端口反弹型木马的通信技术研究
木马攻击常用名词解释
目录 1. IPS IDS IRS (2) 2.攻击 (3) 3. 80端口 (3) 4. 404 (4) 5. Application Firewall (4) 6. SHELL (5) 8. ISP/ICP (8) 9. IIS (9) 10.SQL注入 (9) 11.XSS攻击 (10) 12.DDOS攻击 (11) .
1.IPS IDS IRS 入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施,是对防病毒软体(Antivirus Programs)和防火墙(Packet Filter, Application Gatew ay)的补充。入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 在ISO/OSI网路层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。 入侵预防系统类型 投入使用的入侵预防系统按其用途进一步可以划分为 (HIPS: Hostbased Intrusion Prevension System) 单机入侵预防系统和 (NIPS: Network Intrusion Prevension System)网路入侵预防系统 网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。 根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。
隐写术的应用及安全性研究
隐写术的应用及安全性研究 摘要:介绍了隐写术和反隐写术,说明了隐写术的原理及隐写术在文本、图像、音频中的应用。从隐写系统的绝对安全性、检测隐写消息的低效性和隐写算法的复杂多变性等方面阐明了反隐 写所面临的挑战。最后指出反隐写术只能证明隐写信息的存在性而不能破译隐写信息的不足;同时简要阐明了反隐写的发展趋势。 关键词:隐写术;反隐写;隐写系统;隐写检验;隐写算法 application of steganography and its security wang yanyan, wu yafei (college of computer,dezhou university,dezhou, shandong china, 253023) abstract: the authors introduce in this paper steganography and anti-steganography and illustrates the principle of steganographic methods and their applications in the text, images, and audio. it is illustrated that anti-steganography faces challenges from absolute safety of hidden writing system, inefficiency of detecting to complexity of steganographic algorithms. the authors point out that the anti-steganography can only prove the existence of the steganographic information, but not crack it. this
特洛伊木马病毒的隐藏技术_李军丽
特洛伊木马病毒的隐藏技术 李军丽 云南大学信息学院 云南 650031 摘要:隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。 关键词:木马病毒;网络安全;隐藏技术 0 引言 随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全的隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁;据调查,目前在国内,68.26%的用户怀疑受到过木马病毒的攻击,63%的电脑用户曾受到过木马病毒攻击。隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。 1 木马的隐藏技术 木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。木马的隐藏技术主要包括以下几个方面:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。 1.1 本地文件伪装隐藏 木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。 1.2 木马的启动隐藏方式 (1) 本地文件伪装 最常用的文件隐藏是将木马病毒伪装成本地文件。木马病毒将可执行文件伪装成图片或文本----在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG.,不注意的人一点击这个图标就在无意间启动了木马程序。 (2) 通过修改系统配置来实现木马的启动隐藏 利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。像Autoexec.bat和Config.sys。特别是系统配置文件MSCONFIG.SYSMSCONFIG.SYS中的系统启动项—— system.iniwindow.ini是众多木马的隐藏地。Windows安装目录下的system.in的[boot]字段中,正常情况下为boot=“Explorer.exe”,如果后面有其他的程序,如这样的内容,boot=“Explorer.exe file.exe”,这里的file.exe,可能就是木马服务端程序。另外,在System.ini中的[386enh]字段,要注意检查在此段内的driver=路径\程序名。这里也有可能被木马所利用。再有System.ini中的[drivers],[drivers32],[mci]这3个字段,也是起到加载驱动程序的作用,因此也是增添木马程序的好场所。 (3) 利用系统路径遍历优先级欺骗 Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在的盘符的根目录开始向系统目录深处递进查找,而不是精确定位;这就意味着,如果有两个同样名称的文件分别放在“C:\”和“C:\WINDOWS”下,WINDOWS会执行C:\下的程序,而不是C:\WINDOWS下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件里,并复制到比原文件要浅一级的目录里,WINDOWS就会想当然的执行这个木马程序。要提防这种占用系统启动项而作到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。 (4) 替换系统文件 木马病毒就利用系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序INTERNAT.EXE。让动态链接库可以像程序一样运行的RUNDLL32.EX等。木马程序会替换掉原来的系统文件,并把原来的系统文件名改成只有它自己知道的一个偏僻文件名。只要系统调用那个被替换的程序,木马就能继续驻留内存了。木马作为原来的程序被系统启动时,会获得一个由系统传递来的运行参数,木马程序就把这个参数传递给被改名的程序执行。1.3 进程隐藏 进程隐藏有两种情况,一种隐藏是木马程序的进程仍然存在,只是不在进程列表里;采用APIHOOK 技术拦截有关作者简介:李军丽(1980-),女,云南大学信息学院05级硕士研究生,研究方向:计算机网络安全,嵌入式系统。
木马检测与防护技术的发展
Computer Science and Application 计算机科学与应用, 2015, 5(12), 429-435 Published Online December 2015 in Hans. https://www.wendangku.net/doc/a59282702.html,/journal/csa https://www.wendangku.net/doc/a59282702.html,/10.12677/csa.2015.512054 Study of Trojans Detection and Prevention Technology Shaohua Wu, Yong Hu College of Electronics and Information Engineering, Sichuan University, Chengdu Sichuan Received: Dec. 5th, 2015; accepted: Dec. 25th, 2015; published: Dec. 28th, 2015 Copyright ? 2015 by authors and Hans Publishers Inc. This work is licensed under the Creative Commons Attribution International License (CC BY). https://www.wendangku.net/doc/a59282702.html,/licenses/by/4.0/ Abstract Based on reverse analysis of many current popular Windows’ Trojans behavior, the new technolo-gies used by Trojans were summarized, including program hidden, process hidden, communica-tion pattern and means to avoid killing. Combined with the current mainstream security software to detect the Trojan, some new technologies and opinions against the Trojan threat were present. Keywords Trojan, Masquerading Technology, Process Hidden, Communication Protocol, Avoid Killing, Trojan Detection 木马检测与防护技术的发展 吴少华,胡勇 四川大学电子信息学院,四川成都 收稿日期:2015年12月5日;录用日期:2015年12月25日;发布日期:2015年12月28日 摘要 通过对大量当前流行的windows木马程序进行逆向,分析木马在伪装技术、程序隐藏方式、进程隐藏方
常见木马病毒清除的方法
常见木马病毒清除的方法 来源:互联网 | 2009年09月23日 | [字体:小大] | 网站首页 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan 木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序, 如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在
木马的隐藏方式
木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中木马的工作原理,木马查杀。-电脑维修知识网 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 2、隐藏在配置文件中木马的工作原理,木马查杀。-电脑维修知识网 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在 Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 3、潜伏在Win.ini中木马的工作原理,木马查杀。-电脑维修知识网 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 4、伪装在普通文件中木马的工作原理,木马查杀。-电脑维修知识网 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为 *.jpg, 不注意的人一点这个图
木马常用端口
445.135多为蠕虫病毒的攻击性端口 端口:31 服务:MSG Authentication 说明:木马Master Paradise、Hackers Paradise开放此端口。 端口:666 服务:Doom Id Software 说明:木马Attack FTP、Satanz Backdoor开放此端口 端口:1001、1011 服务:[NULL] 说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 端口:1025、1033 服务:1025:network blackjack 1033:[NULL] 说明:木马netspy开放这2个端口。 端口:1170 服务:[NULL] 说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 端口:1234、1243、6711、6776 服务:[NULL] 说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 端口:1245 服务:[NULL] 说明:木马Vodoo开放此端口。 端口:1433 服务:SQL 说明:Microsoft的SQL服务开放的端口。 端口:1492 服务:stone-design-1 说明:木马FTP99CMP开放此端口。 端口:1524 服务:ingress 说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail 和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
木马通信的隐蔽技术
多媒体技术及其应用本栏目责任编辑:唐一东木马通信的隐蔽技术 张春诚,路刚,冯元 (解放军炮兵学院计算中心,安徽合肥230031) 摘要:服务器和客户机如何通信是木马研究的一个核心技术,该文讲述了如何利用网络协议躲避了防火墙和系统工具的检查,成功实现了木马的隐蔽通信,给出的源代码均调试通过。 关键词:木马通信;隐藏通信 中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)35-2481-03 Covert Technologies on Communications of Trojan Horse ZHANG Chun-cheng,LU Gang,FENG Yuan (PLA Artillery Academy Computer Center,Hefei 230031,China) Abstracr:The communications between server and client is a kernel technology to research Trojan.This paper describes how to hide out inspect of firewall and system tools through network protocol,and successful implement on covert communications of Trojan.These sound codes are all debugged and passed. Key words:communications of trojan horse;covert communications 1引言 木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP 通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP 端口与控制端进行通信。通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP 端口。早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。 2木马通信形式的隐蔽技术 木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。 2.1端口寄生 端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP 80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。在Windows 9X 系统中进行此类操作相对比较简单,但是在Windows NT/2K 系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。 2.2反弹端口 反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。为了隐蔽起见,控制端的被动端口一般开在TCP80。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP USERIP :1026CONTROLLERIP :80ESTABLISHED 这种情况,用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP 的第三方存储空间来进行控制端IP 地址的传递。 下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。 CServerSocket *pMy;//CServerSocket 是CAsyncSocket 的派生类 …… //初始化是开始连接,同时建立定时器 BOOL CServiceDlg::OnInitDialog(){CDialog::OnInitDialog();pMy=NULL;SetTimer(199,30000,NULL);pMy=new MySock;pMy->Create();pMy->Connect(m_ip,80);//连接目标的80端口,让人感觉在上网 收稿日期:2008-07-02 作者简介:张春诚(1982-),男,硕士,研究方向:网络安全;路刚(1983-),男,硕士,研究方向:计算机人工智能;冯元(1983-),男,硕 士,研究方向:计算机网络技术。 ISSN 1009-3044 Computer Knowledge And Technology 电脑知识与技术 Vol.4,No.8,December 2008,pp.2481-2483E-mail:eduf@https://www.wendangku.net/doc/a59282702.html, https://www.wendangku.net/doc/a59282702.html, Tel:+86-551-569096356909642481
国内外木马研究现状
国外研究背景: 快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。网络战争战场将成为未来信息作战风格。木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。 1.有关国外的隐藏技术 (1)木马的P2P网络模型 木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。木马隐藏技术主要分为两类:主机隐藏和隐藏通信。设计一个新的木马主机隐藏DLL陷阱技术在Windows SPI接口,木马没有隐藏的过程。通信隐藏使用P2P技术控制网络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。 (2)Bootkit Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,从而得到无限制的访问整个电脑,甚至可以绕过满卷加密,因为主引导记录不加密。主引导记录包含密码解密的软件要求和解密开车。 国内研究现状: 计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。其中特洛伊木马的破坏最大,它能在高隐蔽性的状态下窃取网民的隐私信息。通常被感染木马的计算机用户并不知道自己的计算机已被感染。这是由于木马程序具有很高的隐蔽性,它能在看似无任何异常的情况下,秘密操控远程主机,进行破坏活动。 1.木马隐藏相关技术 (1)程序隐蔽 木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。程序捆绑方式是将多个exe 程序链接在一起组合成一个exe 文件,当运行该exe 文件
木马通信的隐蔽技术
引言 木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP端口与控制端进行通信。通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。2木马通信形式的隐蔽技术 木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。 2.1端口寄生 端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。在Windows9X系统中进行此类操作相对比较简单,但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。 2.2反弹端口 反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。为了隐蔽起见,控制端的被动端口一般开在TCP80。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCPUSERIP:1026CONTROLLERIP:80ESTABLISHED这种情况,用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP的第三方存储空间来进行控制端IP地址的传递。 下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。CServerSocket*pMy;//CServerSocket是CAsyncSocket的派生类…… //初始化是开始连接,同时建立定时器 BOOLCServiceDlg::OnInitDialog(){ CDialog::OnInitDialog();pMy=NULL; SetTimer(199,30000,NULL);pMy=newMySock;pMy->Create(); pMy->Connect(m_ip,80);//连接目标的80端口,让人感觉在上网ComputerKnowledgeAndTechnology} //在定时器中检查是否有连接,否则试图重新连接V oidCServiceDlg::OnTimer(UINTnIDEvent){ If(nIDEvent=199){ If(pMy->Send(“test”,4)=SOCKET_ERROR){pMy->Detach();deletepMy;pMy=NULL; pMy=newMySock;pMy->Create(); pMy->Connect(m_ip,80);}} CDialog::OnTimer(nIDEvent);} 2.3潜伏技术 ICMP(互联网控制报文协议)是IP协议的附属协议,用来传递差错报文以及其他需要注意的消息报文。它是由内核或进程直接处理而不会打开通信端口。采用潜伏技术进行通信的木
常见端口对照表
常见端口对照表 端口:0 服务:Reserved 说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。 端口:1 服务:tcpmux 说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口:7 服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 端口:19 服务:Character Generator 说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP 连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP 的数据包,受害者为了回应这些数据而过载。 端口:21 服务:FTP 说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP 服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash 和Blade Runner所开放的端口。 端口:22 服务:Ssh 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 端口:23 服务:Telnet 说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 端口:25 服务:SMTP
如何预防木马-结合木马的藏身之所,隐藏技术,总结清除木马的方法.
如何预防木马?结合木马的藏身之所,隐藏技术,总结 清除木马的方法. 篇一:《计算机病毒》复习思考题20XX 20XX《计算机病毒》复习思考题 第一手资料:教材、教学PPT 必读参考资料: 1.金山毒霸20XX-20XX中国互联网安全研究报告.doc 2.中国互联网站发展状况及其安全报告(20XX年).pdf 3.瑞星20XX年上半年中国信息安全报告.pdf 4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc 5.★★★木马防治之“葵花宝典”.doc 6.★★★深层病毒防护指南.doc 7.专题:★★★手动杀毒综合篇.doc 8.打造安全U盘(实验).doc 9.打造安全、流畅、稳定的系统.ppt 10.HiPS主机入侵防御系统.ppt 11.关于HoSTS文件.doc 12.病毒触发条件.doc 第一章计算机病毒概述 1.简述计算机病毒的定义和特征。
2.如何通过病毒的名称识别病毒的类型? 3.计算机病毒有哪些传播途径? ?查找相关资料,试述计算机病毒发展趋势与特点。 ?研究计算机病毒有哪些基本原则?搭建病毒分析的环境有哪些方法? 第2章预备知识 1.硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区? 2.低级格式化、高级格式化的功能与作用是什么?高级格式化(FoRmaT)能否清除任何计算机病毒?为什么? 3.doS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改? 4.针对PE文件格式,请思考:win32病毒感染PE文件,须对该文件作哪些修改? 第3章计算机病毒的逻辑结构与基本机制 1.文件型病毒有哪些感染方式? 2.计算机病毒的感染过程是什么? 3.计算机病毒一般采用哪些条件作为触发条件? ?试述计算机病毒的逻辑结构。 第4章doS病毒的基本原理与doS病毒分析 1.试述引导型病毒的启动过程。
木马病毒的简介和基本分类
木马病毒的简介和基本分类 什么是木马(Trojan) 木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。 “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任 木马病毒 意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。 随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。 木马病毒-木马的种类 1、普通的以单独EXE文件执行的木马 2、进程插入式木马 3、Rootkit类 4、其他
木马隐藏技术分析
木马隐藏技术分析 郜多投 (山东大学山东省济南市250100) 摘要:文章首先介绍了木马的原理和特征,然后对木马所实现的功能做了简单的介绍,最后从木马的文件隐藏,进程隐藏和通信隐藏三个方面着重进行了分析。 关键词:木马;木马隐藏;通信隐藏 [引言]木马,是一种通过潜入对方电脑进非法操作的计算机成程序,是目前黑客惯用的一种攻击手段,和一般的恶意软件不同,木马不主动进行自我复制和传播,破坏其他程序,然而,木马的潜伏性是超前的,为了看起来和正常程序一样,在进入系统之前,对自身的程序进行了伪装,使被感染的系统看起来一切正常,从而严重威胁计算机网络安全。 1.木马的原理和特征 一个完整的木马程序包含两部分内容,服务端和控制端,服务端程序是通过远程计算机网络植入对方电脑,而黑客通过客户端进入运行了服务端的受控电脑,通常运行了服务端的计算机会生成一个类似于系统文件的进程,此时端口被暗中打开,电脑中保存的各类数据会向控制端进行发送,黑客也可以通过这些暗中打开的端口进入目标电脑,此时,电脑中更多的隐私将会遭受更大的泄露。 木马一般具有以下特征: 一,隐藏性,隐藏性是木马的最显著特征,比如,改写进程名称使其和系统文件高度相似,隐藏在任务管理器中的进程,减少程序大小,减少暗中打开端口的流量。 二、自动运行性,可以随电脑启动而启动,比如潜入启动配置文件win.ini,winstart。Bat等,有的也可嵌入正常软件,随软件的运行而启动。 三、欺骗性:木马为了防止被发现,通常伪装成为系统中本身存在的文件,比武将文件名中的“O”改为“0”,“1改为I”等容易混淆是非的字符,或者有的系统中本身的文件名也可被木马直接套用,只不过是保存在不同的系统路径下,另外,有的木马将自己改装成为ZIP压缩文件,当用户解压时,直接运行。四、自我恢复性。目前大多数木马程序的功能模块已不是单一的组件构成,而是自动复制到电脑其他路径做备份,在子木马或者主木马被删除时,都可以再自动生成。 2.木马的功能 木马的作用不仅限于窃取密码,对文件进行操作。一个功能强大的木马程序,一旦潜入计算机系统,黑客对于受控计算机的操作就如同和自己自己的一样。木马的功能主要分为以下几个方面:窃取密码。这是早期木马最根本的一个功能,大多数木马具有键盘按键记录功能,一旦木马植入计算机,任何输入键盘的密码将很容易被窃取,然而并没有鼠标记录功能,所以,通过鼠标适当的造作来改变击键顺序可以有效的防止密码泄露。此外,木马程序也可以记录其他的明文以及缓存Cache记录。 远程监控。攻击者可以对目标电脑进行屏幕图
计算机常用端口一览表及木马攻击常见端口的关闭
计算机常用端口一览表 1 传输控制协议端口服务多路开关选择器 2 compressnet 管理实用程序 3 压缩进程 5 远程作业登录 7 回显(Echo) 9 丢弃 11 在线用户 13 时间 15 netstat 17 每日引用 18 消息发送协议 19 字符发生器 20 文件传输协议(默认数据口) 21 文件传输协议(控制) 22 SSH远程登录协议 23 telnet 终端仿真协议 24 预留给个人用邮件系统 25 smtp 简单邮件发送协议 27 NSW 用户系统现场工程师 29 MSG ICP 31 MSG验证
33 显示支持协议 35 预留给个人打印机服务 37 时间 38 路由访问协议 39 资源定位协议 41 图形 42 WINS 主机名服务 43 "绰号" who is服务 44 MPM(消息处理模块)标志协议 45 消息处理模块 46 消息处理模块(默认发送口) 47 NI FTP 48 数码音频后台服务 49 TACACS登录主机协议 50 远程邮件检查协议 51 IMP(接口信息处理机)逻辑地址维护 52 施乐网络服务系统时间协议 53 域名服务器 54 施乐网络服务系统票据交换 55 ISI图形语言 56 施乐网络服务系统验证 57 预留个人用终端访问
58 施乐网络服务系统邮件 59 预留个人文件服务 60 未定义 61 NI邮件? 62 异步通讯适配器服务 63 WHOIS+ 64 通讯接口 65 TACACS数据库服务 66 Oracle SQL*NET 67 引导程序协议服务端 68 引导程序协议客户端 69 小型文件传输协议 70 信息检索协议 71 远程作业服务 72 远程作业服务 73 远程作业服务 74 远程作业服务 75 预留给个人拨出服务 76 分布式外部对象存储 77 预留给个人远程作业输入服务 78 修正TCP 79 Finger(查询远程主机在线用户等信息)
(完整版)木马攻击技术彻底剖析毕业论文
毕业论文(设 计) 论文(设计)题目:木马攻击技术彻底剖析 学院:理工学院 专业(方向):计算机科学与技术(网络工 程) 年级、班级:网络1101 学生姓名: 指导老师:
2015 年 5 月 15 日
论文独创性声明 本人所呈交的毕业论文(设计)是我个人在指导教师指导下进行的研究工作及取得的成果。除特别加以标注的地方外,论文中不包含其他人的研究成果。本论文如有剽窃他人研究成果及相关资料若有不实之处,由本人承担一切相关责任。 本人的毕业论文(设计)中所有研究成果的知识产权属三亚学院所有。本人保证:发表或使用与本论文相关的成果时署名单位仍然为三亚学院,无论何时何地,未经学院许可,决不转移或扩散与之相关的任何技术或成果。学院有权保留本人所提交论文的原件或复印件,允许论文被查阅或借阅;学院可以公布本论文的全部或部分内容,可以采用影印、缩印或其他手段复制保存本论文。 加密学位论文解密之前后,以上声明同样适用。 论文作者签名: 年月日
木马攻击技术彻底剖析 摘要 如今是大数据的时代,有效的信息能够带来巨大的效益,它作为一种普遍性、共享性、增值型、可处理性和多效用性的资源,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或网络信息传输中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。信息安全是一个不容忽视的国家安全战略,任何国家、政府、部门、行业都不可避免的问题。因此,在计算机信息安全领域,对计算机木马技术的研究已成为一个重点和热点。本文对计算机木马攻击技术进行了系统的分析和研究,主要工作如下: 1.对木马的基本概念进行说明、攻击机制进行剖析。 2.采用“冰河”实例进行剖析说明。 3.在研究了木马隐蔽技术的基础上,提出了一个动静特征相结合的行为木马特征检测技术基本框架。尽最大能力去检测与防范木马攻击。 【关键词】木马攻击,计算机信息安全,木马检测,木马防范