木馬程序的工作機(jī)理及防衛(wèi)措施的研究病毒論文

1、木馬程序的工作機(jī)理的研究 1 引言隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，intemet深入到社會(huì)的每個(gè)角落，人們充分享受到了其給工作和生活帶來(lái)的巨大便利，人類(lèi)社會(huì)對(duì)計(jì)算機(jī)系統(tǒng)和信息網(wǎng)絡(luò)的依賴(lài)性也越來(lái)越大。但是從另一方面，由于計(jì)算機(jī)系統(tǒng)和信息網(wǎng)絡(luò)系統(tǒng)本身固有的脆弱性。越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題開(kāi)始困擾著我們，入侵者入侵和病毒蔓延的趨勢(shì)有增無(wú)減，社會(huì)、企業(yè)和個(gè)人也因此蒙受了越來(lái)越大的損失。特別是在此基礎(chǔ)上發(fā)展起來(lái)的“信息戰(zhàn)”，通過(guò)計(jì)算機(jī)攻擊工具(如計(jì)算機(jī)病毒、木馬等計(jì)算機(jī)程序)對(duì)敵方的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)施發(fā)動(dòng)襲擊，造成敵方的信息通信的中斷和指揮控制系統(tǒng)的癱瘓，從而達(dá)到“不戰(zhàn)而屈人之兵”的目的。顯然

2、，計(jì)算機(jī)攻擊和防御工具也將成為國(guó)家之間、企業(yè)之間一種重要的攻擊和防御手段。因此，計(jì)算機(jī)和信息安全問(wèn)題正日益得到人們的重視，并成為國(guó)內(nèi)外的學(xué)者和專(zhuān)家研究的熱點(diǎn)。在早期的計(jì)算機(jī)安全防御中，由于網(wǎng)絡(luò)并不流行，反病毒軟件發(fā)揮著主要的作用，通過(guò)對(duì)輸入設(shè)備的監(jiān)控，有效地阻止了惡意程序?qū)γ颗_(tái)獨(dú)立的計(jì)算機(jī)的危害。隨著網(wǎng)絡(luò)的應(yīng)用，絕大部分計(jì)算機(jī)連入互連網(wǎng)，威脅變?yōu)橹饕獊?lái)自網(wǎng)絡(luò)，網(wǎng)絡(luò)入侵工具(如蠕蟲(chóng)、木馬等)在這時(shí)不斷涌現(xiàn)。防火墻在這種情況下應(yīng)運(yùn)而生，它通過(guò)禁止非法的網(wǎng)絡(luò)請(qǐng)求來(lái)防御來(lái)自網(wǎng)絡(luò)的攻擊。隨著計(jì)算機(jī)攻擊技術(shù)的發(fā)展，病毒、蠕蟲(chóng)和木馬等攻擊工具在功能上相互吸收和借鑒，攻擊方式和手段也層出不窮，促使計(jì)算機(jī)安全也

3、向著不斷細(xì)化的方向發(fā)展，即針對(duì)不同的攻擊方式采用不同的對(duì)策，從而形成了比較完善的防御體系。2 木馬的功能和特征木馬程序的危害是十分大的，它能使遠(yuǎn)程用戶(hù)獲得本地計(jì)算機(jī)的最高操作權(quán)限，通過(guò)網(wǎng)絡(luò)對(duì)本地計(jì)算機(jī)進(jìn)行任意的操作，比如刪添程序、鎖定注冊(cè)表、獲取用戶(hù)保密信息、遠(yuǎn)程關(guān)機(jī)等。木馬使用戶(hù)的電腦完全暴露在網(wǎng)絡(luò)環(huán)境之中，成為別人操縱的對(duì)象。就目前出現(xiàn)的木馬來(lái)看，大致具有以下功能：1自動(dòng)搜索已中木馬的計(jì)算機(jī)。2對(duì)對(duì)方資源進(jìn)行管理，復(fù)制文件、刪除文件、查看文件內(nèi)容、上傳文件、下載文件等。3遠(yuǎn)程運(yùn)行程序。4跟蹤監(jiān)視對(duì)方屏幕。5直接屏幕鼠標(biāo)控制，鍵盤(pán)輸入控制。6監(jiān)視對(duì)方任務(wù)且可以中止對(duì)方任務(wù)。7鎖定鼠標(biāo)、鍵盤(pán)和

4、屏幕。8遠(yuǎn)程重新啟動(dòng)計(jì)算機(jī)、關(guān)機(jī)。9記錄、監(jiān)視案件順序、系統(tǒng)信息等一切操作。10隨意修改注冊(cè)表。11共享被控端的硬盤(pán)。12進(jìn)行亂屏等耍弄人的操作一個(gè)典型的特洛伊木馬(程序)通常具有以下四個(gè)特點(diǎn)：有效性、隱蔽性、頑固性和易植入性。以從這四個(gè)方面來(lái)加以評(píng)估。一個(gè)木馬的危害大小和清除難易程度可它們是：1有效性：由于木馬常常構(gòu)成網(wǎng)絡(luò)入侵方法中的一個(gè)重要內(nèi)容。它運(yùn)行在目標(biāo)機(jī)器上就必須能夠?qū)崿F(xiàn)入侵者的某些企圖，因此有效性就是指入侵的木馬能夠與其控制端(入侵者)建立某種有效聯(lián)系，從而能夠充分控制目標(biāo)機(jī)器并竊取其中的敏感信息。因此有效性是木馬的一個(gè)最重要特點(diǎn)。入侵木馬對(duì)目標(biāo)機(jī)器的監(jiān)控和信息采集能力也是衡量其有

5、效性的一個(gè)重要內(nèi)容。2隱蔽性：木馬必須有能力長(zhǎng)期潛伏于目標(biāo)機(jī)器中而不被發(fā)現(xiàn)。一個(gè)隱蔽性差的木馬往往會(huì)很容易暴露自己，進(jìn)而被殺毒(或殺馬)軟件，甚至用戶(hù)手工檢查出來(lái)，這樣將使得這類(lèi)木馬變得毫無(wú)價(jià)值。因此可以說(shuō)隱蔽性是木馬的生命。3頑固性：當(dāng)木馬被檢查出來(lái)(失去隱蔽性)之后，為繼續(xù)確保其入侵有效性，木馬往往還具有另一個(gè)重要特性：頑固性。木馬頑固性就是指有效清除木馬的難易程度。若一個(gè)木馬在檢查出來(lái)之后，仍然無(wú)法將其一次性有效清除，那么該木馬就具有較強(qiáng)的頑固性。4易植入性：顯然任何木馬必須首先能夠進(jìn)入目標(biāo)機(jī)器(植入操作)，因此易植入性就成為木馬有效性的先決條件。欺騙性是自木馬誕生起最常見(jiàn)的植入手段。因

6、此各種好用的小功能軟件就成為木馬常用的棲息地。利用系統(tǒng)漏洞進(jìn)行木馬植入也是木馬入侵的一類(lèi)重要途徑。目前木馬技術(shù)與蠕蟲(chóng)技術(shù)的結(jié)合使得木馬具有類(lèi)似蠕蟲(chóng)的傳播性，這也就極大提高了木馬的易植入性。從上面對(duì)木馬特性的分析，我們可以看到木馬的設(shè)計(jì)思想除了具有病毒和蠕蟲(chóng)的設(shè)計(jì)思想(即主要側(cè)重于其隱蔽性和傳播性的實(shí)現(xiàn))，還更多地強(qiáng)調(diào)與木馬控制端通信能力，和反清除與反檢測(cè)能力。表11對(duì)病毒、蠕蟲(chóng)和木馬三者進(jìn)行了一個(gè)比較。由于有了控制端的攻擊者的指揮，因此木馬的行為特征就有了很高的智能化，具有很強(qiáng)的偽裝能力和欺騙性。而木馬的反清除能力，也使其極為頑固地和被寄生的系統(tǒng)糾合在一起。要想徹底清除木馬，系統(tǒng)也得付出慘痛代

7、價(jià)。因此及時(shí)迅速地檢測(cè)到木馬，避免系統(tǒng)被更深地侵入，是防御木馬的共識(shí)。2.1 木馬的分類(lèi)根據(jù)木馬程序?qū)τ?jì)算機(jī)的具體動(dòng)作方式，可以把現(xiàn)在的木馬程序分為以下幾類(lèi)：2.1.1遠(yuǎn)程訪問(wèn)型木馬遠(yuǎn)程訪問(wèn)型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬起著遠(yuǎn)程控制的功能，用起來(lái)非常簡(jiǎn)單，只需先運(yùn)行服務(wù)端程序，同時(shí)獲得遠(yuǎn)程主機(jī)的ip地址，控制者就能任意訪問(wèn)被控制端的計(jì)算機(jī)。這種木馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任意的事情，比如鍵盤(pán)記錄、上傳和下載功能、發(fā)送一個(gè)“截取屏幕”等等。這種類(lèi)型的木馬有著名的bo(back office)和n產(chǎn)的冰河等。2.1.2密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受

8、害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類(lèi)木馬程序不會(huì)在每次windows重啟時(shí)都自動(dòng)加載，它們大多數(shù)使用25號(hào)端口發(fā)送電子郵件。2.1.3鍵盤(pán)記錄型木馬鍵盤(pán)記錄型木馬是非常簡(jiǎn)單的，它們只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在log文件里做完整的記錄。這種木馬程序隨著windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一個(gè)用戶(hù)事件，然后通過(guò)郵件或其他方式發(fā)送給控制者。2.1.4毀壞型束馬大部分木馬程序只竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動(dòng)地刪除受控制者計(jì)算機(jī)上所有的dll、illi或exc文件，甚至遠(yuǎn)程格式化受害者硬盤(pán)。毀壞型木馬的危

9、害很大，一旦計(jì)算機(jī)被感染而沒(méi)有即時(shí)刪除，系統(tǒng)中的信息會(huì)在頃刻間“灰飛煙滅”。2.1.5 fip型木馬ftp型木馬打開(kāi)被控制計(jì)算機(jī)的21號(hào)端口(ftp所使用的默認(rèn)端口)，使每一個(gè)人都可以用一個(gè)ftp客戶(hù)端程序來(lái)不用密碼連接到受控制端計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳和下載，竊取受害者的機(jī)密文件。2.2遠(yuǎn)程控制、木馬與病毒 遠(yuǎn)程控制軟件可以為我們的網(wǎng)絡(luò)管理做很多工作，以保證網(wǎng)絡(luò)和計(jì)算機(jī)操作系統(tǒng)的安全。這類(lèi)程序的監(jiān)聽(tīng)功能，也是為了保證網(wǎng)絡(luò)的安全而設(shè)計(jì)的，但是如果使用不當(dāng)?shù)脑?，就?huì)出現(xiàn)很多問(wèn)題。為了達(dá)到遠(yuǎn)程控制的目的，就必須將這些軟件隱蔽起來(lái)，例如有的遠(yuǎn)程控制軟件為了不讓用戶(hù)發(fā)現(xiàn)而被刪除，就采用了一些

10、辦法使自己隱蔽起來(lái)，使遠(yuǎn)程控制程序本身附著在某些windows程序上，以增強(qiáng)駐留系統(tǒng)的可靠性。然而，正是由于這種功能，才使遠(yuǎn)程控制軟件變得可怕起來(lái)，也使遠(yuǎn)程控制軟件、病毒和木馬程序之間的區(qū)別變得越來(lái)越模糊。2.2.1病毒與木馬計(jì)算機(jī)病毒是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)(或程序)里，當(dāng)達(dá)到某種條件時(shí)即被激活，并具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一種程序或指令集合。計(jì)算機(jī)病毒一般具有以下幾個(gè)特點(diǎn)：1破壞性。凡是由軟件手段能觸及到計(jì)算機(jī)資源的地方均可能受到計(jì)算機(jī)病毒的破壞，而計(jì)算機(jī)病毒也正是利用這種原理進(jìn)行破壞。2隱蔽性。病毒程序大多夾在正常程序之中，很難被發(fā)現(xiàn)。3潛伏性。病毒入侵后，一般不立即活

11、動(dòng)，需要等一段時(shí)間，條件成熟后再作用。4傳染性。通過(guò)修改別的程序，并把自身的拷貝包括進(jìn)去，從而達(dá)到擴(kuò)散的目的。從計(jì)算機(jī)病毒的定義和特征中可以看出木馬程序與病毒的區(qū)別是十分明顯的。最基本的區(qū)別就在于病毒有很強(qiáng)的傳染性，而木馬程序沒(méi)有。但是，如果木馬程序沒(méi)有處理好軟件的安全問(wèn)題，就會(huì)跟病毒相差無(wú)幾了。例如，有名的木馬程序yal就是一個(gè)例子，差一點(diǎn)就成了第2個(gè)cih。隨著病毒技術(shù)的發(fā)展，計(jì)算機(jī)病毒也在向木馬程序靠近，使病毒具有遠(yuǎn)程控制的功能。例如，有名的“紅色代碼”已具遠(yuǎn)程控制的雛形。2.2.2黑客與木馬“黑客”一詞來(lái)源于英語(yǔ)動(dòng)詞hack，本指“手法巧妙、技術(shù)高明的惡作劇”。今天，在最新和最普遍的意

12、義上說(shuō)，“黑客”意味著那些偷偷地、未經(jīng)許可就進(jìn)入別人計(jì)算機(jī)系統(tǒng)的計(jì)算機(jī)犯罪。他們或修改網(wǎng)頁(yè)進(jìn)行惡作劇或流言恐嚇；或破壞系統(tǒng)程序：或施放病毒使系統(tǒng)陷入癱瘓：或竊取政治、軍事、商業(yè)機(jī)密；或進(jìn)行電子郵件騷擾；或轉(zhuǎn)移資金賬戶(hù)，竊取錢(qián)財(cái)。由此可見(jiàn)，木馬程序與黑客的區(qū)別是較大的，黑客往往利用操作系統(tǒng)和網(wǎng)絡(luò)的漏洞進(jìn)行破壞活動(dòng)，而木馬程序往往充當(dāng)黑客的工具。2.2.3遠(yuǎn)程控制與木馬木馬程序和遠(yuǎn)程控制軟件都是一種在遠(yuǎn)程計(jì)算機(jī)之間建立起連接，使遠(yuǎn)程計(jì)算機(jī)能夠通過(guò)網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序，它們的運(yùn)行都遵照tcpflp協(xié)議。其程序編制技術(shù)和攻擊系統(tǒng)的手段也幾乎沒(méi)有什么區(qū)別。但是，木馬與遠(yuǎn)程控制軟件的最大區(qū)別就是木馬具

13、有隱蔽性而遠(yuǎn)程控制軟件沒(méi)有。例如，國(guó)內(nèi)血蜘蛛，國(guó)外的pcanywhere等都是遠(yuǎn)程控制軟件，血蜘蛛等server端在目標(biāo)機(jī)器上運(yùn)行時(shí)，目標(biāo)機(jī)器上會(huì)出現(xiàn)很醒目的標(biāo)志。而木馬類(lèi)的軟件的$ervel端在運(yùn)行的時(shí)候應(yīng)用各種手段隱藏自己。2.3木馬的發(fā)展方向隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和程序設(shè)計(jì)技術(shù)的發(fā)展，木馬程序的編制技術(shù)也在日新月異她發(fā)展，新的木馬不斷地涌現(xiàn)，幾乎每個(gè)新出現(xiàn)的木馬程序都會(huì)使用一種新技術(shù)。木馬程序的大致發(fā)展方向如下。2.3.1跨平臺(tái)性主要是針對(duì)windows系統(tǒng)而言，木馬程序的編制者當(dāng)然認(rèn)為一個(gè)木馬可以在windows 9598me下使用，也可以在windowsbit2000xp下使用。在win

14、dows 9x系統(tǒng)下，木馬程序很容易隱藏，也很容易控制計(jì)算機(jī)。但windows nt和windows 2000xp都具有了權(quán)限的概念，這和windows 9x不同，需要木馬程序采用更高級(jí)的手段，如控制進(jìn)程等，現(xiàn)在的一些木馬程序也的確做到了這一點(diǎn)。2.3 模塊化設(shè)計(jì)模塊化設(shè)計(jì)是軟件開(kāi)發(fā)的一種潮流，現(xiàn)在的木馬程序也有了模塊化設(shè)計(jì)的概念。例如，bo，netbus，sub等經(jīng)典木馬都有一些優(yōu)秀的插件在紛紛問(wèn)世，就是一個(gè)很好的說(shuō)明。木馬程序在開(kāi)始運(yùn)行時(shí)可以很小，功能單一，但在控制過(guò)程中，可以從控制端傳送某些復(fù)雜模塊庫(kù)到被控制端，達(dá)到自我升級(jí)的功能。 2.3.1更新更強(qiáng)的感染模式傳統(tǒng)的修改ini文件和注冊(cè)

15、表的手法已經(jīng)不能適應(yīng)更加隱蔽的需要。目前，很多木馬的感染方式已經(jīng)開(kāi)始在悄悄轉(zhuǎn)變，例如，著名的木馬程序yai就給了我們很多的啟發(fā)，該程序像病毒一樣的感染windows下的文件。當(dāng)木馬程序采用了這種感染技術(shù)之后，就眼計(jì)算機(jī)病毒沒(méi)有什么區(qū)別了。164即時(shí)通知木馬程序如何知道被控制端在哪里已經(jīng)運(yùn)行了呢?如果中招的計(jì)算機(jī)使用固定口地址的話，還比較好檢查，但如果目標(biāo)使用的是動(dòng)態(tài)口。就比較麻煩。現(xiàn)在的木馬程序雖然已經(jīng)有了即時(shí)通知的功能，例如irc,icq通知等，畢竟還是太少， 但是，以后肯定會(huì)更加完善。2.3.2更強(qiáng)更多的功能我們?cè)谇懊媪谐隽四抉R程序常見(jiàn)的12種功能，但木馬程序編制者是不會(huì)滿足現(xiàn)狀的，他們會(huì)

16、潛心研究、挖掘木馬程序的新功能，將來(lái)的木馬程序的功能也許會(huì)讓大家大吃一驚。3 木馬程序的工作機(jī)理3.1遠(yuǎn)程控制軟件的工作機(jī)理木馬雖然神龍見(jiàn)首不見(jiàn)尾，但他畢竟也是一種計(jì)算機(jī)程序，要防范木馬就必須知道木馬的工作原理。本章就來(lái)深入了解木馬的內(nèi)部結(jié)構(gòu)，在看清其所隱藏的真是本質(zhì)之后，對(duì)付木馬就會(huì)變得輕而易舉了。3.1.1木馬的cs架構(gòu)遠(yuǎn)程計(jì)算機(jī)監(jiān)控和管理，讓網(wǎng)絡(luò)管理員不必親臨計(jì)算機(jī)，就可以像坐在計(jì)算機(jī)前面一樣進(jìn)行管理，人人地提高了管理工作的效率和方便性。只是這些功能必須利用操作系統(tǒng)內(nèi)建的監(jiān)控工具或安裝其他網(wǎng)絡(luò)管理工具才能實(shí)現(xiàn)。木馬程序是一類(lèi)特殊的計(jì)算機(jī)程序，其作用是在一臺(tái)計(jì)算機(jī)上監(jiān)控被植入木馬計(jì)算機(jī)的情

17、況。與網(wǎng)絡(luò)管理工具的最大區(qū)別在于，木馬程序總是偷偷摸摸地進(jìn)入其他人的計(jì)算機(jī)，而網(wǎng)絡(luò)管理工具則是光明正大地安裝到計(jì)算機(jī)中。黑客利用木馬程序可以監(jiān)視其他計(jì)算機(jī)的舉動(dòng)，還可以對(duì)這些計(jì)算機(jī)進(jìn)行遠(yuǎn)程控制。不管操縱木馬的人是出于何種目的，從隱私權(quán)或道德上來(lái)看，這些都是不被允許的。木馬的工作原理與網(wǎng)絡(luò)管理工具一樣。木馬程序不是病毒程序，病毒程序的主要特點(diǎn)是會(huì)造成破壞，例如cih病毒可以將計(jì)算機(jī)的bios燒掉：蠕蟲(chóng)病毒可以傳送大量的無(wú)用封包，導(dǎo)致網(wǎng)絡(luò)癱瘓；而木馬程序的目的不是要破壞計(jì)算機(jī)或網(wǎng)絡(luò)，而是要看點(diǎn)什么、拿點(diǎn)什么、甚至砍掉點(diǎn)什么，所以其危害并不遜色于病毒程序。然而，木馬程序與病毒程序之間有很多共同特點(diǎn)，

18、例如隱蔽性好，它們?yōu)榱吮苊獗粚?zhuān)門(mén)的工具清除，總是將自己偽裝成合法的工具或程序，蒙蔽清除工具或用戶(hù)，然后就不斷地進(jìn)行肆虐。目前也出現(xiàn)了木馬+病毒的結(jié)合體程序，這種程序結(jié)合了木馬與病毒的特征和殺傷力，兩者狼狽為奸，共同危害計(jì)算機(jī)。除了不斷攻擊計(jì)算機(jī)及網(wǎng)絡(luò)、進(jìn)行自身復(fù)制之外，還打開(kāi)后門(mén)，讓黑客可以控制計(jì)算機(jī)，或者將計(jì)算機(jī)中的機(jī)密信息傳送至某處。病毒程序通常是單獨(dú)行動(dòng)，單槍匹馬侵入計(jì)算機(jī)，最多也就是多復(fù)制幾個(gè)和自己一模一樣的東西，壯大規(guī)模而已，它從不留后路。而木馬程序剛好相反，總是成雙成對(duì)地行動(dòng)，其先鋒部隊(duì)入侵計(jì)算機(jī)之后，會(huì)悄悄地打開(kāi)個(gè)后門(mén)，然后便待在城中做內(nèi)應(yīng)，等發(fā)動(dòng)攻擊之后就里應(yīng)外合，讓計(jì)算機(jī)和用

19、戶(hù)毫無(wú)還手之力，只能任由木馬肆虐。所以木馬程序的結(jié)構(gòu)是典型的客戶(hù)端服務(wù)器clientserver，簡(jiǎn)稱(chēng)cs)模式。木馬程序分為客戶(hù)端程序和服務(wù)器端程序，服務(wù)器端程序騙取用戶(hù)執(zhí)行后，便植入在計(jì)算機(jī)內(nèi)，作為響應(yīng)程序。所以它的特點(diǎn)是隱蔽，不容易被用戶(hù)察覺(jué)?；虮粴⒍境绦?、木馬清除程序消滅，而且它一般不會(huì)造成很大的危害，計(jì)算機(jī)還可以正常執(zhí)行。另外，木馬服務(wù)器端程序還有容量小的特點(diǎn)，一般它的大小不會(huì)超過(guò)300kb，試想如果有一個(gè)100mb大小的木馬服務(wù)器端程序，它能行動(dòng)方便嗎?它的隱蔽性能有多好呢?利用56kbps調(diào)制解調(diào)器撥號(hào)上網(wǎng)的用戶(hù)大概永遠(yuǎn)都沒(méi)有機(jī)會(huì)中此類(lèi)木馬。現(xiàn)在的木馬服務(wù)器端程序越來(lái)越小，最小的

20、木馬程序甚至只有3kb，這樣小的木馬很容易就可以合并在一些可以執(zhí)行的exe文件中或網(wǎng)頁(yè)中而不被察覺(jué)，而且這樣小的文件也能很快就下載至磁盤(pán)中，若是再利用upx壓縮技術(shù)還可以讓木馬程序變得更小。木馬客戶(hù)端程序是在控制臺(tái)(黑客的計(jì)算機(jī))中執(zhí)行的，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)，所以不需要太注重空間大小或隱蔽性的問(wèn)題，但是必須注意通訊的隱蔽，不能傳送大量的封包至被植入木馬的計(jì)算機(jī)或大規(guī)模的掃描連接端口。木馬服務(wù)器端程序必須與客戶(hù)端程序?qū)?yīng)，所以黑客必須同時(shí)開(kāi)發(fā)這兩個(gè)程序。服務(wù)器端使用某種通訊協(xié)議，客戶(hù)端程序就使用與之相同的通訊協(xié)議：服務(wù)器端程序打開(kāi)計(jì)算機(jī)某個(gè)連接端口，則客戶(hù)端程序

21、就掃描那個(gè)連接端口：典型的木馬工作原理是服務(wù)器端程序與客戶(hù)端建立連接后，由客戶(hù)端發(fā)出指令，然后服務(wù)器在計(jì)算機(jī)中執(zhí)行這些指令，并源源不斷地將數(shù)據(jù)傳送至客戶(hù)端。木馬服務(wù)器端與客戶(hù)端之間也可以不建立連接，因?yàn)榻⑦B接容易被察覺(jué)，尤其是現(xiàn)在連計(jì)算機(jī)初學(xué)者都知道如何使用netstatexe指令來(lái)查看計(jì)算機(jī)打開(kāi)了哪些端口或建立連接，如果再使用連接技術(shù)只會(huì)自斷后路。所以就要使用icmp來(lái)避免建立連接或使用端口。使用icmp來(lái)傳送封包可以讓數(shù)據(jù)直接從木馬客戶(hù)端程序送至服務(wù)器端。木馬服務(wù)器端與客戶(hù)端也可以不要間接通訊，因?yàn)橹苯油ㄓ嵉哪康奶黠@了，很容易被發(fā)現(xiàn)，所以木馬服務(wù)器端可以與客戶(hù)端采取間接通訊的專(zhuān)式：這種

22、方式是cs兩層結(jié)構(gòu)的擴(kuò)展，在服務(wù)器端與客戶(hù)端之間中間層，服務(wù)器端程序先將數(shù)據(jù)傳送至某個(gè)網(wǎng)站，客戶(hù)端程序再?gòu)哪莻€(gè)網(wǎng)站取得數(shù)據(jù)。這種方式可以讓木馬程序達(dá)到非常隱蔽的通訊效果，但缺點(diǎn)是通信數(shù)據(jù)交換的速度變慢了。3.1.2打開(kāi)端口的傳統(tǒng)木馬早期的木馬從設(shè)計(jì)理念來(lái)說(shuō)很簡(jiǎn)單，只需要將木馬植入計(jì)算機(jī)中，然后打開(kāi)一扇后門(mén)(端口)，就可以通過(guò)此連接達(dá)到控制計(jì)算機(jī)的同的。第一代木馬也是使用這種方式，藉由在目標(biāo)計(jì)算機(jī)中打開(kāi)連接端口，達(dá)到對(duì)計(jì)算機(jī)的磁盤(pán)進(jìn)行控制、將屏幕顯示輸出至客戶(hù)端等目的。這種木馬最常見(jiàn)的就是使用tcp建立連接，因?yàn)閠cp是一種相當(dāng)可靠的通訊協(xié)議，計(jì)算機(jī)在通訊過(guò)程中會(huì)建立穩(wěn)定的連接，封包在網(wǎng)絡(luò)傳送過(guò)

23、程中還會(huì)確認(rèn)完整性，所以利用tcp作為傳送協(xié)議的木馬程序不需要在開(kāi)發(fā)時(shí)考慮網(wǎng)絡(luò)因素。一旦中了此類(lèi)木馬，計(jì)算機(jī)會(huì)始終打開(kāi)一個(gè)特定的端口，例如6666、12345、12346、23450等都是木馬程序常用的連接端口號(hào)。除了使用這些特定的連接端口之外，木馬程序還會(huì)使用一些知名服務(wù)所用的端口，例如www的80、f1呼的21這些端口號(hào)也會(huì)被利用，因?yàn)槭褂锰囟ǖ亩丝诤苋菀妆挥脩?hù)或木馬清除工具所發(fā)現(xiàn)，他們只要使用windows操作系統(tǒng)內(nèi)建的netstatexe指令，就可以輕易地發(fā)現(xiàn)計(jì)算機(jī)打開(kāi)了哪些端口，但是一般人卻不會(huì)懷疑21、80等端口。使用tci作為傳輸協(xié)議的缺點(diǎn)，在于必須建立連接和使用端口，這樣會(huì)導(dǎo)致

24、木馬程序的隱蔽性很差。所以很多木馬程序放棄使用tcp，而沿用udp作為傳輸協(xié)議，因?yàn)閡dp是一種不可靠的傳輸協(xié)議，通訊雙方不需在交換數(shù)據(jù)之前建立連接，只有在傳送數(shù)據(jù)的短暫時(shí)間里會(huì)打開(kāi)端口。所以在netstatexe指令的輸出中，我們只能看到計(jì)算機(jī)打開(kāi)的連接端口，并不能看到連接的狀態(tài)或目標(biāo)主機(jī)的地址和連接端口不管是使用tcp或是udp作為傳輸協(xié)議，始終部不能逃過(guò)防火墻這一關(guān)，防火墻的封包篩選功能可以阻止特定端口的封包通過(guò)。在防火墻的規(guī)則中，儲(chǔ)存了許多木馬程序所使用的端口號(hào)，打開(kāi)防火墻功能之后，此類(lèi)封包便不可以通過(guò)防火墻，這樣就可以有效防范木馬程序，而且還能從防火墻的防護(hù)記錄中看到，木馬攻擊的封包

25、都被有效的遏止了。另外，由于打開(kāi)端口的木馬比較穩(wěn)定，而且不會(huì)為計(jì)算機(jī)帶來(lái)傷害，所以此類(lèi)木馬也可以從良，作為網(wǎng)絡(luò)管理工具使用。3.1 lcmp木馬 打開(kāi)端口的木馬比較容易被用戶(hù)或木馬清除工具發(fā)現(xiàn)，所以便出現(xiàn)第三代木馬。icmp木馬屬于第三代木馬，它不需要使用連接端口進(jìn)行通訊，這樣可以有效地繞過(guò)防火墻或是避免被木馬清除工具消滅。icmp(internet control message protocol：因特網(wǎng)控制信息通訊協(xié)議)是球的附屬協(xié)議，允許網(wǎng)絡(luò)上的計(jì)算機(jī)共享錯(cuò)誤和狀態(tài)信息，icmp常用于服務(wù)tcp或udp，但是也可以單獨(dú)使用，其工作在口層，不通過(guò)tcp、udp就可以直接傳送封包。使用icm

26、p協(xié)議最著名的工具是pingexe，該指令內(nèi)建于所有的操作系統(tǒng)，可以用于傳送icmp_echo封包請(qǐng)求狀態(tài)和接收icmp echoreply封包確認(rèn)響應(yīng)。例如在windows中使用pingexe偵測(cè)一臺(tái)計(jì)算機(jī)時(shí)，會(huì)向?qū)Ψ桨l(fā)送四個(gè)32字節(jié)的請(qǐng)求封包，然后再確定對(duì)方是否有響應(yīng)以及響應(yīng)封包回傳的時(shí)間，接著統(tǒng)計(jì)所需時(shí)間和封包遺失比率。icmp封包不需要建立連接或打開(kāi)端口，由于此類(lèi)封包直接交由操作系統(tǒng)或進(jìn)程，所以用戶(hù)和木馬清除工具都沒(méi)有辦法確定這種木馬的存在。于是，黑客就得到pingexe指令的啟發(fā)，將木馬服務(wù)器端偽裝成一個(gè)pingexe的進(jìn)稱(chēng)，傳送icmp echo封包，并且修改封包icmp表頭的構(gòu)造

27、，再加上木馬控制信息，然后傳送至木馬程序客戶(hù)端，一旦服務(wù)器端接收到icmp echoreply響應(yīng)封包，通過(guò)該封包的大小、icmp seq的特征，便可以判斷是正常的icmp echoreply封包，還是木馬客戶(hù)端所發(fā)送過(guò)來(lái)的封包，木馬服務(wù)器端便可以從該封包中譯碼出指令和數(shù)據(jù)。使用大量的封包來(lái)偵測(cè)一臺(tái)計(jì)算機(jī)會(huì)導(dǎo)致拒絕服務(wù)(dos)，也稱(chēng)為ping ofdeath，利用icmp可以對(duì)計(jì)算機(jī)發(fā)動(dòng)攻擊，直到計(jì)算機(jī)無(wú)法處理其他有用的網(wǎng)絡(luò)封包，甚至不能分配本機(jī)計(jì)算機(jī)的信息而導(dǎo)致當(dāng)機(jī)，所以icmp封包也被列為危險(xiǎn)封包。很多防火墻都內(nèi)建了丟棄icmpecho、icmpechoreply封包的選項(xiàng)，這個(gè)選項(xiàng)對(duì)用

28、戶(hù)來(lái)說(shuō)足不友好的，岡為他們不可以利用pingexe指令來(lái)確定是否能夠訪問(wèn)遠(yuǎn)程計(jì)算機(jī)，但是卻可以有效地防范icmp風(fēng)暴或icmp木馬，所以必須在安全性和可用性?xún)烧咧g作個(gè)取舍。封鎖icmp之后，除了pingexe指令不能使用之外，其他利用icmp的工具，例如用來(lái)確定路由路徑的tracertexe指令、pingexe的衍生指令pathpingexe也不可以使用，而且當(dāng)使用intemetexplorer訪問(wèn)一個(gè)網(wǎng)站，而該網(wǎng)站不存在時(shí)，往往要花費(fèi)很多等待的時(shí)間，因?yàn)榫W(wǎng)絡(luò)不可訪問(wèn)、網(wǎng)頁(yè)服務(wù)器不存在、連接端口不可用等信息都不能接收到，而intemet explorer卻一直在等待回復(fù)信息直到逾時(shí)。3.2

29、通過(guò)網(wǎng)站控制的木馬通過(guò)網(wǎng)站控制的木馬實(shí)際上也是cs結(jié)構(gòu)，只是木馬客戶(hù)端程序沒(méi)有直接與服務(wù)器端程序通訊，而是通過(guò)中間層來(lái)完成，計(jì)算機(jī)誤中了木馬程序后，木馬服務(wù)器程序?qū)?shù)據(jù)傳送至默認(rèn)的網(wǎng)站，黑客就可以存網(wǎng)站中發(fā)布指令，然后這些指令會(huì)回傳至計(jì)算機(jī)執(zhí)行。此類(lèi)木馬通常使用www服務(wù)默認(rèn)的80端口，所以中了該類(lèi)木馬的計(jì)算機(jī)，即使用戶(hù)沒(méi)有打行internetexplorer訪問(wèn)網(wǎng)站，也有打開(kāi)h丁rp使用的80端口。在netstatexe指令的輸出中，我們可以看到計(jì)算機(jī)連接至外部網(wǎng)站的80端口。由于需要通過(guò)中間層，所以會(huì)顯得比較慢，對(duì)于那些文件傳送或者屏幕截取等功能，這類(lèi)型的木馬比較少用到，不過(guò)遠(yuǎn)程指令的執(zhí)行

30、卻可以很順暢地完成，因?yàn)椴恍枰嗟念l寬。這種木馬的特點(diǎn)是可以繞過(guò)防火墻或代理服務(wù)器，因?yàn)樗侵鲃?dòng)傳送封包，而且使用80端口，幾乎所有的防火墻都不會(huì)丟棄這種封包，而且代理服務(wù)器也允許用戶(hù)訪問(wèn)外部網(wǎng)站，所以這類(lèi)木馬可以大行其道。黑客不必搜索哪些計(jì)算機(jī)中了木馬，所以省了掃描網(wǎng)絡(luò)的功夫，而且即使計(jì)算機(jī)是處于內(nèi)部網(wǎng)絡(luò)，也不必?fù)?dān)心是否可以連接進(jìn)行控制，因?yàn)榉獍热豢梢詮闹辛四抉R的計(jì)算機(jī)傳送至網(wǎng)站，響應(yīng)封包也就一定可以從網(wǎng)站傳送至計(jì)算機(jī)。既然防火墻和代理服務(wù)器都奈何不了此類(lèi)木馬，用戶(hù)也很難判斷是否中了此類(lèi)木馬，那么有么方式才可以清除它昵?其實(shí)，最新的木馬清除工具或殺毒程序就可以消滅此類(lèi)木馬，因?yàn)槟抉R在磁盤(pán)

31、中總是會(huì)遺留下某些特征，包括啟動(dòng)項(xiàng)目、木馬服務(wù)器端程序等，只要木馬被人發(fā)現(xiàn)，都會(huì)立刻加到最新木馬特征數(shù)據(jù)庫(kù)中，所以使用這些工具來(lái)清除木馬，當(dāng)然就沒(méi)問(wèn)題了。4 木馬程序常用的攻擊手段為什么我們需要使用殺毒軟件牢牢地守護(hù)計(jì)算機(jī)，嚴(yán)防木馬闖進(jìn)來(lái)呢?因?yàn)槟抉R程序的功能，實(shí)在太過(guò)強(qiáng)大了。一旦它悄悄溜進(jìn)用戶(hù)的計(jì)算機(jī)，一場(chǎng)使人欲哭無(wú)淚的悲劇就開(kāi)始上演了。4.1 竊取賬戶(hù)、密碼密碼是一種最常用來(lái)驗(yàn)證用戶(hù)身份的方法，獲得了用戶(hù)密碼，就相當(dāng)于竊取了用戶(hù)的某項(xiàng)使用權(quán)利。密碼的竊取可以分為以下幾類(lèi)：4.1.1竊取本機(jī)賬戶(hù)密碼竊取本機(jī)密碼是木馬最常見(jiàn)的危害，相當(dāng)多的木馬程序都提供這類(lèi)功能。通過(guò)密碼破解，黑客就會(huì)從一個(gè)普

32、通的用戶(hù)，一步步晉升為管理員，最終完全控制遠(yuǎn)程計(jì)算機(jī)。為了達(dá)到這個(gè)目的，針對(duì)不同的系統(tǒng)，木馬程序會(huì)使用不同的方法：對(duì)于windows 9xmc，木馬會(huì)嘗試破解windows 9x操作系統(tǒng)上的pwl文件。對(duì)于windows nt2000xp操作系統(tǒng)的用戶(hù)而言，木馬會(huì)試圖通過(guò)系統(tǒng)漏洞訪問(wèn)注冊(cè)表，提升木馬程序執(zhí)行賬戶(hù)的權(quán)限或記錄鍵盤(pán)輸入字符，向黑客提供其他賬戶(hù)及密碼。4.1.2竊取銀行賬戶(hù)密碼由于幾乎所有的網(wǎng)絡(luò)財(cái)務(wù)處理，都是使用ssl連接加密傳送，所以黑客要從網(wǎng)絡(luò)截取并破解的難度極高。而另一方面，相對(duì)于只需要密碼就可以認(rèn)證身份的客戶(hù)端而言，銀行的服務(wù)器十分嚴(yán)密，所以一些黑客就會(huì)通過(guò)木馬竊取用戶(hù)密碼。

33、由于電子商務(wù)、網(wǎng)絡(luò)銀行等服務(wù)的普及，越來(lái)越多的用戶(hù)會(huì)通過(guò)網(wǎng)絡(luò)處理財(cái)務(wù)問(wèn)題。用戶(hù)只需要在瀏覽器輸入密碼驗(yàn)證身份，就可以登入網(wǎng)絡(luò)銀行匯款、轉(zhuǎn)賬。由于相當(dāng)多的用戶(hù)安全意識(shí)并不高，例如會(huì)在公共計(jì)算機(jī)上處理財(cái)務(wù)等等，因此讓黑客有通過(guò)記錄鍵盤(pán)輸入或直接從瀏覽器的字段獲得密碼的機(jī)會(huì)。4.1.3竊取其他網(wǎng)絡(luò)賬戶(hù)密碼除了竊取銀行賬戶(hù)木馬這些極為重要的密碼之外，木馬也隨著潮流而不斷推出符合黑客“胃口”的密碼竊取功能。例如，在電子郵件開(kāi)始普及的那段時(shí)期，竊取用戶(hù)郵件密碼的木馬曾盛極一時(shí)，而流行網(wǎng)絡(luò)游戲的今天，有越來(lái)越多的木馬程序則添加了竊取網(wǎng)絡(luò)游戲賬戶(hù)的功能。4.2遠(yuǎn)程監(jiān)控 用戶(hù)會(huì)使用計(jì)算機(jī)觀賞影片，也會(huì)使用它處理

34、公司的機(jī)密數(shù)據(jù)，如公司的投標(biāo)計(jì)劃。為了獲得這些機(jī)密或是刺探用戶(hù)的個(gè)人隱私，黑客會(huì)使用遠(yuǎn)程監(jiān)控功能，監(jiān)看用戶(hù)的一舉一動(dòng)。目前較為常見(jiàn)的遠(yuǎn)程監(jiān)控方法有以下兩種，下面將分別說(shuō)明他們的危害方式。4.2.1遠(yuǎn)程屏幕畫(huà)面截取 為了安全起見(jiàn)，許多公司的數(shù)據(jù)都是加密儲(chǔ)存的，黑客即使竊取到文件，如果不解密將會(huì)看到一堆沒(méi)有仔何意義的亂碼。而且，解密過(guò)程通暢都十分復(fù)雜，依理論而言，得花上數(shù)年至數(shù)十年才能解密成功。不少黑客會(huì)因此望而卻步，放棄竊取到的數(shù)據(jù)。然而無(wú)論使用何種加密方式儲(chǔ)存，當(dāng)用戶(hù)本人需要使用時(shí)，一樣需要解密并以人類(lèi)可以理解的文字或圖像顯示在屏幕上，才能進(jìn)行處理。遠(yuǎn)程屏幕畫(huà)面截取功能，雖然不能獲得文件本身，

35、但是它的可怕之處在于，可以讓黑客獲得最終的輸出結(jié)果。對(duì)于一些使用計(jì)算機(jī)處理機(jī)密數(shù)據(jù)的用戶(hù)而言，這是他們最不想看到的情況。因?yàn)橛?，住屏幕上所看到的一切，將全部顯示在黑客的屏幕上。換而言之，黑客就好像站在用戶(hù)身后，看著用戶(hù)將自己所有的加密文件解密，并且呈現(xiàn)所有內(nèi)容給其觀看?；蛟S有些用戶(hù)還抱著最后的希望，處理文件的時(shí)間很短，黑客不會(huì)記錄下所有數(shù)據(jù)吧。答案，是令人失望的。大多數(shù)支持屏幕畫(huà)面截取的木馬，都可以將截取到的圖像另存為圖文件，一些還具有自動(dòng)存盤(pán)功能。所以，一旦被帶有屏幕畫(huà)面截取功能的木馬入侵，就再也沒(méi)有什么秘密可言了。4.2.2遠(yuǎn)程桌面控制遠(yuǎn)程屏幕畫(huà)面截取的功能雖然強(qiáng)大，對(duì)于黑客而言，只能觀看

36、用戶(hù)的操作結(jié)果，并不能由自己主動(dòng)操控始終有些可惜，特別是將要顯示關(guān)鍵信息時(shí)，用戶(hù)若關(guān)閉了文件，不知?dú)鈮牧硕嗌僬跒g覽遠(yuǎn)程屏幕的黑客。所以，許多新推出的木馬都帶有遠(yuǎn)程桌面控制功能。通過(guò)遠(yuǎn)程桌面控制功能，黑客不但可以監(jiān)視用戶(hù)正在進(jìn)行的操作，在需要時(shí)還可以?shī)Z取用戶(hù)的控制權(quán)，由黑客直接使用目前登入的賬戶(hù)操作遠(yuǎn)程計(jì)算饑。由于相當(dāng)多的木馬，為了避免與用戶(hù)發(fā)生爭(zhēng)奪桌面控制權(quán)的情況，通常會(huì)存遠(yuǎn)程控制功能啟動(dòng)的同時(shí)，鎖定用戶(hù)的鼠標(biāo)與鍵盤(pán)。對(duì)于用言而言，如果受到帶有遠(yuǎn)程桌面控制功能的木馬入侵，將會(huì)完全失去計(jì)算機(jī)的控制權(quán)，這時(shí)除了強(qiáng)行拔除網(wǎng)絡(luò)連接線之外，無(wú)法擺脫受到控制的命運(yùn)。4.3 打開(kāi)未授權(quán)的服務(wù)哪些服務(wù)是必須

37、啟用的?哪些服務(wù)是自己不需要的?對(duì)于一般的用戶(hù)而言，可以正確答對(duì)以上問(wèn)題的人并不多。因此，這就讓黑客有了可乘之機(jī)，可以在用戶(hù)不知不覺(jué)的情況下，安裝及打開(kāi)某些服務(wù)。或許，用戶(hù)會(huì)覺(jué)得，多一些服務(wù)難道不是一件好事嗎?這就不一定了它的危害方式主要有以下兩點(diǎn)：占用帶寬成為黑客的替罪羊。4.3.1占用頻寬首先，額外的服務(wù)將占用大量的帶寬，讓用戶(hù)可用的帶寬減少。例如用戶(hù)10mbps的寬帶網(wǎng)絡(luò)，成為frp文件服務(wù)器后，大量下載的文件將會(huì)令可用帶寬擁擠得只剩幾kbps甚至更少。被黑客設(shè)定為代理服務(wù)器的計(jì)算機(jī)，更成為成千上萬(wàn)網(wǎng)絡(luò)用戶(hù)數(shù)據(jù)傳輸?shù)闹欣^站，用戶(hù)本人幾乎無(wú)法正常上網(wǎng)。4.3.2泄露機(jī)密相當(dāng)多的木馬入侵后，

38、會(huì)為客戶(hù)端打開(kāi)文件共享服務(wù)。這樣用戶(hù)硬盤(pán)上存儲(chǔ)的所有數(shù)據(jù)，都將成為黑客的囊中之物。只要黑客需要，他隨時(shí)可以通過(guò)客戶(hù)端下載自己需要的文件。4.3.3成為黑客的替罪羊并不是各種網(wǎng)絡(luò)服務(wù)都可以花錢(qián)購(gòu)買(mǎi)的，例如要架設(shè)一個(gè)色情網(wǎng)站，向用戶(hù)發(fā)送色情刊物，恐怕沒(méi)有哪一個(gè)網(wǎng)絡(luò)服務(wù)提供商可以提供這樣的空間給用戶(hù)。為了獲得免費(fèi)的儲(chǔ)存空間或開(kāi)辦一些違法網(wǎng)站，一些黑客就會(huì)使用木馬，在入侵的計(jì)算機(jī)啟用一些未經(jīng)授權(quán)的服務(wù)。例如，打開(kāi)ftp服務(wù)，儲(chǔ)存一些盜版軟件，供其他用戶(hù)下載。由于非法文件不是放在自己的計(jì)算機(jī)，所以黑客就可以高枕無(wú)憂了，而用戶(hù)在不知情的情況下卻成了違法經(jīng)營(yíng)者，變成黑客的替罪羊。所以，不小心被木馬入侵的話，

39、可能警察找上門(mén)來(lái)，用戶(hù)卻還茫然不知原因呢。5 木馬程序的開(kāi)發(fā)技術(shù)近年來(lái)，黑客技術(shù)不斷成熟起采，對(duì)網(wǎng)絡(luò)安全造成了極大的威脅，黑客的主要攻擊手段之一，就是使用木馬程序，滲透到對(duì)方的主機(jī)系統(tǒng)暈，從而實(shí)現(xiàn)遠(yuǎn)程控制目標(biāo)主機(jī)。其破壞力之大，是絕不容忽視的。那么，黑客到底是如何編制了這種具有破壞力的木馬程序昵?這就是本節(jié)要討論的內(nèi)容。在木馬程序中，在控制端和被控制端進(jìn)行數(shù)據(jù)通訊，使用的主要技術(shù)就是網(wǎng)編程技術(shù)和系統(tǒng)編程技術(shù)，在本節(jié)，我們將介紹這些技術(shù)的實(shí)現(xiàn)方法。在討論具體的實(shí)現(xiàn)技術(shù)之前，我們先要知道如何利用socket進(jìn)行網(wǎng)絡(luò)編程，因?yàn)檫@些是網(wǎng)絡(luò)編程的核心技術(shù)。5.1 socket的基本概念socket的引入

40、隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，tc聃p協(xié)議被集成到操作系統(tǒng)內(nèi)核中時(shí)，相當(dāng)于在操作系統(tǒng)中引入了一種新型的輸入輸出操作。操作系統(tǒng)用戶(hù)進(jìn)程與網(wǎng)絡(luò)協(xié)議的交互作用比用戶(hù)進(jìn)程與傳統(tǒng)的輸入輸出設(shè)備相互作用復(fù)雜得多。首先，進(jìn)行網(wǎng)絡(luò)操作的兩個(gè)進(jìn)程在不同機(jī)器上，如何建立它們之間的聯(lián)系?其次，有很多種網(wǎng)絡(luò)協(xié)議。如何建立一種通用機(jī)制以支持多種協(xié)議?這些都是網(wǎng)絡(luò)應(yīng)用編程所要解決的問(wèn)題。20世紀(jì)80年代初，美國(guó)政府的高級(jí)研究工程機(jī)構(gòu)(arpa)給加利福尼亞大學(xué)berkeley分校提供了資金，讓他們?cè)趗nix操作系統(tǒng)下實(shí)現(xiàn)tcpip協(xié)議。在這個(gè)項(xiàng)目中，研究人員為tcpip網(wǎng)絡(luò)通信開(kāi)發(fā)了一個(gè)應(yīng)用程序接口(apt9。這個(gè)api就稱(chēng)

41、為socket(套接字)接口。今天，socket接口是tc坤網(wǎng)絡(luò)最為通用的api也是在intemet上進(jìn)行應(yīng)用開(kāi)發(fā)最為通用的api。實(shí)際上socket在計(jì)算機(jī)中提供了一個(gè)通信端口(套接口)，通過(guò)這個(gè)端口，一臺(tái)計(jì)算機(jī)可以與任何一臺(tái)具有socket接口的計(jì)算機(jī)通信，通信的基礎(chǔ)是套接口，一個(gè)套接口是通訊的一端，在這一端上可以找到與其對(duì)應(yīng)的一個(gè)名字。一個(gè)正在被使用的套接口都有它的類(lèi)型和與其相關(guān)的進(jìn)程，套接口存在于通訊域中。一個(gè)套接口通常和同一個(gè)域中的套接口交換數(shù)據(jù)(數(shù)據(jù)交換也可能穿越域的界限但這時(shí)一定要執(zhí)行某種解釋程序)。應(yīng)用程序在網(wǎng)絡(luò)上傳輸，接收的信息都通過(guò)這個(gè)套接口采實(shí)現(xiàn)。在應(yīng)用開(kāi)發(fā)中就像使用文件

42、句柄一攔可以對(duì)socket句柄進(jìn)行讀寫(xiě)操作。5.1.1socket編程的基本概念在開(kāi)始使用套接字編程之前，我們首先必須建立以下概念。兩間進(jìn)程通信進(jìn)程通信的概念最初采源于單機(jī)系統(tǒng)。由于每個(gè)進(jìn)程都在自己的地址范圍內(nèi)運(yùn)行，為了保證兩個(gè)相互通信的進(jìn)程之間既互不干擾又能協(xié)調(diào)一致工作，操作系統(tǒng)為進(jìn)程通信提供了相應(yīng)設(shè)施，如unix bsd中的管道(pipe)、命名管道(namedpipe)和軟中斷信號(hào)(signa0，unix system v的消息(message)、共享存儲(chǔ)區(qū)(sharedmemory)和信號(hào)量(semaphore)等，但都僅限于用在本機(jī)進(jìn)程之間通信。網(wǎng)間進(jìn)程通信要解決的是不

43、同計(jì)算機(jī)進(jìn)程間的相互通信問(wèn)題f可把同機(jī)進(jìn)程通信看作是其中的特例)。為此，首先要解決的是網(wǎng)間進(jìn)程標(biāo)識(shí)問(wèn)題，同一計(jì)算機(jī)上不同進(jìn)程可用進(jìn)程號(hào)(process id)惟一標(biāo)識(shí)。但在網(wǎng)絡(luò)環(huán)境下，各計(jì)算機(jī)獨(dú)立分配的進(jìn)程號(hào)不能惟一標(biāo)識(shí)該進(jìn)程。例如，計(jì)算機(jī)甲賦于某進(jìn)程號(hào)48，在乙計(jì)算機(jī)中也可以存在48號(hào)進(jìn)程，因此，“48號(hào)進(jìn)程”這句話就沒(méi)有意義了。其次，操作系統(tǒng)支持的網(wǎng)絡(luò)協(xié)議眾多，不同協(xié)議的工作方式也不同，地址格式也不一樣。因此網(wǎng)問(wèn)進(jìn)程通信還要解決多重協(xié)議的識(shí)別問(wèn)題。服務(wù)方式在網(wǎng)絡(luò)分層結(jié)構(gòu)中，各層之間是嚴(yán)格單向依賴(lài)的，各層次的分工和協(xié)作集中體現(xiàn)在相鄰層之間的界面上?！胺?wù)是描述相鄰層之間關(guān)系的抽

44、象概念，即網(wǎng)絡(luò)中各層向緊鄰上層提供的一組操作，下層是服務(wù)提供者，上層是請(qǐng)求服務(wù)的用戶(hù)。服務(wù)的表現(xiàn)形式是原話(primitive)，如系統(tǒng)調(diào)用或庫(kù)函數(shù)等。系統(tǒng)調(diào)用是操作系統(tǒng)內(nèi)核向網(wǎng)絡(luò)應(yīng)用程序或高層協(xié)議提供的服務(wù)原語(yǔ)。在國(guó)際標(biāo)準(zhǔn)化組織(iso)的開(kāi)放系統(tǒng)互連(osi)的術(shù)語(yǔ)中網(wǎng)絡(luò)層及其以下各層又稱(chēng)為通信子網(wǎng)，只提供點(diǎn)到點(diǎn)通信，沒(méi)有程序或進(jìn)程的概念。而傳輸層實(shí)現(xiàn)的是“端到端”通信，引進(jìn)網(wǎng)間進(jìn)程通信概念，同時(shí)也要解決差錯(cuò)控制，流量控制，數(shù)據(jù)排序(報(bào)文排序)，連接管理等問(wèn)題，為此提供不同的服務(wù)方式：面向連接(虛電路1的服務(wù)或無(wú)連接的服務(wù)。面向連接服務(wù)是電話系統(tǒng)服務(wù)模式的抽象，即每一次完整的數(shù)據(jù)傳輸都要經(jīng)

45、過(guò)建立連接、使用連接、終止連接的過(guò)程。在數(shù)據(jù)傳輸過(guò)程中，各數(shù)據(jù)分組不攜帶目的地址，而使用連接號(hào)(conncct in)。本質(zhì)上，連接是一個(gè)管道，收發(fā)數(shù)據(jù)不但順序一致，而且內(nèi)容相同。我們知道，tcp協(xié)議提供面向連接的虛電路。無(wú)連接服務(wù)是郵政系統(tǒng)服務(wù)的抽象，每個(gè)分組都攜帶完整的目的地址，各分組在系統(tǒng)中獨(dú)立傳送。無(wú)連接服務(wù)不能保證分組的先后順序。不進(jìn)行分組出錯(cuò)的恢復(fù)與重傳，不保證傳輸?shù)目煽啃?。提供無(wú)連接的數(shù)據(jù)報(bào)服務(wù)的常用協(xié)議是udp協(xié)議?？蛻?hù)服務(wù)器模式在tcpip網(wǎng)絡(luò)應(yīng)用中，通信的兩個(gè)進(jìn)程問(wèn)相互作用的主要模式是客戶(hù)服務(wù)器(clientserver)模式，即客戶(hù)向服務(wù)器發(fā)出服務(wù)請(qǐng)求，服務(wù)

46、器接收到請(qǐng)求后，提供相應(yīng)的服務(wù)?？蛻?hù)服務(wù)器模式的建立基于以下兩點(diǎn)：首先，建立網(wǎng)絡(luò)的起因是網(wǎng)絡(luò)中軟硬件資源、運(yùn)算能力和信息不均等，需要共事，從而造就擁有眾多資源的主機(jī)提供服務(wù)，資源較少的客戶(hù)請(qǐng)求服務(wù)這一非對(duì)等作用。其次，網(wǎng)間進(jìn)程通信完全是異步的，相互通信的進(jìn)程間既不存在父子關(guān)系，又不共享內(nèi)存緩沖區(qū)，因此需要一種機(jī)制為希望通信的進(jìn)程間建立聯(lián)系，為二者的數(shù)據(jù)交換提供同步這就是基于客戶(hù)服務(wù)器模式的tcp，m協(xié)議。5.1.2 socket的類(lèi)型tcp，lp協(xié)議的socket提供了下列三種類(lèi)型的套接字。套接宇socket如果我們想讓發(fā)送出去的數(shù)據(jù)按順序無(wú)重復(fù)的到達(dá)目的地，那么需要使用流式套接

47、字。流式套接字提供了一種可靠的面向連接的數(shù)據(jù)傳輸方法數(shù)據(jù)無(wú)差錯(cuò)、無(wú)重復(fù)地發(fā)送，且按發(fā)送的順序進(jìn)行接收。不管是對(duì)單個(gè)的數(shù)據(jù)報(bào)。還是對(duì)整個(gè)數(shù)據(jù)包，流式套接字都提供了一種流式數(shù)據(jù)傳輸，流式套接字使用傳輸控制協(xié)議(rcp)。此外，在數(shù)據(jù)傳輸時(shí)，如果連接斷開(kāi)，應(yīng)用程序會(huì)被通知，流式套接字內(nèi)設(shè)流量控制，避免數(shù)據(jù)流超限：數(shù)據(jù)被看作是字節(jié)流，無(wú)長(zhǎng)度限制文件傳送協(xié)議(frp)使用流式套接字。數(shù)據(jù)報(bào)套接字socket數(shù)據(jù)報(bào)套接字提供了一種不可靠的、非連接的數(shù)據(jù)包(packet)通信方式。在這里“不可 靠”的意思是指?jìng)魉鸵粋€(gè)數(shù)據(jù)包不能獲得擔(dān)保，也不能保證數(shù)據(jù)包按照發(fā)送的順序到達(dá)目的地。數(shù)據(jù)包以獨(dú)立包形

48、式被發(fā)送，不提供無(wú)錯(cuò)保證，數(shù)據(jù)可能丟失或重復(fù)，并且接收順序混亂，在實(shí)際上同一分組數(shù)據(jù)報(bào)可能不止一次地被發(fā)送。對(duì)于winsock的tcpip實(shí)現(xiàn)，數(shù)據(jù)報(bào)套接字使用用戶(hù)數(shù)據(jù)報(bào)協(xié)議(udn，不過(guò)winsock2也支持別的協(xié)議。網(wǎng)絡(luò)文件系統(tǒng)(nfs)使用數(shù)據(jù)報(bào)套接字。雖然在通常情況下，在同一臺(tái)計(jì)算機(jī)上或在輕負(fù)載0ighfly loaded)的局域網(wǎng)(lan)所連接的兩臺(tái)計(jì)算機(jī)上的進(jìn)程之間進(jìn)行通信時(shí)，可能不會(huì)出現(xiàn)數(shù)據(jù)包有不被發(fā)送，或沒(méi)按照順序到達(dá)、有重復(fù)發(fā)送的情形。但我們?cè)诰帉?xiě)應(yīng)用程序時(shí)，應(yīng)該注意檢測(cè)意外的發(fā)生。具備處理出現(xiàn)這些情況的能力。當(dāng)然，如果我們?yōu)榉浅?fù)雜的網(wǎng)絡(luò)(如intemet)編寫(xiě)通信應(yīng)用程

49、序時(shí)，就應(yīng)該要考慮到數(shù)據(jù)報(bào)套接字的不可靠性。如果我們的應(yīng)用程序沒(méi)有適當(dāng)?shù)奶幚砗眠@個(gè)問(wèn)題，它就可能會(huì)崩潰。盡管如此，數(shù)據(jù)報(bào)套接字在發(fā)送數(shù)據(jù)包或記錄型數(shù)據(jù)時(shí)仍然是很有用的。另外，數(shù)據(jù)報(bào)套接字還提供了向多個(gè)目標(biāo)地址發(fā)送廣播數(shù)據(jù)包的能力。5.1.3程序的自動(dòng)加載運(yùn)行技術(shù)在windows系統(tǒng)中，程序自動(dòng)啟動(dòng)的方法有兩種，我們分別列舉如下。利用winini文件實(shí)現(xiàn)相關(guān)程序的自動(dòng)啟動(dòng)wmini是系統(tǒng)保存在c：windows目錄下的一個(gè)系統(tǒng)初始化文件。系統(tǒng)在啟動(dòng)時(shí)會(huì)檢索該文件中的相關(guān)項(xiàng)，以便對(duì)系統(tǒng)環(huán)境的初始設(shè)置。在該文件中的windows數(shù)據(jù)段中，有兩個(gè)數(shù)據(jù)項(xiàng)“l(fā)oad=”和“run=”，它們的

50、作用就是在系統(tǒng)啟動(dòng)之后自動(dòng)地裝入和運(yùn)行相關(guān)的程序。如果我們需要在系統(tǒng)啟動(dòng)之后裝入并運(yùn)行一個(gè)程序，只將需要運(yùn)行文件的全文件名添加在該數(shù)據(jù)項(xiàng)的后面，系統(tǒng)啟動(dòng)后就會(huì)自動(dòng)運(yùn)行該程序，系統(tǒng)也會(huì)進(jìn)入特定的操作環(huán)境中去。利用注冊(cè)表實(shí)現(xiàn)相關(guān)程序的自動(dòng)啟動(dòng)系統(tǒng)注冊(cè)表保存著系統(tǒng)的軟件、硬件及其他與系統(tǒng)配置有關(guān)的重要信息，一臺(tái)計(jì)算機(jī)系統(tǒng)的系統(tǒng)注冊(cè)表一旦遭到破壞，整個(gè)系統(tǒng)將無(wú)法運(yùn)行。在計(jì)算機(jī)的系統(tǒng)注冊(cè)表中的子目錄中有一個(gè)目錄的名稱(chēng)為hkey localmachinesoftwarelmicrosofl windowscurrent version、run的鍵，如果你想讓程序在系統(tǒng)啟動(dòng)的過(guò)程中啟動(dòng)該程序，

51、就可以向該目錄添加一個(gè)子項(xiàng)，具體的過(guò)程是在注冊(cè)表中右擊該項(xiàng)，選中其中的“新建”項(xiàng)目，然后選中其中的“串值”，建立新的串值后將它的名稱(chēng)改成相應(yīng)的名稱(chēng)，雙擊新建的串值，輸入新的數(shù)值，自動(dòng)啟動(dòng)程序的過(guò)程就設(shè)置完成。目標(biāo)機(jī)器信息的獲取木馬的一個(gè)功能就是竊取被控制端計(jì)算機(jī)的信息，然后再把這些信息通過(guò)socket傳送到控制端。一般來(lái)講，獲取目標(biāo)機(jī)器信息的方法是調(diào)用相關(guān)的api，通過(guò)函數(shù)返回值，進(jìn)行分解和分析有關(guān)成分。用戶(hù)事件的記錄在木馬程序中，如果控制端用戶(hù)要知道被控制端用戶(hù)在干些什么事情，敲了哪些鍵，就要使用本節(jié)中的用戶(hù)事件的記錄技術(shù)。具體實(shí)現(xiàn)過(guò)程大致是這樣的：控制端程序發(fā)送

52、“記錄”命令，當(dāng)被控制端程序接收到該命令后，開(kāi)始調(diào)用鍵盤(pán)事件記錄模塊，該模塊記錄用戶(hù)的所有敲鍵及打開(kāi)的窗口，保存在一個(gè)文本文件中。一定時(shí)間后，控制端程序再發(fā)送“停止并傳送”命令，則被控制端程序就停止記錄用戶(hù)事件，并把記錄文件傳到控制端。5.1.1 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)針對(duì)上面討論的木馬程序的工作機(jī)理，誕生了入侵檢測(cè)技術(shù)。本章開(kāi)始討論ijnux下基于網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。討論了該系統(tǒng)模型的體系結(jié)構(gòu)，并對(duì)各個(gè)模塊進(jìn)行了介紹，包括網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、網(wǎng)絡(luò)協(xié)議分析模塊、存儲(chǔ)模塊、規(guī)則解析模塊、入侵事件檢測(cè)模塊、響應(yīng)模塊和界面管理模塊.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)數(shù)據(jù)包

53、和協(xié)議分析來(lái)檢測(cè)入侵，其基本原理如圖所示。圖中數(shù)據(jù)包捕獲模塊的功能是按照一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給入侵分析引擎模塊進(jìn)行安全分析判斷。入侵檢測(cè)模塊將根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊上接收到的包并結(jié)合網(wǎng)絡(luò)入侵規(guī)則庫(kù)進(jìn)行分析，把分析的結(jié)果傳遞給系統(tǒng)管理模塊。管理模塊的主要功能是管理其他模塊的配置工作，將分析引擎的結(jié)果以有效的方式通知網(wǎng)絡(luò)管理員與入侵維護(hù)標(biāo)簽等吲。 木馬程序的工作機(jī)理及防衛(wèi)措施的研究由于我們需要捕獲所有流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的檢測(cè)器放置的位置需要能夠嗅探到網(wǎng)絡(luò)中所有數(shù)據(jù)包。理論上有以下幾種類(lèi)型：1放在防火墻之外：能夠檢測(cè)所有來(lái)自外部網(wǎng)絡(luò)的攻擊。2放

54、在防火墻之內(nèi)：能夠檢測(cè)所有進(jìn)入內(nèi)部網(wǎng)絡(luò)的攻擊，但是對(duì)于被防火墻過(guò)濾掉的數(shù)據(jù)包卻無(wú)法檢測(cè)。3防火墻內(nèi)外都有檢測(cè)器：這是最前面的攻擊檢測(cè)方案，對(duì)來(lái)自?xún)?nèi)部和外部的攻擊都能檢測(cè)13。入侵檢測(cè)平臺(tái)模塊介紹系統(tǒng)體系結(jié)構(gòu)如下圖所示。從邏輯上分為數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果顯示三部分。此系統(tǒng)由7個(gè)模塊組成：1網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊：此模塊的主要功能是從以太網(wǎng)中捕獲數(shù)據(jù)包。由于此模塊的性能要求很高，我們使用一個(gè)在linux下非常流行的捕獲機(jī)制，即bpf機(jī)制。2網(wǎng)絡(luò)協(xié)議分析模塊：對(duì)捕獲到的數(shù)據(jù)包進(jìn)行協(xié)議分析，檢測(cè)出每個(gè)數(shù)據(jù)包的類(lèi)型和特征。3存儲(chǔ)模塊：存儲(chǔ)網(wǎng)絡(luò)信息。我們使用mysql數(shù)據(jù)庫(kù)。4響應(yīng)模塊：本系統(tǒng)采用被動(dòng)響應(yīng)方

55、式，此響應(yīng)是實(shí)時(shí)的。5入侵事件檢測(cè)模塊：根據(jù)入侵規(guī)則庫(kù)進(jìn)行協(xié)議分析，看是否有入侵行為發(fā)生。在這里就可以轉(zhuǎn)化成規(guī)則庫(kù)的匹配問(wèn)題了。所以如果定義好了入侵規(guī)則庫(kù)，并且協(xié)議分析完成了，那么現(xiàn)在就是對(duì)這兩部分進(jìn)行匹配了。如果協(xié)議分析的結(jié)果跟入侵規(guī)則庫(kù)匹配成功，就說(shuō)明有入侵行為的發(fā)生。只有入侵規(guī)則庫(kù)越豐富，那么系統(tǒng)檢測(cè)到的入侵行為就會(huì)越多。另外，此模塊除了使用入侵規(guī)則庫(kù)來(lái)檢測(cè)入侵之外，還可以使用一些異常檢測(cè)功能。如對(duì)掃描入侵行為的檢測(cè)就可以使用異常檢測(cè)技術(shù)。6規(guī)則解析模塊：此模塊的功能就是把定義好的入侵規(guī)則庫(kù)從文件中讀取出來(lái)，然后進(jìn)行解析，讀入內(nèi)存，也就是讀入相應(yīng)的變量之中。入侵規(guī)則庫(kù)的解析跟入侵規(guī)則的入

56、侵事件描述語(yǔ)言密切相關(guān)。我們定義一種入侵事件描述語(yǔ)言來(lái)描述入侵事件。7界面管理模塊：界面是為了控制操作的方便而設(shè)計(jì)的。界面管理模塊的實(shí)現(xiàn)中有一個(gè)重要問(wèn)題就是動(dòng)態(tài)數(shù)據(jù)的顯示問(wèn)題。我們使用gtk+結(jié)合多線程技術(shù)。舟絡(luò)數(shù)據(jù)報(bào)捕獲及協(xié)議分析模塊5.1.2 入侵檢測(cè)系統(tǒng)的未來(lái)發(fā)展方向入侵檢測(cè)系統(tǒng)的研究還處于一個(gè)不完善的階段，還有很多問(wèn)題需要解決，在此就一些問(wèn)題和發(fā)展方向進(jìn)行闡述。分布式入侵檢測(cè)和通用入侵檢測(cè)框架的研究傳統(tǒng)的ms局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)檢測(cè)不是很好，不同的los系統(tǒng)之間及與其他網(wǎng)絡(luò)安全系統(tǒng)間不能協(xié)同工作。應(yīng)用層入侵檢測(cè)的研究許多入侵的

57、語(yǔ)義只有在應(yīng)用層才能理解，而目前的ids僅能檢測(cè)如web之類(lèi)的通用協(xié)議，而不能處理數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。智能入侵檢測(cè)技術(shù)的研究入侵檢測(cè)方法越來(lái)越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)等在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但智能入侵檢測(cè)系統(tǒng)研究工作處于嘗試性階段，還不能形成真正實(shí)用的產(chǎn)品。與其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合的研究如與防火墻、病毒檢測(cè)等新的網(wǎng)絡(luò)安全技術(shù)相結(jié)合，充分發(fā)揮各自的長(zhǎng)處，協(xié)同配合，共同提供一個(gè)完整的以防火墻為核心的網(wǎng)絡(luò)安全體系。自身安全性的研究ds本身的健壯性是ids系統(tǒng)好壞的重要指標(biāo)。ms的健壯性要求系統(tǒng)本身在各種網(wǎng)絡(luò)環(huán)境下都能正常工作，并且系統(tǒng)的各個(gè)模塊之間的通信能夠不被破壞。這就需要在模塊間的通信過(guò)程中引入加密和認(rèn)證的機(jī)制，并且這個(gè)加密和認(rèn)證的機(jī)制的健壯性也要得到保證5.2 本文中存在的不足以及尚待解決的問(wèn)題本文設(shè)計(jì)并實(shí)現(xiàn)的入侵檢測(cè)系統(tǒng)可以增加對(duì)更多的應(yīng)用協(xié)議f如f礬哪telnet等)進(jìn)行更深入的協(xié)議分析