5.5木马的攻击防护技术

1、02木马的加壳与脱壳03安全解决方案01常见木马的应用常见木马的应用常见木马的应用 “灰鸽子灰鸽子”是国内一个著名的后门程序，灰鸽子是国内一个著名的后门程序，灰鸽子变变种木马种木马运行后，会自我复制到运行后，会自我复制到WindowsWindows目录下，并自目录下，并自行将安装程序删除；修改注册表，将病毒文件注册为行将安装程序删除；修改注册表，将病毒文件注册为服务项，实现开机自启；木马程序还会注入所有的进服务项，实现开机自启；木马程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀；自动开启程中，隐藏自我，防止被杀毒软件查杀；自动开启IEIE浏览器，以便与外界进行通信，侦听黑客指令，在用浏

2、览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、户不知情的情况下连接黑客指定站点，盗取用户信息、下载其他特定程序。下载其他特定程序。常见木马的应用常见木马的应用 “广外幽灵广外幽灵”，它是一个短小精悍的记录工具，它是一个短小精悍的记录工具，可以截取到可以截取到WindowsWindows窗体中的星号、黑点密码，可以窗体中的星号、黑点密码，可以记录键盘、输入法输入的英文以及汉字。记录的内容记录键盘、输入法输入的英文以及汉字。记录的内容可以通过可以通过E-mailE-mail发送到指定的邮箱，也可以保存到指发送到指定的邮箱，也可以保存到指定文件中定文件中

3、。 “广外幽灵广外幽灵”相对于同类型的软件来说，运行稳定，相对于同类型的软件来说，运行稳定，CPUCPU占用非常低，而且运行的时候在系统中不增加任占用非常低，而且运行的时候在系统中不增加任何进程与线程，只有在发送邮件的时候，才在当前用何进程与线程，只有在发送邮件的时候，才在当前用户工作的程序进程中创建一个临时线程来进行发信，户工作的程序进程中创建一个临时线程来进行发信，网络防火墙即使发出警告，所警告的程序也不会是幽网络防火墙即使发出警告，所警告的程序也不会是幽灵本身。灵本身。常见木马的应用常见木马的应用 “广外男生广外男生”与与“广外幽灵广外幽灵”一样同属于第四代一样同属于第四代木马，木马，“

4、广外男生广外男生”除了具有普通木马应该具有的特除了具有普通木马应该具有的特点以外，还具备客户端模仿点以外，还具备客户端模仿WindowsWindows资源管理器，全资源管理器，全面支持访问远程服务器端的文件系统，也同时支持通面支持访问远程服务器端的文件系统，也同时支持通过对方的过对方的“网上邻居网上邻居”访问对方内部网其他机器的共访问对方内部网其他机器的共享资源。而且其具备强大的文件操作功能：可以对远享资源。而且其具备强大的文件操作功能：可以对远程机器进行建立文件夹，整个文件夹的一次删除，支程机器进行建立文件夹，整个文件夹的一次删除，支持多选的上传、下载等基本功能。同时支持对远程文持多选的上传

5、、下载等基本功能。同时支持对远程文件的高速查找，并且可以对查找的结果进行下载和删件的高速查找，并且可以对查找的结果进行下载和删除操作。除操作。木马的加壳与脱壳v虽然木马的功能非常强大，甚至使得入侵者可以为所欲为，虽然木马的功能非常强大，甚至使得入侵者可以为所欲为，但是有了良好的杀毒工具，木马难免会被查杀。对于网络的但是有了良好的杀毒工具，木马难免会被查杀。对于网络的管理员来说，并不是经过杀毒软件扫描的程序就一定不是木管理员来说，并不是经过杀毒软件扫描的程序就一定不是木马，因为入侵者有可能会利用一些技术对木马进行修改，这马，因为入侵者有可能会利用一些技术对木马进行修改，这里介绍的就是木马的加壳与

6、脱壳技术。里介绍的就是木马的加壳与脱壳技术。v一个程序写完后，并不是把写好的程序直接提供给用户使用一个程序写完后，并不是把写好的程序直接提供给用户使用，而是需要通过一些软件对应用程序进行处理，处理的目的，而是需要通过一些软件对应用程序进行处理，处理的目的有两个，一个是为了保护程序源代码、防止被修改和破坏，有两个，一个是为了保护程序源代码、防止被修改和破坏，另一个是通过加壳后，减小程序的体积，这个处理的过程被另一个是通过加壳后，减小程序的体积，这个处理的过程被称作称作“加壳加壳”。木马通过加壳后可以实现避免被杀毒软件查。木马通过加壳后可以实现避免被杀毒软件查杀，常见的加壳软件有杀，常见的加壳软件

7、有ASPackASPack、UPXUPX、WWPACKWWPACK等等。木马的加壳与脱壳v与与加壳相反的过程称为加壳相反的过程称为“脱壳脱壳”，目的是把加壳后的，目的是把加壳后的程序恢复成毫无包装的可执行代码，这样未授权者便程序恢复成毫无包装的可执行代码，这样未授权者便可以对程序进行修改。脱壳与加壳需要使用相同的软可以对程序进行修改。脱壳与加壳需要使用相同的软件进行，例如，使用件进行，例如，使用UPXUPX对木马程序进行加壳之后，如对木马程序进行加壳之后，如果需要脱壳，仍然需要使用果需要脱壳，仍然需要使用UPXUPX进行脱壳过程。可以使进行脱壳过程。可以使用用Language 2000Lang

8、uage 2000这种检测工具发现程序加壳所使用的这种检测工具发现程序加壳所使用的软件类型。软件类型。安全解决方案为了防范木马的入侵，应该实施如下的安全措施。为了防范木马的入侵，应该实施如下的安全措施。v 使用专业厂商的正版防火墙，使用正版的杀毒软件使用专业厂商的正版防火墙，使用正版的杀毒软件，并能够正确地对防火墙和杀毒软件进行配置。，并能够正确地对防火墙和杀毒软件进行配置。v 使用工具软件隐藏自身的实际地址。使用工具软件隐藏自身的实际地址。v 注意自己电子邮箱的安全：不要打开陌生人的邮件注意自己电子邮箱的安全：不要打开陌生人的邮件，更不要在没有防护措施的情况下打开或下载邮件中的，更不要在没有防护措施的情况下打开或下载邮件中的附件附件。安全解决方案v 不要轻易运行别人通过聊天工具发来的东西，对于从不要轻易运行别人通过聊天工具发来的东西，对于从网上下载的资料或工具应该使用杀毒软件查杀确认安全网上下载的资料或工具应该使用杀毒软件查杀确认安全后再使用。后再使用。v 不要隐藏文件的扩展名，以便及时地发现木马文件。不要隐藏文件的扩展名，以便及时地发现木马文件。v 定期检查系统的服务和系统的进程，查看