【正文】 ... 45 參考文獻(xiàn) .................................................................................................................................. 46 致 謝 ...................................................................................................................................... 47 附錄： ...................................................................................................................... 48 1 木馬的原理分析與處理方案 摘要： 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展， Inter 已伸向了世界的每一個(gè)角落，正在對(duì)人們的生活方式和工作方式產(chǎn)生著前所未有的影響。今天，利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的智能犯罪日益猖撅，對(duì)社會(huì)造成的危害也越來越大，網(wǎng)絡(luò)犯罪的發(fā)展對(duì)新時(shí)期信息時(shí)代的安全工作提出了新的挑戰(zhàn)。本論文對(duì)目前較為流行的木馬技術(shù)的實(shí)現(xiàn)方式、工作原理及遠(yuǎn)程控制的關(guān)鍵技術(shù)進(jìn)行系統(tǒng)的研究，重點(diǎn)對(duì)木馬程序的進(jìn)程實(shí)現(xiàn)、受控端與控制端通信進(jìn)行剖析。 關(guān)鍵詞 ：木馬技術(shù)，木馬原理，遠(yuǎn)程控制 2 Trojan horse principle analysis and treatment scheme Abstract： With the rapidly growing of puter work technology， the reach of Inter has extended to every er in the world， and it has all unprecedented influence on people’s life styles and the work ways． The inter gives the public convenience； meanwhile， it provides criminals chances to engage in criminal activities through using the work． Today， the intelligent crimes， by means of the puter work bee frantic day by day， which caused more and more harms to the society， so the increase of work crimes proposed new challenges to work security in the information age． In a certain time and place， police should carry out remote control on suspect’s target puter through which the criminals mit crimes via the inter and get rid of attacks． They should master the suspect’s activities and crime evidence in order to crack down on crimes to protect the nation and people’s security． All of these are the starting point of this essay． This essay takes research on realizing ways of popular Trojan horse technology， the principle of working and the remotecontrol system controlling technology． The important aspects lie in the explanation of Trojan’s process realizing， the munication between controlling port and controlled port． This essay is under the platform of Window studies， on the basis of the Trojan essential technological foundation， produces one kind of system design and realization of an effective realtime monitoring on remote puters， which is unified the performance Trojan horse． Keywords： Trojan horse horse control 1 前 言 隨著信息技術(shù)的飛速發(fā)展，計(jì)算機(jī)和計(jì)算機(jī)通信網(wǎng)絡(luò)己經(jīng)成為當(dāng)今社會(huì)不可缺少的基本組成部分，依托瓦聯(lián)網(wǎng)技術(shù)的全球信息化浪潮沖擊和深刻影響著人類政治、經(jīng)濟(jì)、社會(huì)的方方面面，對(duì)經(jīng)濟(jì)發(fā)展、國家安全、國民教育和現(xiàn)代管理都起著重要的作用。但隨著網(wǎng)絡(luò)應(yīng)用的增加，以計(jì)算機(jī)信息系統(tǒng)為犯罪對(duì)象和犯罪工具的各類新型犯罪活動(dòng)不斷出現(xiàn)。其中，利用木馬技術(shù)入侵、控制和破壞網(wǎng)絡(luò)信息系統(tǒng)，是造成網(wǎng)絡(luò)信息安全問題的典型表現(xiàn)之一。一旦植入和觸發(fā)成功，控制端與被控制端之間就能遵照 TCP/IP 協(xié)議進(jìn)行數(shù)據(jù)通信，從而使得控制者獲取被控制者的相關(guān)信息。2020 年 1 月至 l0 月，瑞星公司共截獲新病毒樣本 930 余萬個(gè)，其中絕大部分 (776 萬 )是盜號(hào)木馬、后門程序，專門竊取網(wǎng)游帳號(hào)、網(wǎng)銀帳號(hào)等虛擬財(cái)產(chǎn)，具有極其明顯的經(jīng)濟(jì)利益特征。 世界各國計(jì)算機(jī)安全應(yīng)急響應(yīng)小組 (puter emergency response )以及國內(nèi)外各反病毒公司及廠商均對(duì)木馬檢測(cè)、清除和防范方面做了大量研究。國內(nèi)有中國科學(xué)院信息安全技術(shù)工程研究中心對(duì)木馬技術(shù)進(jìn)行了理論研究和原型開發(fā)，西北工業(yè)大學(xué)對(duì)木馬在信息戰(zhàn)的應(yīng)用進(jìn)行了研究，西安電子科技大學(xué)從人工免疫的角度對(duì)木馬的檢測(cè)與防御進(jìn)行了研究，中國人民解放軍信息工程大學(xué)對(duì) Windows NT 平臺(tái)下的木馬啟動(dòng)與反跟蹤技術(shù)進(jìn)行了研究。因此，研究和分析各種木馬的工作原理和功能、木馬種植的技巧和思路、 2 木 馬自啟動(dòng)以及隱藏的方法，進(jìn)而針對(duì)一些典型的木馬攻擊提出了相應(yīng)的解決方法，建立相對(duì)完善的防御體，是我們 豐動(dòng)防范木馬入侵或攻擊的有方法之一。 1 第 1 章 緒論 木馬概述 木馬全稱特洛伊木馬，其名稱源于古希臘神話中的特洛伊木馬記。最后，希臘軍隊(duì)撤走了，并在特洛伊城外留下很多巨大的木馬。特城人把木馬搬進(jìn)了城。因此，特洛伊木馬一般偽裝成合法程序植人系統(tǒng)中，對(duì)系統(tǒng)安全構(gòu)成威脅。黑客主要利用控制端連接到服務(wù)器端來實(shí)現(xiàn)控制目標(biāo)主機(jī)服務(wù)器端所在主機(jī)的目的，從而執(zhí)行用戶不知道或不期望的行為。當(dāng)時(shí)的木馬程序的功能相對(duì)簡(jiǎn)單，往往是將一段程序嵌入到 系統(tǒng)文件中，用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能，在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。 從木馬的發(fā)展技術(shù)來看，總共可以分為四代： 第一代木馬出現(xiàn)在網(wǎng)絡(luò)發(fā)展的早期，是以竊取網(wǎng)絡(luò)密碼為主要任務(wù)，即簡(jiǎn)單的密碼竊取、發(fā)送等，在隱藏和通信方面均無特別 之處。但是由于植入木馬的服務(wù)端程序會(huì)打開連接端口等候客戶端連接，比較容易被發(fā)現(xiàn)。 第三代木馬在功能上與第二代木馬沒有太大差異，它的改變主要在網(wǎng)絡(luò)連接方式上，它的特征是不打開連接端口進(jìn)行偵聽，而是使用 ICMP 通信協(xié)議進(jìn)行通信或使用反向連接技術(shù)讓服務(wù)器端主動(dòng)連接客戶端，以突破防火墻的攔截。如 ：網(wǎng)絡(luò)神偷、 Peep201 等。前三代木馬，大多都有獨(dú)立的木馬，因此用戶可以根據(jù)啟動(dòng)項(xiàng)目中的描述內(nèi)容，很快找到木馬，并刪除它。不過在連接方式上，依然使用第三代木馬或第二代木馬的連接方式。 第五代木馬實(shí)現(xiàn)了與病毒緊密結(jié)合，利 用操作系統(tǒng)漏洞，直接實(shí)現(xiàn)感染傳播的目的，而不必象以前的木馬那樣需要欺騙用戶主動(dòng)激活。 木馬的分類 為了更方便地研究木馬，并采取適當(dāng)?shù)姆婪洞胧?，可?duì)木馬進(jìn)行分類，快速了解新出現(xiàn)的木馬，便于制訂有效的防御措施將它拒之門外，或通過一些規(guī)則找到木馬并清除。這種木馬在控制端 的控制下可以在被控主機(jī)上做任意的事情，比如鍵盤一記錄，文件上傳 /下載，截取屏幕，遠(yuǎn)程執(zhí)行等。大多數(shù)這類木馬程序不會(huì)在每次 windows系統(tǒng)重啟時(shí)都自動(dòng)加載，它們大多數(shù)使用 25 端口發(fā)送電子郵件。這種木馬程序隨著 Windows 系統(tǒng)的啟動(dòng)而自動(dòng)加載，并能感知受害主機(jī)在線，且記錄每一個(gè)用戶事件，然后通過郵件或其他方式發(fā)送給控制者。它們可以自動(dòng)刪除受控豐機(jī)上所有的． ini 或． exe 文件，甚至遠(yuǎn)程格式化受害者硬盤，使得受控主機(jī)上的所有信息都受到破壞。 第五類 FTP 型： FTP 型木馬打開被控主機(jī)系統(tǒng)的 2l 號(hào)端 121(FTP 服務(wù)所使用的默認(rèn)端口 )，使每一個(gè)人都可以用 一個(gè) FTP 客戶端程序來不要密碼連接到受控制主機(jī)系統(tǒng)，并且可以進(jìn)行最高權(quán)限的文件上傳和下載，竊取受害系統(tǒng)中的機(jī)密文件。 第二類 反向連接型：發(fā)起通信的方向?yàn)楸豢刂贫讼蚩刂贫税l(fā)起，其出現(xiàn)豐要是為了解決從內(nèi)向外不能發(fā)起連接的情況的通信要求，已經(jīng)被較新的木馬廣泛采用。在編程實(shí)現(xiàn)的時(shí)候，如果采用反向連接的技術(shù)，那么客戶端 (也就是控制端 )要采用 Socket 編程的服務(wù)器端的方法，而服務(wù)端 (也就是被控制端 )采用 Socket 編程的客戶端的方法。通常在 B/S 架構(gòu)下，Server 端被上傳了網(wǎng)頁木馬，控制端可以使用瀏覽器來訪問相應(yīng)的網(wǎng)頁，達(dá)到對(duì) Server端進(jìn)行控制的目的。當(dāng)然，為了實(shí) 現(xiàn)正常的通信，代理也要由木馬作者編程實(shí)現(xiàn)，才能夠?qū)崿F(xiàn)一個(gè)轉(zhuǎn)換通信。但是，這種架構(gòu)的木馬目前還沒有發(fā)現(xiàn)。當(dāng)被控制端與控制端都打開瀏覽器瀏覽這個(gè) Server 上的網(wǎng)頁的時(shí)候，一端就變成了控制端，而另外一端就變成了被控制端，這種架構(gòu)的木馬己經(jīng)在國外出現(xiàn)了。木馬區(qū)別與遠(yuǎn)程控制程 序的主要不同點(diǎn)就在于它的隱蔽性，木馬的隱蔽性是木馬能否長(zhǎng)期存活的關(guān)鍵。 (五 )根據(jù)木馬存在的形態(tài)不同，可將木馬分為以下幾種： 第一種 傳統(tǒng) EXE 程序文件木馬。 第二種 傳統(tǒng) DLL/VXD 木馬。 第三種 替換關(guān)聯(lián)式 DLL 木馬。這種木馬利用遠(yuǎn)程緩沖區(qū)溢出的入侵方式，從遠(yuǎn)程將木馬 4 寫入目前正在運(yùn)行的某程序的內(nèi)存中，然后利用更改意外處理的方式來運(yùn)行木馬代碼。 第五種 網(wǎng)頁木馬。這種木馬利用 IE 等漏洞植入到目標(biāo)主機(jī)，傳播范圍廣。溢出型木馬既是將緩沖區(qū)溢出攻擊和木馬相結(jié)合的木馬實(shí)現(xiàn)手段，其實(shí)現(xiàn)方式有很多特點(diǎn)和優(yōu)勢(shì)，屬于一種較新的木馬類型。 (2)、打開未授權(quán)的服務(wù)為遠(yuǎn)程計(jì)算機(jī)安裝常用的網(wǎng)絡(luò)服務(wù)，讓它為黑客或其他非法用戶服務(wù)。 (3)、遠(yuǎn)程屏幕監(jiān)視功能實(shí)時(shí)截取屏幕圖象，可以將截取到的圖象另存為圖文件；實(shí)時(shí)監(jiān)視遠(yuǎn)程用戶目前正在進(jìn)行的操作。例如在遠(yuǎn)程計(jì)算機(jī)執(zhí)行程序、打開文件或向其他計(jì)算機(jī)進(jìn)行攻擊等。它以系統(tǒng)使用者很難察覺的方式向外傳送數(shù)據(jù)。 5 第 2 章 木馬原理分析 特洛伊木馬程序其實(shí)是一種客戶機(jī)服務(wù)器程序，服務(wù)器端 (被攻擊的計(jì)算機(jī) )的程序在運(yùn)行之后，黑客可以使用相應(yīng)的客戶端工具直接控制它，在網(wǎng)絡(luò)上，有一個(gè)基本的漏洞，就是在本機(jī)直接肩動(dòng)運(yùn)行的程序擁有與使用者相同的權(quán)限 ，假設(shè)你是以管理員的身份使用機(jī)器，那么你從本地硬盤啟動(dòng)一個(gè)應(yīng)用程序，這個(gè)程序就有權(quán)享有機(jī)器的全部資源。 木馬的工作原理 木馬是一類特殊的計(jì)算機(jī)程序，其作用是在一臺(tái)計(jì)算機(jī)上監(jiān)控被植入木馬的計(jì)算機(jī)的情況。木馬程序一般分為客戶端 (Cli)和服務(wù)器端 (Server)，服務(wù)器端程序是控制者傳到目標(biāo)計(jì)算機(jī)的部分，騙取用戶執(zhí)行后，便植入計(jì)算機(jī)，作為響應(yīng)程序。典型的木馬工作原理是：當(dāng)服務(wù)器端在目標(biāo)計(jì)算機(jī)上被執(zhí)行后，木馬打開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽，當(dāng)客戶機(jī)向服務(wù)器端提出連接請(qǐng)求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行來應(yīng)答客戶機(jī)的請(qǐng)求，服務(wù)器端程序與客戶端建立連接后，由客戶端發(fā)出指令，服 務(wù)器在計(jì)算機(jī)中執(zhí)行這些指令，并將數(shù)據(jù)傳送到客戶端，以達(dá)到控制主機(jī)的目的。由于建立連接容易被察覺 ， 因此就要使用 ICMP 來避免建立連接或使用端口 。如圖 木馬服務(wù)器端 木馬客戶端 圖 客戶端與服務(wù)端的交互 結(jié)果 指令 6 這是木馬程序的基本工作原理，其中還包括了木馬的種植，隱藏，通信等等。 木馬的種植原理 特洛伊木馬大都采用客戶機(jī)服務(wù)器模式：客戶端程序是在你自己的 PC 機(jī)上運(yùn)行．服務(wù)器端程序是安裝在目標(biāo)豐機(jī)上。 通常特洛伊木馬的