【文章內(nèi)容簡(jiǎn)介】 這個(gè)程序就有權(quán)享有機(jī)器的全部資源。但對(duì)從外部(假如Internet上的某一站點(diǎn))來(lái)的程序，則一般沒(méi)有對(duì)硬盤操作的權(quán)利，這個(gè)規(guī)定是現(xiàn)今的這種網(wǎng)絡(luò)結(jié)構(gòu)注定的，這個(gè)規(guī)定給大家?guī)?lái)方便的同時(shí)，也帶來(lái)安全隱患，如果不小心運(yùn)行了一個(gè)可以接收外部指令的惡意程序之后，那么這臺(tái)計(jì)算機(jī)就被別人控制了。 木馬的工作原理木馬是一類特殊的計(jì)算機(jī)程序，其作用是在一臺(tái)計(jì)算機(jī)上監(jiān)控被植入木馬的計(jì)算機(jī)的情況。所以木馬的結(jié)構(gòu)是一種典型的客戶端服務(wù)器(Client/Server)簡(jiǎn)稱c/s)模式。木馬程序一般分為客戶端(Clinet)和服務(wù)器端(Server)，服務(wù)器端程序是控制者傳到目標(biāo)計(jì)算機(jī)的部分，騙取用戶執(zhí)行后，便植入計(jì)算機(jī)，作為響應(yīng)程序。客戶端是用來(lái)控制目標(biāo)主機(jī)的部分，安裝在控制者的計(jì)算機(jī)，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)。典型的木馬工作原理是：當(dāng)服務(wù)器端在目標(biāo)計(jì)算機(jī)上被執(zhí)行后，木馬打開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽，當(dāng)客戶機(jī)向服務(wù)器端提出連接請(qǐng)求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行來(lái)應(yīng)答客戶機(jī)的請(qǐng)求，服務(wù)器端程序與客戶端建立連接后，由客戶端發(fā)出指令，服務(wù)器在計(jì)算機(jī)中執(zhí)行這些指令，并將數(shù)據(jù)傳送到客戶端，以達(dá)到控制主機(jī)的目的。木馬服務(wù)器端與客戶端之間也可以不建立連接。由于建立連接容易被察覺(jué)，因此就要使用ICMP來(lái)避免建立連接或使用端口。使用ICMP來(lái)傳送封包可讓數(shù)據(jù)直接從木馬客戶端程序送至服務(wù)器端。 指令結(jié)果 木馬服務(wù)器端 木馬客戶端 客戶端與服務(wù)端的交互這是木馬程序的基本工作原理，其中還包括了木馬的種植，隱藏，通信等等。下面分別就相關(guān)技術(shù)原理展開論敘。 木馬的種植原理特洛伊木馬大都采用客戶機(jī)服務(wù)器模式：客戶端程序是在你自己的PC機(jī)上運(yùn)行．服務(wù)器端程序是安裝在目標(biāo)豐機(jī)上。如果你不能把服務(wù)器端程序植到目標(biāo)主機(jī)上．那么你的特洛伊木馬程序功能再完善，也沒(méi)有辦法啟動(dòng)木馬的功能。通常特洛伊木馬的植入技術(shù)有以下幾種：(1).通過(guò)電了郵件附件件夾帶的方式。這是用得最廣和最多的方法?？刂贫藢⒛抉R程序以附件或者圖標(biāo)等的形式夾在郵件中發(fā)送出去，倒如漂亮的網(wǎng)頁(yè)或電子賀卡等。當(dāng)用戶點(diǎn)擊這些圖標(biāo)的同時(shí)也下載了特洛伊木馬程序。(2).夾帶在一些共享軟件中。黑客經(jīng)常把特洛伊木馬程序做在這些軟件中，這種方式用得比較多且成功的概率也大。比如，他們常常稱之為某個(gè)共享軟件的升級(jí)版或者是系統(tǒng)補(bǔ)丁等，大多數(shù)人都希望自己用的是最新的版本，這樣當(dāng)用戶下載時(shí)相應(yīng)的也把木馬程序下載到自己的機(jī)器上了。(3).通過(guò)網(wǎng)頁(yè)腳本程序植入。木馬和網(wǎng)頁(yè)捆綁在一起，當(dāng)用戶瀏覽到該網(wǎng)頁(yè)，就會(huì)在不知不覺(jué)中下載其捆綁的木馬并執(zhí)行。其中網(wǎng)頁(yè)是網(wǎng)頁(yè)木馬的核心部分，特定的網(wǎng)頁(yè)代碼使得網(wǎng)頁(yè)被打開時(shí)，木馬能隨之下載和執(zhí)行。木馬就是普通的木馬文件，被捆綁在網(wǎng)頁(yè)里，能夠跟隨網(wǎng)頁(yè)自動(dòng)打開，實(shí)現(xiàn)各種木馬功能。有利用ACTIVEX控件實(shí)現(xiàn)的網(wǎng)頁(yè)木馬；也有欺騙型網(wǎng)頁(yè)木馬；更多的網(wǎng)頁(yè)木馬是利用IE瀏覽器的漏洞來(lái)實(shí)現(xiàn)的。 木馬的隱藏原理 (1).本地文件偽裝隱藏：木馬文件通過(guò)將木馬文件設(shè)置為系統(tǒng)、隱藏或是只讀屬性來(lái)實(shí)現(xiàn)木馬問(wèn)的隱藏，或是通過(guò)將木馬文件命名為和系統(tǒng)文件的文件名相似的文件名，從而使用戶誤認(rèn)為系統(tǒng)文件而忽略?；蚴菍⑽募拇娣旁诓怀Ｓ没螂y以發(fā)現(xiàn)的系統(tǒng)文件目錄中，或是將木馬存放的區(qū)域設(shè)置為壞扇區(qū)。(2).木馬的啟動(dòng)隱藏方式： 1).本地文件偽裝最常用的文件隱藏是將木馬病毒偽裝成本地文件。木馬病毒將可執(zhí)行文件偽裝成圖片或文本一．在程序中把圖標(biāo)改成WINDOWS的默認(rèn)圖片圖標(biāo)，再把文件名改為．。由于WINDOWS默認(rèn)設(shè)置是不顯示已知的文件后綴名，文件將會(huì)顯示為．JPG，不注意的人一點(diǎn)擊這個(gè)圖標(biāo)就在無(wú)意間啟動(dòng)了木馬程序。 2).通過(guò)修改系統(tǒng)配置來(lái)實(shí)現(xiàn)木馬的啟動(dòng)隱藏利用配置文件的特殊作用，木馬很容易就能在大家的計(jì)算機(jī)中運(yùn)行。像Autoexec．。,。[boot]字段中，正常情況下為boot=“”，如果后面有其他的程序，如這樣的內(nèi)容，boot=“”，可能就是木馬服務(wù)端程序。另外，[386enh]字段，要注意檢查在此段內(nèi)的driver=路徑\程序名。這里也有可能被木馬所利用。[drivers]，[drivers32]，[mci]這3個(gè)字段，也是起到加載驅(qū)動(dòng)程序的作用，因此也是增添木馬程序的好場(chǎng)所。 3).利用系統(tǒng)路徑遍歷優(yōu)先級(jí)欺騙Windows系統(tǒng)搜尋一個(gè)不帶路徑信息的文件時(shí)遵循一種“從外到里的規(guī)則，它會(huì)由系統(tǒng)所在的盤符的根目錄開始向系統(tǒng)目錄深處遞進(jìn)查找，而不是精確定位；這就意味著，如果有兩個(gè)同樣名稱的文件分別放在“C:\和“C:\WINDOWS”下，WINDOWS會(huì)執(zhí)行C:\下的程序，而不是C:\WINDOWS下的。這樣的搜尋邏輯就給入侵者提供了一個(gè)機(jī)會(huì)，木馬可以把自己改為系統(tǒng)啟動(dòng)時(shí)必定會(huì)調(diào)用的某個(gè)文件里，并復(fù)制到比原文件要淺一級(jí)的目錄里，WINDOWS就會(huì)想當(dāng)然的執(zhí)行這個(gè)木馬程序。要提防這種占用系統(tǒng)啟動(dòng)項(xiàng)而作到自動(dòng)運(yùn)行的木馬，用戶必須了解自己機(jī)器里所有正常的啟動(dòng)項(xiàng)信息，才能知道木馬有沒(méi)有混進(jìn)來(lái)。 4).替換系統(tǒng)文件木馬病毒就利用系統(tǒng)里那些不會(huì)危害到系統(tǒng)正常運(yùn)行而又經(jīng)常會(huì)被調(diào)用的程序文件。木馬程序會(huì)替換掉原來(lái)的系統(tǒng)文件，并把原來(lái)的系統(tǒng)文件名改成只有它自己知道的一個(gè)偏僻文件名。只要系統(tǒng)調(diào)用那個(gè)被替換的程序，木馬就能繼續(xù)駐留內(nèi)存了。木馬作為原來(lái)的程序被系統(tǒng)啟動(dòng)時(shí)，會(huì)獲得一個(gè)由系統(tǒng)傳遞來(lái)的運(yùn)行參數(shù)，木馬程序就把這個(gè)參數(shù)傳遞給被改名的程序執(zhí)行。(3).進(jìn)程隱藏進(jìn)程隱藏有兩種情況，一種隱藏是木馬程序的進(jìn)程仍然存在，只是不在進(jìn)程列表里；采用APIHOOK技術(shù)攔截有關(guān)系統(tǒng)函數(shù)的調(diào)用實(shí)現(xiàn)運(yùn)行時(shí)的隱藏，替換系統(tǒng)服務(wù)等方法導(dǎo)致無(wú)法發(fā)現(xiàn)木馬的運(yùn)行痕跡。另外一種方法是木馬不以一個(gè)進(jìn)程或者服務(wù)的方式工作。將木馬核心代碼以線程或DLL的方式插入到遠(yuǎn)程進(jìn)程中，由于遠(yuǎn)程進(jìn)程是合法的用戶程序，用戶又很難發(fā)現(xiàn)被插入的線程或DLL，從而達(dá)到木馬隱藏的目的。在Windows系統(tǒng)中常見的真隱藏方式有：注冊(cè)表DLL插入、特洛伊DLL、動(dòng)態(tài)嵌入技術(shù)、CreateProcess插入和調(diào)試程序插入等。(4).內(nèi)核模塊隱藏有些木馬在運(yùn)行時(shí)能夠刪除自身啟動(dòng)運(yùn)行及存在的痕跡，當(dāng)檢測(cè)到操作系統(tǒng)重新啟動(dòng)再重新在系統(tǒng)中設(shè)置需要肩動(dòng)自身的參數(shù)，這類木馬存在的問(wèn)題：當(dāng)系統(tǒng)失效時(shí)(如斷電、死機(jī)時(shí))無(wú)法再次恢復(fù)運(yùn)行。內(nèi)核模塊隱藏，使木馬程序依附到操作系統(tǒng)部件上，或成為操作系統(tǒng)的一部分。(5).原始分發(fā)隱藏軟件開發(fā)商可以在軟件的原始分發(fā)中植入木馬。其主要思想是：(1)修改編譯器的源代碼A，植入木馬，包括針對(duì)特定程序的木馬(如login程序)和針對(duì)編譯器的木馬。經(jīng)修改后的編譯器源碼稱為B。(2)用干凈的編譯器C對(duì)D進(jìn)行編譯得到被感染的編譯器D。(3)刪除B，保留D和A，將D和A同時(shí)發(fā)布。以后，無(wú)論用戶怎樣修改login源程序，使用D編譯后的目標(biāo)login程序都包含木馬。而更嚴(yán)重的是用戶無(wú)法查出原因，因?yàn)楸恍薷牡木幾g器源碼B已被刪除，發(fā)布的是A，用戶無(wú)法從源程序A中看出破綻，即使用戶使用D對(duì)A重新進(jìn)行編譯，也無(wú)法清除隱藏在編譯器二進(jìn)制中的木馬。相對(duì)其它隱藏手段，原始分發(fā)的隱藏手段更加隱蔽。(6).通信隱藏主要包括通信內(nèi)容、流量、信道和端口的隱藏。木馬常用的通信隱藏方法是對(duì)傳輸內(nèi)容加密，隱藏通信內(nèi)容。采用網(wǎng)絡(luò)隱蔽通道技術(shù)隱藏通信信道。在TCP/IP協(xié)議族中，有許多信息冗余可用于建立網(wǎng)絡(luò)隱蔽通道。木馬可以利用這些網(wǎng)絡(luò)隱蔽通道突破網(wǎng)絡(luò)安全機(jī)制，比較常見的有：ICMP畸形報(bào)文傳遞、HTTP隧道技術(shù)，自定義TCP/UDP報(bào)文等。采用網(wǎng)絡(luò)隱蔽通道技術(shù)，如果選用一般安全策略都允許的端口通信，如80端口，則可輕易穿透防火墻和避過(guò)入侵檢測(cè)系統(tǒng)等安全機(jī)制的檢測(cè)，從而具有很強(qiáng)的隱蔽性。通信流量的隱藏，當(dāng)存在其他通信流量時(shí)，木馬程序也啟動(dòng)通信。當(dāng)不存在任何其他通信流量時(shí)，木馬程序處于監(jiān)聽狀態(tài)，等待其他進(jìn)程通信。有些木馬為了能更好地實(shí)現(xiàn)隱藏，達(dá)到長(zhǎng)期潛伏的目的，通常融合多種隱藏技術(shù)，如采用多線程方式，線程間相互實(shí)時(shí)保護(hù)，一旦一方被刪除，另一方可以通過(guò)備份恢復(fù)并遠(yuǎn)程啟動(dòng)。或是通過(guò)一個(gè)木馬程序(稱為“主木馬”)，在局域網(wǎng)內(nèi)部繁殖生產(chǎn)“子木馬”，統(tǒng)一協(xié)調(diào)完成工作。各子木馬根據(jù)主木馬分派的任務(wù)，各自負(fù)責(zé)一獨(dú)立任務(wù)。達(dá)到相互之間的保護(hù)，同時(shí)可以分散傳輸數(shù)據(jù)量，達(dá)到H的地址接受數(shù)據(jù)，增大追查源地址的難度。而且主木馬和子木馬寄牛于不同主機(jī)并且相瓦聯(lián)系，增強(qiáng)了木馬的抗查殺的能力。(7).最新隱身技術(shù)通過(guò)修改虛擬設(shè)備驅(qū)動(dòng)程序(VXD)或修改動(dòng)態(tài)鏈接庫(kù)(DLL)來(lái)加載木馬。這種方法基本上擺脫了原有的木馬模式一監(jiān)聽端口，而采用替代系統(tǒng)功能的方法(改寫VXD或DLL文件)，木馬將修改后的DLL替換系統(tǒng)原來(lái)的DLL，并對(duì)所有的函數(shù)調(diào)用進(jìn)行過(guò)濾。對(duì)于常用函數(shù)的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL，對(duì)于一些事先約定好的特殊情況，木馬會(huì)自動(dòng)執(zhí)行。一般情況下，DLL只是進(jìn)行監(jiān)聽，一旦發(fā)現(xiàn)控制端的請(qǐng)求就激活自身。這種木馬沒(méi)有增加新的文件，不需要打開新的端口，沒(méi)有新的進(jìn)程，使用常規(guī)的方法監(jiān)測(cè)不到它。在正常運(yùn)行時(shí)，木馬幾乎沒(méi)有任何蹤跡，只有在木馬的控制端向被控制端發(fā)出特定的信息后，隱藏的程序才開始運(yùn)行。 木馬的通信原理木馬通信的方法很多，最常見是用TCP、UDP協(xié)議，這種方法的隱蔽性比較差，容易查到，例如，用netstat命令就可以查看到當(dāng)前活動(dòng)的TCP、UDP連接。為了增加隱藏性，又出現(xiàn)了反彈端口，利用ICMP協(xié)議通信，端口復(fù)用等新技術(shù)進(jìn)行通信。(1) TCP/IP木馬通信原理 木馬客戶端 木馬服務(wù)器端 (:2020) (:2568) 如上圖所示對(duì)于客戶端來(lái)說(shuō)要與服務(wù)器端建立連接必須知道服務(wù)器端的端口和IP地址，由于客戶端端口是人事先設(shè)定的，為己知項(xiàng)，所以最重要的是如何獲得服務(wù)器端的IP地址。獲得服務(wù)器端的IP地址的方法主要有兩種：信息反饋和IP掃描。所謂信息反饋是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過(guò)EMAIL或ICQ的方式告知控制端用戶。從這封郵件中可以知道服務(wù)端的IP等。另一種獲取IP的方法是IP掃描，通過(guò)IP掃描才能確定服務(wù)器端的IP地址。因?yàn)榉?wù)器端裝有木馬程序，所以它的木馬端口7626是處于開放狀態(tài)的，所以現(xiàn)在客戶端只要掃描IP地址段中2568端口開放的主機(jī)就行了，這個(gè)IP就會(huì)被添加到列表中。這時(shí)客戶端機(jī)就可以通過(guò)木馬的控制端程序向服務(wù)器端發(fā)出連接信號(hào)，服務(wù)器端中的木馬程序收到信號(hào)后立即作出響應(yīng)，當(dāng)客戶端收到響應(yīng)的信號(hào)后，開啟一個(gè)隨機(jī)端口2020與服務(wù)器端的木馬端口2568建立連接，到這時(shí)一個(gè)木馬連接才算真正建立。值得一提的要掃描整個(gè)IP地址段顯然費(fèi)時(shí)費(fèi)力，一般來(lái)說(shuō)控制端都是先通過(guò)信息反饋獲得服務(wù)端的IP地址。(2).ICMP木馬通信原理ICMP木馬技術(shù)便是為了擺脫端口的束縛而出現(xiàn)的，ICMP報(bào)文由系統(tǒng)內(nèi)核或進(jìn)程直接處理而不通過(guò)端口，如果木馬將自己偽裝成一個(gè)Ping進(jìn)程，(Ping的回應(yīng)包)的監(jiān)聽、處理權(quán)交給木馬進(jìn)程，一旦事先約定好的ICMPECHOREPLY包出現(xiàn)(這樣的包經(jīng)過(guò)修改的ICMP包頭，加入了木馬的控制字段)，木馬就會(huì)接受、分析并從報(bào)文中解析出命令和數(shù)據(jù)。(3).反向連接技術(shù)從本質(zhì)上來(lái)說(shuō)，反向連接和正向連接的區(qū)別并不大。在正向連接的情況下，服務(wù)器端也就是被控制端，在編程實(shí)現(xiàn)的時(shí)候是采用服務(wù)器端的編程方法的，而控制端，在編程實(shí)現(xiàn)的時(shí)候是采用客戶端的編程方法。當(dāng)采用反向連接技術(shù)編程時(shí)，實(shí)際上就是將服務(wù)器端變成了采用客戶端的編程方法，而將控制端變成了采用服務(wù)器端的編程方法。由于防火墻一般對(duì)于連入的鏈接會(huì)進(jìn)行嚴(yán)格的過(guò)濾，但是對(duì)于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬采用反向連接技術(shù)的編程方法：將服務(wù)器端(被控制端)使用主動(dòng)端口，客戶端(控制端)使用被動(dòng)端口。被植入反彈木馬服務(wù)器端的計(jì)算機(jī)定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動(dòng)連接控制端打開的主動(dòng)端口。這種連接模式還能突破內(nèi)網(wǎng)與外部建立連接。(4).端口復(fù)用技術(shù)在winsock的實(shí)現(xiàn)中，對(duì)于服務(wù)器的綁定是可以多重綁定的，在確定多重綁定使用誰(shuí)的時(shí)候，根據(jù)的原則是誰(shuí)的指定最明確則將包遞交給誰(shuí)，而且沒(méi)有權(quán)限之分，就是說(shuō)低級(jí)權(quán)限的用戶是可以重綁定在高級(jí)權(quán)限如服務(wù)肩動(dòng)的端口上的。第一，一個(gè)木馬綁定到一個(gè)己經(jīng)合法存在的端口上進(jìn)行端口隱藏，它通過(guò)自己特定的包格式判斷是不是自己的包，如果是，自己處理，如果不是，則通過(guò)127．0．0．1的地址交給真正的服務(wù)器應(yīng)用進(jìn)行處理。第二，一個(gè)木馬可以在低權(quán)限用戶上綁定高權(quán)限的服務(wù)應(yīng)用的端口，進(jìn)行該處理信息的嗅探，本來(lái)在一個(gè)主機(jī)上監(jiān)聽一個(gè)socket的通信需要具備非常高的權(quán)限要求協(xié)但其實(shí)利用socket重綁定，可監(jiān)聽這種具備socket編程漏洞的通信，而無(wú)須采用掛接，鉤子或低層的驅(qū)動(dòng)技術(shù)(這些都需要具備管理員權(quán)限才能達(dá)到)。 木馬的啟動(dòng)技術(shù)用戶希望每次啟動(dòng)計(jì)算機(jī)時(shí)都自動(dòng)運(yùn)行木馬。木馬總是采取各種方法，使自己能自加載運(yùn)行。木馬自加載運(yùn)行的常見方法原理有：(1).在win．ini中啟動(dòng)(windows)字段中有啟動(dòng)命令“l(fā)oad=’和“run=“，在一般情況下，”=”后面是空白的，如果有后跟程序，例如：run=c:\load=c:\windows\。(2).，其[boot]字段的Shell=，木馬通常的做法是將該字段變?yōu)檫@樣：Shell=。：另外，(386EnhJ字段內(nèi)的“driver二路徑\程序名”這里也有可能被木馬所利用；再有，[mic]、[drivers]、[drivers32]這3個(gè)字段，也是添加木馬的好場(chǎng)所。(3).利用注冊(cè)表加載運(yùn)行如下所示注冊(cè)表位置都是木馬加載之所： [HKEY_LOCACHE\Software\Microsoft\windows\CurrentVersion\RunserVices][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunserVicesOnce][HKEL_LOCAL_MACHINE\Software\