论文部分内容阅读
摘要:本文对网络上危害比较大的特洛伊木马病毒的入侵机制进行了详尽剖析,分析木马病毒进程隐藏技术,特别是木马DLL线程插入技术,并提出该病毒的防范措施。
关键词:特洛伊木马; 进程隐藏; DLL线程插入
特洛伊木马英文叫做“Trojanhorse”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹;所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
一、 木马病毒侵入机制
木马程序技术发展至今,已经经历了4代,第一代,即是简单的密码窃取、发送等,没有什么特别之处。第二代木马,在技术上有了很大的进步,冰河可以说是国内木马的典型代表之一。第三代木马在数据传递技术上又做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度。第四代木马在进程隐藏方面做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。
1. 木马程序的进程隐藏技术。木马病毒的隐藏分为两类,一种是真隐藏另一种是伪隐藏。真隐藏则是让程序彻底地消失,不以一个进程或者服务的方式工作;伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。
在WINDOWS系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个共同点,会生成一个独立的进程。寻找特定进程是我们发现木马的方法之一。随着入侵检测软件的不断发展,关联进程和SOCKET已经成为流行的技术。假设一个木马在运行时被检测软件同时查出端口和进程,在NT下正常情况用户进程对于系统管理员来说都是可见的。要想做到木马的进程伪隐藏,传统的方法是把木马服务器端的程序注册为一个服务就可以了,程序就会从任务列表中消失了,因为系统不认为他是一个进程。
对于第二种木马真隐藏,较新的技术是“DLL线程插入”。木马的服务器部分程序运行之后,它不具备一般进程,也不应该具备服务的,也就是说,完全地融进了系统的内核。木马程序融入或渗进Windows系统的核心文件——动态链接库文件(DLL),DLL是Dynamic Link Library的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,一般都是由进程加载并调用的。因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL,假设我们编写了一个木马DLL,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现木马DLL。如果那个进程是可信进程,那么我们编写的DLL作为那个进程的一部分,也将成为被信赖的一员而为所欲为。
2. 木马程序的自加载运行技术。让程序自运行的方法比较多,除了最常见的方法:加载程序到启动组,写程序启动路径到注册表的HKEY_LOCAL_MACHINESOFTW的方法外,还有很多其他的办法,如可以修改Boot.ini,或者通过注册表里的输入法键值直接挂接启动,通过修改Explorer.exe启动参数等等的方法。
如传奇终结者Trojan.PSW.LMir)感染此木马后,病毒把自身复制到系统目录,命名为Svchosts.exe”,然后把自身删除,在注册表自启动项HKEY_CURRENT_USERSoftware中添加“Svchosts.exe”SVCHOSTS.EXE 的键值使自己能够随系统自动运行,并释放“WinSoft3.DLL”,通过远程线程的方式注入到系统Explorer.exe中。
3. 木马程序的数据连接的隐藏。木马程序的数据传递方法有很多种,其中最常见的要属TCP,UDP传输数据的方法了,通常是利用Winsock与目标机的指定端口建立起连接,使用send和recv等API进行数据的传递。由于这种方法的隐蔽性比较差,往往容易被一些工具软件查看到,最简单的,比如在命令行状态下使用netstat命令,就可以查看到当前的活动TCP,UDP连接。
合并端口是木马使用一种端口连接方法,合并端口的方法是在一个端口上同时绑定两个TCP或者UDP连接。这听起来不可思议,但事实上确实如此,而且已经出现了使用类似方法的程序,通过把自己的木马端口绑定于特定的服务端口之上,从而达到隐藏端口的目的。
二、 木马攻击的安全防范
通过对木马入侵机制的分析,可以知道要防止木马的攻击,特别是木马通过网络漏洞的攻击,最好的方法是尽力避免计算机端口被扫描和监听,先于攻击者发现端口漏洞,并采取有效措施的主要有:
1. 及时安装操作系统补丁程序。在使用网络系统时,要设置和保管好账号、密码和系统日志文件,并对用户设定严格访问权限。
2. 关闭不用的端口。为了保证计算机和网络的安全,应把不必要端口关闭,只开放所必需的端口。
3. 安装防火墙,建立安全屏障。防火墙可以屏蔽网络的信息和结构,降低来自外部的网络入侵。
参考文献:
[1] 郭秋萍.计算机网络实用教程[M].北京航空航天大学出版社,2005.
[2] 谭响柱.计算机网络漏洞浅析及安全防护[J].网络安全技术应用,2006(1).
[3] 戚文静等.网络安全与管理 [M] . 北京:中国水利水电出版社,2004.
关键词:特洛伊木马; 进程隐藏; DLL线程插入
特洛伊木马英文叫做“Trojanhorse”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹;所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
一、 木马病毒侵入机制
木马程序技术发展至今,已经经历了4代,第一代,即是简单的密码窃取、发送等,没有什么特别之处。第二代木马,在技术上有了很大的进步,冰河可以说是国内木马的典型代表之一。第三代木马在数据传递技术上又做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度。第四代木马在进程隐藏方面做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。
1. 木马程序的进程隐藏技术。木马病毒的隐藏分为两类,一种是真隐藏另一种是伪隐藏。真隐藏则是让程序彻底地消失,不以一个进程或者服务的方式工作;伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。
在WINDOWS系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个共同点,会生成一个独立的进程。寻找特定进程是我们发现木马的方法之一。随着入侵检测软件的不断发展,关联进程和SOCKET已经成为流行的技术。假设一个木马在运行时被检测软件同时查出端口和进程,在NT下正常情况用户进程对于系统管理员来说都是可见的。要想做到木马的进程伪隐藏,传统的方法是把木马服务器端的程序注册为一个服务就可以了,程序就会从任务列表中消失了,因为系统不认为他是一个进程。
对于第二种木马真隐藏,较新的技术是“DLL线程插入”。木马的服务器部分程序运行之后,它不具备一般进程,也不应该具备服务的,也就是说,完全地融进了系统的内核。木马程序融入或渗进Windows系统的核心文件——动态链接库文件(DLL),DLL是Dynamic Link Library的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,一般都是由进程加载并调用的。因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL,假设我们编写了一个木马DLL,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现木马DLL。如果那个进程是可信进程,那么我们编写的DLL作为那个进程的一部分,也将成为被信赖的一员而为所欲为。
2. 木马程序的自加载运行技术。让程序自运行的方法比较多,除了最常见的方法:加载程序到启动组,写程序启动路径到注册表的HKEY_LOCAL_MACHINESOFTW的方法外,还有很多其他的办法,如可以修改Boot.ini,或者通过注册表里的输入法键值直接挂接启动,通过修改Explorer.exe启动参数等等的方法。
如传奇终结者Trojan.PSW.LMir)感染此木马后,病毒把自身复制到系统目录,命名为Svchosts.exe”,然后把自身删除,在注册表自启动项HKEY_CURRENT_USERSoftware中添加“Svchosts.exe”SVCHOSTS.EXE 的键值使自己能够随系统自动运行,并释放“WinSoft3.DLL”,通过远程线程的方式注入到系统Explorer.exe中。
3. 木马程序的数据连接的隐藏。木马程序的数据传递方法有很多种,其中最常见的要属TCP,UDP传输数据的方法了,通常是利用Winsock与目标机的指定端口建立起连接,使用send和recv等API进行数据的传递。由于这种方法的隐蔽性比较差,往往容易被一些工具软件查看到,最简单的,比如在命令行状态下使用netstat命令,就可以查看到当前的活动TCP,UDP连接。
合并端口是木马使用一种端口连接方法,合并端口的方法是在一个端口上同时绑定两个TCP或者UDP连接。这听起来不可思议,但事实上确实如此,而且已经出现了使用类似方法的程序,通过把自己的木马端口绑定于特定的服务端口之上,从而达到隐藏端口的目的。
二、 木马攻击的安全防范
通过对木马入侵机制的分析,可以知道要防止木马的攻击,特别是木马通过网络漏洞的攻击,最好的方法是尽力避免计算机端口被扫描和监听,先于攻击者发现端口漏洞,并采取有效措施的主要有:
1. 及时安装操作系统补丁程序。在使用网络系统时,要设置和保管好账号、密码和系统日志文件,并对用户设定严格访问权限。
2. 关闭不用的端口。为了保证计算机和网络的安全,应把不必要端口关闭,只开放所必需的端口。
3. 安装防火墙,建立安全屏障。防火墙可以屏蔽网络的信息和结构,降低来自外部的网络入侵。
参考文献:
[1] 郭秋萍.计算机网络实用教程[M].北京航空航天大学出版社,2005.
[2] 谭响柱.计算机网络漏洞浅析及安全防护[J].网络安全技术应用,2006(1).
[3] 戚文静等.网络安全与管理 [M] . 北京:中国水利水电出版社,2004.