信息安全专业 木马病毒 实习报告

计算机科学与工程学院专业实习报告PAGEPAGE1xxxx大学计算机科学与工程学院专业实习报告学生姓名：学号：专业：班级：指导教师：实习时间：2015.6.27-2015.7.1完成日期：2015年7月1日病毒木马攻击原理研究与简单实践实习时间：2015年6月27日至2015年7月1日实习地点：软件实验室实验环境：装有win8系统计算机一台vmware虚拟机C++软件学习目的：了解木马病毒的原理、特征、种类、伪装、挂马及其防范等，利用已学的专业课程，探究木马病毒的原理和方式，为毕业设计中实现模拟病毒木马的攻击与防范流程的心得体会打基础。实习进程及具体内容：实习的过程中我听从指导老师的建议由木马和病毒的定义和基本原理入手，通过上网查阅资料、虚拟机模拟操作等手段逐步拨开迷雾，对木马病毒的运作、传播、隐藏等行为进行了深度的研究与总结，从而理解了从病毒入侵到病毒清除和防御的每个步骤及原理，并能够对整体过程进行剖析。具体内容如下:1木马病毒的概述及概述1.1木马的的定义木马的全称是“特洛伊木马”，是一种新型的计算机网络病毒程序，是一种基于远程控制的黑客工具，它利用自身具有的植入功能，或依附具有传播功能的病毒，进驻目标机器监听、修改。窃取文件。1.2木马的基本特征

1、隐蔽性是其首要的特征当用户执行正常程序时，在难以察觉的情况下，完成危害影虎的操作，具有隐蔽性。它的隐蔽性主要体现在6个方面：1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库

2、它具有自动运行性

它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3、木马程序具有欺骗性

木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。

4、具备自动恢复功能

现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。5、能自动打开端口

应服务器客户端的通信手段，利用TCP/IP协议不常用端口自动进行连接，开方便之“门”

6、功能的特殊性

通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。1.3木马的传播途径1.利用操作系统和浏览器漏洞传播。2.利用移动存储设备（U盘）等来传播。3.利用第三方软件（如realplayer，迅雷，暴风影音等）漏洞传播4.利用ARP欺骗方式来传播5利用电子邮件，QQ,MSN等通讯软件传播6.利用网页挂马，嵌入恶意代码来传播1.4木马病毒的危害1．利用通讯软件盗取用户个人信息。黑客可以利用木马病毒盗取用户的如QQ,MSN等账号进行盗取用户好友个人信息等。2．盗取网游账号，威胁我们的虚拟财产安全黑客利用木马病毒盗取用户游戏账户密码，并将用户游戏中的装备或游戏币转移，照成损失。3．盗取用户的网银信息，威胁我们的真是财产安全黑客利用木马，采用键盘记录等方法盗取用户的个人银行信息，直接到市用户的经济损失4．给电脑打开后门，使电脑可能被黑客控制2木马病毒的现状目前，木马病毒结合了传统病毒的破坏性，产生了更有危害性的混合型木马病毒。有关报告显示：截止2011年上半年，所截获的新增病毒总计有111474种，而木马病毒占总数的64.1%。其中，盗号木马占总木马数的70%，从数据上可以看出，木马数量的成倍增长，变种称出不穷，使得计算机用户的处境更加危险。下表为木马病毒的种类与特性:种类特性传播途径破坏型唯一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件硬盘传播密码发送型向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。可以找到隐藏密码并把它们发送到指定的信箱。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。远程访问型最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。通过控制internet的UDP协议进行传播。键盘记录木马这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。潜伏在计算机硬盘中，通过记录使用者的键盘操作进行传播。DoS攻击木马随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。通过邮件传播，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。代理木马“代理木马”具有自动下载木马病毒的功能，一旦感染系统后，当系统接入互联网，再从指定的网址下载其他木马、病毒等恶意软件。它们可以根据病毒编者指定的网址下载木马病毒或其他恶意软件，还可以通过网络和移动存储介质传播。FTP木马这种木马可能是最简单和古老的木马了，它的唯一功能就是打开21端口，等待用户连接。控制用户的21端口使其运行某一指定的命令。反弹端口型木马木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口；即使用户使用扫描软件检查自己的端口，发现类似TCP的情况。通过控制计算机防火墙端口进行传播。3木马病毒的基本原理木马病毒通常包含两个部分：服务器和客户端。服务端植入危害主机，而施种者利用客户端侵入运行了服务端的主机。木马的服务端一旦启动，受害主机的一个或几个端口即对施种者敞开，使得施种者可以利用这些端口受害主机，开始执行入侵操作。如图：图表1木马病毒传播基本原理1、配置、传播木马一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现伪装和信息反馈两方面的功能。

传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

2、运行木马服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT-AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。3、信息反馈木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等。4、建立连接一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的。5、远程控制木马连接建立后，控制端端口和木马端口之间将会出现一条通道，控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。6、木马病毒的传播及植入由于木马病毒是一种非自我复制的恶意代码，因此她需要依靠用户向其他人发送其拷贝。木马病毒可以作为电子邮件附件或者隐藏在用户与其他用户进行交互的文档或者其他文件中。他们还可以被其他恶意代码所携带，如蠕虫。木马病毒有时也会隐藏在从互联网上下载的捆绑软件中。当用户安装此软件是，病毒就会在后台秘密安装。木马植入技术主要是指木马病毒利用各自途径进入到目标机器的具体方法。7、木马病毒植入技术木马病毒植入技术,主要是指木马病毒利用各种途径进入目标机器的具体实现方法。(1)利用电子邮件进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。(2)利用网络下载进行传播:一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。(3)利用网页浏览传播:这种方法利用JavaApplet编写出一个HTML网页,当我们浏览该页面时,JavaApplet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。(4)利用一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。(5)远程入侵进行传播:黑客通过破解密码和建立IPC远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\WINDOWS\system32或者C:\WINNT\sys-tem32)中,然后通过远程操作让木马程序在某一个时间运行。(6)基于DLL和远程线程插入的木马植入：这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。(7)利用蠕虫病毒传播木马:网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上进行传播、复制,这就加快了木马的传播速度。4木马病毒的防范计算机病毒的防范措施针对病毒的发展趋势,

从上面的讨论知道木马程序是非常危险的，计算机一旦感染病毒是非常危险的，所以在前人研究的基础上我认为以下几种方法也有助于病毒的防范。如：

（1）不随意打开来历不明的邮件，阻塞可疑邮件。

（2）不随意下载来历不明的软件。

（3）及时修补漏洞和关闭可疑的端口。

（4）尽量少用共享文件夹。

（5）运行实时监控系统。

（6）经常升级系统和更新杀毒软件。

（7）限制不必要的具有传输能力的文件。

（8）关闭不常使用端口。

我国计算机网络安全形势十分严峻,

采用有效的病毒防范措施显得尤其重要。计算机网络中最主要的软硬件实体就是服务器和工作站,

防治病毒首先要考虑这两部分。实