木马攻击方式的分析与应对

来源:用户上传      作者:

　　摘要:本文对木马攻击方式进行了分析,详细描述了木马攻击方式中的主要技术,然后对其应对措施展开了讨论,给出了检测程序的思路。
　　关键词:网络监听;网络攻击;通信隐藏;防火墙
　　中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 10-0000-01
　　Trojan Attack Analysis and Response
　　Tang Yi
　　(Suzhou University of Science and Technology,Suzhou215009,China)
　　Abstract:This paper analyzes Trojan horse attacks,Trojan horse attacks are described details the main technology,and then launched a discussion of their responses,given the idea of testing procedures.
　　Keywords:Network monitoring;Network attacks;Communication hidden;Firewall
　　一、引言
　　据公安部一份调查报道显示,我国近几年的计算机用户感染病毒、木马的比例连续多年都在80%以上。特洛伊木马(Trojan horse,简称木马)来源于古希腊神话,Dan Edwards将这一名称引入计算机领域。木马和病毒、蠕虫之类的恶意程序一样,具有很大的危险与破坏性。能够删除或修改文件、上传和下载文件、盗用客户信息等。这些年伴随着木马在通信隐藏、程序隐藏等方面的不断发展,对付其越来越具有了难度。本文针对木马及其一般攻击的方式进行分析,并且探讨应对措施。
　　二、典型的木马攻击方式
　　木马的攻击方式,在本文主要是知其如何地进行感染与渗透,并且进行自身的隐藏,以及进行资料的搜集或者破坏等活动。木马其攻击过程的一个典型过程如下:当服务器端在目标计算机上被执行后,这时木马程序开启默认的端口从而实现监听,而在客户机给服务器的程序发出链接请求要求时,就进行响应:有关程序开始运行实现对答客户机的应答,这样就建立了服务器端程序跟客户端之间的连接。建立链接以后,指令从客户端来发出,而服务器中则进行指令的分析与执行,并将数据传送到客户端,以达到控制主机的目的。
　　三、木马攻击方式重要技术分析
　　(一)目标的感染与植入
　　向目标主机成功植入木马是木马成功运行、发挥作用的前提。这一过程通常包含伪装、捆绑、漏洞利用等一切可能利用的技术手段。这个过程主要有:1.脚本种植技术。利用网页木马,网页木马就是当用户浏览某网页时,自动下载并运行某“木马”程序。2.利用脚本方式植入。通过ScriPt、Activex及AsP、cGI交互脚本的方式植入。3.利用系统漏洞植入。利用系统的其他一些漏洞进行植入。4.远程安装。通过一定的方法把木马执行文件传送到目标主机的电脑里再进行远程安装。
　　(二)自动加载
　　在自动加载过程,本身也是一个隐藏着的行为。这需要在操作系统启动的时候同步地启动自身,以此达到让木马在宿主机中自动运行的目的。常见的木马启动方式有:启动项加入注册表;win.ini和System.ini中的load节中添加启动项;Autoexe.bat中添加;修改Boot.ini的配置;修改Explorer.exe参数等等。
　　(三)进程隐藏以及文件隐藏
　　早期的木马进程的隐藏采取的措施比较简单,Windows9x系统要实现进程的隐藏可以通过把木马程序注册为服务的方式来达到。在Windows Nt/2000下,有些进程名字改得和系统进程非常相似,迷惑使用的人;也有的利用HOOK API技术修改函数的入口点欺骗列举本地进程的api函数;当然更好的是使用Rundll32.exe设计技术运行木马本身,这样在进程列表中显示出来的就是Rundll而非木马的可执行文件名,文件管理器中不能正确地列出木马的可执行文件。除了进程隐藏,还需要对静态文件的隐藏于保密,这里不赘述了。
　　总而言之,各怀鬼胎的木马通过以上隐秘的方式,实现了对计算机的攻击。
　　四、木马防范及应对
　　(一)意识层面
　　提高警惕,养成良好的习惯。时刻关注电脑运行的情况,当出现异常情况时如:系统自行运行文件、系统变慢、网络流量异常等,要提高警惕,查杀系统。养成良好的上网习惯,不要上一些有问题的网站,不要随意下载免费软件,不要随意打开邮件附件。
　　(二)技术层面
　　1.系统漏洞补丁的更新,及时为系统打上最新补丁。2.利用一些专杀工具。由于木马专杀工具往往对特点木马有非常好的效果,可以考虑周期性的进行应用。3.使用防火墙或者系统自带的功能如IP安全策略、端口筛选等,关闭系统特定端口,以阻断木马服务端与控制端的连接。
　　五、木马检测程序设计思路
　　对于一般使用者,可以积极采用4中所述的方法进行应对。对于更加专业的人员,可以根据木马的特点开发应对木马的工具。目前主要的木马检测方法都是对被人们已经发现的木马程序在在植入系统过程中及在系统中运行时的这些静态特征进行分析,提取出这些静态特征,构建木马的静态特征库,从而进行静态特征检测。但是这种方法强烈依赖于对木马的各种隐蔽和变化特征的深刻了解,所以检测能力不足,对未知的木马更是无能为力、有根本性的缺陷,更好的方法是应用对动态行为监测之方法。考虑到木马行为的隐蔽性和目的的恶意性,从这两点区别入手,用动态的方法控制木马植入、隐蔽和恶意操作行为所需要的资源条件,监控木马运行、通信、启动的隐蔽行为和恶意操作,对木马进行检测和防范。当然,也可以从动静两方面结合来进行木马的监测与阻隔。
　　这些行为的实施,更加有赖于对木马攻击方式的了解,要看到木马技术一直处于发展与升级的过程中,所以应对它也决不能丧失警惕,需要不断发现其攻击方式的新技术、新特征,从而提出更好的应对方法。
　　参考文献:
　　[1]周宗元,孔健行,武克南.线程插入技术的研究与防范[J].电脑知识与技术(学术交流),2007,17
　　[2]王战浩.木马攻击与防范技术研究[D].上海交通大学硕士学位论文,2007
　　[3]朱明,徐赛,刘春明.木马病毒分析及其检测方法研究[J].计算机工程与应用,2003,28:116-119
　　[4]蔺聪,黑霞丽.木马的植入与隐藏技术分析[J].信息安全与通信保密,2008,7

转载注明来源:https://www.xzbu.com/8/view-8732697.htm