《木马攻击技术彻底剖析》由会员分享,可在线阅读,更多相关《木马攻击技术彻底剖析(50页珍藏版)》请在金锄头文库上搜索。
1、毕业论文 设计 毕业论文 设计 论文 设计 题目 木马攻击技术彻底剖析 学 院 理工学院 专 业 方 向 计算机科学与技术 网络工程 年 级 班 级 网络 1101 学 生 学 号 1110712019 学 生 姓 名 指 导 老 师 2015 年 5 月 15 日 论文独创性声明 本人所呈交的毕业论文 设计 是我个人在指导教师指导下进行的研究工作及 取得的成果 除特别加以标注的地方外 论文中不包含其他人的研究成果 本论文 如有剽窃他人研究成果及相关资料若有不实之处 由本人承担一切相关责任 本人的毕业论文 设计 中所有研究成果的知识产权属三亚学院所有 本人保 证 发表或使用与本论文相关的成果时
2、署名单位仍然为三亚学院 无论何时何地 未经学院许可 决不转移或扩散与之相关的任何技术或成果 学院有权保留本人所 提交论文的原件或复印件 允许论文被查阅或借阅 学院可以公布本论文的全部或 部分内容 可以采用影印 缩印或其他手段复制保存本论文 加密学位论文解密之前后 以上声明同样适用 论文作者签名 年 月 日 木马攻击技术彻底剖析 摘要 如今是大数据的时代 有效的信息能够带来巨大的效益 它作为一种普遍 性 共享性 增值型 可处理性和多效用性的资源 使其对于人类具有特别重 要的意义 信息安全的实质就是要保护信息系统或网络信息传输中的信息资源 免受各种类型的威胁 干扰和破坏 即保证信息的安全性 信息安
3、全是一个不 容忽视的国家安全战略 任何国家 政府 部门 行业都不可避免的问题 因 此 在计算机信息安全领域 对计算机木马技术的研究已成为一个重点和热点 本文对计算机木马攻击技术进行了系统的分析和研究 主要工作如下 1 对木马的基本概念进行说明 攻击机制进行剖析 2 采用 冰河 实例进行剖析说明 3 在研究了木马隐蔽技术的基础上 提出了一个动静特征相结合的行为木 马特征检测技术基本框架 尽最大能力去检测与防范木马攻击 关键词 木马攻击 计算机信息安全 木马检测 木马防范 Trojan horse attack technologys Thorough analysis Abstract Toda
4、y is the era of big data effective information can bring huge benefits it is a kind of universality sharing value added processing and multi utility of resources which is of special significance for human The essence of information security is to protect the information systems or information transm
5、ission network information resources from various types of threats interference and destruction which is to ensure the safety of information Information security is an important national security strategy any country government departments industries are inevitable problems Therefore in the field of
6、 computer information security research on computer Trojan technology has become a key and hot This paper carried out a systematic analysis and Research on computer technology of the Trojan horse attack the main work is as follows 1 analyze the attack mechanism of basic concepts of Trojan horse 2 by
7、 the analysis of examples to illustrate the ice age 3 According to the static characteristics of the Trojan based on the weaknesses and Trojan hidden methods put forward the basic framework of the Trojan detection system of the static characteristics of Trojan detection and dynamic behavior of Troja
8、n detection combined as much as possible to prevent the Trojan horse attack Key words Trojan attacks computer information security Trojan detection Trojan guard 目录 1 绪论 1 1 1 木马研究的背景与意义 1 1 2 本课题研究的内容 2 2 木马攻击机制剖析 3 2 1 概述 3 2 2 木马的定义 4 2 3 木马的攻击模式剖析 4 2 4 木马的攻击特点剖析 5 2 5 木马攻击能力剖析 6 2 6 木马实施攻击的步骤剖析
9、7 2 7 木马伪装方法剖析 8 2 7 1 木马启动方式的隐藏技术 11 2 7 2 木马运行形式的隐藏技术 17 2 7 3 木马通信形式的隐藏技术 19 2 7 4 木马程序在宿主机磁盘上的隐藏 25 2 8 木马的传播途径剖析 26 3 冰河 木马实例分析 27 3 1 冰河 起源与发展 27 3 2 服务端与客户端实现原理 27 3 3 隐藏的实现原理 28 3 4 木马的启动实现 28 3 5 远程控制的实现原理 29 3 6 实现冰河服务器的配置 30 3 7 冰河在目标主机中的隐藏 31 3 8 冰河在目标主机中的控制 33 3 9 冰河木马的查杀 33 4 动静结合的木马检测
10、防范技术 34 4 1 基于动态行为的木马检测防范技术 34 4 1 1 行为监控检测防范木马的基本思想 34 4 1 2 动态检测与防范木马的主要方法 35 4 2 动静结合的木马检测防范体系的分析 37 4 3 动静结合的木马检测防范技术评价 39 5 结论 41 参考文献 42 致谢 43 1 绪论 1 1 木马研究的背景与意义 如今计算机科学技术的迅猛发展和广泛应用 使计算机之间的网络通信成 为现代社会不可缺少的基本组成部分 具有全球化的互联网技术影响着人类经 济 政治 社会的方方面面 对经济可持续发展 国家信息安全 国民教育和 现代化管理都起着重要的作用 随着网络技术的和信息化应用范
11、围的不断扩大 人们享受到网络带来巨大便利的同时也带来了各种各样的安全威胁 例如黑客 网络攻击 特洛伊木马 计算机病毒泛滥等 360 的抽样调查统计显示 2014 年国内有约为 31 6 比例的风险人群受到木马病毒攻击 其中有约为 1 19 的高 危人群 按照 CNNIC 在 2014 年 7 月发布 第 34 次中国互联网络发展状况统计 报告 公布的用 6 32 亿的中国网民来计算 2014 年属于风险人群的网民约有 2 亿 在 90 天内至少会曾遭到一次木马病毒攻击 其中 一个礼拜内至少遭遇 一次木马攻击的网民约 752 1 万 属于计算机经常被木马病毒 拜访 的高危 人群 它们习惯用的手段
12、是欺骗 让用户在毫不知情的情况下进行隐蔽性安装 将记录获得的信息发送给控制方 因而计算机信息的安全以及个人隐私受到了 威胁 人们正常的工作和生活都受到了严重的影响 因此 自己的计算机信息 安全该如何去保护是目前的重中之重 目前很多反病毒软件也能够对特洛伊木马进行检测查杀 但是都基于一种 静态特征码来检测 即从不同类别的特洛伊木马和计算机病毒等恶意代码样本 中抽取出特征码 放进病毒库中 用来与将要检测的软件进行特征码对比 如 果相匹则为恶意代码 但是这静态特征检测技术不能够去适应各种与木马对抗 因为其检测能力完全依赖已知的木马静态库 属于被动的去检测 有一定的滞 后性 检测新型的木马是一项持久繁
13、重的工作 要及时收集 抽取新型木马的 静态特征并更新静态特征库 由此提出了一种基于自主的 行为的 动态的木 马检测技术 能够弥补基于静态特征检测技术的不足 往后的木马检测技术都 是这方向前进 如何辨别系统行为是否正常和是否有木马在攻击都是基于动态行为检测技 术的热点和难点 特洛伊木马的主要特征是行为的潜伏性和目的的针对性 因 此管控木马存活的系统资源和木马的潜伏途径以及行为 通过网络间的通信进 行过滤和分析 这是木马动态监测技术的主要思想 本文对木马检测的入侵提 出了一个基于动态监测系统的基本框架 在网络信息通信间提升木马查杀的可 靠性 1 2 本课题研究的内容 论文对木马攻击与防范技术进行了
14、系统的分析研究 主要工作如下 1 对木马的基本概念进行系统说明 攻击机制进行剖析 2 采用 冰河木马 实例进行说明剖析 3 在研究了木马隐蔽技术的基础上 提出了一个动静特征相结合的行为木 马特征检测技术基本框架 尽最大能力去检测与防范木马攻击 2 木马攻击机制剖析 2 1 概述 木马 是 特洛伊木马 的简称 源译 Trojan horse Trojan horse 源 自一个古希腊神话故事 传说希腊人攻打特洛伊城 久久不能占领 一个木马 计划由此而生 让士兵潜伏于巨大的木马中 大部队故意撤退而将木马弃在特 洛伊城 让敌人把它当做战利品拖入城内 之后乘夜晚敌人庆祝胜利 降低警 惕时从木马中爬出来
15、 与城外的部队里因外合占领特洛伊城 而计算机网络中的木马 Trojan 是指潜伏在正常程序中的一段具备特殊 功能的代码 它本身也是一种远程控制软件 但它和正规远程控制软件有着质 区别 木马是不经过用户授权 以欺骗和网络入侵的手段装置到目标计算机中 而正规远程控制软件是用户自己安装的 因此 若某些行业或部门被安装了木 马 如国防 外交和商务部门 造成的损失是不可估量的 从木马的技术进程来看 总共能够分为四代 第一代木马主要是以窃取网络密码为主 在网络发展的早期就存在了 在 通信和潜伏方面都没有突出地方 第二代木马在技术上有了质的飞越 使用的架构是标准的 C S 架构 提供 的功能有 目标屏幕监视
16、与拍摄 远程文件管理 但是种植的木马服务器端会 打开配置好的默认端口等候客户端连接 很容易被检测出来 如 冰河 Qmitis 第三代木马在网络连接方式上做了改动 采用了 ICMP 通信协议进行通信或 者使用服务器端自主连接客户端的反向连接技术 这样能够突破防火墙的拦截 其它功能上与上一代木马没有太大的差别 还有就是在数据传输技术方面也做 了不小的改进 制作出了 ICMP 等类型的木马 通过畸形保温传输数据 增加了 木马的查杀难度 如 网络神偷 Peep201 等 第四代木马在进程潜伏上采用了内核插入式的嵌入方式 利用远程注入线 程技术 嵌入 DLL 线程 实现木马的潜伏 前几代的木马都是独立的木马 用 户能够通过启动项的描述内容很快的查杀木马 但这第四代木马选择潜伏方向 是注册表 伪装成 DLL 文件注入到正常的启动程序中 在 任务管理器 中是 无法查看到正在运行的木马 对木马的查杀难度越来越大了 如 Beast 木马 第五代木马结合了病毒 利用计算机操作系统的漏洞 直接达到入侵植入 的目标 例如噩梦 II 2 2 木马的定义 木马是为了实现特殊目的而制作且植入到目标计算机中的一类程序
