特洛伊木马的植入与防范的研究

摘要 特洛伊木马（简称木马）技术是最常见的网络攻击技术之一，在网络攻击过 程中占据着重要的地位。木马成功植入系统后，它通常利用各种手段来隐藏痕迹，以提高其可生存性。特洛伊木马的可生存性是木马生存能力的体现，也是木马隐藏的本质，它决定着木马的生存周期和对目标环境的影响程度。深入研究木马的可生存性，做到网络攻防知己知彼，对防范木马攻击，减少网络破坏，保护重要信息系统有重要意义。 ???? 木马一定是由两部分组成——服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。程序演示出木马的植入与防范的过程。基于木马的隐藏与植入的基本原理，建立虚拟环境，实现木马攻击与防范的演示，并完成演示系统的设计与实现。 关键词：特洛伊木马；演示系统；进程隐藏 木马的基本特性 ??? 木马攻击技术实施的有效性依赖于木马在目标系统中的生存能力。木马在目标系统中 的生存能力主要是提高自己在目标系统中的隐蔽能力。木马技术发展的主要目标是不断提 高木马在目标系统中的隐蔽能力。因此隐蔽性是木马最主要最基本的特性。木马为了隐蔽 于目标系统中而不被用户发现，会使用各种手段欺骗用户、对自己进行隐蔽伪装，掩盖由 于其本身存在而在目标系统中可能产生的种种迹象。木马的隐蔽性主要体现在：隐蔽运行。首先木马运行时外观的隐蔽。通常情况下，木马在系统中运行时外观上是隐蔽的，不会打开程序窗口，不会在任务栏中显示，也不发出声音以及其它容易被用户发现的现象。隐蔽运行的主要方面是对运行木马的运行存在形式进行隐蔽和欺骗。木马只要在目标系统中运行，在目标系统运行空间内肯定会以一定的形式存在。木马通常会对这种运行形式进行隐蔽和欺骗。 ??? 隐蔽启动。木马植入目标系统后会在系统每次启动时隐蔽地启动，或者在系统运行时 在一定的触发条件满足时启动运行。 ??? 隐蔽通信。木马通常要与控制端通信。木马一般会对其通信加以隐蔽。 ??? 木马程序在宿主机磁盘中的隐蔽。木马植入目标系统后会在宿主磁盘空间中生成自己 的木马文件。木马为了不被当作可疑文件，一般会在木马文件的命名上、文件类型的外观 上、文件属性上欺骗目标系统的用户。有的木马会在目标系统磁盘上生成多个副本，避免 被发现会后被完全删除；有的木马会与目标系统的系统文件捆绑一起或替代系统文件，使 得难以被发现及删除[3]。 1.3木马植入技术???? 利用木马进行攻击的第一步是把木马程序植入到目标系统里面。以下是攻击者植入木 马的主要手段： 1．欺骗用户下载执行。木马程序通常自称为优秀的工具或游戏等诱使别人下载并执行，一旦用户下载执行在显示一些信息或画面的同时木马被植入系统。 2．通过电子邮件来传播。木马程序作为电子邮件的附件发到目标系统，一旦目标系统的用户打开此附件（木马），木马就会植入到目标系统中。以此为植入方式的木马常常会以 HTML、JPG、BMP、TXT、ZIP 等各种非可执行文件的图标显示在附件中，以诱使用户打开附件。 3．目标系统用户在浏览网页时，木马通过 Script、ActiveX 及 XML 、Asp、Cgi 等交互脚本植入。由于微软的 IE 浏览器在执行 Script 脚本上存在一些漏洞，攻击者把木马与一些含有这此交互脚本的网页联系在一起，利用这些漏洞通过交互脚本植入木马。 4．攻击者成功入侵目标系统后，把木马植入目标系统。此种情况下木马攻击作为对目标系统攻击的一个环节，以使下次随时进入和控制目标系统。 5．利用系统的漏洞进行传播。此方式是攻击系统的一个重要途径。如著名的 IIS 服务器溢出漏洞，通过一个 IISHACK 攻击程序可使 IIS 服务器崩溃，同时执行远程木马文件，将木马植入目标 系统。 6．利用一些常用的应用软件的漏洞或与应用软件捆绑进行木马植入。如著名的nternet 交换文件工具 KaZaA、Grokster 和 LimeWire 免费 P-to-P 软件在一段时期捆绑了ClickTillUWin 的在线抽彩客户机程序（包含一个将用户信息发送给软件开发商的木马程 序 W32.DlDer.Trojan）， 一旦目标系统使用了此交换软件，则 W32.DlDer.Trojan 就会被 植入系统。 7．与病毒结合在一起构成复合的恶意程序，利用病毒的传染性进行木马的植入。CodeRed、Sircam、Nimda 等都是病毒和木马相结合的恶意程序。目标系统被感染的同时， 也会被植入这些恶意程序的木马部分[4]。 8．由于管理上的疏漏或物理防范措施的不足，攻击者得以接触目标系统并直接操纵目标系统，人工进行木马的植入。