【文章內容簡介】 WWW 目錄夾里面，就可以通過編制 CGI 程序在被攻擊主機上執(zhí)行木馬程序。 （ 3）通過電子郵件植入 比如在用戶電子郵箱中收到故意謊稱是網絡管理員發(fā)來的某應用系統(tǒng)的升級文件，可能用戶打開這個文件后，木馬已經悄悄在后臺運行了。 （ 4）通過系統(tǒng)的一些漏洞植入 如微軟著名的 IIS 服務器溢出漏洞，通過一個 IISHACK 攻擊程序就可以使IIS 服務器崩潰，并且同時在被攻擊服務器執(zhí)行遠程木馬文件。 木馬在被植入被攻擊的主機后，它一般會通過發(fā) 送電子郵件、發(fā)送 UDP 或者ICMP 數(shù)據(jù)包的方式把入侵主機的信息，如主機的 IP 地址、木馬植入的端口等發(fā)送給攻擊者，這樣攻擊者有這些信息才能夠與木馬里應外合控制被攻擊的主機。 特洛伊木馬程序的檢測 在使用計算機的過程中可能遇到莫名其妙地死機或重啟、計算機反應速度變慢、硬盤在不停地讀寫、鼠標不聽使喚、鍵盤無效、窗口被莫名其妙地關閉和打開、網絡傳輸指示燈一直在閃爍等不正?，F(xiàn)象，有可能受到特洛伊木馬程序的攻擊。檢測特洛伊木馬程序常用以下方法： （ 1）通過網絡連接檢測 掃描端口是檢測木馬的常用方法。在不打 開任何網絡軟件的前提下，接入互聯(lián)網的計算機打開的只有 139 端口。因此，可以關閉所有網絡軟件，然后用端口掃描軟件對電腦端口進行掃描，如果發(fā)現(xiàn)除 139 端口之外的端口被打開，就有可能存在特洛伊木馬程序。 也可以利用 Windows 自帶的 Netstat 命令來查看。一般情況下，如果沒有進行任何上網操作，在 MSDOS 窗口中用 Netstat 命令將看不到什么信息，此時可以使用 “stat a” 命令格式。如果出現(xiàn)不明端口處于監(jiān)聽狀態(tài)，而目前又沒有進行任何網絡服務的操作，那么監(jiān)聽該端口的很可能是木馬。 （ 2）通過進程檢 測 在 Win2020/XP 中按下 “CTL+ALT+DEL” ，進入任務管理器，就可看到系統(tǒng)正在運行的全部進程，清查時即可發(fā)現(xiàn)是否有木馬程序。 在 Windows 98/2020/XP 中，單擊任務欄【開始】 /【運行】，在對話框中輸入 msinfo32 后，單即【確定】按鈕，出現(xiàn)系統(tǒng)信息窗口。展開【軟件環(huán)境】項，單擊【正在運行任務】項，出現(xiàn) 相應 的窗口。窗口中顯示的是 Windows 現(xiàn)在全部運行的任務。如果有的項目有程序名和路徑，而沒有版本、廠商和說明時就應小心清查了。 16 （ 3）通過軟件檢測 用戶運行殺毒軟件、放火墻軟件和專 用木馬查殺軟件等都可以檢測系統(tǒng)中是否存在已知的木馬程序。 特洛伊木馬程序的清除 以通過手工和軟件的方式清除特洛伊木馬程序，但一般情況下木馬程序不容易被發(fā)現(xiàn)，手工清除比較困難，軟件清除比較簡單，但是軟件清除對于一些新出現(xiàn)的木馬程序無能為力。 1手工清除 (1) 如果發(fā)現(xiàn)有 “ 木馬 ” 存在，馬上將計算機與網絡斷開，防止黑客通過網絡進行攻擊。 (2) 編輯 文件，將該文件中的 [WINDOWS]下面的 “run=‘ 木馬 ’ 程序名 ” 或 “l(fā)oad=‘ 木馬 ’ 程序名 ” 更改為 “run=” 和 “l(fā)oad=” 。 (3) 編輯 文件，將 [BOOT]下面的 “shell=‘ 木馬 ’ 文件名 ” 更改為“shell=” 。 (4) 在注冊表中，用 regedit 對注冊表進行編輯，先在“HKEY LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到 “ 木馬 ” 程序的文件名，再在整個注冊表中搜索并替換掉 “ 木馬 ” 程序，有時候還需注意的是：有的 “ 木馬 ” 程序并不是直接將“HKEY LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run” 下的 “ 木馬 ” 鍵值刪除就行了，因為有的 “ 木馬 ”( 如 BladeRunner“ 木馬 ”) ，如果刪除它， “ 木馬 ” 會立即自動加上，需要的是記下 “ 木馬 ” 的名字與目錄，然后退回到 MSDOS下，找到此 “ 木馬 ” 文件并刪除掉。 重新啟動計算機，然后再到注冊表中將所有 “ 木馬 ” 文件的鍵值刪除。如手工清除 Back Orifice 2020(BO2020)方法，首先檢查注冊表 \HEKYLOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 中有無 的鍵值，如有鍵值，則將其刪除。重新啟動電腦，并將\Windows\System 中的 刪除。 2 軟件清除 (1) 殺毒軟件：目前常用的病毒防護軟件也可以實現(xiàn)對木馬的查殺，如瑞星、金山毒霸等，這類軟件對木馬的檢查也比較成功，但徹底地清除不是很理想，因為 17 一般情況下木馬在電腦每次啟動時都會自動加載，殺病毒軟件不能完全清除木馬文件，殺病毒軟件作為防止木馬的入侵來說更有效。 (2) 個人版網絡防火墻軟件：常用的個人版網 絡防火墻軟件，如天網、金山網鏢等，在防火墻啟動之后，一旦有可疑的網絡連接或者木馬對電腦進行控制，防火墻就會報警，同時顯示出對方的 IP地址、接入端口等提示信息，通過設置之后即可使對方無法進行攻擊。利用防火墻只能檢測發(fā)現(xiàn)木馬并加以預防攻擊，但不能徹底清除它。 (3) 專用的木馬查殺軟件：專用的木馬查殺軟件一般可以徹底清除系統(tǒng)中的木馬程序，如 The Cleaner、木馬克星、木馬終結者等。 特洛伊木馬程序的預防 隨著網絡的普及，木馬的傳播越來越快，而且新的變種層出不窮，在檢測清除它的同時，更要注意 采取措施來預防。預防方法如下： （ 1）不執(zhí)行任何來歷不明的軟件 下載軟件的時候需要特別注意，一般推薦去一些信譽比較高的站點。下載完成后一定要用反病毒軟件檢查一下，建議用專門查殺木馬的軟件來進行檢查，確定無毒后再使用。 （ 2）不隨意打開郵件附件 很多木馬程序是通過郵件來傳遞的，對郵件附件的運行尤其需要注意。 （ 3）將資源管理器配置成始終顯示擴展名 一些文件擴展名為 vbs、 shs、 pif 的文件多為木馬病毒的特征文件，如果碰到這些可疑的文件擴展名時就應該引起注意。 （ 4）盡量少用共享文件夾 單獨開一 個共享文件夾，把所有需共享的文件都放在這個共享文件夾中，注意千萬不要將系統(tǒng)目錄設置成共享。 （ 5）運行反木馬實時監(jiān)控程序 上網時最好運行反木馬實時監(jiān)控程序，木馬克星、 The Cleaner 等軟件一般都能實時顯示當前所有運行程序并有詳細的描述信息。此外還應加上一些專業(yè)的最新殺毒軟件、個人防火墻等。 （ 6）經常升級系統(tǒng) 很多木馬都是通過系統(tǒng)漏洞來進行攻擊的，及時打上系統(tǒng)漏洞補丁，很多時候打過補丁之后的系統(tǒng)本身就是一種最好的木馬防范辦法。 網絡監(jiān)聽 18 網絡監(jiān)聽本來是為了管理網絡，網絡管理員使用網 絡監(jiān)聽工具可以監(jiān)視網絡的狀態(tài)和數(shù)據(jù)流動情況以及網絡上傳輸?shù)男畔?。但是由于網絡監(jiān)聽能有效地截獲網上的數(shù)據(jù)，因此也成了攻擊者常用的攻擊手段。 目前網絡上的數(shù)據(jù)絕大多數(shù)是以明文的形式在網絡上傳輸?shù)模瑢⒕W絡接口設置在監(jiān)聽模式，便可以源源不斷地將網上傳輸?shù)男畔⒔孬@，尤其是口令通常很短且很容易辨認，網絡監(jiān)聽用得最多的是截獲用戶的口令。但有一個前提條件，監(jiān)聽只能是同一網段的主機，這里同一網段是指物理上的連接。 網絡監(jiān)聽可以在網上的任何一個位置實施，如局域網中的一臺主機、路由器、網關、防火墻等。監(jiān)聽效果最好的地方是在網關 、路由器、防火墻一類的設備處，通常由網絡管理員來操作，使用最方便的是在一個以太網中的任何一臺上網的主機上，這是大多數(shù)黑客的做法。 網絡監(jiān)聽原理 以太網 (Ether)協(xié)議的傳輸方式是廣播式的傳送，即把數(shù)據(jù)包發(fā)往連接在一起的所有主機。在包頭中包括有應該接收數(shù)據(jù)包的主機的正確地址 (在局域網中為網卡的物理地址 )，只有與數(shù)據(jù)包中目標地址一致的那臺主機才能接收到信息包，當使用集線器的時候，發(fā)送出去的信號到達集線器，由集線器再發(fā)向連接在集線器上的每一條線路。這樣在物理線路上傳輸?shù)臄?shù)字信號也就能到達連接 在集線器上的每個主機了。當數(shù)字信號到達一臺主機的網絡接口時，正常狀態(tài)下網絡接口對讀入數(shù)據(jù)包進行檢查，如果數(shù)據(jù)包中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就接收。 對于每個到達網絡接口的數(shù)據(jù)幀都要進行這個過程的。但是當主機工作在監(jiān)聽模式下的話，所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。但是當主機工作在混雜模式下的話不管數(shù)據(jù)包中的目標物理地址是什么，主機都將全部接收，然后再對數(shù)據(jù)包進行分析，實現(xiàn)信息的截獲。 網絡監(jiān)聽的防范方法 一旦網絡被監(jiān)聽，可能導致敏感信息被截獲，將會給網絡帶來很大的安 全問題，常用的網絡監(jiān)聽的防范方法如下： (1) 要確保以太網的整體安全性，因為網絡監(jiān)聽行為要想發(fā)生，一個最重要的前提條件就是以太網內部的一臺有漏洞的主機被攻破，只有利用被攻破的主機，才能進行網絡監(jiān)聽，去收集以太網內敏感的數(shù)據(jù)信息。 (2) 對網絡中傳輸?shù)臄?shù)據(jù)進行加密，以密文傳輸也是一個很好的辦法，入侵者即使抓取到了傳輸?shù)臄?shù)據(jù)信息，意義也不大。比如作為 tel、 ftp 等安全替代產品目前采用 ssh2 還是安全的。這是目前相對而言使用較多的手段之一。 19 (3) 使用交換機目前也是一個應用比較多的方式。交換機在工作 時維護著一張ARP 的數(shù)據(jù)庫，在這個庫中記錄著交換機每個端口綁定的 MAC 地址，當有數(shù)據(jù)報發(fā)送到交換機上時，交換機會將數(shù)據(jù)報的目的 MAC地址與自己維護的數(shù)據(jù)庫內的端口對照，然后將數(shù)據(jù)報發(fā)送到 “ 相應的 ” 端口上，這在一定程度上解決了網絡監(jiān)聽的問題。但是隨著 dsniff， ettercap 等軟件的出現(xiàn)，即使使用交換機也能進行網絡監(jiān)聽。 (4) 對安全性要求比較高的公司可以考慮 kerberos， kerberos 是一種為網絡通信提供可信第三方服務的面向開放系統(tǒng)的認證機制，它提供了一種強加密機制，使客戶端和服務器即使在非安全 的網絡連接環(huán)境中也能確認彼此的身份，而且在雙方通過身份認證后，后續(xù)的所有通信也是被加密的。 檢測網絡監(jiān)聽的手段 具有網絡監(jiān)聽行為的主機在工作時總是不做聲的收集數(shù)據(jù)包，幾乎不會主動發(fā)出任何信息，因此對發(fā)生在局域網主機上的監(jiān)聽缺乏很好的檢測方法。目前可以使用的檢測手段有如下五種： （ 1）反應時間 向懷疑有網絡監(jiān)聽行為的網絡發(fā)送大量垃圾數(shù)據(jù)包，根據(jù)各個主機回應的情況進行判斷，正常的系統(tǒng)回應的時間應該沒有太明顯的變化，而處于混雜模式的系統(tǒng)由于對大量的垃圾信息照單全收，所以很有可能回應時間會發(fā)生較大的變化。 （ 2）觀測 DNS 許多的網絡監(jiān)聽軟件都會嘗試進行地址反向解析，在懷疑有網絡監(jiān)聽發(fā)生時可以在 DNS 系統(tǒng)上觀測有沒有明顯增多的解析請求。 （ 3）利用 Ping 模式進行監(jiān)測 當一臺主機進入混雜模式時，以太網的網卡會將所有不屬于它的數(shù)據(jù)照單全收?，F(xiàn)在偽造出這樣的一種 ICMP 數(shù)據(jù)包：網卡硬件地址 (MAC 地址 )被設置為不與局域網內任何一臺主機相同的地址，目的 IP 地址為懷疑正在進行網絡監(jiān)聽的主機 IP 地址，可以設想一下這種數(shù)據(jù)包在局域網內傳輸會發(fā)生什么現(xiàn)象？這個數(shù)據(jù)包在傳輸時，任何正常的主機會檢查這個數(shù)據(jù)包，比較數(shù)據(jù)包 的硬件地址，和自己的不同，于是不會理會這個數(shù)據(jù)包，而處于網絡監(jiān)聽模式的主機呢？ 由于它的網卡現(xiàn)在是在混雜模式的，因此它不會去對比這個數(shù)據(jù)包的硬件地址，而是將這個數(shù)據(jù)包直接傳到上層協(xié)議，上層協(xié)議檢查數(shù)據(jù)包的 IP 地址，符合自己的 IP，于是會對這個 Ping 的包做出回應。這樣，一臺處于網絡監(jiān)聽模式的主機就被發(fā)現(xiàn)了。 20 （ 4）利用 arp 數(shù)據(jù)包進行監(jiān)測 這種方法是 Ping 方式的一種變體，使用 arp 數(shù)據(jù)包替代了上述的 ICMP 數(shù)據(jù)包。向局域網內的主機發(fā)送非廣播方式的 arp 包，如果局域網內的某個主機響應了這個 arp 請求，就可以 判斷它很可能就是處于網絡監(jiān)聽模式了，這是目前相對而言比較好的監(jiān)測模式。 （ 5）使用 Antisniff 軟件檢測 1999 年， Lopht 公司發(fā)布了一個名為 Antisniff 的軟件，該軟件可以掃描網絡并測試一臺計算機是否運行在混雜模式。 緩沖區(qū)溢出攻擊 隨著網絡防范技術的日益成熟，使木馬病毒這類惡意代碼的植入變得困難。網絡黑客開始針對系統(tǒng)和程序自身存在的漏洞，編寫相應的攻擊程序。其中最常見的就是對緩沖區(qū)溢出漏洞的攻擊，而在諸多緩沖區(qū)溢出中又以堆棧溢出的問題最具有代表性。目前，利用緩沖區(qū)溢出漏洞進行的攻擊 已經占到了整個網絡攻擊的半數(shù)以上。 緩沖區(qū)溢出漏洞利用編寫不夠嚴謹?shù)某绦?，通過向程序的緩沖區(qū)寫入超過預定長度的數(shù)據(jù)，就會造成緩沖區(qū)的溢出，從而破壞程序的堆棧，導致程序執(zhí)行流程的改變。通過攻擊存在緩沖區(qū)溢出的程序，入侵者可以是程序運行失敗，造成系統(tǒng)當機、重啟、甚至執(zhí)行非授權指令，獲得系統(tǒng)最高權限。 緩沖區(qū)溢出漏洞是目前最常見的安全漏洞。同時，緩沖區(qū)溢出攻擊仍然是目前遠程網絡攻擊和本地權限提升的主要方法之一。如果能有效地解決緩沖區(qū)溢出漏洞的問題，將會給系統(tǒng)的安全性能帶來本質上的改變。 對緩沖區(qū)溢 出漏洞攻擊，可以導致程序運行失敗、系統(tǒng)崩潰以及重新啟動等后果。更為嚴重的是，可以利用緩沖區(qū)溢