《木马攻击及防御技术实验报告》由会员分享,可在线阅读,更多相关《木马攻击及防御技术实验报告(7页珍藏版)》请在金锄头文库上搜索。
1、目录第一章弓|言1第二章木马概述12.1木马的定义及特点12.2木马的工作原理22.3木马的分类第三章常见的木马攻击手段3.1捆绑方式3.2邮件和QQ冒名欺骗3.3网页木马方式3.4伪装成其他文件第四章木马的防范措施4.1安装个人防火墙、木马查杀软件和及时安装系统补丁4.2隐藏IP和关闭不必要的端口4.3使用虚拟计算机4.4关闭不必要的服务选项4.5定期检查电脑的启动项4.6不要随意打开邮件4.7谨慎下载和安装第三方软件第五章总结参考文献第一章引言随着计算机的日益普及,人们对于“木马”一词已不陌生。木马危害性大, 隐蔽性强,是目前攻击计算机信息系统的主要手段之一,由木马所造成的信息系 统破坏的
2、情况越来越多,对计算机信息系统的安全保密构成了极大威胁,特别是 近几年来利用木马犯罪的手段层出不穷,给人民带了来巨大损失。尽管相关查杀 软件不断更新换代,但是由于木马程序自身固有的特点及其相应的隐藏技术的不 断提高,对木马程序的检测也变得更加困难。因此,深入对木马的攻击与防范技 术的研究意义重大。第二章木马概述2. 1木马的定义及特点木马全称是特洛伊木马(Trojan Horse),原指古希腊士兵藏在木马内进入 敌方城市从而占领敌方城市的故事。在计算机界把伪装成合法程序或隐藏在合 法程序中的恶意代码形象的称之为木马。这些代码或执行恶意行为,或为非授 权访问系统的特权功能而提供后门。木马具有隐藏
3、性、反检测、反清除以及与控 制端通信的特性。2.2木马的工作原理木马程序可分为两部分:控制端和被控制端。首先,在控制端(本地计算机) 上配置并生成木马程序。接着,通过直接或隐含在其他的可执行程序中的方式传 播木马程序至被控制端(对方计算机)。然后,在被控制端上运行木马程序,同 时运行控制端上的控制程序对服务端进行连接进而控制对方。最后,控制端一般 会发送命令,如键盘记录命令、文件操作命令以及敏感信息获取命令等,感染木 马程序的被控制端接收并执行这些命令,并返回相应结果到控制端。木马工作原 理图如图1所示。2.3木马的分类根据木马程序对计算机的具体操作方式,可以把现在的木马程序分为以下 几类:1
4、)远程控制型;2)密码发送型;3)键盘记录型;4)毁坏型;5)FTP 型;6)多媒体型4按木马运行的层次,可分为应用级木马和内核级木马。应用级木马,工作在 操作系统Ring 3级,由于计算机底层的操作系统中的程序、库以及内核都未受 影响,这种木马对系统的影响相对较小。典型的应用级木马有:Bingle、网络神 偷、ZXshell、灰鸽子等。内核级木马,运行在操作系统内核中,常采用驱动程 序技术实现内核级木马的加载工作。内核级木马与一般检测工具一样运行在系统 内核,隐蔽性较高,查杀难度大,是当前的主流发展趋势。典型的内核级木马有: Hackerdoor、HE4HOOK、FU Rootkit 等。第
5、三章常见的木马攻击手段3.1捆绑方式所谓捆绑方式,是指将一个木马程序与正常程序捆绑在一起,从而达到入 侵和“存活”的目的。譬如使用“EXE文件合并粉碎机”,把2个程序选择进去, 然后提取正常程序的图标,点击开始合并即可完成捆绑工作。接着把捆绑好木马 的程序到各大软件下载网站上发布,加点迷惑信息以吸引用户下载,一旦用户下 载和安装所谓的应用程序后,木马的服务端程序就自动加载到用户的计算机 中。即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上 去,继续“存活”下去。3.2邮件和QQ冒名欺骗邮件冒名欺骗是指用匿名邮件工具冒充好友或大型网站、机构、单位向别人 发木马附件,别人下载附件并
6、一旦运行就会中木马5。如冒充单位的系统管理 员,向各个客户端发送系统补丁或是其它安装程序。同样,通过盗取别人的QQ 号码,然后使用这个QQ号码给该QQ号码中的好友们发去木马程序,由于信任 被盗号码的主人,好友们会毫不犹豫地运行木马程序,从而达到目的。这就是常 用的QQ冒名欺骗方式。3.3网页木马方式利用网页木马生成器,在个人网页空间上捆绑木马,然后用各种方式诱使别 人链接到入侵者个人网页上,使其计算机种上入侵者的木马。常用的方法有:在 个人网页上提供各类流行的视频、软件等,并在各大网站当中粘贴入侵者的URL 吸引网友访问其网页;利用各大论坛允许粘贴Flash动画的特点,在各论坛上粘 贴加工过的
7、Flash(捆绑URL),当别人浏览该帖时,就会自动访问入侵者木马网 页。3.4伪装成普通文件此方法出现的比较晚,不过现在很流行,对于Windows操作系统不熟练的操 作者,很容易上当。具体方法是把可执行文件伪装成图片或文本,在程序中把图 标改成Windows的默认图片图标,再把文件名改为*. jpg.exe。由于Windows 默认设置是“不显示已知的文件后缀名”的,文件将会显示为*. JPG的形式。 不注意的人下载并点击这个图标就会中木马。如果在程序中嵌入一张图片就更隐 蔽,更难于发现。第四章木马的防范措施4.1安装个人防火墙、木马查杀软件和及时安装系统补丁目前,国内大部分黑客只能算是伪黑
8、客。即利用网上现有的木马程序和系统 漏洞对一般用户进行攻击,而非真正意义上的黑客。因而,安装有针对性个人防 火墙,如诺顿的网络安全特警、天网个人版防火墙等,同时安装如 Trojan Remover、The Cleaner、木马克星等木马查杀软件,使其处于实时监控 状态,并定期对计算机进行扫描,能有效地防止伪黑客的入侵。当然,及时安装 官方公布的系统补丁也是很有必要的。4.2隐藏IP和关闭不必要的端口隐藏IP既可在上网的时候防止被入侵、攻击,又可提高网络访问的范围和 速度。常用的方法有:1)利用“QQ代理公布器XP”和“SocksCap32”; 2)利 用MultiProxy软件来隐藏IP地址。
9、目前,利用一些流行的黑客工具,通过扫描端口方式攻击主机的情况最多、最普 遍。因此只要我们把自己用不到的端口全部封锁起来,也就杜绝了通过端口非法 入侵的通道。限制端口的方法可通过:1)删除不需要的协议;2)利用TCP/IP 筛选。4.3使用虚拟计算机常用的虚拟机软件有VirtualBox, Virtual PC和VMware。在虚拟机当中我 们可选用安全系数较高的操作系统,如Ubuntu、OS/2等,进行网页浏览,邮件 收发,存在风险的应用程序的安装、运行等操作;而在主机当中则用兼容性较好 的Windows系列操作系统,进行日常Office办公。4.4关闭不必要的服务选项在Windows操作系统
10、中提供了很多系统服务以方便管理,但其开启服务有相 当的部分一般用户是不需要的,这样不但增大了系统的开销,同时也给入侵者打 开了方便之门,所以用户可以根据需要在服务管理器中进行设置,在允许的情况 下使用尽可能少的服务。具体操作如下:在控制面板一管理工具一服务一双击相 应的项进行设置即可。例如,Telnet服务选项,即远程登录服务,允许远程使 用者用Telnet登入本计算机,一般人会误解关了就无法使用BBS,这其实和BBS 无关,基于安全性的理由,如果没有特别的需求,建议最好关闭。4.5定期检查电脑的启动项一般木马都在电脑的启动项中“藏身”。让Windows自动启动程序的办法很 多,最重要的“藏身
11、”之处有10个,可归纳为两个文件夹和八个注册键。 两个文件夹:当前用户专有的启动文件夹(Documents and Settings用户名 字 开始”菜单程序启动);对所有用户有效的启动文件夹 (Documents and SettingsAll Users 开始菜单、程序、启动)。八个注册键:1) Load注册键;2) Userinit注册键;3) ExplorerRun注册键;4) RunServicesOnce 注册键;5) RunServices 注册键;6) RunOnceSetup 注册 键;7) RunOnce注册键;8) Run注册键。4.6不要随意打开邮件现在许多“木马”都是
12、通过邮件传播的。所以当你接收邮件时应做到以下几 点:1)收到来历不明的邮件时,请不要打开,应直接删除;2)安装邮件监控系 统,拒收垃圾邮件;3)对于邮件附件,要先用杀毒软件和木马查杀软件进行扫 描后再使用。4.7谨慎下载和安装第三方软件当需要使用新的软件时,用户最好到相关官方网站或可信度较高的专业软件 下载网站进行下载。在解压安装前要先用杀毒软件和木马查杀软件进行扫描。并 查看其属性,确认下载文件是否与官方公布的软件大小一致,方可决定是否安装, 因为当软件被做了捆绑容量会比以前的文件大。第五章总结随着信息技术的发展,木马的攻击技术不断进步,由此带来的网络系统安全 问题,正受到越来越多的关注。面
13、对频繁发生的网络安全事件和日益严重的安全 威胁,需要防患于未然。为了避免计算机感染上木马程序,造成难以估量的损失, 全面了解木马的攻击原理和防范策略是非常有必要的。事实上,要维护用户信息 和网络安全必须提高对木马的认识并对此加强防护。参考文献1 李斯.浅析木马程序攻击手段及防范技术J.网络安全技术与应用,2009, (8): 16-18.2 康治平.特洛伊木马可生存性研究及攻防实践D.重庆大学软件工程学院,2006.3 张红梅,范明钰.人工免疫在未知木马检测中的应用研究J.计算机应用研究,2009, 26 (10): 3894-3897.4 赵丽.木马检测方法的研究与实现D.兰州理工大学,2008.5邓吉.黑客攻防实践入门M.北京:电子工业出版社,2008,6-
