【文章內(nèi)容簡介】 rol system controlling technology． The important aspects lie in the explanation of Trojan’s process realizing， the munication between controlling port and controlled port． This essay is under the platform of Window studies， on the basis of the Trojan essential technological foundation， produces one kind of system design and realization of an effective realtime monitoring on remote puters， which is unified the performance Trojan horse． Keywords： Trojan horse horse control 1 前 言 隨著信息技術(shù)的飛速發(fā)展，計算機和計算機通信網(wǎng)絡己經(jīng)成為當今社會不可缺少的基本組成部分，依托瓦聯(lián)網(wǎng)技術(shù)的全球信息化浪潮沖擊和深刻影響著人類政治、經(jīng)濟、社會的方方面面，對經(jīng)濟發(fā)展、國家安全、國民教育和現(xiàn)代管理都起著重要的作用。隨著網(wǎng)絡技術(shù)和信息化應用范圍的不斷擴大，網(wǎng)絡信息應用領(lǐng)域開始從傳統(tǒng)的、小型 業(yè)務系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務系統(tǒng)擴展，如政府部門業(yè)務系統(tǒng)、金融業(yè)務系統(tǒng)、教育科研系統(tǒng)等等。但隨著網(wǎng)絡應用的增加，以計算機信息系統(tǒng)為犯罪對象和犯罪工具的各類新型犯罪活動不斷出現(xiàn)。網(wǎng)絡安全風險也不斷暴露出來，網(wǎng)絡信息安全問題已經(jīng)成為制約各類網(wǎng)絡信息系統(tǒng)實用化和進一步發(fā)展的不可忽視因素，對一些關(guān)系國民經(jīng)濟的重要信息系統(tǒng)和關(guān)系國家安全的網(wǎng)絡信息系統(tǒng)，己經(jīng)到了非解決不可的地步。其中，利用木馬技術(shù)入侵、控制和破壞網(wǎng)絡信息系統(tǒng)，是造成網(wǎng)絡信息安全問題的典型表現(xiàn)之一。木馬是一種基于 C/S 模式的遠程控制技術(shù)，能在被監(jiān)控對象毫 無察覺的情況下滲透到對方系統(tǒng)并隱藏在合法程序中的計算機程序。一旦植入和觸發(fā)成功，控制端與被控制端之間就能遵照 TCP/IP 協(xié)議進行數(shù)據(jù)通信，從而使得控制者獲取被控制者的相關(guān)信息。它們通常以欺騙為手段，在用戶不知情的情況下進行安裝，并暗中把所獲的機密信息發(fā)送給第三者，威脅用戶電腦中的數(shù)據(jù)安全并侵犯個人隱私，嚴重影響了人們正常工作和生活。2020 年 1 月至 l0 月，瑞星公司共截獲新病毒樣本 930 余萬個，其中絕大部分 (776 萬 )是盜號木馬、后門程序，專門竊取網(wǎng)游帳號、網(wǎng)銀帳號等虛擬財產(chǎn)，具有極其明顯的經(jīng)濟利益特征。因此 ，社會上己經(jīng)掀起一個木馬研究的熱潮，成為全社會探討的熱門話題，這也是本論文研究的出發(fā)點。 世界各國計算機安全應急響應小組 (puter emergency response )以及國內(nèi)外各反病毒公司及廠商均對木馬檢測、清除和防范方面做了大量研究。美國 New Haven 大學的 Fred cohen 博士等人首先對病毒進行了深入研究，他們將木馬作為計算機病毒的一種特例，并給出了病毒和木馬的數(shù)學模型， 英國 Middlesex 大學的 Harold Thim bleby 等人對病毒和木馬的模型框架進行了研 究。國內(nèi)有中國科學院信息安全技術(shù)工程研究中心對木馬技術(shù)進行了理論研究和原型開發(fā)，西北工業(yè)大學對木馬在信息戰(zhàn)的應用進行了研究，西安電子科技大學從人工免疫的角度對木馬的檢測與防御進行了研究，中國人民解放軍信息工程大學對 Windows NT 平臺下的木馬啟動與反跟蹤技術(shù)進行了研究。未來，木馬將更注重底層的通訊，以便有效對抗相關(guān)查殺工具如防火墻的監(jiān)視和過濾；將廣泛采用非 TCP／ UDP 的 IP 包和寄生 TCP 端口方式作為信息傳遞的手段，從而達到更加隱的目的。因此，研究和分析各種木馬的工作原理和功能、木馬種植的技巧和思路、 2 木 馬自啟動以及隱藏的方法，進而針對一些典型的木馬攻擊提出了相應的解決方法，建立相對完善的防御體，是我們 豐動防范木馬入侵或攻擊的有方法之一。 本論文就是對木馬的原理進行深入地分析，從中總結(jié)一些木馬的一般規(guī)律和最新技術(shù)，讓人們更深入的了解木馬，提高自我防范意識。 1 第 1 章 緒論 木馬概述 木馬全稱特洛伊木馬，其名稱源于古希臘神話中的特洛伊木馬記。在公元前 12 世紀，希臘向特洛伊城宣戰(zhàn)，交戰(zhàn)了十年也沒有取得勝利。最后，希臘軍隊撤走了，并在特洛伊城外留下很多巨大的木馬。這些木馬 是空心的，里面藏了希臘最好的戰(zhàn)士。特城人把木馬搬進了城。當晚，希臘戰(zhàn)士從木馬中鉆出來與城外的希臘軍隊合力奪下了特洛伊城，這就是特洛伊木馬名稱的由來。因此，特洛伊木馬一般偽裝成合法程序植人系統(tǒng)中，對系統(tǒng)安全構(gòu)成威脅。完整的木馬程序一般由兩個部份組成一個是服務器被控制端程序，一個是客戶端控制端程序。黑客主要利用控制端連接到服務器端來實現(xiàn)控制目標主機服務器端所在主機的目的，從而執(zhí)行用戶不知道或不期望的行為。 最初網(wǎng)絡還處于以 UNIX 平臺為主的時期，木馬就產(chǎn)生了。當時的木馬程序的功能相對簡單，往往是將一段程序嵌入到 系統(tǒng)文件中，用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能，在這個時期木馬的設計者和使用者大都是些技術(shù)人員，必須具備相當?shù)木W(wǎng)絡和編程知識。 而后隨著 WINDOWS 平臺的日益普及，一些基于圖形操作的木馬程序出現(xiàn)了，用戶界面的改善，使使用者不用懂太多的專業(yè)知識就可以熟練的操作木馬，相對的木馬入侵事件也頻繁出現(xiàn)，而且由于這個時期木馬的功能已日趨完善，因此對服務端的破壞也更大了。 從木馬的發(fā)展技術(shù)來看，總共可以分為四代： 第一代木馬出現(xiàn)在網(wǎng)絡發(fā)展的早期，是以竊取網(wǎng)絡密碼為主要任務，即簡單的密碼竊取、發(fā)送等，在隱藏和通信方面均無特別 之處。 第二代木馬在技術(shù)上有很大的進步，使用標準的 C/S 架構(gòu)，提供遠程文件管理、屏幕監(jiān)視等功能。但是由于植入木馬的服務端程序會打開連接端口等候客戶端連接，比較容易被發(fā)現(xiàn)。如： ―冰河 ‖、 ―Qmitis‖。 第三代木馬在功能上與第二代木馬沒有太大差異，它的改變主要在網(wǎng)絡連接方式上，它的特征是不打開連接端口進行偵聽，而是使用 ICMP 通信協(xié)議進行通信或使用反向連接技術(shù)讓服務器端主動連接客戶端，以突破防火墻的攔截。在數(shù)據(jù)傳遞技術(shù)上也做了不小的改進，出現(xiàn)了 ICMP 等類型的木馬，利用畸形報文傳遞數(shù)據(jù)，增加了查殺的難度。如 ：網(wǎng)絡神偷、 Peep201 等。 第四代木馬在進程隱藏方面，做了大改動，采用了內(nèi)核插入式的嵌入方式，利用遠 2 程插入線程技術(shù)，嵌入 DLL 線程，或者掛接 PSAPI[6]，實現(xiàn)木馬的隱藏。前三代木馬，大多都有獨立的木馬，因此用戶可以根據(jù)啟動項目中的描述內(nèi)容，很快找到木馬，并刪除它。但是，第四代木馬選擇注冊表的方式，偽裝成 DLL 文件形式加載到正常的啟動程序上，無法通過 ―任務管理器 ‖查看到正在執(zhí)行的木馬。不過在連接方式上，依然使用第三代木馬或第二代木馬的連接方式。如： Beast 木馬。 第五代木馬實現(xiàn)了與病毒緊密結(jié)合，利 用操作系統(tǒng)漏洞，直接實現(xiàn)感染傳播的目的，而不必象以前的木馬那樣需要欺騙用戶主動激活。例如類似沖擊波病毒的木馬 ——噩夢II。 木馬的分類 為了更方便地研究木馬，并采取適當?shù)姆婪洞胧蓪δ抉R進行分類，快速了解新出現(xiàn)的木馬，便于制訂有效的防御措施將它拒之門外，或通過一些規(guī)則找到木馬并清除。 (一 )根據(jù)木馬程序?qū)τ嬎銠C的具體動作方式，可以把現(xiàn)在的木馬程序分為以下幾類： 第一類 遠程控制型：遠程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬，這種木馬起著遠程監(jiān)控的功能，使用簡單，只要被控制主機聯(lián)入網(wǎng)絡，并與控制端客戶程序 建立網(wǎng)絡連接，控制者就能任意訪問被控制的計算機。這種木馬在控制端 的控制下可以在被控主機上做任意的事情，比如鍵盤一記錄，文件上傳 /下載，截取屏幕，遠程執(zhí)行等。 第二類 密碼發(fā)送型：密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類木馬程序不會在每次 windows系統(tǒng)重啟時都自動加載，它們大多數(shù)使用 25 端口發(fā)送電子郵件。 第三類 鍵盤記錄型：鍵盤記錄型木馬非常簡單，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在 LOG 文件里進行完整的記錄。這種木馬程序隨著 Windows 系統(tǒng)的啟動而自動加載，并能感知受害主機在線，且記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。 第四類 毀壞型：大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動刪除受控豐機上所有的． ini 或． exe 文件，甚至遠程格式化受害者硬盤，使得受控主機上的所有信息都受到破壞。總而言之，該類木馬目標只有一個就是盡可能的毀壞受感染系統(tǒng)，致使其癱瘓。 第五類 FTP 型： FTP 型木馬打開被控主機系統(tǒng)的 2l 號端 121(FTP 服務所使用的默認端口 )，使每一個人都可以用 一個 FTP 客戶端程序來不要密碼連接到受控制主機系統(tǒng)，并且可以進行最高權(quán)限的文件上傳和下載，竊取受害系統(tǒng)中的機密文件。 3 (二 )根據(jù)木馬的網(wǎng)絡連接方向，可以分為兩類： 第一類 正向連接型：發(fā)起通信的方向為控制端向被控制端發(fā)起，這種技術(shù)被早期的木馬廣泛采用，其缺點是不能透過防火墻發(fā)起連接。 第二類 反向連接型：發(fā)起通信的方向為被控制端向控制端發(fā)起，其出現(xiàn)豐要是為了解決從內(nèi)向外不能發(fā)起連接的情況的通信要求，已經(jīng)被較新的木馬廣泛采用。 (三 )根據(jù)木馬使用的架構(gòu)，可以分為四類： 第一類 C/S 架構(gòu)：這種為普通的服務器、客戶端 的傳統(tǒng)架構(gòu)，一般我們都是采用客戶端作控制端，服務器端作被控制端。在編程實現(xiàn)的時候，如果采用反向連接的技術(shù)，那么客戶端 (也就是控制端 )要采用 Socket 編程的服務器端的方法，而服務端 (也就是被控制端 )采用 Socket 編程的客戶端的方法。 第二類 B/S 架構(gòu)：這種架構(gòu)為普通的網(wǎng)頁木馬所采用的方式。通常在 B/S 架構(gòu)下，Server 端被上傳了網(wǎng)頁木馬，控制端可以使用瀏覽器來訪問相應的網(wǎng)頁，達到對 Server端進行控制的目的。 第三類 C/P/S 架構(gòu)：這里的 P 是 Proxy 的意思，也就是在這種架構(gòu)中使用了代理。當然，為了實 現(xiàn)正常的通信，代理也要由木馬作者編程實現(xiàn)，才能夠?qū)崿F(xiàn)一個轉(zhuǎn)換通信。這種架構(gòu)的出現(xiàn)，主要是為了適應一個內(nèi)部網(wǎng)絡對另外一個內(nèi)部網(wǎng)絡的控制。但是，這種架構(gòu)的木馬目前還沒有發(fā)現(xiàn)。 第四類 B/S/B 架構(gòu)：這種架構(gòu)的出現(xiàn)，也是為了適應內(nèi)部網(wǎng)絡對另外的內(nèi)部網(wǎng)絡的控制。當被控制端與控制端都打開瀏覽器瀏覽這個 Server 上的網(wǎng)頁的時候，一端就變成了控制端，而另外一端就變成了被控制端，這種架構(gòu)的木馬己經(jīng)在國外出現(xiàn)了。、 (四 )根據(jù)隱藏方式，可以分為幾類隱藏技術(shù)是木馬的關(guān)鍵技術(shù)之一，其直接決定木馬的生存能力。木馬區(qū)別與遠程控制程 序的主要不同點就在于它的隱蔽性，木馬的隱蔽性是木馬能否長期存活的關(guān)鍵。木馬的隱藏技術(shù)主要包括以下幾類：本地文件隱藏、啟動隱藏、進程隱藏、通信隱藏和內(nèi)核模塊隱藏和協(xié)同隱藏等。 (五 )根據(jù)木馬存在的形態(tài)不同，可將木馬分為以下幾種： 第一種 傳統(tǒng) EXE 程序文件木馬。這是最常見、最普通形態(tài)的木馬，就是在目標電腦中以一般． EXE 文件運行的木馬。 第二種 傳統(tǒng) DLL/VXD 木馬。此類木馬自身無法運行，它利用系統(tǒng)啟動或其他程序運行 (如： El 或資源管理器 )一并被載入運行，或使用 來運行。 第三種 替換關(guān)聯(lián)式 DLL 木馬。這種木馬本質(zhì)上仍然是 DLL 木馬，但它卻是替換某個系統(tǒng) DLL 文件并將它改名 第四種 嵌入式 DLL 木馬。這種木馬利用遠程緩沖區(qū)溢出的入侵方式，從遠程將木馬 4 寫入目前正在運行的某程序的內(nèi)存中，然后利用更改意外處理的方式來運行木馬代碼。這種技術(shù)在操作上難度較高。 第五種 網(wǎng)頁木馬。即利用腳本等設計的木馬。這種木馬利用 IE 等漏洞植入到目標主機，傳播范圍廣。 第六種 溢出型木馬。溢出型木馬既是將緩沖區(qū)溢出攻擊和木馬相結(jié)合的木馬實現(xiàn)手段，其實現(xiàn)方式有很多特點和優(yōu)勢，屬于一種較新的木馬類型。 木馬的功能 木馬的 功能木馬的功能可以概括為以下內(nèi)容： (1)、遠程文件管理功能對被控主機 的系統(tǒng)資源進行管理，如：復制文件，刪除文件，查看文件，以及上傳 /下載文件等。 (2)、打開未授權(quán)的服務為遠程計算機安裝常用的網(wǎng)絡服務，讓它為黑客或其他非法用戶服務。如：利用木馬設定為 FTP 文件服務器后的計算機，可以提供 FTP 文件傳輸服務；為客戶端打開文件共享服務，這樣可以輕松獲取用戶硬盤上的信息。 (3)、遠程屏幕監(jiān)視功能實時截取屏幕圖象，可以將截取到的圖象另存為圖文件；實時監(jiān)視遠程用戶目前正在進行的操作。 (4)、控制遠程計算機通過命令 或通過遠程監(jiān)視窗口，直接控制遠程計算機。例如在遠程計算機執(zhí)行程序、打開文件或向其他計算機進行攻擊等。 (5)、 竊取數(shù)據(jù)以竊取數(shù)據(jù)為目的，本身不破壞計算機的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作。它以系統(tǒng)使用者很難察覺的方式向外傳送數(shù)據(jù)。例如鍵盤和鼠標操作記錄型木馬。 5