网络恶意代码攻击和防御33

第七章恶意代码攻击和防御1概述什么是恶意代码？ 恶意代码是指独立的程序或者嵌入到其它程序中的代码，它在不被用户觉察的情况下启动，到达破坏电脑平安性和完整性的目的。恶意代码的分类木马、rootkit、病毒、蠕虫和网页恶意代码蠕虫与病毒的区别蠕虫指的是能够在网络上完全地复制自身的独立可执行代码。蠕虫技术融合了自复制技术、扫描技术以及缓冲区溢出等攻击技术。著名的蠕虫有1988年的Morris蠕虫、2001年的Code-Red蠕虫、2003年的SQLSlammer蠕虫和Blaster蠕虫、2004年的Sasser蠕虫等。病毒需要宿主程序通过某种方式将其激活。目前的病毒也逐渐融入将一些网络攻击的技术，如著名的Nimda病毒通过电子邮件、共享目录以及主动攻击IIS缓冲区溢出漏洞等形式到达广泛传播的效果。远程控制技术概念危害性开展历程技术类型特洛伊木马的来历希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来翻开城门，希腊将士里应外合消灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马来源于希腊神话中的特洛伊战争特洛伊木马 属于客户/效劳模式。客户端：主控端，向效劳器发送连接请求。效劳端：被控端，提供效劳，一般会翻开一个默认端口进行监听，当侦听到客户端的连接请求，便自动运行相应程序。远程控制技术远程控制实际上是包含有效劳器端和客户端的一套程序效劳器端程序驻留在目标计算机里，随着系统启动而自行启动。此外，使用传统技术的程序会在某端口进行监听，假设接收到数据就对其进行识别，然后按照识别后的命令在目标计算机上执行一些操作〔比方窃取口令，拷贝或删除文件，或重启计算机等〕攻击者一般在入侵成功后，将效劳端程序拷贝到目标计算机中，并设法使其运行，从而留下后门。日后，攻击者就能够通过运行客户端程序，来对目标计算机进行操作远程控制技术的开展历程第一代功能简单、技术单一，如简单的密码窃取和发送等第二代在技术上有了很大的进步，如国外的BO2000，国内的冰河等第三代为了躲避防火墙而在数据传递技术上做了不小的改进，比方利用ICMP协议以及采用反弹端口的连接模式第四代研究操作系统底层，在进程隐藏方面有了很大的突破传统的远程控制步骤如何远程植入程序直接攻击电子邮件文件下载浏览网页+合并文件经过伪装的木马被植入目标机器伪装方式：冒充图像文件

首先改变文件名。如把.exe改变成.jpg.exe。

其次更改文件图标。一般木马本身没有图标，系统会显示一个windows预设的图标。合并程序欺骗 将木马与一个正常的文件捆绑为一个文件。例如WinRAR可实现。伪装成应用程序扩展组件 此类属于最难识别的木马。如伪装成.dll，.ocx等，挂在一个知名的软件中。远程受控端程序的自启动注册表启动注册表简介HKEY_CLASSES_ROOT：包含了启动应用程序所需的全部信息。HKEY_CURRENT_USER：这个根键用于管理当前登陆用户的信息，包括用户的桌面配置、网络设备资源和平安权限等信息。HKEY_LOCAL_MACHINE：这里保存了控制系统和软件的相关设置，包括硬件信息、驱动程序和应用程序等。HKEY_USER：它包含了所有用户配置文件的当前活动用户信息，包括用户的环境信息、键盘配置信息、系统中安装的软件信息等等。HKEY_CURRENT_CONFIG：这个根键存放的是当前配置文件的所有信息，其实就是HKEY_LOCAL_MACHINE中内容的影射。注册表启动Run键这是最常用的注册表启动方法，在Run键下面的所有程序在用户每次登陆后都会自动执行，其键位置如下：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;RunOnce键RunOnce键只在用户首次登陆时才运行，其键位置如下：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce;RunOnceEx键这个键值只有windowsXP和windows2003才有，也可以实现自启动：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx;RunServices键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices;键利用这个键可以实现多个程序的自启动，键位置如下：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon;HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon;Load键Load键也可以实现自启动：HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows;其它键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler;系统效劳什么是Windows效劳？ Windows效劳是指实现系统功能的一段程序，它在后台运行，为本地系统和远程网络提供特定的效劳。 包括4个局部：效劳控制管理器：在系统启动的早期由Winlogon进程启动，可执行文件名是“Admin$\System32\Services.exe〞，它是系统中的一个RPC效劳器，包括了已安装效劳数据库、自动启动效劳、效劳记录列表和效劳控制管理器句柄等信息。效劳控制程序：用于实现效劳的开启、控制和查询。效劳程序：效劳程序指明了效劳的执行代码，一个效劳程序可以有多个执行代码，这由效劳的类型决定〔SERVICE_WIN32_OWN_PROCESS类型和SERVICE_WIN32_SHARE_PROCESS类型〕。效劳配置程序：用于修改、查询已经安装了的效劳信息。利用系统效劳来启动木马 采用手动修改注册表添加效劳。 系统效劳与以下几个注册表项相关：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ServicesHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services自启动目录启动自启动目录是用来启动一些应用软件的，它是windows系统中最根本的启动方式，windows系统有两个启动目录，分别是第一启动目录和第二启动目录。第一启动目录默认位置为：C:\DocumentsandSetttings\用户名\[开始]菜单\程序\启动\对应的注册表位置为：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders;“startup〞=“要启动的程序的路径〞；第二启动目录默认位置为：C:\DocumentsandSettings\AllUsers\[开始]菜单\程序\启动\对应的注册表位置为：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders;“CommonStartup〞=“要启动的程序的路径〞；系统配置文件启动系统配置文件其实是系统留给用户的一个接口，用户可以通过修改系统配置文件到达更改系统相关设置的目的。WIN.INI启动 win.ini文件记录了windows系统启动后加载用户界面的相关信息，包括程序的启动、用户桌面设置和文件关联等信息，主要完成GUI下相关的环境配置。格式如下：[windows]Run=test.exeLoad=test.exeSYSTEM.INI启动

system.ini最初是win16的系统配置文件，后来又增加了一些新的设置，通过system.ini也可以启动文件。 格式如下：

[boot] Shell=Explorer.exetest.exe

WININIT.INI启动

wininit.ini主要是用于在windows图形界面启动后不能更新、重命名或删除的文件。当系统重启后会在进入windows前查找windows.ini文件，再按照文件中指定的命令格式更新或者删除文件，在完成这写工作后，windows.ini文件本身也会被自动删除，因此正常情况下在windows系统目录下没有wininit.ini这个文件。 格式如下：

[rename] c:\windows\orig.exe=c:\test.exe

这个命令的意思是用test.exe更新orig.exe，然后删除test.exe文件，之后加载orig.exe这个程序。WINSTART.BAT启动 winstart.bat是一个系统自启动的批处理文件，也是用于系统重启后的复制、删除等任务。它也是在系统启动时运行。AUTOEXEC.BAT启动 和winstart.bat一样，autoexec.bat批处理文件也会在系统启动时执行。AutoRun.inf Autorun.inf文件是windows系统提供的，主要是用来帮助驱动器启动某些程序，比方光盘自动运行时的图标显示。Autorun.inf不仅支持光盘，也支持硬盘和U盘等各类存储设备。我们可以把木马路径写入autorun.inf文件，在用户翻开驱动器时，autorun.inf就会运行，从而加载我们的木马程序。 文件格式如下： [AutoRun] open=test.exe远程受控端程序的隐藏在任务栏〔包括任务管理器〕中隐藏自己初步隐藏注册为系统效劳不适用于Win2k/NT启动时会先通过窗口名来确定是否已经在运行，如果是那么不再启动防止过多的占用资源进程隐藏远程线程插入其他进程〔不适用于Win9X〕Hook技术远程控制数据传输方式ICMP协议传送反弹端口+HTTP隧道技术使用ICMP协议进行数据的发送由于ICMP由内核或进程直接处理而不需要通过端口。可以修改ICMP头的构造，参加木马的控制字段，木马将自己伪装成一个Ping的进程，系统就会将ICMP_ECHOREPLY的监听、处理权交给木马进程。 优点：ICMP_ECHOREPLY包对防火墙和网关有穿透能力，因为一旦不允许ICMP_ECHOREPLY报文通过就意味着主机没有方法对外进行ping操作。反弹端口连接模式>1024反弹式的远程控制程序防火墙IP数据包过滤目标主机Windows系统骗取系统IE进程木马线程正常线程进入合法应用程序正常线程…InternetExplorer浏览网页端口监听端口传统远程控制程序远程控制的防御远程端口扫描本地进程—端口观察Fport/VisionAntiyPortsAPorts本地进程观察PslistListdlls注册表监控Regmon文件监控Filemon使用专用的查杀工具加强使用者的平安意识3网页恶意代码3.1网页恶意代码的特点跨平台性，脚本程序是通过脚本解释器来执行的，不同的操作系统，只要有对应的脚本解释器，那就可以运行脚本。在通常情况下，很多系统都支持web中的脚本解释，这也为脚本程序的执行奠定了根底。隐藏性，脚本程序一般都是在后台运行的，不需要与用户交互，用户点开网页就可能运行恶意代码，这也正是网页恶意代码盛行的重要原因。穿透性，因为IE进程通常是访问效劳器的80端口，而一般防火墙是不会阻止这个端口的通信的，恶意代码通过嵌套在网页的页面里，可以很轻松的穿透防火墙，直接在目标机器里运行。3.2网页恶意代码的攻击形式网页恶意代码一般是由JavaScript、VBScript、asp、ActiveX和Flash等脚本编写，另外网页恶意代码也可以通过系统或者应用程序的漏洞来对目标进行攻击。网页恶意代码一般是修改系统的个人主页、锁定注册表、格式化硬盘、屏蔽鼠标右键、弹出窗口以及下载木马执行等。3.3网页恶意代码的防范1、第一种是破坏脚本的执行链，禁止浏览器自动执行脚本程序，禁止系统自动解释脚本程序并运行。因为这一类网页主要是含有恶意代码的ActiveX或Applet、JavaScript的网页文件，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。 具体方案是：在IE窗口中点击“工具〞→“Internet选项〞，在弹出的对话框中选择“平安〞标签，再点击“自定义级别〞按钮，就会弹出“平安设置〞对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用〞。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。2、第二种是使用平安工具监控系统的活动，防止非法程序修改系统的注册表等信息。在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下，增加名为DisableRegistryTools的DWORD值项，将其值改为“1〞，即可禁止使用注册表编辑器命令regedit.exe。3、要防止被网页恶意代码感染，首先关键是不要轻易去一些自己并不十分知晓的站点，尤其是一些看上去非常美丽诱人的网址更不要轻易进入，否那么往往不经易间就会误入网页代码的圈套。 当运行IE时，点击“工具→Internet选项→平安→Internet区域的平安级别〞，把平安级别由“中〞改为“高〞。4.在计算机上安装网络防火墙，并要时刻翻开“实时监控功能〞。遭受恶意代码后的修复1.IE首页被改

找到[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]和[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]，将子键“StartPage〞改为你的IE首页。2.禁止修改IE首页

找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]和[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\ControlPanel]，删除子键“Homepage〞。3.IE标题栏被改

找到[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]和[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]，删除子键"WindowTitle"，当然也可以改为你喜欢的标题。4.禁止使用Regedit.exe修改注