7-_破坏性程序

1,计算机病毒 Computer Virus,傅建明 F； ,武汉大学计算机学院,2,第七章 破坏性程序分析,7.1 特洛伊木马 7.2 邮件炸弹 7.3 垃圾邮件,3,7.1 特洛伊木马,木马全称是“特洛伊木马(Trojan Horse)”，原指古希腊人把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，木马指在可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，这些程序可能造成用户的系统被破坏，甚至瘫痪。,4,7.1 特洛伊木马,特洛伊木马，从本质上讲，是一种基于远程控制的工具，类似于远端管理软件，如PCAnywhere。与一般远程管理软件的区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现会采用多种手段隐藏木马。非授权性是指一旦控制端与服务端建立连接后，控制端将窃取用户密码，以及获取大部分操作权限，如修改文件、修改注册表、重启或关闭服务端操作系统、断开网络连接、控制服务端的鼠标及键盘、监视服务器端桌面操作、查看服务器端进程等，这些权限并不是用户赋予的，而是通过木马程序窃取的。,5,木马的功能,（1）窃取数据 （2）接受非授权操作者的指令 （3）篡改文件和数据 （4）删除文件和数据 （5）施放病毒 （6）使系统自毁,6,7.1.2 木马的基本原理,木马系统软件一般由木马配置程序、控制端程序和木马程序(服务器程序)等三部分组成。 木马程序，也称服务器程序，它驻留在受害者的系统中，非法获取其操作权限，负责接收控制端指令，并根据指令或配置发送数据给控制端。 木马配置程序设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏得更隐蔽，有时该配置功能被集成在控制端程序菜单内，不单独作为一个程序。 控制端程序控制远程服务器，有些程序集成了木马配置的功能。,7,8,木马的自启动,(1) 注册表启动键HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVerion下以Run开头的子键进行设置，如run和runservices子键。 HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVerionRun HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVerionRunOnce HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVerionRunOnceEx HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVerionRunServices,9,木马的自启动,(2)文件关联键KEY_LOCAL_MACHINESOFTWAREClasses文件类型Shellopencommand和HKEYCLASSES ROOT 文件类型shellopencommand下的键值。 KEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand String: C:WINNTSystem32DIAGCFG.EXE %1 %*,10,木马的自启动,(3) ini文件在win.ini的windows下的load和run后面进行设置。一般情况下命令行load=和run=后面是空白的，有些木马会在此处添加其文件名。 run=c:windowsserver.exe load=wscan.exe,11,木马的自启动,(4) 对system.ini的boot下的Shell=文件名进行设置。一般情况下该文件名是explorer.exe，有些木马会将此文件名改为木马程序名。另外，在system.ini中386enh字段中，注意段内“driver=path程序”可被木马利用。再有在system.ini中，mic、drivers、drivers32这三个字段起到加载驱动程序的作用，但也是增添木马程序的场所。,12,(5) 启动菜单。在c:windowsstartmenuprograms启动组下添加。 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders Startup=“C:windowsstart menuprogramsstartup“。 ,木马的自启动,13,(6) 捆绑文件。 实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。,木马的自启动,14,(7) 在Autoexec.bat和Config.sys中加载运行 但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。 (8) 在Winstart.bat中启动 Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了W并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。,木马的自启动,15,木马的自启动,(9).借助自动运行功能 其实硬盘也支持自动运行，你可尝试在D盘根目录下新建一个Autorun.inf，用记事本打开它，输入如下内容： autorun open=Notepad.exe (10) 通过API HOOK启动 这种方法较为高级，通过替换系统的DLL文件，让系统启动指定的程序。例如：拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接，那么黑客就会替换这个DLL，当用户的应用程序调用这个API函数，黑客的程序就会先启动，然后调用真正的函数完成这个功能,16,(11).通过浏览网页启动 通过此种途径有两种方法： 利用MIME漏洞： MIME被称为多用途Internet邮件扩展（Multipurpose Internet Mail Extensions），是一种技术规范，原用于电子邮件，现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的，在它出现前，邮件内容如果包含声音和动画，就必须把它变为ASCII码或把二进制的信息变成可以传送的编码标准，而接收方必须经过解码才可以获得声音和图画信息。,木马的自启动,17,木马的隐藏性,（1）、进程隐蔽 （2）、冒充为图像文件 （3）、合并程序欺骗 （4）、伪装成应用程序扩展组件,18,木马的预防,（1）端口扫描 （2）查看连接: netstat a Fport mport （3）查看进程/内存模块: pslist / listdlls （4）检查注册表 （5）查找文件 （6）杀病毒/木马软件,19,（1）、关端口 ICMP是IP协议的附属协议; （2）、隐藏进程:远程线程技术 （3）、争夺系统控制权:提升权限 （4）、穿透防火墙 (5)、隧道技术：HTTP隧道,木马技术的发展,20,木马技术的发展,21,分析的基本工具有： Regsnap：用于报告注册表及其它与文件系统有关项目的修改变化情况。 Fport：用于监视系统所开的端口。 Pslist:用于监视系统中正在运行的进程。 1.在装冰河服务器端之前： 用Regsnap保存当前的注册表为文件regbefore.rgs 用Pslist记录当前系统中运行的进程为文件psbefore.txt 用Fport记录当前系统中开的端口为文件ptbefore.txt 2.在装冰河服务器端之后 用Regsnap保存现在的注册表为文件reglater.rgs 用Pslist记录现在系统中运行的进程为文件pslater.txt 用Fport记录现在系统中开的端口为文件ptlater.txt,木马的示例冰河,22,木马的示例冰河,3.通过比较regbefore.rgs和reglater.rgs发现注册表的修改情况如下： 新增键值1个： 1）HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Value: String: “C:WINNTSystem32sysdll32.exe“ 修改键值2个： 2）HKEY_LOCAL_MACHINESOFTWAREClassestxtfileshellopencommand 旧值: String: “Notepad.exe %1“ 新值: String: “C:WINNTSystem32rnudll32.exe %1“ 3）HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices 旧值: 新值: String: “C:WINNTSystem32sysdll32.exe“ 发现在目录C:WINNTSystem32下新增文件2个：rnudll32.exe和sysdll32.exe。,23,木马的示例冰河,4. 通过比较psbefore.txt和pslater.txt发现新增进程1个: Name Pid Pri Thd Hnd VM WS Priv sysdll32 1560 8 5 47 28424 2848 1384 5. 通过比较ptbefore.txt和ptlater.txt发现新增端口1个: Pid Process Port Proto Path 252 sysdll32 7626 TCP C:WINNTSystem32sysdll32.exe,24,网页木马,网页木马是一个纯文本的动态脚本文件，它接受攻击者输入的指令并调用Wscript.Shell执行，达到控制的目的。如IIS环境下的一个网页木马cmd.asp源程序如下:,25, “) Then% “ & szTempFile, 0, True)% “ method=“POST“ “ ,26,7.2 邮件炸弹,邮件炸弹具体说，指的是邮件发送者，利用特殊的电子邮件软件，在很短的时间内连续不断地将邮件邮寄给同一个收信人，在这些数以千万计的大容量信件面前收件箱肯定不堪重负，而最终“爆炸身亡”。,27,电子邮件攻击主要有两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发