恶意代码原理、技术与防范 课件 4-特洛伊木马

第四章特洛伊木马引言自从互联网普及以来，特洛伊木马已逐步成为数量种类最多、造成损失最严重的恶意代码。它总能在用户无法感知的情况下悄悄潜伏在终端设备中，利用摄像头、麦克风等监视着用户的一举一动，肆无忌惮的窃取着用户在终端中的个人数据。本章介绍木马的基本概念，木马采用的不同体系结构，重点阐述木马的隐藏、自启动等关键技术。木马概述木马的启动技术木马的隐藏技术木马的检测技术1.1木马的基本概念特洛伊木马（TrojanHorse)源于古希腊神话故事“木马记”起源1.1木马的基本概念入侵者——黑客防火墙和各种安全设置希腊军队特洛伊城特洛伊木马（TrojanHorse)起源特洛伊木马是一种基于远程控制的黑客工具，它隐藏在目标系统中，能控制整个系统，并能和控制者进行信息交互的程序。控制端木马端网络通信木马的实质是C/S结构的网络程序木马定义1.1木马的基本概念定义木马的特点隐蔽性非授权性可控性高效性1.1木马的基本概念功能特点收集系统关键信息收集密码等保留访问权限远程控制其它的特殊功能信息收集远程文件操作远程命令执行木马功能1.2木马的组成与通信架构木马的组成：一个完整的木马程序由控制端、木马端和通信协议组成。有些木马可能还包括木马配置程序用来定制生成木马端。木马的控制结构1.2木马的组成与通信架构木马的通信架构：单体架构C/S架构传统的C/S架构反弹式C/S架构中间跳板的C/S架构1.3木马的工作流程木马程序从最初的配置到最终运行于终端实施其恶意行为，要经历多个阶段，大体可以分为：木马配置阶段木马植入阶段木马启动阶段木马通联阶段木马使用阶段木马的工作流程1.4木马的植入方法植入是指木马程序由一台计算机迁移到目标计算机上的过程，是木马发挥作用的必要条件。植入的主要方式有：邮件植入移动介质植入下载植入伪装捆绑网页植入网页挂马控件植入多媒体文件电子书漏洞植入/共享植入利用即时通信软件进行植入木马概述木马的启动技术木马的隐藏技术木马的检测技术2木马的启动技术木马程序的首次运行通过诱骗用户或利用漏洞实现，之后的运行一般会在计算机启动的同时自动加载。实现自启动的方式主要包括利用特定系统文件、注册表、注册为服务、计划任务、劫持等。需要指出的是，由于Windows操作系统的版本在不断的升级，因此有些启动方式可能仅适用于特定的操作系统版本。2.1利用系统配置启动某些系统配置文件中可以设置系统启动后自动加载的程序。启动目录配置文件win.ini文件配置文件system.ini文件配置文件winstart.bat配置文件wininit.ini2.2利用注册表启动Windows注册表中有许多可以设置程序自启动的项，这些项可以分为三类：注册表自启动项注册的系统服务动态链接库启动项注册表启动项[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]RunRunServicesRunOnceRunOnceExRunServicesOnce[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]RunRunOnceRunServicesOnce2.2利用注册表启动启动隐藏启动隐藏策略组[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]★LOAD[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load]★Explorer[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\policies\explorer\run]

2.2利用注册表启动注册系统服务服务——执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是低层(接近硬件)程序如果木马把自己注册成系统服务，并设置成自动启用模式，那么它将随系统开机而启动。服务编程：SCMAPI[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet01\Services\][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet02\Services\]启动隐藏2.2利用注册表启动DLL木马注册表直接加载AppInit_DLL位置HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\

WindowsNT\CurrentVersion\Windows\User32.dll加载其下所指的DLL，即所有的GUI程序均会调用该程序。最早在系统启动时加载内核时调用。条件：Win7之前，自Windows

Vista后该键值功能取消；木马DLL加载时易导致系统不稳定。DLL木马加载2.2利用注册表启动2.3利用劫持技术实现启动木马可以通过修改注册表、快捷方式或PE文件等代替指定目标文件的启动，称之为利用劫持技术实现的启动。常见的用于木马启动的劫持技术包括：文件类型劫持映像劫持路径劫持快捷方式劫持动态链接库劫持Windows的计划任务功能是指某个程序在某个特指时间启动。计划任务是一个保存在C:\Windows\Tasks目录下的.job文件，该文件包括了启动方式、文件路径等一系列的信息。(11)设备接入后启动AutoRun.inf的启动方式[AUTORUN]

OPEN=Windows\xxx.exe

ICON=xxx.exe

启动隐藏2.4利用计划任务启动2.5其它方式捆绑文件借助自动播放功能木马概述木马的启动技术木马的隐藏技术木马的检测技术3木马的隐藏技术隐藏是木马的核心技术，它直接关系到木马的生存。3.1进程隐藏木马程序在目标系统中运行时，必须以进程、线程、驱动等形式运行。安全检测软件除了对存储在磁盘的静态文件扫描以外，还会对运行中的程序进行检测。因此木马为了躲避检测工具的扫描分析，必须对其运行态也就是进程采取隐藏措施。进程隐藏的主要方法包括：进程名伪装进程信息篡改利用DLL型木马实现隐藏DLL木马的运行态隐藏—DLL注入技术传统加载DLL导入表或LoadLibrary，只能操作自己的空间；DLL注入技术将DLL注入到系统进程或第三方软件的进程空间运行。总体思想：操作目标进程空间，将DLL路径/代码复制到目标进程空间并实现加载和启动。如何能够操作其它进程空间？复制什么（路径/代码模块）到什么位置?用什么方式激活？DLL进程隐藏3.1进程隐藏DLL注入的方式CreateRemoteThread：无程线程插入SetWindowsHook：Windows挂钩APC

Queue：线程的异步过程调用SHIMSReflective

Injection：反射型注入。。。。。4.3隐藏技术DLL进程隐藏3.2文件隐藏木马程序需要长期驻留在目标主机的系统中，每当系统启动时，由静态的程序文件转变为可以运行的进程。因此，如何让用户无法察觉和搜索到木马文件，是木马设计者首先要考虑的问题。木马通常可以采用如下手段：伪装为系统文件躲藏到不起眼的目录替换系统动态链接库设置为隐藏属性利用驱动程序隐藏文件运行期间删除文件3.3通信隐藏木马连接建立后，在控制端程序的通信端口和木马端程序的通信端口之间将会出现一条通道。借助这条通道，木马控制端能够向木马端发送指令并传输数据。但是很多检测软件也正是通过扫描通信端口等方式检测木马的，因此木马也需要对其通信进行隐藏。木马的通信隐藏主要涉及三个方面：端口隐藏控制端隐藏链路隐藏木马概述木马的启动技术木马的隐藏技术木马的检测技术发现异常分析异常清除异常4

木马的检测方法什么叫异常？从异常都包括哪些表象？CPU内存硬盘操作系统的设置：文件、进程、通信等；（1）发现异常4

木马的检测方法如何将产生异常的根源从操作系统中找出来，即定位要准确。异常原因：谁产生的？静态与动态的位置？有什么保护措施？工具：FileMon/RegMon/ProcessExplorer等；（2）分析异常4

木马的检测方法通过手工方式或借助安全软件，将产生恶意代码的源从系统中清除。步骤确定木马所有痕迹：文件/注册表/进程中止木马进程/线程的运行；删除木马文件、启动项、备份等；工具：ICESWORD.e