浅析新型木马的原理及实现.docx
《浅析新型木马的原理及实现.docx》由会员分享,可在线阅读,更多相关《浅析新型木马的原理及实现.docx(23页珍藏版)》请在冰点文库上搜索。
浅析新型木马的原理及实现
浅析新型木马的原理及实现
摘要
随着互联网的迅速普及和应用的不断发展,各种黑客工具和网络攻击手段层出不穷,网络安全越发重要。
特洛伊木马以其攻击范围广、隐蔽性、危害大等特点成为常见的网络攻击技术之一,对网络环境中计算机信息资源的危害比许多病毒都还大。
本论文介绍了木马的定义、原理、分类及其发展趋势等基本理论,对木马所采用的技术方法进行了归纳研究,采用第二代木马技术,设计了一个基于网络的Windows平台上的木马。
在论文中分析了当前网络的安全现状,介绍了木马的发展历史及第二代木马采用的关键技术,最终完成了木马程序的编写,实现了远程系统信息获取模块,远程系统功能限制模块,信息发送模块,击键记录模块等几大模块功能。
归纳了现阶段存在的问题和改进意见,并根据系统的功能瓶颈提出了后续开发方向。
关键词:
网络安全;网络攻击;黑客;特洛伊木马
ResearchandImplementationof
Second-generationTrojan
Abstract
WiththepopularizationoftheInternetandthedevelopmentofitsapplication,variousattackmethodstoInternethavealsoappeared.Networksecurityhasbecomeimportant.AsoneofthemeansofattackingInternet,comparingwithmanyviruses,Trojanismoreharmfulinnetworkenvironment.ThearticleconcludestheTrojan'sbasictheoryandtechnology.ATrojanwasdesignedbasedonWindowsplatformaccordingtothesecond-generationTrojantechnology.ThisarticleanalysesthecurrentnetworksecuritystatusandintroducesTrojan'sdevelopmentandthekeytechnologyofthesecond-generationTrojan.Ultimately,thesystemaccomplishestheTrojanprogramachievingthemainfunctionalmodules,suchassendinginformation,capturingtypingandsoon.Theexistingproblemsaresummedup,andthefuturedirectionisproposedaccordingtothebottleneckproblemofthesystem.
Keywords:
Networksecurity;Networkattack;Hacker;Trojan
目录
论文总页数:
20页
1引言1
2网络信息安全概述1
2.1计算机与网络信息系统安全1
2.2网络信息系统面临的安全威胁1
2.3个人主机面临的安全威胁2
2.4特洛伊木马知识概述3
2.4.1特洛伊木马的起源及定义3
2.4.2特洛伊木马的历史3
2.4.3木马与病毒和蠕虫的区别3
2.5特洛伊木马分类4
2.6特洛伊木马的危害5
2.7特洛伊木马的结构6
3需求分析及方案设计7
3.1功能要求7
3.2环境需求7
3.3可行性研究7
3.4第二代木马技术分析7
3.4.1工作原理7
3.4.2植入技术8
3.4.3加载技术8
3.4.4隐藏技术9
3.5系统总体设计10
4第二代木马的实现11
4.1远程信息获取模块11
4.1.1获取远程系统信息11
4.1.2获取远程进程信息12
4.2远程系统功能限制模块12
4.2.1禁用任务管理器12
4.2.2锁定鼠标和键盘13
4.2.3远程注销、远程重启、远程关机13
4.3信息发送模块14
4.4击键记录模块14
4.5自加载技术14
4.6木马程序的传播16
结论17
参考文献18
致谢19
声明20
1引言
随着互联网技术的迅猛发展,网络给人们带来了很多便利,也带来了越来越多的威胁,比如说特洛伊木马。
特洛伊木马是一种典型的黑客软件,它通过各种隐蔽的途经植入目标机器,搜集其中各种敏感私密信息,然后通过网络,将搜集到的各种信息发回给攻击者。
并接收攻击者的指令,完成其他各种可能对目标计算机有害的操作。
甚至当一个功能强大的木马一旦被植入目标计算机,攻击者就可以像操作自己的机器一样控制目标计算机。
本质上木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序。
它的运行遵循TCP/IP协议。
由于它像间谍一样潜入用户的计算机,为黑客的攻击打开后门,与战争中的“木马”战术十分相似,因此得名。
2网络信息安全概述
2.1计算机与网络信息系统安全
国际标准化组织(ISO)将计算机安全定义为“计算机系统的硬件、软件和数据受到保护,不因偶然或恶意的原因而遭破坏、更改、泄露等,系统能连续正常运行”。
网络安全基本上是一个实践性的技术领域,它涉及到多种技术领域,但其本质上是指网络上的信息安全,也就是网上信息的完整性和保密性、网络服务的可用性。
通俗地说,网络信息安全与保密主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。
从技术角度来说,网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可用性、不可抵赖性等方面。
保密性(confidentiality):
指信息不被泄漏给非授权的个人、实体和过程,或供其使用的特性。
完整性(integrity)指信息XX不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。
可用性(availability)指合法用户访问并能按要求顺序使用信息的特性。
可控性(controllability)指授权机构对信息的内容及传播具有控制能力的特性。
可审查性(audit):
在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
随着互联网的日益增长,将来自系统外部的服务请求完全隔离是不可能的,而系统的安全漏洞和系统的加密措施已不再像以前那样仅被为数不多的专业人士知道。
在互联网上,数以万计的黑客站点时时刻刻在发布这些消息,并提供各种工具和技术以利用系统漏洞和破解体系进行攻击。
日益严重的网络信息安全问题,不仅使上网企业、机构以及用户蒙受巨大的损失,而且使国家的安全与主权面临严重威胁。
2.2网络信息系统面临的安全威胁
目前网络信息系统面临的安全威胁主要有:
(I)非法使用服务:
这种攻击的目的在于非法利用网络的能力,网络上的非授权访问应该是不可能的。
不幸的是,用于在网络上共享资源及信息的工具、程序存在许多安全漏洞,而利用了这些漏洞就可以对系统进行访问了。
(2)身份冒充;这种攻击的着眼点在于网络中的信任关系,主要有地址伪装IP欺骗和用户名假冒。
(3)数据窃取:
指所保护的重要数据被非法用户所获取,如入侵者利用电磁波辐射或搭线窃听等方式截获用户口令、帐号等重要敏感信息。
(4)破坏数据完整性:
指通过非法手段窃得系统一定使用权限,并删除、修改、伪造某些重要信息,以干扰用户的正常使用或便于入侵者的进一步攻击。
2.3个人主机面临的安全威胁
网络中的个人机面临的威胁主要包括以下几个方面:
1)恶意代码
在个人用户接受的电子邮件中,或从互联网上下载的应用程序中,很可能包括一些恶意代码,如:
病毒、木马等。
这些恶意代码带有一定的隐蔽性,潜伏时期长,不容易被发现。
一旦发作,将给用户带来巨大的损失。
如病毒、蠕虫可以破坏用户的有用文件,木马使用户的计算机被远程控制,用户所有的资源都暴露无疑。
2)Cookie资料
Cookie,是访问过的网站在个人硬盘上留下的记录,为TXT文本文件,主要用来记录个人在网站中输入的信息或访问站点时所做的选择,包括用户名、密码等一系列重要信息。
Cooki的本意是友好的,其出发点是为了方便用户访问网站。
但是这个方便也容易被入侵者利用,入侵者可以通过特别制作的Web页面或者电子邮件侵入Cookie,接着从Web账户中窃取或者改动数据,例如:
窃取信用卡号、用户名、密码以及上网的帐号和密码等。
3)对个人机的攻击及其原理
目前大部分个人用户使用的操作系统为WindowsXP,因此以下分析的攻击方法主要面向WindowsXP。
由于个人机一般不提供如HTTP,FTP,TELNET等服务,所以通过这些服务实现入侵一般是行不通的。
常见的对个人主机的攻击方法有:
网络嗅探、拒绝服务攻击、特洛伊木马等。
黑客攻击的步骤一般是:
首先通过扫描来查找可以入侵的机器,即漏洞探测;接着确定该机器的IP地址;然后利用相应的攻击工具发起某种攻击。
网络嗅探,嗅探器是一种网络监听工具(如:
sniffer),该工具利用计算机网络接口可以截获其他计算机的数据信息。
嗅探器工作在网络环境的底层,它会拦截所有正在网络上传送的数据,并且通过相应的软件实时分析这些数据的内容,进而明确所处的网络状态和整体布局。
在信息安全学中,特洛伊木马指的是一种计算机程序,它表面上具有某种有用的功能,实际上却隐藏着可以控制用户计算机系统,危害系统安全的破坏性指令,特洛伊木马代表了一种程度较高的危险。
当这种程序进入系统后,便有可能给系统带来危害。
在特洛伊木马程序中插入的代码在别的程序中依然能存在,但只在藏身的程序中进行破坏性活动。
代码能够在主程序的特权范围内从事任何破坏行为,使用自身或者其他程序进行操作。
至于详细介绍,请看下一部分。
2.4特洛伊木马知识概述
2.4.1特洛伊木马的起源及定义
特洛伊木马(Trojan)简称“木马”,据说这个名称来源于希腊神话。
大约在公元前12世纪,古希腊大军围攻特洛伊城,久久无法攻下。
于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。
城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。
到午夜时分,全城军民尽入梦乡,藏匿于木马中的将士开秘门顺绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。
后世称这只大木马为“特洛伊木马”。
如今黑客程序借用其名,有“一经潜入,后患无穷”之意。
大多数安全专家统一认可的定义是:
“特洛伊木马是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能。
”
2.4.2特洛伊木马的历史
木马程序技术发展至今,已经经历了4代,第一代,即是简单的密码窃取,发送等,没有什么特别之处。
第二代木马,在技术上有了很大的进步,冰河可以说为是国内木马的典型代表之一。
第三代木马在数据传递技术上,又做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度。
第四代木马在进程隐藏方面,做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。
或者挂接PSAPI,实现木马程序的隐藏,甚至在WindowsXP/2003下,都达到了良好的隐藏效果。
2.4.3木马与病毒和蠕虫的区别
计算机病毒:
是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒一般具有以下几个特点:
传染性,隐蔽性,潜伏性,破坏性,衍生性,寄生性等。
其中传染性是计算机病毒最重要的特性,是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
蠕虫:
蠕虫是不使用驻留文件即可在系统之间复制自身的程序。
这点与病毒不同,病毒需要传播被感染的驻留文件。
木马与病毒和蠕虫最主要的区别在于:
窃取机密和远程控制上。
这是大部分病毒和蠕虫没有的性质。
现在木马技术和病毒的发展相互借鉴,也使得木马具有了更好的传播性,病毒亦具有了远程控制能力,这同样使得木马程序和病毒的区别日益模糊。
2.5特洛伊木马分类
根据木马的用途可以简单分为以下几类:
1、密码发送型
可以找到隐藏密码并把它们发送到指定的信箱。
有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。
许多黑客软件可以寻找到这些文件,把它们送到黑客手中。
也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。
在这里提醒一下,不要认为在文档中加了密码就可以把重要的保密文件存在公用计算机中,这是大错特错的。
别有用心的人完全可以用穷举法暴力来破译密码。
利用WINDOWSAPI函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历,通过窗口标题查找密码输入和出确认重新输入窗口,通过按钮标题查找用户应该单击的按钮,通过ES_PASSWORD查找用户需要键入的密码窗口。
向密码输入窗口发送WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND消息模拟单击。
在破解过程中,把密码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举,直到找到密码为止。
此类程序在黑客网站上唾手可得,精通程序设计的人,完全可以自己编写一个。
2、键盘记录木马
这种特洛伊木马是非常简单的。
它们只做一件事情,就是记录用户键盘敲击并且在LOG文件里查找密码。
这种特洛伊木马通常随着Windows的启动而启动。
它们有在线和离线记录这样的选项,顾名思义,它们分别记录用户在线和离线状态下敲击键盘时的按键情况。
也就是说用户按过什么按键,下木马的人都知道,从这些按键中攻击者很容易就会得到用户的密码等有用信息。
当然,对于这种类型的木马,邮件发送功能也是必不可少的。
3、DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。
当入侵了一台机器,种上DoS了攻击木马,那么日后这台计算机就成为DoS攻击的最得力助手了。
所控制的肉鸡数量越多,发动DoS攻击取得成功的机率就越大。
所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
4、代理木马
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。
通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。
5、FTP木马
这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。
现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。
6、反弹端口型木马
这种木马是木马开发者在分析了防火墙的特性后发现:
防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。
于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。
木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连接控制端的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCPUserIP:
1026ControllerIP:
80ESTABLISHED的情况,稍微疏忽一点,就会以为是自己在浏览网页。
2.6特洛伊木马的危害
木马对计算机系统具有强大的控制和破坏能力,可以窃取密码、控制系统操作、进行文件操作等等,一个功能强大的木马一旦被植入,攻击者就可以像操作自己的机器一样控制用户的机器,甚至可以远程监控用户的所有操作。
木马的危害性在于以下4个方面。
(1)窃取密码。
一切以明文的形式,或缓存在Cache中的密码都能被木马侦测到。
此外,很多木马还提供有击键记录功能,所以,一旦有木马入侵,密码将很容易被窃取。
(2)文件操作。
控制端可由远程控制对服务端上的文件进行删除、修改、下载等一系列操作,基本涵盖了Windows平台上所有的文件操作功能。
(3)修改注册表。
控制端可任意修改服务端注册表,包括删除、新建或修改主键、子健、键值。
有了这项功能,控制端就可以将服务端上木马的触发条件设置得更隐蔽。
(4)系统操作。
这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标、键盘监视服务端桌面操作,查看服务端进程等,控制端甚,至可以随时给服务端发送信息。
2.7特洛伊木马的结构
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:
建立木马连接所必须的硬件实体。
控制端:
对服务端进行远程控制的一方。
服务端:
被控制端远程控制的一方。
INTERNET:
控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:
实现远程控制所必须的软件程序。
控制端程序:
控制端用以远程控制服务端的程序。
木马程序:
潜入服务端内部,获取其操作权限的程序。
木马配置程序:
设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:
通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。
控制端IP,服务端IP:
即控制端,服务端的网络地址,也是木马进行数据传输的目的地。
控制端端口,木马端口:
即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
说明:
1.现在网络上流行的木马软件基本都是客户机/服务器模式也就是所谓的C/S结构,即客户/服务器结构(Client/ServerArchitecture),由客户应用程序和服务器程序组成。
目前也有一些木马开始向B/S结构转变,所谓B/S结构,就是只安装维护一个服务器,而客户端采用浏览器运行软件,即浏览器/服务器结构。
客户端运行软件,就像平时上网浏览网页一样,不用安装其它软件。
B/S结构的软件所有的维护、升级工作都只在服务器上进行,而客户端就能获得最新版本的软件。
2.控制端也叫客户端,也就是控制木马的那一部分程序,它主要在木马使用者的机器里。
而服务端是需要非法潜入其他机器的一种小程序。
所以,我们传统意义上说的种植木马是指把木马的服务端置入他人的机器的一种做法。
3.只有在配置好“木马配置程序”后才会生成配置的服务端。
一些小木马无此功能,在它编写的时候就已经固定好配置类型了。
3需求分析及方案设计
3.1功能要求
本系统的开发要求采用C/S结构,选用所熟悉的开发工具及开发环境进行本系统的设计与开发。
设计开发一个木马程序,本设计要求实现部分功能——目标机器(肉鸡)情况的获取和控制等,具体包括以下内容:
(1)在设计与开发中,着重于解决目标机器情况的获取和控制问题;
(2)在设计与开发中,既探讨能实现木马程序自启动,拷贝到system32下及文件关联的实现。
3.2环境需求
操作系统:
WindowsXP
开发平台:
VisualC++6.0
3.3可行性研究
本程序的开发利用VisualC++作为开发工具。
使用其作为程序的开发工具,是因为它采用面向对象的编程方法---把程序和数据封装起来作为一个对象,并为每个对象赋予相应的属性;事件驱动的编程机制---通过事件执行对象的操作,在设计应用程序时,不必建立具有明显的开始和结束的程序,而是编写若干个过程,通过这些过程执行指定的操作;提供完善的指令控制语句,给开发高性能的系统提供了保障,保证了代码的模块化要求。
3.4第二代木马技术分析
3.4.1工作原理
第二木马即传统木马其实是一种基于C/S结构的远程控制软件。
它与普通远程控制软件最大的区别就是木马具有隐蔽性和恶意破坏性,而普通远程控制软件没有。
传统木马程序一般分为两部分:
客户端和服务器端。
客户端安装在攻击者自己的机器上,而服务器端则通过各种隐秘的手段植入目标机器中。
当木马服务器端被加载运行后,会在目标机器上产生一个新的进程,打开一个约定的监听端口。
如图1所示,如果攻击者想要攻击目标机器,只要在自己本地的机器上运行木马客户端,向提前约定的目标机器的监听端口发起连接请求,目标机器上的木马服务器端一旦发现该连接请求就立即响应,从而建立起一条TCP连接,这样攻击者就达到控制目标机器的目的。
图1木马的连接
3.4.2植入技术
木马植入技术,主要是指木马利用各种途经进入目标机器的具体实现方法。
传统木马的植入主要靠伪装欺骗,也就是更改木马服务器端程序文件的后缀名和图标,将其伪装成一个有用的程序、文本文件或多媒体文件等等。
然后通过以下几种方式植入:
①藏匿在电子邮件的附件中,并在目标机器用户受骗点击相应藏有木马程序的文件图标时自动完成木马的植入操作;②通过即时通信软件比如QQ向目标机器传送文件,并在目标机器用户受骗接收藏有木马程序的文件时自动完成木马的植入;③在一些软件下载网站放置一些诱人的实用小工具软件链接供用户下载,其实用户下载的就是伪装的木马程序,一旦用户下载并完成安装,则木马就被植入。
伪装欺骗就是将木马程序同其他软件捆绑在一起以实现欺骗式植入。
当用户运行执行捆绑有木马的应用程序时,木马就得以植入;这时由于原来的应用程序仍可正确执行,从而使得用户无法察觉到木马的植入行为。
3.4.3加载技术
3.4.4隐藏技术
为确保有效性,木马必须具有较好的隐蔽性。
木马的主要隐蔽技术包括:
伪装、进程隐藏等。
(1)伪装
从某种意义上讲,伪装是一种很好的隐藏。
木马病毒的伪装主要有文件伪装和进程伪装。
前者除了将文件属性改为隐藏之外,大多通过采用一些比较类似于系统文件的文件名来隐蔽自己;而后者则是利用用户对系统了解的不足,将自己的进程名设为与系统进程类似而达到隐藏自己的目的。
(2)进程隐藏
木马病毒进程是它驻留在系统中的最好证据,若能够有效隐藏自己的进程,显然将大大提高木马病毒的隐蔽性。
在WINDOWS9X系统中可以通过将自己设为系统进程来达到隐藏进程的目的。
具体可通过以下代码来实现:
WINAPIWinMain(HINSTANCE,HINSTANCE,LPSTR,int)
{
DWORDdwVersion=GetVersion();//取得Windows的版本号
if(dwVersion>=0x80000000)//Windows9x隐藏任务列表
{
int(CALLBACK*rsp)(DWORD,DWORD);
HINSTANCEdll=LoadLibrary("KERNEL32.DLL");//加载kernel32.dll
rsp=(int(CALLBACK*)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");//找到RegisterServiceProcess入口地址
rsp(NULL,1);//将该程序注册为服务进程
FreeLibrary(dll);//释放DLL模块
}
return0;
}
3.5系统总体设计
如图2所示木马程序的C
升级会员 