《木马攻击及防御技术实验报告.doc》由会员分享,可在线阅读,更多相关《木马攻击及防御技术实验报告.doc(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 目录第一章 引言.1第二章 木马概述.1 2.1木马的定义及特点.1 2.2木马的工作原理.2 2.3木马的分类.第三章 常见的木马攻击手段 3.1捆绑方式. 3.2邮件和QQ冒名欺骗. 3.3网页木马方式. 3.4伪装成其他文件.第四章 木马的防范措施 4.1安装个人防火墙、木马查杀软件和及时安装系统补丁. 4.2隐藏IP和关闭不必要的端口. 4.3使用虚拟计算机. 4.4关闭不必要的服务选项. 4.5定期检查电脑的启动项. 4.6不要随意打开邮件. 4.7谨慎下载和安装第三方软件.第五章 总结.参考文献.第一章 引言随着计算机的日益普及,人们对于“木马”一词已不陌生。木马危害性大,隐蔽性
2、强,是目前攻击计算机信息系统的主要手段之一,由木马所造成的信息系统破坏的情况越来越多,对计算机信息系统的安全保密构成了极大威胁,特别是近几年来利用木马犯罪的手段层出不穷,给人民带了来巨大损失。尽管相关查杀软件不断更新换代,但是由于木马程序自身固有的特点及其相应的隐藏技术的不断提高,对木马程序的检测也变得更加困难。因此,深入对木马的攻击与防范技术的研究意义重大。 第二章 木马概述2.1木马的定义及特点木马全称是特洛伊木马(TrojanHorse),原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事1。在计算机界把伪装成合法程序或隐藏在合法程序中的恶意代码形象的称之为木马2。这些代码或执行
3、恶意行为,或为非授权访问系统的特权功能而提供后门。木马具有隐藏性、反检测、反清除以及与控制端通信的特性3。2.2 木马的工作原理木马程序可分为两部分:控制端和被控制端。首先,在控制端(本地计算机)上配置并生成木马程序。接着,通过直接或隐含在其他的可执行程序中的方式传播木马程序至被控制端(对方计算机)。然后,在被控制端上运行木马程序,同时运行控制端上的控制程序对服务端进行连接进而控制对方。最后,控制端一般会发送命令,如键盘记录命令、文件操作命令以及敏感信息获取命令等,感染木马程序的被控制端接收并执行这些命令,并返回相应结果到控制端。木马工作原理图如图1所示。 2.3 木马的分类 根据木马程序对计
4、算机的具体操作方式,可以把现在的木马程序分为以下几类:1)远程控制型;2)密码发送型;3)键盘记录型;4)毁坏型;5)FTP型;6)多媒体型4。按木马运行的层次,可分为应用级木马和内核级木马。应用级木马,工作在操作系统Ring3级,由于计算机底层的操作系统中的程序、库以及内核都未受影响,这种木马对系统的影响相对较小。典型的应用级木马有:Bingle、网络神偷、ZXshell、灰鸽子等。内核级木马,运行在操作系统内核中,常采用驱动程序技术实现内核级木马的加载工作。内核级木马与一般检测工具一样运行在系统内核,隐蔽性较高,查杀难度大,是当前的主流发展趋势。典型的内核级木马有:Hackerdoor、H
5、E4HOOK、FURootkit等。第三章 常见的木马攻击手段3.1 捆绑方式 所谓捆绑方式,是指将一个木马程序与正常程序捆绑在一起,从而达到入侵和“存活”的目的。譬如使用“EXE文件合并粉碎机”,把2个程序选择进去,然后提取正常程序的图标,点击开始合并即可完成捆绑工作。接着把捆绑好木马的程序到各大软件下载网站上发布,加点迷惑信息以吸引用户下载,一旦用户下载和安装所谓的应用程序后,木马的服务端程序就自动加载到用户的计算机中。即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去,继续“存活”下去。3.2 邮件和QQ冒名欺骗邮件冒名欺骗是指用匿名邮件工具冒充好友或大型网站、机构、单位
6、向别人发木马附件,别人下载附件并一旦运行就会中木马5。如冒充单位的系统管理员,向各个客户端发送系统补丁或是其它安装程序。同样,通过盗取别人的QQ号码,然后使用这个QQ号码给该QQ号码中的好友们发去木马程序,由于信任被盗号码的主人,好友们会毫不犹豫地运行木马程序,从而达到目的。这就是常用的QQ冒名欺骗方式。 3.3 网页木马方式利用网页木马生成器,在个人网页空间上捆绑木马,然后用各种方式诱使别人链接到入侵者个人网页上,使其计算机种上入侵者的木马。常用的方法有:在个人网页上提供各类流行的视频、软件等,并在各大网站当中粘贴入侵者的URL吸引网友访问其网页;利用各大论坛允许粘贴Flash动画的特点,在
7、各论坛上粘贴加工过的Flash(捆绑URL),当别人浏览该帖时,就会自动访问入侵者木马网页。3.4 伪装成普通文件此方法出现的比较晚,不过现在很流行,对于Windows操作系统不熟练的操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本,在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe。由于Windows默认设置是“不显示已知的文件后缀名”的,文件将会显示为*.JPG的形式。不注意的人下载并点击这个图标就会中木马。如果在程序中嵌入一张图片就更隐蔽,更难于发现。第四章 木马的防范措施4.1 安装个人防火墙、木马查杀软件和及时安装系统补丁目前,国内大部分黑客只
8、能算是伪黑客。即利用网上现有的木马程序和系统漏洞对一般用户进行攻击,而非真正意义上的黑客。因而,安装有针对性个人防火墙,如诺顿的网络安全特警、天网个人版防火墙等,同时安装如TrojanRemover、TheCleaner、木马克星等木马查杀软件,使其处于实时监控状态,并定期对计算机进行扫描,能有效地防止伪黑客的入侵。当然,及时安装官方公布的系统补丁也是很有必要的。4.2 隐藏IP和关闭不必要的端口 隐藏IP既可在上网的时候防止被入侵、攻击,又可提高网络访问的范围和速度。常用的方法有:1)利用“QQ代理公布器XP”和“SocksCap32”;2)利用MultiProxy软件来隐藏IP地址。目前,
9、利用一些流行的黑客工具,通过扫描端口方式攻击主机的情况最多、最普遍。因此只要我们把自己用不到的端口全部封锁起来,也就杜绝了通过端口非法入侵的通道。限制端口的方法可通过:1)删除不需要的协议;2)利用TCP/IP筛选。4.3 使用虚拟计算机常用的虚拟机软件有VirtualBox,VirtualPC和VMware。在虚拟机当中我们可选用安全系数较高的操作系统,如Ubuntu、OS/2等,进行网页浏览,邮件收发,存在风险的应用程序的安装、运行等操作;而在主机当中则用兼容性较好的Windows系列操作系统,进行日常Office办公。4.4 关闭不必要的服务选项在Windows操作系统中提供了很多系统服
10、务以方便管理,但其开启服务有相当的部分一般用户是不需要的,这样不但增大了系统的开销,同时也给入侵者打开了方便之门,所以用户可以根据需要在服务管理器中进行设置,在允许的情况下使用尽可能少的服务。具体操作如下:在控制面板管理工具服务双击相应的项进行设置即可。例如,Telnet服务选项,即远程登录服务,允许远程使用者用Telnet登入本计算机,一般人会误解关了就无法使用BBS,这其实和BBS无关,基于安全性的理由,如果没有特别的需求,建议最好关闭。4.5 定期检查电脑的启动项 一般木马都在电脑的启动项中“藏身”。让Windows自动启动程序的办法很多,最重要的“藏身”之处有10个,可归纳为两个文件夹
11、和八个注册键。两个文件夹:当前用户专有的启动文件夹(DocumentsandSettings“开始”菜单程序启动);对所有用户有效的启动文件夹(DocumentsandSettingsAllUsers“开始”菜单程序启动)。八个注册键:1)Load注册键;2)Userinit注册键;3)ExplorerRun注册键;4)RunServicesOnce注册键;5)RunServices注册键;6)RunOnceSetup注册键;7)RunOnce注册键;8)Run注册键。4.6 不要随意打开邮件现在许多“木马”都是通过邮件传播的。所以当你接收邮件时应做到以下几点:1)收到来历不明的邮件时,请不要
12、打开,应直接删除;2)安装邮件监控系统,拒收垃圾邮件;3)对于邮件附件,要先用杀毒软件和木马查杀软件进行扫描后再使用。4.7 谨慎下载和安装第三方软件当需要使用新的软件时,用户最好到相关官方网站或可信度较高的专业软件下载网站进行下载。在解压安装前要先用杀毒软件和木马查杀软件进行扫描。并查看其属性,确认下载文件是否与官方公布的软件大小一致,方可决定是否安装,因为当软件被做了捆绑容量会比以前的文件大。第五章 总结随着信息技术的发展,木马的攻击技术不断进步,由此带来的网络系统安全问题,正受到越来越多的关注。面对频繁发生的网络安全事件和日益严重的安全威胁,需要防患于未然。为了避免计算机感染上木马程序,造成难以估量的损失,全面了解木马的攻击原理和防范策略是非常有必要的。事实上,要维护用户信息和网络安全必须提高对木马的认识并对此加强防护。参考文献1 李斯.浅析木马程序攻击手段及防范技术J.网络安全技术与应用,2009,(8):16-18.2 康治平.特洛伊木马可生存性研究及攻防实践D.重庆大学软件工程学院,2006.3 张红梅,范明钰.人工免疫在未知木马检测中的应用研究J.计算机应用研究,2009,26(10):3894-3897.4 赵丽.木马检测方法的研究与实现D.兰州理工大学,2008.5邓吉.黑客攻防实践入门M.北京:电子工业出版社,2008,6.