《木马基础知识》由会员分享,可在线阅读,更多相关《木马基础知识(10页珍藏版)》请在金锄头文库上搜索。
1、,木马,主讲:王志炜 制作:王志炜,近代木马与恶意程序发展史,1986年,世界上第一个计算机木马出现了,它就是PC-Write木马。这款木马伪装成共享软件PC-Write的2.72版,一旦用户信以为真运行该木马程序,那么它的下场就是硬盘被格式化。 而自从BO、冰河等木马诞生以来,国内的木马历史便拉开了序幕。,1.系统里的秘密程序,早期的特洛伊木马后门先驱可以追溯到1997年那个网络在国内还未大量普及的时代。 2000年,冰河在停止更新时放出的最后一个版本让大家第一次体会到了远程控制他人计算机的心跳感觉,也在短时间内掀起了一股热潮。一时之间,国内许多计算机都对外开放了被冰河驻扎的标志-7626端
2、口,随后众多带有模仿性质和改良优化的其他后门也相应出现。,1.系统里的秘密程序,从技术上看,这个时期的木马后门普遍都是运行于用户层上,它们隐藏了窗体,并讲自己在Windows系统中注册为“服务程序”的后台网络应用程序,而且大部分并不存在自我保护功能。 这一时期的木马启动项也非常简单易找,就现在的木马发展程度来说,他们充其量只能作为初学者的木马查杀防范入门练习罢了。用户只要找到它的进程并终结,然后简单的清理一下启动项残留数据就完成了对木马的查杀。,2.绕过防火墙的反弹木马,端口反弹:客户端开启一个本地端口来监听远方连接请求,而服务端却是通过一些方法获得客户端IP以后主动来连接它,最终实现远程控制
3、。 这个思路一下子就把网络防火墙打了个措手不及,因为早期的防火墙开发者并未考虑过通过本机发起的连接请求也会出现这种意料之外的情况。于是,这个来自心灵地狱的连接请求最终和入侵者碰了头,连接成功后发生的事情就和传统木马所要做的事情一模一样了。,3.无进程木马后门,在2002年和2003年间,网络上出现了3款令当时的用户和安全技术者大呼头痛的木马作品,分别是“广外男生”、“广外女生”以及“广外幽灵”,被大家称为“广外系列”。这3款程序都是用在当时颇感新鲜的技术-“远程线程注射”,做到了国内真正意义上的第一款“无进程”木马-DLL木马。,3.无进程木马后门,“广外男生”的主体是一个可执行程序EXE和一
4、个动态链接库DLL,而EXE只是用于在开机时调用这个DLL执行木马主线程,并使用“远程线程注射”技术将DLL与这个EXE脱离开来,然后DLL的线程进入系统里现有的任意一个进程的内存空间中维持运行,而最初的EXE则会自动退出。,4.含有Rootkit技术的新型木马,Rootkit技术的最大特征,就是实现了无文件(系统的资源管理器查找不到文件)、无进程(挂接到了系统进程中)、无端口(通过系统进程向外通信)。这样的木马本身具有很多的危害性,加上“三无”技术,木马的查杀难度更加复杂。,4.含有Rootkit技术的新型木马,Rootkit技术是如今这个时代的研究主流,从最初可以在安全模式里轻易发现并删除
5、的灰鸽子保护驱动、3721保护驱动等,到现在的无视安全模式照常运行的驱动,它们在Ring0层里实现的功能早已不再是简单的文件隐藏保护手段,而是到了全面负责的地步。,4.含有Rootkit技术的新型木马,例如有一种Rootkit分为Ring3层执行程序和Ring0驱动两部分,而它的Ring3启动项是一般用户无论如何也找不出来的,因为它的驱动实现的功能是在用户系统每次启动进入桌面,所有启动项都未加载时讲Ring3层可执行程序的路径写入启动项。当桌面加载完毕、所有启动项都执行完毕后驱动又做了一件事,它将刚才自己写入的驱动项删除了,如此一来,不知情的用户根本就不知道自己的机器上存在过如此险恶的东西。,
