《论冰河木马攻击及防范[整理]》由会员分享,可在线阅读,更多相关《论冰河木马攻击及防范[整理](18页珍藏版)》请在金锄头文库上搜索。
1、1 计算机网络安全论文 论冰河木马的攻防 班级: xxxxxxx 姓名: xxx 学号: xxxxxxxxxxxx 指导老师 :xxx 1 / 18 2 目录 1.内容摘要 2.绪论 3 病毒与木马区别与联系 4.木马的清除与防范 5.冰河木马的实现原理 6.冰河木马的远程控制 7.冰河木马的攻击原理与过程 8.冰河木马的防范 9.总结 2 / 18 3 1.摘要:病毒和木马是现代计算机网络的主要威胁,其中木马病毒 是最主要的威胁, 为了保障计算机网络安全, 要对计算机病毒要有所 了解。黑客( hacker) ,源于英语动词 hack,意为“劈,砍”,引 申为“干了一件非常漂亮的工作”。在早期
2、麻省理工学院的校园俚语 中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作 剧。在日本新黑客词典中,对黑客的定义是“喜欢探索软件程序 奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者 那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定 义中,我们还看不出太贬义的意味。 他们通常具有硬件和软件的高级 知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络 趋于完善和安全, 他们以保护网络为目的, 而以不正当侵入为手段找 出网络漏洞。 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算 机病毒有独特的复制能力。 计算机病毒可以很快地蔓延, 又常常难以
3、根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一 个用户传送到另一个用户时,它们就随同文件一起蔓延开来。 除复制能力外, 某些计算机病毒还有其它一些共同特性:一个被 污染的程序能够传送病毒载体。 当你看到病毒载体似乎仅仅表现在文 字和图象上时, 它们可能也已毁坏了文件、 再格式化了你的硬盘驱动 或引发了其它类型的灾害。 若是病毒并不寄生于一个污染程序,它仍 然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能 3 / 18 4 2.绪论 随着计算机科学技术的迅速发展和广泛应用,计算机系统的安全问 题已成为人们十分关注的重要课题。对计算机系统的威胁和攻击主要 有两类:一类是对
4、计算机系统实体的威胁和攻击;一类是对信息的 威胁和攻击。计算机犯罪和计算机病毒则包含了对实体和信息两个方 面的威胁和攻击。 计算机系统实体所面临的威胁和攻击主要指各种自 然灾害、场地和环境因素的影响、战争破坏和损失、设备故障、人为 破坏、各种媒体设备的损坏和丢失。对实体的威胁和攻击,不仅造成 国家财产的严重损失,而且会造成信息的泄漏和破坏。因此,对计 算机系统实体的安全保护是防止对信息威胁和攻击的有力措施。对信 息的威胁和攻击主要有两种方式:一种是信息泄漏,一种是信息破 坏。信息泄漏是指故意或偶然地侦收、截获、窃取、分析、收集到系 统中的信息,特别是机密信息和敏感信息,造成泄密事件。信息的破
5、坏是指由于偶然事故或人为因素破坏信息的完整性、正确性和可用 性,如各种软硬件的偶然故障,环境和自然因素的影响以及操作失 误造成的信息破坏,尤其是计算机犯罪和计算机病毒造成信息的修 改、删除或破坏,将导致系统资源被盗或被非法使用,甚至使系统 瘫痪。 随着计算机网络技术的发展, 网络的安全性和可靠性已成为不同使用 层次的用户共同关心的问题。 人们都希望自己的网络系统能够更加可 靠地运行,不受外来入侵者干扰和破坏。 4 / 18 5 3. 病毒与木马的区别联系 3.1.1 病毒的定义:计算机病毒( Computer Virus )在中华人民共和国 计算机信息系统安全保护条例中被明确定义, 病毒指“编
6、制者在计算机程序中 插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自熊猫烧香病 毒(尼姆亚病毒变种) 我复制的一组计算机指令或者程序代码” 。与医学上的“病毒”不同,计算机病 毒不是天然存在的, 是某些人利用计算机软件和硬件所固有的脆弱性编制的一组 指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里, 当达到某种条件时即被激活, 通过修改其他程序的方法将自己的精确拷贝或者可 能演化的形式放入其他程序中,从而感染其他程序, 对计算机资源进行破坏, 所 谓的病毒就是人为造成的。 3.1.2 产生:病毒不是来源于突发的原因。 电脑病毒的制造却来自于一次偶然 的事件,那时的
7、研究人员为了计算出当时互联网的在线人数,然而它却自己 “繁 殖” 了起来导致了整个服务器的崩溃和堵塞,有时一次突发的停电和偶然的错误, 会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱 的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与 所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成, 并且需要有一 定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流 行的病毒是由人为故意编写的, 多数病毒可以找到作者和产地信息,从大量的统 计分析来看, 病毒作者主要情况和目的是: 一些天才的程序员为了表现自己和证 明自己的能力,出于对上司
8、的不满,为了好奇,为了报复,为了祝贺和求爱,为 了得到控制口令,为了软件拿不到报酬预留的陷阱等当然也有因政治,军事, 宗教,民族专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和 黑客的测试病毒 3.2.1 木马的定义: 木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制 软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要 达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价 值”的。它是指通过一段特定的程序(木马程序)来控制另一台计算机。 木马通常有两个可执行 程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者
9、电 脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服 务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或 几个端口被打开, 使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐 私也就全无保障了!木马的设计者为了防止木马被发现,而采用多种手段隐藏 木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操 作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表, 更改计算机配置等 5 / 18 6 3.2.2 产生:木马程序 技术发展 可以说非常迅速。主要是有些年轻人 出 于好奇,或是急于显示自己实力, 不断改进木马程序的编
10、写。 至今木马程序已经 经历了六代的改进:第一代,是最原始的木马程序。主要是简单的密码窃 取,通过 电子邮件 发送信息等,具备了木马最基本的功能。第二代,在技 术上有了很大的进步,冰河是中国 木马的典型代表之一。第三代,主要改 进在数据传递技术方面, 出现了ICMP 等类型的木马, 利用畸形报文传递数据, 增 加了杀毒软件查杀识别的难度。第四代 在进程隐藏方面有了很大改动, 采 用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL 线程。或者挂接 PSAPI ,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏 效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马 。
11、第五代,驱动级木马。 驱动级木马多数都使用了大量的Rootkit 技术来达到在深度隐藏的效果,并深入 到内核空间的,感染后针对杀毒软件和网络防火墙 进行攻击,可将系统 SSDT 初 始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS ,并且很难查杀。 第六代,随着 身份认证 UsbKey 和杀毒软件 主动防御 的兴起, 黏虫技术 类型和特 殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息 为 主,后者以动态口令和硬证书攻击为主。PassCopy 和暗黑蜘蛛侠是这类木马的代 表 3.2.3 特点: 一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控
12、 制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务 端的电脑。运行了木马程序的服务端以后, 会产生一个有着容易迷惑用户的名称 的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软 件密码和用户上网密码等) ,黑客甚至可以利用这些打开的端口进入电脑系统。 特洛伊木马程序不能自动操作,一个特洛伊木马程序是包含或者安装一个存心 不良的程序的,它可能看起来是有用或者有趣的计划(或者至少无害)对一不 怀疑的用户来说, 但是实际上有害当它被运行。 特洛伊木马不会自动运行, 它是 暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时, 特洛伊木马才会运
13、行, 信息或文档才会被破坏和遗失。 特洛伊木马和后门不一样, 后门指隐藏在程序中的秘密功能, 通常是程序设计者为了能在日后随意进入系统 而设置的。特洛伊木马有两种, universal的和transitive的,universal 就是可以控制的, 而transitive是不能控制, 刻死的操作。特洛伊木马不经电 脑用户准许就可获得电脑的使用权。程序容量十分轻小, 运行时不会浪费太多资 源,因此没有使用杀毒软件是难以发觉的;运行时很难阻止它的行动,运行后, 立刻自动登录在系统引导区,之后每次在Windows 加载时自动运行;或立刻自动 变更文件名, 甚至隐形; 或马上自动复制到其他文件夹中,运
14、行连用户本身都无 法运行的动作。 3.3.1 病毒木马的区别与联系: 一般认为:蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性 6 / 18 7 外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对 网络造成拒绝服务, 以及与黑客技术相结合等等。 蠕虫病毒主要的破坏方式是大 量的复制自身, 然后在网络中传播, 严重的占用有限的网络资源,最终引起整个 网络的瘫痪, 使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会 给全球经济造成巨大损失, 因此它的危害性是十分巨大的; 有一些蠕虫病毒还具 有更改用户文件、 将用户文件自动当附件转发的功能,更是严重的危害到
15、用户的 系统安全。 传播方式: 蠕虫病毒常见的传播方式有2种: 1. 利用系统漏洞传播蠕虫病毒利用计算机系统的设计缺陷,通过网络主动的 将自己扩散出去。 2. 利用电子邮件传播蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到 整个网络中,这也是是个人计算机被感染的主要途径。 木马病毒 : 完整的木马病毒程序一般由两个部分组成,一个是服务器程序,一个是控制程序, 被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马, 就 如同你的家被人偷偷的装上了后门一样,将变得毫无秘密可言。 拥有控制程序的 人随时可以检查你的文件,做系统管理员才能做的工作(例如格式化磁盘),你 的计算机上的所有
16、文件、 程序,以及在你使用到的所有帐号、密码都会被别人轻 松的窃走。 传播方式: 木马程序通常通过伪装自己的方式进行传播,常见的伪装方式有:伪装成小程 序,通常会起一个很诱人的的名字,例如“FlashGet 破解程序” ,用户一旦运行 这个程序,就中了木马伪装成网页,网页的链接通常会起一个十分暧昧的名字, 诱使用户去点击它,用户一旦点击了这个链接,就中了木马把自己绑定在正常 的程序上面,高明的黑客可以通过编程把一个正版winzip 安装程序和木马编译成 一个新的文件,一旦用户安装winzip 程序,就会不知不觉地把木马种下去伪装 成邮件附件,邮件主题可能会是“好消息” , “你想赚钱吗?”等等,一旦你好奇 的打开附件,木马就安置在了你的计算机中 感染对象:木马程序感染的对象是整台计算机。 4.1 木马的清除与防范:1、查看开放端口 当前最为常见的木马通常是基于TCP/UDP 协议进行 Client 端与Server 端之间 的通讯的,这样我们就可以通过查看在本机上开放的端口,看是否有可疑的程序 打开了某个可疑的端口。例如冰河使用的监听端口是76
