木马攻防感想

木马攻防的感想刖言木马技术是最常见的网络攻击手段之一，它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类，针对常见的木马攻击方式提出了一些防范措施。木马的危害，在于它能够远程控制你的电脑。当你成为''肉鸡〃的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友，木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。正因为如此，现在木马越繁殖越多，大有'野火烧不尽〃之势。木马与病毒相互配合、相得益彰，危害越来越大。【关键词】：木马程序、攻击手段、防范技术、木马的危害一、木马概述木马的定义及特征1.1木马的定义在古罗马的战争中，古罗马人利用一只巨大的木马，麻痹敌人，赢得了战役的胜利，成为一段历史佳话。而在当今的网络世界里，也有这样一种被称做木马的程序，它为自己带上伪装的面具，悄悄地潜入用户的系统，进行着不可告人的行动。有关木马的定义有很多种，作者认为，木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它的运行遵照TCP/IP协议，由于它像间谍一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似，因而得名木马程序。木马程序一般由两部分组成的，分别是Server（服务）端程序和Client（客户）端程序。其中Server端程序安装在被控制计算机上，Client端程序安装在控制计算机上，Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。首先，服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现了对本地计算机的控制。因为木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序，服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖性和自动感染的功能。1.2木马的特征据不完全统计，目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制，在不同的环境下运行，发挥着不同的作用，但是它们有着许多共同的特征。（1）隐蔽性隐蔽性是木马的首要特征。木马类软件的server端在运行时会使用各种手段隐藏自己，例如大家所熟悉的修改注册表和ini文件，以便机器在下一次启动后仍能载入木马程序。通常情况下，采用简单的按“Alt+Ctrl+Del”键是不能看见木马进程的。还有些木马可以自定义通信端口，这样就可以使木马更加隐秘。木马还可以更改server端的图标，让它看起来象个zip或图片文件，如果用户一不小，就会让当。（2） 功能特殊性通常，木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索目标计算机中的口令，设置口令，扫描IP发现中招的机器，记录用户事件，远程注册表的操作，以及颠倒屏幕，锁定鼠标等功能。（3） 自动运行性木马程序通过修改系统配置文件或注册表的方式，在目标计算机系统启动时即自动运行或加载。（4） 欺骗性木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被用户发现。木马程序经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”。还有的木马程序为了隐藏自己，把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。木马编制者还在不断地研究、发掘欺骗的手段，花样层出不穷，让人防不胜防。（5） 自动恢复性现在，很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。计算机一旦感染上木马程序，想单独靠删除某个文件来清除，是不太可能的。木马的工作原理特洛伊木马（其名称取自希腊神话的特洛伊木马记，以下简称木马）的英文为“TrojanHorse”，是一种基于远程控制的黑客工具程序。因此，查杀木马最关键的还是要知道木马的工作原理。常见的普通木马一般是客户端/服务端（Client/Server,C/S）模式，客户端/服务端之间采用TCP/UDP的通信方式，攻击者控制的相应的客户端程序，服务端程序是木马程序，木马程序被植入到毫不知情的用户的计算机中。以“里应外和”的工作方式，服务端通过打开特定的端口并进行监听，这些端口好像“后门”一样，所以，也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求（ConnectRequest），木马便与其连接起来。攻击者可以使用控制器进入计算机，通过客户端程序命令达到控制服务器端的目的。这类木马的一般工作模式如下图所示。木马的分类根据木马程序对计算机的具体动作方式，可以把现在存在的木马程序分为以下的几类。1、 远程访问型木马远程访问型木马是现在最广泛的特洛伊木马。这种木马起着远程控制的功能，用起来非常简单，只需一些人运行服务端程序，同时获得他们的ip地址，控制者就能任意访问被控制端的计算机。这种木马可以使远程控制者在本地机器上做任意的事情，比如键盘记录、上传和下载功能、发射一个“截取屏幕”等等。这种类型的木马有著名的BO(BackOffice)、国产的冰河等。2、 密码发送型木马密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数的这类木马程序不会在每次Windows重启时都自动加载，它们大多数使用25端口发送电子邮件。3、 键盘记录型木马键盘记录型木马是非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动，知道受害者在线并且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。4、 毁坏型木马大部分木马程序只窃取信息，不做破坏性的事件，但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控制者计算机上所有的.dll或.ini或.exe文件，甚至远程格式化受害者硬盘。毁坏型木马的危害很大，一旦计算机被感染而没有即时删除，系统中的信息会在顷刻间“灰飞烟灭”。5、 FTP型木马FTP型木马打开被控制计算机的21端口(FTP所使用的默认端口)，使每一个人都可以用一个FTP客户端程序来不用密码连接到受控制端计算机，并且可以进行最高权限的上传和下载，窃取受害者的机密文件。6、 DoS攻击木马随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当黑客入侵一台机器后，给他种上DoS攻击木马，那么日后这台计算机就成为黑客DoS攻击的最得力助手了。黑客控制的肉鸡数量越多，发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在黑客利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。7、 反弹端口型木马木马开发者在分析了防火墙的特性后发现：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的被动端口；为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口时，发现类似TCPUserIP:1026ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，就会以为是自己在浏览网页，因为浏览网页都会打开80端口的。8、 代理木马黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Telnet，ICQ，IRC等程序，从而隐蔽自己的踪迹。9、 程序杀手木马上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,NortonAnti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用木马的功能木马程序的危害是十分大的，它能使远程用户获得本地机器的最高操作权限，通过网络对本地计算机进行任意的操作，比如删添程序、锁定注册表、获取用户保密信息、远程关机等。木马使用户的电脑完全暴露在网络环境之中，成为别人操纵的对象。就目前出现的木马来看，大致具有以下功能：1、 自动搜索已中木马的计算机；2、 对对方资源管理，复制文件、删除文件、查看文件内容、上传文件、下载文件等；3、 远程运行程序；4、 跟踪监视对方屏幕；5、 直接屏幕鼠标控制，键盘输入控制；6、 监视对方任务且可以中止对方任务；7、 锁定鼠标、键盘和屏幕；

8、 远程重新启动计算机、关机；9、 记录、监视按键顺序、系统信息等一切操作；10、 随意修改注册表；11、 共享被控制端的硬盘；12、 乱屏等耍弄人操作。木马的工作过程配置木马一般来说，一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两个功能。（1） 木马伪装。木马配置程序为了在服务器端尽可能隐藏好，会采用多种伪装手段，如修改图标、捆绑文件、定制端口、自我销毁等。（2） 信息反馈。木马配置程序会根据信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址、IRC号、ICQ号等。传播木马配置好木马后，就要传播过去。木马的传播方式主要有：控制端通过E-mail将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装；通过QQ等通信软件进行传播；通过病毒的夹带把木马传播出去。启动木马木马程序传播给对方后，接下来是启动木马。一种方式是被动地等待木马或捆绑木马的程序被主动运行，这是最简单的木马。大多数首先将自身复制到Windows的系统文件夹中（C:\WINNT,C:\WINNT\system32或C:\WINNT\temp目录下），然后写入注册表启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。一般系统重新启动时木马就可以启动，然后木马打开端口，等待连接。建立连接一个木马连接的建立必须满足两个条件：一是服务器端已安装了木马程序；二是控制端、服务器端都要在线。在此基础上控制端可以通过木马端口与服务器端建立连接。控制端可以根据提前配置的服务器地址、定制端口来建立连接；或者是用扫描器，根据扫描结果中检测哪些计算机的某个端口开放，从而知道该计算机里某类木马的服务器端在运行，然后建立连接;或者根据服务器端主动发回来的信息知道服务器端的地址、端口，然后建立连接。远程控制前面的步骤完成之后，就是最后的目的阶段，对服务器端进行远程控制，实现窃取密码、文件操作、修改注册表、锁住服务器端以及系统操作等。二、木马的传播方式系统漏洞一个新安装的系统在没有安装任何系统补丁和防火墙程序时，它遭受木马种植的危险机率非常大.众所周知,Windows系统的漏洞非常多，即使你不做任何事只要系统连接上了网络，黑客们就可以通过网络扫描程序来找到你的电脑，然后再通过系统漏洞直接进入你的电脑，然后在你的系统中偷偷安装上木马程序，让你在不知不觉间就中了招，成为了别人的肉鸡.文件捆绑这是黑客种植木马最常用的手段之一.将木马程序捆绑在正常的程序或文件中，当别人下载并运行后，被捆绑木马的程序和文件可以正常运行，但在运行过程中,木马程序也已经悄悄运行了，这起到了很好的迷惑作用.黑客通常会将木马程序捆绑到一个广为传播的热门软件上来诱使他人下载，并把它放到下载网站或网站论坛中使其在网络上传播.文件伪装将木马程序伪装成其它文件是黑客种植木马最简单也是最常用的手段.比如修改木马程序的图标，文件名或后缀名,使它看起来与另外一个正常文件别无二样，而且为了让人容易接受，常常会伪装成热门文件来诱使对方打开.伪装木马最常用的传播方式就是通过电子邮件和QQ等即时通讯软件来传播.很多朋友对电子邮件的附件或QQ好友发送的文件会毫不犹豫的点击接受，就这样因为一时粗心大意中了木马.有的黑客在第一次发送伪装的木马程序给对方后，如果对方运行后发现有疑问时，他就会解释说程序坏了或是发错了，然后重新发送正常的程序给对方来消除对方的疑虑，而此时木马程序已经在运行了.网页木马网页木马是通过网页浏览传播的一种木马种植方式，此方法非常隐蔽,常常让人在不知不觉间中招.黑客会将制作好的木马程序放到网页中，当人们在浏览这些网页时，木马程序会通过系统或软件的漏洞自动安装，或是以浏览该网页必须的插件等名义诱骗用户点击安装等等。方式偷偷进驻到别人的电脑中，让人防不胜防.三、木马攻防感想计算机的广泛应用把人类带入了一个全新的时代，特别是计算机网络的社会化，已经成为了信息时代的主要推动力。然而，网络是一把双刃剑，随着计算机网络的飞速发展。尤其是互联网的应用变得越来越广泛，带来了前所未有