|
|
|
7i24.Com不停为您服务
转自:54master.com
大名鼎鼎的木马,相信上网的朋友没有不知道的了吧?可真正了解它的又有多少人?在此红色代码把自己对木马的理解写出来,没什么技术上的东西,基本上都是常识,只是希望能使大家对木马有个比较系统的印象,适合“菜鸟”级的朋友,高手就可以翻过去了。呵呵。
木马的英文是“Trojan”,字面翻译过来是“特洛伊”。这里有个故事,也是木马的来历:相传古希腊战争,在攻打特洛伊时,久攻不下。后来有聪明的人就想了个办法:用木头造了一个很大的木马,空肚子里藏了很多装备精良的勇士,然后佯装又一次攻打失败,逃跑时就把那个大木马留了下来。守城的士兵就把它当战利品带到城里去了。到了半夜,木马肚子里的勇士们都悄悄的溜出来,和外面早就准备好的战士们来了个漂亮的里应外合,一举拿下了特洛伊城。这就是木马的来历,意思的核心其实就是里应外合。从本质上讲,木马是具备特殊功能的后门程序。
一,木马的工作原理。
一般的木马(未说名的都按“一般木马”对待,特殊的木马也将在下文介绍)都由两部分组成:服务端和控制端,即C/S(CONTROL/SERVE)模式。
服务端(以下简称C端):执行在远程主机。一旦执行成功就可以被控制或者造成其他的破坏,这就要看种木马的人怎么想和木马本身的功能了。这里的控制是相对的:可以被你控制,也可能被别人控制;可能完全控制,也可能不完全控制;可能让它做很多事情,也可能只做特定的某一件事……
控制端(以下简称S端):执行在本地主机。用来控制服务端,操作一般都很简便,上手很容易(这也就是有人说黑别人很容易的原因)。
当木马工作时,先由C端向S端发送请求,其实是一个连接的过程,一般的木马都带有扫描功能,当扫描到被感染的机器时就会列出来,接下来你就可以像操作自己的机器一样对待它了。这是木马工作的第一步:搜索和连接。
接下来,木马会想办法使自己在每次开机时自动加载,以达到长期控制目标的目的。并且完成一些相关的操作,如感染某一类型的文件,使得它的存在和传播变的更容易。
最后,连接成功的木马会在特定端口(一般是特定的,也可以由种木马的人修改定义)建立一个新的进程用来联络控制端和执行命令,这一切都是在远程主机默默进行的,受害者一般是感觉不到的。特定功能的木马就开始监视系统的行为,当符合其条件时就做出相应的动作,如记录键盘等。
二,木马的特点、传播途径和防范方法。
木马其实并不能算是一种病毒,但它的很多特点和传播方式都同某些病毒很相似。基本有以下四个方面:
1,通过电子邮件的附件传播。这是最常见,也是最有效的一种方式,大部分病毒(特别是蠕虫病毒)都用此方式传播。首先,木马传播者对木马进行伪装,方法很多,如变形、压缩、脱壳、捆绑、取双后缀名等,使其具有很大的迷惑性。一般的做法是先在本地机器将木马伪装,再使用杀毒程序将伪装后的木马查杀,如过不能杀到就说明伪装成功。然后利用一些捆绑软件把伪装后的木马藏到一幅图片内,再取和好听的吸引人的名字,然后传出去。接下来就是等待收获了。针对这一特点,首先要设置显示文件的后缀名,方法:“查看”----“文件夹选项”----“查看”,把“隐藏已知文件类型的扩展名”前的勾去掉,确定。然后发现带附件的邮件时就一定要注意,比较好的做法是先保存(点右键,选“目标另存为”),对其杀毒确保安全后再执行。
2,通过下载文件传播。从网上下载的文件,即使大的门户网站也不能保证任何时候他的问件都安全,一些个人主页、小网站等就更不用说了,笔者曾经就差点中招,幸好毒霸的防火墙报警,要不冰河就在笔者机器里安家了。后来才知道是那个小网站被人攻破,故意放了带木马的文件。所以下载完后应先杀毒再执行。使用FlashGet等下载软件下载完文件后,它就会自动调用系统的杀毒程序如金山毒霸对其杀毒。
3,通过网页传播。大家都知道很多VBS脚本病毒就是通过网页传播的,木马也不例外。网页内如果包含了某些语句,使得IE自动下载并执行某一木马程序。这样你在不知不觉中就被人种上了木马。当然防范措施还是有的:打开IE,“工具”----“Internet 选项”----“安全”----“自定义级别”,把“Active控件及插件”的一切选项设置为禁用。这就阻止了IE自动下载和执行文件的可能性,杜绝了这类木马的传播。
4,通过社会工程学传播。“社会工程学”相信已经不是一个陌生的名词了,爱好网络安全的朋友都知道。那些居心不良的人可以想尽千方百计的让你心甘情愿去执行他辛辛苦苦给你准备的木马。笔者曾把自己的QQ资料改成个MM的,通过一番花言巧语让很多朋友美滋滋的运行我发给他们的“冰河”,而他们只不过看了笔者从网上找到的一张照片。这类传播途径其实是最不好预防的,就看你自己的经验了。
三,查杀木马的普通思路。
即使你再加强防范,可百密一疏,总会有中招的时候。一旦发现自己的机器感染了木马,想都别想,杀就一个字。只有这样才能将损失见小到最低。这里所说的所有的办法都指手工的,使用杀毒软件等就不再赘述了。
1,删除木马的开机启动项。注册表的启动项是木马最喜欢也是最习惯的启动地址。打开注册表找到以下几个地方(这里只说常规启动项),把可疑的键值删除,必要时还要搜索出相关木马文件在注册表里的全部键值一并删除:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
木马还喜欢在Win.ini、System.ini文件里藏身。
在Win.ini里,要注意下面的地方,默认情况下“load=”和“run=”后面都是空的,这里的“file.exe”就是木马文件:
[windows]
load=file.exe
run=file.exe
在System.ini里,注意“Shell=Explorer.exe”后面默认也的空的,这里的“file.exe”也是木马文件:
[boot]
Shell=Explorer.exe file.exe
另外,还得提防一些其他常见的和开机自启动有关的地方,如“启动”、“Autoexec.bat”、“Winstart.bat”等地方。需要注意的一点是,当清理完启动项后,要进一步查杀木马,应该重新启动后继续进行。
2,删除木马程序。有些木马的主程序这时候是删不掉的,因为它或它的一部分正在被执行,所以得利用一些软件如“Windows优化大师”等先终止其进程,再删除程序。也可以到纯DOS下删除。这一步是比较重要的,需要你对系统和木马都有一定的了解才行。要不你就可能终止了正常的进程,或者漏掉了木马的进程。这里的学问不是一两句可以说的清的,知识和经验靠的是平时的积累。
3,相关处理。很多木马在感染过后都会修改你的文件关联,使得即使你终止了它的进程,但只要你运行某一类文件,它就会被重新加到内存,实现再次感染。比较常见的是修改.exe和.txt问件关联,这里以恢复.exe文件关联举例说明。当.exe文件关联被修改指向木马时,直运行注册表就不行了,因为它的后缀也是exe,这时候可以将其后缀改成com、scr等再执行。等打开了注册表后,找到以下键值,将其修改为正常即可:
HKEY_CLASS_Root\exefile\shell\open\command
将键值改为:"%1" %*(注意,是英文的引号,%*前有个英文空格)
当然其他的文件关联也可以照样修改。
4,注意事项。现在木马已经彻底从我们的机器里消失了,但我们还要反思一下,为什么会被种上木马。首先,一款好的杀毒软件是必要的,病毒库要及时升级,病毒防火墙不要关闭。网络防火墙在上网时也是必不可少的,它可以预防大部分的恶意攻击、端口扫描等可能对自己造成威胁的活动。防火墙规则要制定的合理,在不影响自己正常使用和访问网络资源的情况下应设置为最高安全级别。对本地机器的端口扫描可以发现一些未经改装的特定端口通讯的木马。平时要多看书多学习,了解更多更新更全面的有关木马的资料,多掌握和系统文件有关的知识,要善于总结。最后,要有较敏感的洞察力,有时候凭直觉就可以判断出是否被木马入侵。
四,一些特殊类型的木马。
1,反弹端口木马:
普通木马的都是由C端发送请求S端来连接,但有些另类的木马就不是这样,它由S端向C端发送请求。这样做有什么好处呢?大家知道,网络防火墙都有监控网络的作用,但它们大多都只监控由外面近来的数据,对由里向外数据的却不闻不问。反弹端口木马正好利用了这一点来躲开网络防火墙的阻挡,以使自己顺利完成任务。大名鼎鼎的“网络神偷”就是这样一类木马。它由S断向C端发送一个连接请求,C端的数据在经过防火墙时,防火墙会以为是发出去的正常数据(一般向外发送的数据,防火墙都以为是正常的)的返回信息,于是不予拦截,这就给它了可钻的空子。
2,无进程木马:
“进程”是一个比较抽象的概念,可以理解为排队买电影票,每一个窗口(其实就是端口)排的人可以理解为一个进程,有多少窗口就有多少个进程。普通木马在运行时都有自己独立的进程(某一特定窗口排的人,先当作小偷),利用“柳叶擦眼”一类的优秀进程查看软件就可以发现和终止它。这岂不是太扫兴了?好不容易写出个木马就这么被你发现了。为了更好的隐藏自己,木马的制作者就想了一些办法,把木马的程隐藏进正常的进程(宿主进程)内。打个比方,正常的进程(系统和正当文件的进程)可以理解为正常排队买票的人。而木马的进程(排队假装买票的小偷),他们如果都排在某一个窗口(通过某一特定端口进行通讯),很容易就被发现了,于是那些小偷就想办法混到正常排队人当中(实现了木马进程的隐藏),这样就不容易被发现,而且也不容易被终止。在实际中,即使你发现了隐藏在某一正常进程中的木马进程,你也不敢轻易终止它,因为一旦终止了木马的进程,正常的宿主进程也就被终止,这可能导致一些严重的后果。所以可以看出,无进程木马实际上是“隐藏进程木马”,而这也是它的高明之处。在实际中不可能出现真正意义上的“无进程木马”。最近出现的“广外男生”就是典型的例子。
3,无控制端木马(我把它叫一次性木马):
这类木马最显著的特点是C端和S端是集成到一起的,一次配置好就不能再更改。功能一般比较专一,针对性强,危害较小,查杀较简单。经常用来偷取QQ、Email和网络游戏的密码等。
4,嵌套型木马:
先用自己写的小程序或者利用系统的漏洞,夺取到某写特定的权限,比如上传文件,干掉网络防火墙和病毒防火墙等,然后上传修改过或没修改过的功能强大的木马,进一步夺取控制权。于是这个小程序或者系统漏洞就和那个功能强大的真正的木马联合起来,组成了一款“嵌套型木马”,其特点是不容发现和查杀,“具有良好的发展前景”。
5,其他木马:
严格意义上讲,这里所说的其他木马并不是真正的木马,它们只能算做是木马入侵时的辅助工具吧。典型的有恶意网页代码,让你浏览后不知不觉就被完全共享了所有的硬盘,然后方便别人给你种下木马,为进一步入侵做好准备。
五,写在最后的话。
红色代码写这篇文章就是为了能把自己对木马的理解表达出来,希望能抛砖引玉。不对的地方敬请指正。
现在的木马技术已经比较成熟了,完全控制服务端的机器、随时通过Email等途径报告服务端信息等技术已经不在话下。随着木马版本的不断升级和技术的不断成熟,它们变的越来越智能化、人性化了。它们可以根据受害者系统的具体情况采取相应的措施,以便更适合自身的生存,如关掉防火墙、干掉杀毒软件、隐藏自身等。再加之功能强大,操作简便等原因,使得它的发展变的很快。以后的木马将拥有更多的发展空间和更强大的功能,查杀将变的更加困难。技术是一柄双刃剑,可以杀敌防身也可以伤了自己。当初黄鑫写“冰河”是为了远程管理,可却被很多人用来搞一些不光彩的事情,这迫使他放弃了对“冰河”升级版本的开发,关闭了个人网站,可以说是非常可惜的一件事情。
但换个角度看,木马的出现和蔓延也曾经为网络的发展和进步做出了一定的贡献,并且在以后较长的一段时间内,木马也将继续活跃网络上,每个人都有可能受到它的青睐。但我们应当清楚,目前国内的网络安全还处于发展初期阶段,我们不能只因为会使用别人的东西就沾沾自喜,不能以为黑了别人的机器就天下无敌。也许我们需要的不是仅仅是技术了,道德准则和社会责任已经变的日益重要,做为一个爱好网络安全的人,良好的心态和端正的态度永远都是第一位的。
|
|
|
