1、 湖 南大 学 高等 成人 教育考试本科生毕业论文 (设计 ) 木马病毒分析及其防治方法 学生姓名: 考 籍 号 : 年级专业: 电子政务 指导老师及职称: 学 院: 湖南大学信息科学技术学院 湖南长沙 提交日期: 年 月 目 录 摘 要: . 1 关键 词: . 1 1 前言 . 1 2 木马病毒的简况及现状 . 3 2.1 木马病毒的简况 . 错误 !未定义书签。 2.1.1 木马的定义 . 3 2.1.2 木马病毒的危害 . 3 2.1.3 木马的基本特征 . 4 2.1.4 木马原理 . 5 2.2 木马病毒的现状 . 6 3 木马病毒的植入及传播 . 6 3.1 木马病毒植入技术 .
2、 6 3.2 木马病毒的加载技术 . 7 3.2.1 系统启动自动加载 . 7 3.2.2 文件关联 . 7 3.2.3 文件劫持 . 11 3.2 防火墙分类 与 作用 . 错误 !未定义书签。 3.3 防火墙关键技术 . 11 3.4 基于防火墙构建安全网络基本原则 . 错误 !未定义书签。 3.5 防火墙未来发展趋势 . 错误 !未定义书签。 4 端口扫描技术研究 . 11 4.1 端口的概念 . 错误 !未定义书签。 4.2 端口扫描原理 . 错误 !未定义书签。 4.3 端口扫描技术 . 错误 !未定义书签。 4.3.1 开放式扫描技术 . 错误 !未定义书签。 4.3.2 半开放扫
3、描技术 . 错误 !未定义书签。 4.3.3 隐藏扫描技术 . 错误 !未定义书签。 4.3.4 其他扫描技术 . 错误 !未定义书签。 4.4 扫描的防御方法 . 错误 !未定义书签。 5 结束语 . 15 参考文献 . 15 致 谢 . 15 1 木马病毒分析及其防治方法 摘 要: 随着计算机网络技术的迅速发展和普及 ,Internet 网络使得全世界的人们可以自由的交流和分享信息 ,极大的促进了全球一体化的发展。但是人们在交往的同时也面临着网络安全的隐患 ,每天分布在世界各地的计算机无时无刻不在遭受计算机病毒的攻击。其中有一种与病毒相似但有所区别的、基于远程控制的、具有很强的隐蔽性和危害
4、性的工具 ,这就是特洛伊木马程序。 关键词: “木马”病毒;危害;防护 1 前言 2 绪论 2.1 木马病毒的现状 目前 ,木马已经形成了多个派系的共存 ,结合了传统电子邮件病毒的破坏性 ,产生更多的混合型木马病毒。有关报告显示 :截至 2008 年 6 月 ,所截获的新增病毒样本总计有111 474 种 ,其中 ,新增的这些木马病毒中 ,盗号木马尤其严重 ,占到木马总数的 70%,高达 58 245 种。从这些数据中可以看出 ,木马数量成倍增长 ,而且病毒制造者更倾向于制造、传播木马病毒者。现在 ,病毒疫情主要呈现出互联网进入木马 /病毒经济时代 ;木马数量迅猛增加 ,变种层出不穷 ;网页挂
5、马与 ARP 欺骗危害加剧 ;U 盘是病毒传播的主要途径 ;病毒 /木马疯狂反扑 ,病毒 /木马商业化运作出现团队化协同方式 ;病毒的变种数量已经成为衡量其危害性的新标准等特点。 2.2 论文研究背景及意义 随着互联网技术的发展和普及,计算机网络得到了广泛应用,利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势,人们日常的经济和社会生活也越来越依赖互联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁,例如黑客攻击,计算机病毒、特洛伊木马泛滥等。研究在目前开放的网络环境下,如何保证自己的信息安全就显的非常重要。 特洛伊木马(简称木马)是一种具有运行非预期或未授权功能的程序
6、,例 如可以记录用户键入的密码,远程传输文件,甚至可以完全远程控制计算机等。一般黑客在攻击目标得手之后,就会在主机上安装后门,即特洛伊木马。特洛伊木马可以在用户2 毫不知情的情况下泄漏用户的密码、用户的秘密资料等,甚至可以远程监控用户的操作,因此,某些行业,如国防、外交和商务部门,特洛伊木马的危害性更大,一旦这些部门被安装了木马,损失就会非常惨重。 人们常常将特洛伊木马看成是计算机病毒,其实,它们之间还是有比较大的区别的。计算机病毒具有数据的破坏性,而特洛伊木马最大的危害在于数据的泄密性,当然不乏有将病毒技术和木马技 术结合使用的恶意软件,即利用病毒的传染性使较多的计算机系统植入木马。但特洛伊
7、木马本身一般没有复制能力,不会感染其他的寄宿文件,一般在同一台主机上只有一个特洛伊木马。而病毒具有传染性,会不断感染其他的同类文件,在同一台主机上,会出现很多被感染的文件。 而目前,人们对计算机病毒的研究比较多,而对特洛伊木马的研究要相对滞后。许多的反病毒软件也声称能反特洛伊木马,但是,现在的大多数反病毒软件采用的是特征码检测技术,即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码,放入病毒库中,将待检测的软件与病毒库中的特征 码比较,如果吻合则判断为恶意代码。特征码技术对于检测已知恶意代码,非常快捷有效,但是对于检测未知的恶意代码则无能为力。反病毒软件的检测能力总是落后于新的恶意代码的
8、出现的,在这个时间差内,新的恶意代码可能就会泛滥,造成重大损失,特征码技术的这种局限性就决定了其滞后性。 在网络攻击与安全防范日益激烈的对抗中,特洛伊木马攻击技术在不断地完善。现在特洛伊木马攻击手段已成为网络攻击的最常用、最有效的手段之一,是一系列网络攻击活动中重要的组成部分,严重地威胁着计算机网络系统的安全。网络安全迫切需要有效的木马检测防范技术 。 然而,目前木马的检测方法都是基于木马静态特征的检测,是被动的检测,不能有效地适应木马的各种检测对抗技术;其检测能力完全依赖于检测系统中根据已知木马建立和维护的木马静态特征库。为了检测新型木马,需要及时收集、提取新型木马的静态特征、更新静态特征库
9、。这是一项持久繁重的工作,同时也制约着基于静态特征检测技术的木马检测工具的有效性。 在大量模拟网络环境下的木马攻击行为的前提下,本文 首先对木马的运行形式、通信形式、启动方式的隐蔽技术以及在宿主机磁盘中的隐藏方法进行了深入分析。在这基础上,重点研究了基于动态行为的木 马检测防范方法。基于动态行为的木马检测防范方法是一个基于行为的、主动的、动态的检测防范方法,能够克服基于静态特征检测技术的弱点,是木马检测技术的发展方向。 3 如何区分正常的系统行为和非正常的木马行为是基于动态行为检测技术的重点和难点。行为的隐蔽性和目的的恶意性是木马行为的主要特征。所以,动态检测防范的主要思想就是:控制木马生存的
10、系统资源,监控木马的隐蔽途径和行为,过滤并分析网络通信。在这个思想下,通过对综合检测和防范技术的深入讨论,本文提出了一个基于动态行为进行木马检测的入侵检测防范系统基本框架,把木马的动态 检测技术运用到网络安全检测系统中,提高木马检测与防范的可靠性。 3 特洛伊木马的概述 木马病毒和其他病毒一样都是一种人为的程序,都属于电脑病毒。大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作 用,或是为了炫耀自己的技术。木马病毒则不一样,它的作用是赤裸裸的偷偷监视别 人的所有操作和盗窃别人的各种密码和
11、数据等重要信息,如盗窃系统管理员密码搞破 坏;偷窃 ADSL上网密码和游戏帐号密码用于牟利; 更有甚者直接窃取股票帐号、网 上银行帐户等机密信息达到盗窃别人财务的目的。所以木马病毒的危害性比其他电脑 病毒更加大,更能够直接达到使用者的目的!这个现状就导致了许多别有用心的程序 开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量 木马病毒泛滥成灾的原因。鉴于木马病毒的这些巨大危害性和它与其他病毒的作用性 质的不一样,所以木马病毒虽然属于病毒中的一类,但是要单独的从病毒类型中间剥 离出来,独立地称之为 “木马病毒 ”程序。 2.1 木马的定义 木马的全称是“特洛伊木马” ,是
12、一种新型的计算 机网络病毒程序。它利用自身所具有的植入功能 ,或依附其它具有传播能力病毒 ,或通过入侵后植入等多种途径 ,进驻目标机器 ,搜集其中各种敏感信息 ,并通过网络与外界通信 ,发回所搜集到的各种敏感信息 ,接受植入者指令 ,完成其它各种操作 ,如修改指定文件、格式化硬盘等。 2.1 木马病毒的危害 多数恶意程序 ,只要把它们删除 ,危险就算过去 ,威胁也不再存在。但木马有些特殊 ,它和病毒、蠕虫之类的恶意程序一样 ,会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户等 1。 例如 ,经常可以看到攻击者霸占被入侵的计算机 ,控制 U 盘 ,用户所有 的磁盘空间几乎都被侵占殆尽。除此
13、之外 ,木马还有 “窃取内容 ”“远程控制 ”的特点。木马具有远程控制计算机系统以及捕获用户的屏幕和每一次键击事件、音频、视频的能力 ,这意味4 着恶意攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射 ,甚至信用卡、银行账户和个人通信方面的信息。木马病毒危害程度要远远超过普通的病毒和蠕虫。 2.1.3 木马的基本特征 木马是病毒的一种 ,木马程序也有不同种类 ,但它们之间又有一些共同的特性。 1. 隐蔽性:当用户执行正常程序时 ,在难以察觉的情况下 ,完成危害用户的操作 ,具有隐蔽性。它的隐蔽性主要体 现在以下 6 个方面 ,一是不产生图标 ,不在系统 “任务栏 ”中产生有提示标志的图标
14、;二是文件隐藏 ,将自身文件隐藏于系统的文件夹中 ;三是在专用文件夹中隐藏 ;四是自动在任务管理器中隐形 ,并以 “系统服务 ”的方式欺骗操作系统 ;五是无声息地启动 ;六是伪装成驱动程序及动态链接库。 2. 自行运行:木马为了控制服务端 ,必须在系统启动时跟随启动。所以 ,它潜入在你的启动配置文件中 ,如 Win.ini,System.ini,Winstart.bat 以及启动组等文件之中。 3. 欺骗性:捆绑欺骗 ,用包含具有未公开并且可能产生危险后果的功能程序与正常程 序捆绑合并成一个文件。 4. 自动恢复:采用多重备份功能模块 ,以便相互恢复。 5. 自动打开端口:用服务器客户端的通信
15、手段 ,利用 TCP/IP 协议不常用端口自动进行连接 ,开方便之 “门 ”。 6. 功能特殊性:木马通常都有特殊功能 ,具有搜索 cache 中的口令、设置口令、扫描目标 IP地址、进行键盘记录、远程注册表操作以及锁定鼠标等功能。 2.1.4 木马的结构 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 (1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方 。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服务端的程序。 木
16、马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 5 (3)具体连接部分:通过 INTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。控制端 IP,服务端 IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。控制端端口,木马端口:即控制端,服务 端的数据入口,通过这个入口,数据可直达控制端程序或木马程序 。 说明 : ( 1) 现在网络上流行的木马软件基本都是客户机 /服务器模式也就是所谓的 C/S 结构,即客户 /服务器体系结构( Client/Server Architectur
17、e) ,由客户应用程序和服务器程序组成。目前也有一些木马开始向 B/S 结构转变,所谓 B/S 结构,就是只安装维护一个服务器,而客户端采用浏览器(运行软件,即浏览器 /服务器结构。 客户端运行软件,就像我们平时上网浏览网页一样,不用安装其它软件。而且通过电话线也可以运行软件。 B/S 结构的软件所有的 维护、升级工作都只在服务器上进行,而客户端就能获得最新版本的软件。 ( 2) 控制端也叫客户端,也就是控制木马的那一部分程序,他主要在木马使用者的机器里。而服务端是需要非法潜入其他机器的一种小程序。所以,我们传统意义上说的种植木马是指把木马的服务端置入他人的机器的一种做法,而客户端就留在我们的
18、机子中,以它来控制远程服务端。( 3) 只有在配置好“木马配置程序”后才会生成你的配置的服务端。一些小木马无此功能,在它编写的时候就已经固定好配置类型了。 2.1.5 木马原理 木马是一个程序 ,它驻留在计算机里 ,随计算机自动启 动 ,并对某一端口侦听、识别到所接收的数据后 ,对目标计算机执行特定的操作 2。木马的实质只是一个通过端口进行通信的网络客户 /服务程序 ,其原理是一台主机提供服务 (服务器 ),另一台主机接受服务 (客户机 )。作为服务器的主机 ,一般会打开一个默认的端口并进行监听 (Listen),如果有客户机向服务器的这一端口提出连接请求 (Connect Request),
19、服务器上的相应程序就会自动应答客户机的请求。木马程序是由客户端和服务端两个程序组成 ,其中客户端是攻击者远程控制终端程序 ,服务端程序即木马程序。当木马的服务端程序在被 入侵的计算机系统上成功运行以后 ,攻击者就可以使用客户端与服务端建立连接 ,并进一步控制被入侵的计算机系统。在客户端和服务端通信协议的选择上 ,绝大多数木马程序使用的是 TCP/IP 协议 ,也有一些木马由于特殊的原因 ,使用 UDP 协议进行通信。当服务端在被入侵计算机上运行以后 ,它尽量把自己隐藏在计算机系统的某个角落里 ,以防用户发现 ;同时监听某个特定的端口 ,等待客户端 (攻击者 )与其取得连接 ;为了下次重启计算机
20、时能正常工作 ,木马程序一般会通过修改注册表或者其他的方法让自己成为固定的6 启动程序。 2.2 木马病毒的现状 目前 ,木马已经形成了多个派系的共存 ,结合了传统电子邮件病毒的破坏性 ,产生更多的混合型木马病毒。有关报告显示 :截至 2008 年 6 月 ,所截获的新增病毒样本总计有111 474 种 ,其中 ,新增的这些木马病毒中 ,盗号木马尤其严重 ,占到木马总数的 70%,高达 58 245 种。从这些数据中可以看出 ,木马数量成倍增长 ,而且病毒制造者更倾向于制造、传播木马病毒者。现在 ,病毒疫情主要呈现出互联网进入木马 /病毒经济时代 ;木马数量迅猛增加 ,变种层出不穷 ;网页挂马
21、与 ARP 欺骗危害加剧 ;U 盘是病毒传播的主要途径 ;病毒 /木马疯狂反扑 ,病毒 /木马商 业化运作出现团队化协同方式 ;病毒的变种数量已经成为衡量其危害性的新标准等特点。 3 木马病毒的植入及传播技术 由于木马病毒是一个非自我复制的恶意代码 ,因此它们需要依靠用户向其他人发送其拷贝。木马病毒可以作为电子邮件附件传播 ,或者它们可能隐藏在用户与其他用户进行交流的文档和其他文件中。它们还可以被其他恶意代码所携带 ,如蠕虫。木马病毒有时也会隐藏在从互联网上下载的捆绑免费软件中。当用户安装这个软件时 ,木马病毒就会在后台被自动秘密安装。 3.1 木马病毒植入技术 木马病毒植入技术 ,主要是指木
22、马病毒利用各种途径进入目标机器的具体实现方法。 (1)利用电子邮件进行传播 :攻击者将木马程序伪装成 E-mail 附件的形式发送过去 ,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。 (2)利用网络下载进行传播 :一些非正规的网站以提供软件下载为名 ,将木马捆绑在软件安装程序上 ,下载后 ,只要运行这些程序 ,木马就会自动安装。 (3)利用网页浏览传播 :这种方法利用 Java Applet 编写出一个 HTML 网页 ,当我们浏览该页面时 ,JavaApplet 会在后台将木马程序下载到计算机缓 存中 ,然后修改注册表 ,使指向木马程序。 (4)利用一些漏洞进行传播 :如微软
23、著名的 IIS 服务器溢出漏洞 ,通过一个 IISHACK攻击程序即可把 IIS 服务器崩溃 ,并且同时在受控服务器执行木马程序。由于微软的浏览器在执行 Script 脚本上存在一些漏洞 ,攻击者可以利用这些漏洞传播病毒和木马 ,甚至直接对浏览者主机进行文件操作等控制。 7 (5)远程入侵进行传播 :黑客通过破解密码和建立 IPC 远程连接后登陆到目标主机 ,将木马服务端程序拷贝到计算机中的文件夹 (一般在 C:WINDOWSsystem32 或者C:WINNTsys-tem32)中 ,然后通过远程操作让木马程序在某一个时间运行。 (6)基于 DLL 和远程线程插入的木马植入:这种传播技术是以
24、 DLL 的形式实现木马程序 ,然后在目标主机中选择特定目标进程 (如系统文件或某个正常运行程序 ),由该进程将木马 DLL 植入到本系统中。而 DLL 文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先 ,由于 DLL 文件映像可以被映射到调用进程的地址空间中 ,所以它能够共享宿主进程 (调用 DLL 的进程 )的资源 ,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次 ,因为 DLL 没有被分配独立的 进程地址空间 ,也就是说 DLL 的运行并不需要创建单独的进程 ,增加了隐蔽性的要求。 (7)利用蠕虫病毒传播木马 :网络蠕虫病毒具有很强的传染性和自我复制能力 ,将木
25、马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性 ,在网络上进行传播、复制 ,这就加快了木马的传播速度。 3.2 木马病毒的加载技术 当木马病毒成功植入目标机后 ,就必须确保自己可以通过某种方式得到自动运行。常见的木马病毒加载技术主要包括 :系统启动自动加载、文件关联和文件劫持等。 3.2.1 系统启动自动加载 系统启 动自动加载,这是最常的木马自动加载方法。木马病毒通过将自己拷贝到启动组 ,或在 win.ini,system.ini 和注册表中添加相应的启动信息而实现系统启动时自动加载。这种加载方式简单有效 ,但隐蔽性差。目前很多反木马软件都会扫描注册
26、表的启动键 (信息 ),故而新一代木马病毒都采用了更加隐蔽的加载方式。 3.2.2 文件关联 文件关联,这是通过修改注册表来完成木马的加载。但它并不直接修改注册表中的启动键 (信息 ),而将其与特定的文件类型相关联 ,如与文本文件或图像文件相关联。这样在用户打开这种类型的文件时 ,木马病毒就 会被自动加载。 修改关联的途径是选择了对注册表的修改,它主要选择的是文件格式中的 “打开 ”、 “编辑 ”、 “打印 ”项目,如冰河木马修改的对象如图所示。如果感染了冰河木马,则在 HKEY_CLASS_ROOTtxtfileshellopencommand 中 的 键 值 不 是“c:windowsno
27、topad.exe%1”,而是改为 “sysexplr.exe%1”如图 1所示: 8 图 1 注册表图例 由图可知,在注册表 HKEY_CLASSES_ROOTtxtfileshellopencommand 中的值就是文本文件的关联程序 *.exe,缺省 “%SystemRoot%system32NOTEPAD.EXE%1”,即Windows 系统默认为用记事本程序来打开文本文件。如果把这个程序改为木马程序,则每打开一个文件就会执行木马程序,这样,木马就启动,待木马启动后,再打开文本文件,这样对于一般的人来看好像什么事也没发生过。 修改文件打开方式的程序设计算法,如图 2 所示: 图 2 修改文件打开关联的程序流程图 步骤一:打开注册表,如果成功打开,则进入步骤二,否则转步骤八 步骤二:读取某类 文件打开方式的键值,如果成功找到,则进入步骤三,否则转步骤五 步骤三:修改键值为希望设定的键值,如果成功修改,则进入步骤四,否则转步骤五
