|
1.2.2 第二代木马:AIDS型木马 继PC -Write之后,1989年出现了AIDS木马。由于当时很少有人使用电子邮件,所以AIDS的作者就利用现实生活中的邮件进行散播:给其他人寄去一封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品,价格,预防措施等相关信息。软盘中的木马程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征(尽管通过传统的邮递方式)。 内容来自论文无忧网 www.paper51.com 1.2.3 第三代木马:网络传播性木马 http://www.paper51.com 随着Internet的普及,这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还有新的特征: 内容来自论文无忧网 www.paper51.com
1.添加了“后门”功能 内容来自论文无忧网 www.paper51.com 所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装,这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息,例如,财务报告、口令及信用卡号。此外,攻击者还可以利用后门控制系统,使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的,因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。 http://www.paper51.com
2.添加了击键记录功能 内容来自www.paper51.com 从名称上就可以知道,该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000(Back Orifice)和国内的冰河木马。它们有如下共同特点:基于网络的客户端/服务器应用程序。具有搜集信息、 执行系统命令、重新设置机器、重新定向等功能。 当木马程序攻击得手后,计算机就完全成为黑客控制的傀儡主机,黑客成了超级用户,用户的所有计算机操作不但没有任何秘密而言,而且黑客可以远程控制傀儡主机对别的主机发动攻击,这时候被俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。 内容来自论文无忧网 www.paper51.com 1.3 本课题研究的意义 内容来自论文无忧网 www.paper51.com
“知己知彼,百战不殆”,作为一个网络安全工作者,如果想找出防御木马盗取帐号与密码的有效途径,就必须认真地研究木马攻击的技术。在研究木马的攻防过程中,如果能够理清木马所使用手段的发展脉络,就有可能进一步找出木马发展的趋势,并提早思考应对策略。这样的话,我们至少可以为我们所拥有的帐号与密码增加几分安全感。而这个木马程序的设计正是属于第三代木马,当然在整个第三代木马的范围内,它只是一个小小的缩影。不过作为现在主流的木马类型,它所拥有的记录键盘的功能正是我们所需要的。因此希望通过这次的设计,去了解整个帐号被盗的过程,从而找出应对的方法,使我们的帐号与密码更加的安全。 内容来自论文无忧网 www.paper51.com 2 需求分析 paper51.com
2.1 木马的分类 http://www.paper51.com 根据木马对计算机采取的动作方式,木马可以分为以下几类: 内容来自论文无忧网 www.paper51.com 1.远程控制型 内容来自论文无忧网 www.paper51.com 这是当今最广泛的特洛伊木马,这种木马起到了远程监控的功能,只要被控主机联到网络,控制者就可以任意控制目标主机。 paper51.com
2.密码发送型 copyright paper51.com 这种类型的木马专门找到所有的隐藏的密码,并且在受害者不知道的情况之下把他发送给控制者,它可以采取多种方式来发送,最基本的方法是通过电子邮件来发送。 http://www.paper51.com 3.键盘记录型 copyright paper51.com 这种木马比较简单,它只做一种事情,就是记录受害者的键盘动作。 copyright paper51.com 4.毁坏型 copyright paper51.com
大部分木马只是窃取信息,不做破害性的事件,但是毁害型木马却以毁害并且删除文件为己任。 paper51.com 5.FTP型 copyright paper51.com 这种木马打开21号端口,让每个FTP客户端不要密码就可以连接到受控主机,随意窃取受害主机的文件。 copyright paper51.com 6.DoS攻击型 copyright paper51.com 通过植入木马,可以把受控主机当作一个个肉鸡,控制者可以操纵大量的肉鸡来同时对某个主机发起DoS攻击 内容来自论文无忧网 www.paper51.com
7.代理型 paper51.com 骇客在进行入侵的时候,为了隐藏自己的信息,他可以找一个代理,通过控制这个代理来达到入侵的木的,就像操纵傀儡一般。 paper51.com
8.反弹端口型 http://www.paper51.com 对于有放火墙的受害者,木马可以通过反连端口的方式来达到操纵受害主机的目的,也就是说,木马自己穿越防火墙主动去连接控制者,因为一般木马会采用常用的端口,比如80端口,而且现在的防火墙往往采用严进宽出的方案,所以这种控制很有用。 http://www.paper51.com 2.2 木马的特点 内容来自www.paper51.com 2.2.1隐秘性 http://www.paper51.com
也就是说,一旦一个木马通过个种手段被引入了主机(这个过程称为 ”植入”),那么它首先要找到一个地方来隐藏起来,等待时机发作,在被植入的主机看起来就好像什么事情都没有。木马能隐藏起来的原因有如下几个: 内容来自www.paper51.com 1.木马往往比较小,才几十k左右,这样即使执行起来也占不了系统太多的资源。 内容来自论文无忧网 www.paper51.com 2.木马往往会隐身在系统文件夹里面,而且或者直接代替了系统文件,或者采用和系统文件相似的文件名,这样即使发现有木马入侵的痕迹,但是你也不能辨认是哪个文件。 内容来自论文无忧网 www.paper51.com 3.木马执行时往往不会在系统中显示出来。 copyright paper51.com 2.2.2 自动运行性 内容来自www.paper51.com 一个好的木马绝对不可能奢望对方来点击运行,也不能只执行一次,然后随着系统的关机而不再运行,这样的只发作一次的木马是没有什么作用的。木马往往具有自动运行性,也就是说要么随机子的启动运行而发作,要么等某个条件来触发,而这个触发条件应该是很常用的。 copyright paper51.com
2.3 功能需求分析 http://www.paper51.com 这个设计属于第三代的键盘记录木马。这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击。更高级的可以在LOG中或者在COOKS中直接找密码。这种特洛伊木马随着Windows的启动而启动。它们记录你使用帐号和密码敲击键盘时的按键情况。也就是说你按过什么按键,种植木马的人都知道,从这些按键中他很容易就会得到你的密码信息,甚至是你的信用卡账号。根据这些这个设计应该具有以下功能:自动隐藏、自动运行和最重要的键盘记录。 内容来自www.paper51.com 2.3.1 自动隐藏 内容来自论文无忧网 www.paper51.com 在任务栏里面实现隐藏是最基本也是最简单的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标,那么程序会无条件的失去意义。所以要实现自动隐藏,不管是加载时的隐藏还是运行时的隐藏,对一个木马程序来说是非常重要的。要实现在任务栏中隐藏在编程时是很容易实现的。我以我的设计语言VB为例。在VB中,只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。 paper51.com
另外在Win9x时代,简单地注册为系统进程就可以从任务栏的进程中消失。可是在Windows高版本盛行的今天。这种方法遭到了惨败。注册为系统进程不仅仅能在任务管理器中看到,而且可以直接在Services中直接控制停止。 内容来自论文无忧网 www.paper51.com
不过就算这样,我们仍然有方法去消失掉进程,比如,将进程名改为和系统进程名相似,让别人一时间看不出来。另外还有方法就是用HOOK函数实现将进程注入到其他进程当中,比如EXPLORER。EXE。 http://www.paper51.com |