程控制、发送密码、记录键盘甚至发动Dos攻击等对源机实施泄漏、盗取账号和密码等破坏行为,故要引起高度重视,有效预防。
3 危害与基本特征
“特洛伊木马”程序一般分为服务器端程序和客户端程序两个部分,以寻找后门、窃取密码为主。 “特洛伊木马”通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。
隐蔽性:“特洛伊木马”隐藏在系统中,通过修改注册表和ini文件依附在其他程序中,下一次启动后仍能载入木马程序(或者有把服务器端和正常程序通过exe-binder绑定程式完成入侵,甚至把自身的.exe文件和服务器端的图片文件绑定)等等。
自动运行性:当系统启动时即自动运行,潜入在相关系统启动文件中如win.ini、system.ini、winstart.bat以及启动组等。
欺骗性:“特洛伊木马”借助系统中已有文件或常见文件名或扩展名,如“dllwinsysexplorer等字样,仿制一些不易被人区别的文件名,甚者借用系统文件中已有的文件名,另行保存或者设置ZIP文件式图标等等实现对机器和管理员的欺骗。
具备自动恢复功能:“特洛伊木马”功能模块不再是由单一的文件组成,而是具有多重备份,可相互恢复。
能自动打开特别的端口:“特洛伊木马”的目的是为了获取系统中有用的信息,一旦与远端客户通讯,“特洛伊木马”就会记录关键信息造成外泄。
功能的特殊性:“特洛伊木马”具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能特殊性。
如今为了防备被跟踪追查,“特洛伊木马”一般采用只有服务器端的“小”木马:把系统关键信息如密码等发到一个邮箱里,通过后续步骤完成对系统的控制,为此需要手动和软件查杀双层防护。
4 防护方法
1)软件查杀:现在对病毒的查杀,习惯于软件查杀,常用的反“特洛伊木马”软件有瑞星杀毒软件、木马克星、360安全卫士等它们对“特洛伊木马”都有一定的防护功能和查杀功能。建议:在使用杀毒软件查杀“特洛伊木马”时,一要保持杀毒软件的及时升级和更新,二要在断开网络在安全模式下完成查杀。
2)手动检测:根据“特洛伊木马”的特征,在注册表,文件名和端口以及进程等方面可以进行手动检测:
查找“特洛伊木马”特定文件 : “特洛伊木马”的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,删除了这两个文件,就等于关闭了“特洛伊木马”。
检查注册表 :“特洛伊木马”可以通过注册表启动(大部分的“特洛伊木马”都是通过注册表启动的),故通过检查注册表搜索注册表的蛛丝马迹。
端口扫描与查看连接: 扫描程序尝试连接某个端口或某个连接, 如果成功, 则说明端口(连接)开放;如果失败或超过某个特定的时间(超时), 则说明端口(连接)关闭。
Windows的“系统文件检查器”:对于驱动程序/动态链接库木马,通过Windows的“系统文件检查器”,“开始”→“程序”→“附件”→“系统工具”→“系统信息”→“工具”→“运行”→“系统文件检查器”检测操作系统文件的完整性。如果这些文件损坏,检查器将其还原,甚至完成从安装盘中解压缩已压缩的文件(如驱动程序等)。如果驱动程序或动态链接库在没有升级的情况下被改动了,就有可能是“特洛伊木马” (或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。
任务管理器:通过查看空闲下性能状态:CPU和内存的使用率以及进程的开放量,检测是否多占用或超运作,完成检测。
5 结束语
随着信息技术的发展,“特洛伊木马”的变种也在日新月异,对系统造成的危害也在进一步加大,需要防患于未然。但只要在使用系统过程中,访问安全网站,对不信任的ActiveX控件不做连接尝试,并升级杀毒软件,使用正确的软件查杀,并定期进行手动检测,相信“特洛伊木马”必将无所遁形,用户信息的安全必将得到维护,系统的稳定性也必将得到保证。
参考文献:
[1] 闫峰,刘淑芬.基于逃避行为检测的特洛伊木马技术研究[J].吉林大学学报(信息科学版),2007,25(6):641-645.
[2] 匡立人,杨宇.“木马”原理及其VB简单实现分析[J].现代商贸工业,2007,(12):259-260.
[3] 张新宇,卿斯汉,马恒太,等.特洛伊木马隐藏技术研究[J].通信学报,2004,25(7):153-159.
[4] 林小进,钱江.特洛伊木马隐藏技术研究[J].微计算机信息,2007,(33):59-60.
[5] 张颖卓.特洛伊木马分析与防范[J].现代计算机(下半月版),2007,(11):79-80.
[6] 孟蕾.特洛伊木马隐蔽性研究[J].电脑学习,2007,(5):4-5.
[7] 吴小博.木马的实现原理、分类和实例分析[J].网络安全技术与应用,2007,(10):56-57.
关键词:机理;网络安全;特洛伊木马;端口
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-911-02
The Attack and Protection of TrojanHorse
WANG Fu-qiang1, CHEN Yan2, REN Zhi-kao1
(1.Qingdao University of Science and Technology, the College of Information Science and Technology, Qingdao 266061, China ;2.The 2nd Vocational Middle School of Baoding City of Hebei Province, Baoding 071000, China)
Abstract: Have defined TrojanHorse and have set forth whose reason, have come true using the VC Winsock control to compile and compose the network customer/ serving pattern procedure, the mechanism having discussed the TrojanHorse job, has analysed whose principal character , has moved and detecting and the software while you’re at it checking the method weakening bilayer protecting damage must take TrojanHorse seriously as TrojanHorse method having made investigation and discussion , having suggested that need to defend the consumer information and the network safety reinforcing protection thereby.
Key words: Mechanism; Network Security; TrojanHorse; Port
1 引言
“特洛伊木马”也称trojanHorse,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户系统被破坏、信息丢失甚至系统瘫痪。
“特洛伊木马”的本质是一个程序,自动获取计算机相关系统信息和安全信息的程序,随计算机自动启动而启动,附在某一端口侦听目标计算机。其实质只是一个通过端口进行通信的网络客户/服务程序。
2 实现原理与控制原理
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程。对于“特洛伊木马”,被控制端是一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_cliet.exe是客户端应用程序。
2.1 实现原理
可以VC的Winsock控件来编写网络客户/服务程序, 实现如下:
服务器端: G_Server.LocalPort=7626(冰河的默认端口,可修改);G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626(设远程端口为冰河的默认端口)
(在这里分配一个本地端口给G_Client,也可让计算机自动分配)
G_Client.Connect(调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close(关闭连接)
G_Server.Listen (再次监听)
End Sub
客户端上传一个命令,服务端解释并执行命令。
2.2 控制原理
以用户权限运行的木马程序主要功能进行简单的概述, 主要使用Windows API函数。
1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event模拟一个键盘动作;mouse_event模拟一次鼠标事件 ;mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags; MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置 ……
2)记录各种口令信息
keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名
3)获取系统信息
(a) 取得计算机名 GetComputerName ;(b) 更改计算机名 SetComputerName
(c) 当前用户 GetUserName ;(d) 系统路径
Set FileSystem0bject = CreateObject("Scripting。FileSystemObject")(建立文件系统对象)
Set SystemDir = FileSystem0bject。getspecialfolder(1)(取系统目录) ……
4)限制系统功能
(a) 远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
当uFlags=EWX_LOGOFF 中止进程,然后注销
=EWX_SHUTDOWN 关掉系统但不关电源
=EWX_REBOOT 重新引导系统
=EWX_FORCE强迫中止没有响应的进程
=EWX_POWERDOWN 关掉系统及关闭电源
(b) 让对方掉线 RasHangUp
(c) 终止进程 ExitProcess
5)远程文件操作 :删除文件(File delete);拷贝文件(File copy);共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)
6)注册表操作:
在VB中设置Set RegEdit=CreateObject ("WScript.Shell"),开放以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)
TrojanHorse控制某些端口或链接某个端口,如20端口,21端口和80端口……,TrojanHorse通过远程控制、发送密码、记录键盘甚至发动Dos攻击等对源机实施泄漏、盗取账号和密码等破坏行为,故要引起高度重视,有效预防。
3 危害与基本特征
“特洛伊木马”程序一般分为服务器端程序和客户端程序两个部分,以寻找后门、窃取密码为主。 “特洛伊木马”通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。
隐蔽性:“特洛伊木马”隐藏在系统中,通过修改注册表和ini文件依附在其他程序中,下一次启动后仍能载入木马程序(或者有把服务器端和正常程序通过exe-binder绑定程式完成入侵,甚至把自身的.exe文件和服务器端的图片文件绑定)等等。
自动运行性:当系统启动时即自动运行,潜入在相关系统启动文件中如win.ini、system.ini、winstart.bat以及启动组等。
欺骗性:“特洛伊木马”借助系统中已有文件或常见文件名或扩展名,如“dllwinsysexplorer等字样,仿制一些不易被人区别的文件名,甚者借用系统文件中已有的文件名,另行保存或者设置ZIP文件式图标等等实现对机器和管理员的欺骗。
具备自动恢复功能:“特洛伊木马”功能模块不再是由单一的文件组成,而是具有多重备份,可相互恢复。
能自动打开特别的端口:“特洛伊木马”的目的是为了获取系统中有用的信息,一旦与远端客户通讯,“特洛伊木马”就会记录关键信息造成外泄。
功能的特殊性:“特洛伊木马”具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能特殊性。
如今为了防备被跟踪追查,“特洛伊木马”一般采用只有服务器端的“小”木马:把系统关键信息如密码等发到一个邮箱里,通过后续步骤完成对系统的控制,为此需要手动和软件查杀双层防护。
4 防护方法
1)软件查杀:现在对病毒的查杀,习惯于软件查杀,常用的反“特洛伊木马”软件有瑞星杀毒软件、木马克星、360安全卫士等它们对“特洛伊木马”都有一定的防护功能和查杀功能。建议:在使用杀毒软件查杀“特洛伊木马”时,一要保持杀毒软件的及时升级和更新,二要在断开网络在安全模式下完成查杀。
2)手动检测:根据“特洛伊木马”的特征,在注册表,文件名和端口以及进程等方面可以进行手动检测:
查找“特洛伊木马”特定文件 : “特洛伊木马”的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,删除了这两个文件,就等于关闭了“特洛伊木马”。
检查注册表 :“特洛伊木马”可以通过注册表启动(大部分的“特洛伊木马”都是通过注册表启动的),故通过检查注册表搜索注册表的蛛丝马迹。
端口扫描与查看连接: 扫描程序尝试连接某个端口或某个连接, 如果成功, 则说明端口(连接)开放;如果失败或超过某个特定的时间(超时), 则说明端口(连接)关闭。
Windows的“系统文件检查器”:对于驱动程序/动态链接库木马,通过Windows的“系统文件检查器”,“开始”→“程序”→“附件”→“系统工具”→“系统信息”→“工具”→“运行”→“系统文件检查器”检测操作系统文件的完整性。如果这些文件损坏,检查器将其还原,甚至完成从安装盘中解压缩已压缩的文件(如驱动程序等)。如果驱动程序或动态链接库在没有升级的情况下被改动了,就有可能是“特洛伊木马” (或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。
任务管理器:通过查看空闲下性能状态:CPU和内存的使用率以及进程的开放量,检测是否多占用或超运作,完成检测。
5 结束语
随着信息技术的发展,“特洛伊木马”的变种也在日新月异,对系统造成的危害也在进一步加大,需要防患于未然。但只要在使用系统过程中,访问安全网站,对不信任的ActiveX控件不做连接尝试,并升级杀毒软件,使用正确的软件查杀,并定期进行手动检测,相信“特洛伊木马”必将无所遁形,用户信息的安全必将得到维护,系统的稳定性也必将得到保证。
参考文献:
[1] 闫峰,刘淑芬.基于逃避行为检测的特洛伊木马技术研究[J].吉林大学学报(信息科学版),2007,25(6):641-645.
[2] 匡立人,杨宇.“木马”原理及其VB简单实现分析[J].现代商贸工业,2007,(12):259-260.
[3] 张新宇,卿斯汉,马恒太,等.特洛伊木马隐藏技术研究[J].通信学报,2004,25(7):153-159.
[4] 林小进,钱江.特洛伊木马隐藏技术研究[J].微计算机信息,2007,(33):59-60.
[5] 张颖卓.特洛伊木马分析与防范[J].现代计算机(下半月版),2007,(11):79-80.
[6] 孟蕾.特洛伊木马隐蔽性研究[J].电脑学习,2007,(5):4-5.
[7] 吴小博.木马的实现原理、分类和实例分析[J].网络安全技术与应用,2007,(10):56-57.