木马程序范文1
【关键词】木马;网络犯罪;盗窃;病毒;网上银行
案情介绍:
2008年4月30日,李某到银行取钱,发现银行卡上的1950元不翼而飞。通过查询消费账单,李某得知这些钱先后被充值给了同一部号码的手机。原来,李某曾用银行卡进行过网上转账,而使用的计算机被赖某植入了木马程序。通过木马程序,赖某获得了李某的银行账号和密码,通过网络以低于市面7%到8%的价格,用李某的钱给他人手机充值。被充值人则将充值款打到赖某指定的账户上。案发后,法院以盗窃罪依法判处赖某有期徒刑一年零六个月,缓刑二年,并处罚金。
该案留给我们的思考
很多人都与网络和银行卡打过交道,但大部分人对利用网络实施的盗窃犯罪却知之甚少,认为这种新型犯罪离自己的生活还很遥远。以上这个例子充分说明了网络犯罪的普遍性以及广泛的流动性。犯罪分子利用人们对于网络犯罪疏于防范,屡屡得手。国家应当大力宣传对网络犯罪危害性极其传播方式的预防以及应对措施,使每一个人都从自身做起,每一个人都明白网络犯罪的实质,尽可能的不上当或者是少上当,还给大家一个健康的网络环境。对于恶意在网络上窃取、诈骗等犯罪行为,国家应当采取一系列的措施予以惩治。
一、网络犯罪之危害及原因
在现代化网络信息时代,网上运行已经逐步代替了许多人为工作,但是与再精密的设备也有疏漏,在精细的人也会犯错一样, 提供服务的运营商安全意识不高,管理制度和用人制度都不够严格。像上述例子就很明显的证明了网络并非十全十美,并不能让人们享受百分之百的安全, 网民的安全意识不高,至今为止已经有许许多多的人因为网络犯罪而蒙受了巨大的损失,是什么原因让网络犯罪这么如此猖獗呢?第一、非法利益驱使。唯利是图是这些犯罪分子的共同特点,而且网络罪犯往往不用怎么花费时间、金钱就可以坐享其成,盗取他人的帐户密码,来转移他人资金到自己帐户里。想想这样低成本,高效率的"工作"方法,就不难了解为什么会出现那么多网络罪犯了。
第二、网络信息时代的高速发展,越来越多的人正在接触网络,所以网络犯罪面临的是打击面是大范围的,预防起来相当困难,所以他的广泛性使千千万万的人蒙受了损失,让一个又一个的罪犯获取不法利益。
第三、控制网络犯罪的困难性,网上违法犯罪侦破困难。由于网络的时空跨度超过了传统的限制而且操作具有长距离、大范围、易修改、不留痕迹等特点,因此网上违法犯罪行为在侦察和取证时都有相当大的难度。违法犯罪者作案,有时只需坐在家里悄无声息的按一下键盘或点一下鼠标,瞬间就完成了,而侦破却要做大量耐心细致的分析核查和筛选工作。
第四、针对犯罪后的惩罚行为,目前对于网络犯罪的惩罚还不够严重,远远达不到对其他网络犯罪的震慑作用。所以才使得很多人敢于冒大不讳进行网络犯罪。
就目前情况来说,人们针对与网络犯罪的意识还比较淡薄,受害者没有明显的自我防护意识,而有的犯罪者有时却不知道自己的行为已经触犯了法律。所以解决网民大众的网络法律意识已经刻不容缓。这是解决犯罪的最佳途径。
二、打击网络犯罪的立法措施
(一)现在我国网络犯罪的立法现状,存在的不足
重庆利用木马盗窃网上银行钱财这个案件的犯罪者,同时在刑法的规定中也有一定的缺陷:罪过单调,犯罪人创作带有欺骗性质的网站以及在网站上非法使用病毒木马软件都归为一起,明显显出规定的不完整。刑种单一,难以发挥刑法惩戒功能,利用木马盗窃网上银行钱财的犯罪人如果是专业计算机从业者和非专业从业者的处罚在这里不能相同,利用专业知识犯罪应当从重处罚。
(二)如何改变这种现状
针对目前网络犯罪猖獗的现象,我们欣喜地看到现在很多地方的公安机关都已经在网站上公布举报电话及举报信箱,比如像赣州市公安局公共信息网络安全监察支队特公开网络违法犯罪举报电话及举报邮箱,很多网民也在从不同的途径了解到一些关于如何预防网络犯罪的方法,通过宣传使很多网友也认识到了网络犯罪的危害性。但是我们也要不断的吸取教训和经验,不断的探索和完善怎样利用法律途径解决类似网络犯罪,才能对抗随之而来的各种网络犯罪。
我们的最终目的不是解决类似重庆木马盗窃案件这样一个或几个犯罪案件,是要解决千千万万的网络犯罪,还给大家一个干净的网络空间,构建起美好而和谐的社会,杜绝一切危害人民群众切身利益的犯罪行为,解决上述情况的具体方法如下:
第一、网络运营商及服务商提高安全意识,严格管理制度,尽量减少犯罪分子可钻的空子。
第二、在网络信息交换中严格控制木马程序的使用,防止一切有害的程序对他人系统进行攻击,一经违反,立即删除。
第三、对广大网民进行积极的网络知识教育,让更多的人远离非法网站,非法程序的攻击。
第四、对于恶意窃取他人利益的行为予以坚决抵制,一旦发现,严惩不待。
第四,设立专门的网络管理人员,定期的检查网络中的危害,达到消灭垃圾于开始阶段
针对网络犯罪与计算机操作的直接关系,建议广泛地适用财产刑和资格刑。比如没收作案用计算机设备及与之有关的一切物品、设备;禁止犯罪分子从事与计算机系统有直接关系的职业等。
总之,信息时代的今天人们越来越离不开网络,信息是人们广阔的交流空间,在此郑重的呼吁人们从自身做起,抵制网络犯罪,为自己营造出一片干净的网络空间。
【参考文献】
[1]《刑法法条》第285、286、287条
[2]案例出自延边信息港生活部分。
木马程序范文2
关键词:木马;木马植入;木马自启动;木马隐藏;木马免杀
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-1pppp-0c
1 木马技术的发展情况
计算机网络中的木马(Trojan),是指隐藏在正常程序中的一段具有特殊功能的代码。木马程序一般分为客户端程序和服务端程序两部分,客户端程序用于远程控制计算机。而服务端程序,则隐藏到远程计算机中,接收并执行客户端程序发出的命令。
木马的功能很强大,它可以记录用户的按键记录,窃取用户的帐号;远程控制对方机器;获得被控端信息,窃取被控端的资源,复制,修改,删除对方文件,格式化硬盘,上传下载文件等。
同时,木马具有隐蔽性和欺骗行强的特点,并且难以根除,是目前攻击计算机信息系统的主要手段之一,对计算机信息系统的安全保密构成了极大的威胁。因此对基于木马的黑客攻击技术的研究已成为计算机信息安全领域的一个热点。
基于木马的攻击技术,主要有植入技术,自启动技术,隐藏技术,免杀技术等。
2 木马的植入
植入木马是进行攻击的首要条件,方法主要有下列几种:
(1)网站挂马。经常上网的朋友们都有体会,浏览网页的时候,不知不觉的就中了木马,有些网站,尤其一些中小型网站,被人植入木马,只要点击浏览了就中。
(2)网络发送超级连接。这种方式也很常见,比如QQ,MSN。
(3)通过电子邮件传播,一般是以附件的形式,
(4)利用系统的漏洞,以缓冲区溢出的方法最为常见。因为系统软件一般是用C语言编写,相比较而言,C语言注重灵活和执行效率,对于边界检查做的很不够, 这一点往往被黑客所利用。通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。
(5)和其它病毒形态,比如蠕虫病毒结合在一起,由于蠕虫病毒具有传播迅速的特点,这种结合方式,很有杀伤力。
3 木马的自启动
木马在植入系统之后,一般需要自动启动,那么往往就要利用系统中现有的文件自动启动的方式,
3.1 利用windows系统文件实现相关程序的自动启动
常用的有win.in,system.ini等。
win.ini是在系统启动的时候对系统的初始环境进行设置的文件。使用该文件进行启动的方法如下 (X.exe为要启动的文件名,以下同):
Win.ini:
[windows]
Load = X.exe
Run = X.exe
类似的System.ini:
[boot]
Shell=Explorer.exeX.exe
这里需要注意的是, system.ini 只能启动一种文件。
注:这两个文件在一些电脑公司的优化版里面已经不再出现。
3.2 利用autorun.inf文件
这个文件,常常出现在光盘中,用于光盘的自启动。现在也经常被木马所使用,并且把属性设置为隐藏。
比如:
[AUTORUN]
OPEN=X.exe
ICON=X.exe
很多用户没有关闭“自动播放功能”,这一点很容易被木马所利用。另外,由于 autorun.inf 可以存在于硬盘的每个分区下,给病毒的查杀带来很大难度,如果查杀不彻底,那么,即使格式化了C盘,点击其它盘,马上又中了,非常麻烦。
3.3 在开始菜单里面添加
C:\Documents and Settings\用户名\「开始菜单\程序\启动
C:\Documents and Settings\All Users\「开始菜单\程序\启动
这种方式重要用于启动一些应用软件,而且很容易的在开始菜单里面看到,所以,木马很少用到。
3.4 利用注册表实现相关程序的自动启动
其中利用注册表启动项隐蔽启动的地方主要有
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
4. 木马的隐藏
隐蔽性是木马最重要的特征,木马在植入系统后,很关键的一点就是躲避杀毒软件和用户的手工查杀。要想实现木马的隐藏,主要有下列途径:
4.1 文件隐藏
木马隐藏首先要实现文件的隐藏.
很多木马会嵌入到宿主文件中,采用此隐蔽手段的木马通常有以下两种形式:插入到某程序中、与某程序捆绑到一起。一运行这个程序就会启动木马 ,另外,可以利用Winrar,Winzip等压缩文件制作成自解压的执行程序。
更多的情况是以独立的文件方式存在。 一般会把文件属性设置为隐藏,有的还设置为只读,很多木马文件会放到C;/windows , C:/windows/system32文件夹下面,还有 C:\Documents and Settings\用户名\Local Settings\Temp下,很多木马还伪装成系统文件,修改生成日期等。
4.2 进程隐藏
最简单的进程隐藏方式就是把木马进程改为非常类似于系统进程的名字,现在很多木马都采用DLL技术,以线程方式存在,在任务管理器里面看到的进程都是正常,木马调用的就是是系统中正常的进程, 比如,Rundll32.exe, Explorer.exe等。这种方式,由于是插入到正常进程中运行,从而也实现了端口隐藏的目的。
其它的隐藏方式还有:修改进程管理程序,隐藏进程信息等。
4.3 通信隐藏
木马常用隐藏通信的方法有下列几种:
第一,端口隐藏。线程木马或者采用端口复用技术。
第二,方向连接技术,反弹端口型木马,突破防火墙。
第三,隐蔽通道技术,采用TCP/IP协议中一些很少用到的域或者一些特殊的协议,比如ICMP。
5 木马的免杀
现在杀毒软件发展很快,木马往往肆虐一段后,就被杀毒软件查杀了。所以,制作免杀的木马就非常重要。由于免杀木马的制作对技术上要求比较高,我们主要介绍下它的原理。
文件免杀的主要手段如下:
(1)加壳免杀
大家应该都会,由于常见的壳,比如UPX很难逃过杀毒软件的法眼,建议选择一些生僻壳、或者加多重壳。
(2)修改文件特征代码免杀
此方法的通用性比较差,因为不同杀毒软件对于同一病毒的特征码定义往往不同, 难点在于定位特征码,常用方法有直接修改法和跳转修改法。
(3)加花指令免杀
此方法通用性强,而且效果好。主要有两种:加区加花和去头加花。
比如修改入口地址,在原来的入口地址添加一些无用的花指令,这样,修改了入口地址,可以骗过一些杀毒软件。比如,在原来的入口地址,添加NOP指令,这些空操作不会影响程序的执行,然后,再用JMP指令跳转到真正的入口即可。
此方法特点就是通用性强,而且效果好。一般一个木马程序加入花指令之后,就可以躲过大部分杀毒软件,不象改特征码,由于不同软件厂商对特征码定义不同,改特征码可能只能躲过一种杀毒软件,缺点就是不能躲过内存查杀,比如rising.
此外还有修改内存特征代码的方法。
6 结束语
网络技术日新月异,病毒的泛滥给我们网络安全人员带来了很大的挑战,所谓”知己知彼,百战不殆”认真学习黑客的攻击技术,尤其是基于木马的攻击技术,对于保障网络信息安全,有着十分重要的意义。
参考文献:
[1]Whitman,Mattord.Principles of Information security(齐立博)[M].北京:清华大学出版社,2006.
木马程序范文3
关键词: 木马;传播;防范
社会不断向前推进发展,信息时代已经悄然来到每个人的身边。在这场信息化的变革中,最为深入社会生产生活过程的当属各类信息技术。以信息传播作为最终目标的网络技术,以及计算机技术首先得到应用和推广,而随着此类应用的不断深入,病毒侵袭也随之而来。木马作为计算机入侵技术中一个重要的种类,在目前网络与经济越来越紧密结合的环境下,更是得到了全所未有的重视。
1 木马病毒的概念与特征
特洛伊木马(Trojan Horse),在目前简称木马,其名称起源于《荷马史诗》中记载的特洛伊战争,将兵力隐藏在一个假象之下诱骗对手接受,从而形成自对手内部向外的攻击力。在计算机领域,木马指隐藏在系统里的一段具有特殊功能的恶意代码,并且通常具有一定的伪装特征,从用户角度看,通常都显示为正常应用或系统程序。从性质上看,木马具有隐藏性、反检测、反清除以及与控制端通信等特性。
从木马工作机制角度看,可以将整个程序大体划分为两个部分,即控制端程序与被控制端程序。木马程序由控制端进行生成并且伪装成为正常程序,在被控制端进行下载安装之后,由控制端通过木马程序与被控制端连接并且针对对方加以控制,通过相应的诸如键盘记录命令、文件操作命令以及敏感信息获取命令等,来获取被控制端的相应信息。
从木马运行的层面看,可以讲木马划分为应用级木马和内核级木马,应用级木马通常工作在操作系统层面,典型的应用级木马包括Bingle、网络神偷、ZXshell、灰鸽子等;而内核级木马则运行在操作系统内核中,常采用驱动程序技术实现内核级木马的加载工作,典型的内核级木马有诸如Hacker'door、HE4HOOK、FU Rootkit等。
木马程序产生于20世纪80年代,当时的计算机使用者多为技术人员,使用的系统则多为UNIX,因此当时的木马以内核级木马为主。随着科技的发展和应用,WIBNDOWS系统和TCP/IP网络逐步成熟并获取到更大市场,因此木马也呈现出向应用级过渡的特征,主要寄居在端口通信的客C/S程序中。但是随着反病毒各种技术的逐步成熟,木马病毒也呈现出越来越隐蔽的特征,典型的C/S结构明显已经不能满足入侵要求,现在的入侵过程中,客户端通常不再与服务端直接通信,而是借由控制服务端进行数据的发送和接受。而就目前的情况而言,木马发送端为了确保自身的安全并且实现反跟踪和更为隐蔽的攻击,和服务端也有可能不直接进行通行,而是由将把控制命令按照约定的格式写入到指定的公共服务器上,并且由服务端自动将该服务器上的命令进行读取执行,同样服务端也会按约定把窃取的数据自动上传到指定的某个公共服务器上,定期查询该服务器上的数据并接收,最终实现攻击。
从木马程序的植入方式看,依据不同的标准可以划分为不同的种类,通常分为被动植入和主动植入两种。相对而言,前者应用更为广泛,其核心思想在于利用各种可能的手法诱骗用户自发运动包含有木马程序的文件,从而实现木马植入。对于这一类的植入方式而言,主要的手法有两个方面,其一是利用漏洞植入,包括操作系统漏洞以及各类应用软件漏洞在内都可以加以利用,当用户操作相关软件的时候,就可能会触发相应木马进行活动。其二则是文件捆绑,即以正常文件作为载体,于其中嵌入木马程序,相对于漏洞式植入,此类植入方式更多注重伪装。此两中植入方式行动目标不明确,并且其成功可能完全取决于用户的操作,缺乏主动性因此被归入被动型。
相对于被动型木马植入方式而言,主动型植入方式更有针对性,通常锁定相应的用户并且进行攻击完成木马程序的植入。此类植入方式通常更多具备攻击特征,通常的手法有三种,其一同样是利用漏洞进行植入,但是相对手法更为主动,多是结合端口入侵技术,借助针对性的系统或第三方软件漏洞来实现直接侵入目标系统,获得Shell权限从而实现植入。其二是借由病毒,尤其是蠕虫病毒进行扩散,此外,移动存储设备也是这一类主要的传播途径。其三是借由其他渠道推送,包括软件补丁、各种即时通信软件等渠道。
2 木马病毒的防范分析
木马病毒的危害基本已经在社会范围内得到普遍认可,其以盗取个人相关信息,间接危害各类账号以及相关资产安全的行为特性令人深恶痛绝。在实际工作过程中,对于木马的防范也已经提上日程,以目前计算机的使用状况看,非专业程序人员使用相对较多,因此在对木马提出相应防范措施的时候,也应当对人群特征酌情考虑。
现在对木马主要的拦截手段包括如下几种:
2.1 完善管理软件
各类漏洞是木马入侵的一大途径,同时漏洞也会在一定程度上增加计算机系统招致病毒的可能性,而病毒也是木马植入的途径之一。基于这种情况考虑,尽最大可能保持系统的健康,是有效防范木马的重要手段。具体做法应当是完整安装防火墙、选择合适的病毒查杀软件以及专用木马查杀软件,并且及时更新各类软件版本,确保相应补丁能够及时补齐。实际工作中,无论何种工作环境,对于补丁和相关系统的维护工作基本都是一致的,但是不同的工作环境可能会在病毒查杀软件方面的要求有所不同,需要根据各个系统的具体情况,选择系统能够负担的软件进行安装并且及时更新。
2.2 隐藏IP并且关闭不必要的端口
隐藏IP对于在一定程度上阻击入侵大有裨益,并且还能够有效提升网络访问的范围和速度。具体可以使用MultiProxy等相关软件对IP地址进行隐藏设置。此外,目前端口扫描作为常见的黑客攻击方式而言相对有效,因此必须引起重视,封闭日常用不到的端口,是阻击黑客侵袭的有效方式。具体而言吗,可以通过删除不需要的协议以及实施TCP/IP筛选予以实现。相应地,平常用不到的系统服务也可以实施关闭,同样是防范木马的有效措施,具体可以通过控制面板管理工具服务中,双击相应选项进行设置。
2.3 定期检查系统启动项
很多木马程序都藏身于电脑启动项中,随着开机或者相应软件的开启而开启,对于系统整体都有一定的危害。针对于这种情况,可以展开定期对于启动项的检查,在这个过程中需要重点关注两个文件夹,其一是当前用户启动文件夹,具置在\Documentsand Settings\user name\“开始”菜单\程序\启动,另一个则是公共启动文件夹,具置为\Documents and Settings\All Users\“开始”菜单\程序\启动。
3 结论
除了上述对于木马的防范手段以外,管理和学习也是将木马拒之门外的有效手段,只有积极跟上技术步伐,才能比木马攻击技高一筹,实现有效阻击。
参考文献:
木马程序范文4
关键词:木马;隐藏技术;网络安全
中图分类号:TP309.5 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02
目前,木马已经成为常见的网络攻击技术之一,对网络安全造成了严重的威胁。它具有攻击范围广、隐蔽性强等特点。本文主要针对木马的隐藏技术展开研究。
一、木马定义和特征
木马是指潜伏在电脑中,受到外部用户控制以达到窃取本机信息或控制权为目的的程序。其全称为特洛伊木马,英文叫做“Trojan horse”。它是指利用一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:分别为客户端和服务端,即控制端和被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。一旦运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,黑客就可以利用这些打开的端口进入电脑系统,用户的个人隐私就全无保障了。木马的设计者采用多种手段隐藏木马以防止木马被发现。随着病毒编写技术的发展,木马程序采用越来越狡猾的手段来隐蔽自己,使普通用户很难发觉。
二、木马的功能
木马的主要功能有:
(一)窃取数据:仅仅以窃取数据为目的,本身不破坏损伤计算机的文件和数值,也不妨碍系统的正常办公。有很多木马有键盘记录功能,会记录服务端每次敲击键盘的动作,所以一旦有木马入侵,数据将很容易被窃取。
(二)篡改文件:对系统的文件有选择地进行篡改,对服务端上的文件有筛选的施行删除,修改,运行等一些系列相关操作。
(三)使系统自毁。利用的方法有很多:比如改变报时的钟频率、使芯片热解体而毁坏、使系统风瘫等。
三、木马的隐藏技术
(一)文件隐藏
木马程序植入目标系统后,就会改变其文件表现形式加以隐蔽,从而欺骗用户。隐藏保护木马文件的方式主要有以下几种:
1.捆绑隐藏
采用此隐蔽手段的木马主要有两种方式:插入到某程序中或者与某程序捆绑到一起,一旦程序运行木马也就会被启动,例如使用压缩的木马程序伪装成jpeg等格式的图片文件,木马程序就有了随时运行的可能。或者与常用程序捆绑到一起,一旦木马被点击就会加载运行,使用户难以防范,例如提供给用户捆绑了木马程序的解压软件,一旦用户运行该软件此程序便被释放并立即运行。
2.伪装隐藏
首先利用自身多变性的外部特征伪装成单独的文件,选定好文件名,然后修改文件系统的相关程序,最后设置文件属性为隐藏或者只读。这样,木马就伪装成了正常的文件或者非可执行文件。
3.替换隐藏
木马将自身的DLL替换为目标文件的同名DLL文件,备份原先的正常系统文件。经过这样的替换后,一般情况下,正常的系统文件,只有当具有木马的控制端向被控制端发出指令后,隐藏的程序才开始运行。
(二)进程隐藏
进程是程序运行在操作系统中的表现行为。主要有以下三种方法:
1.注册为系统服务
在WIN9X系列的操作系统中,在系统进程列表中看不到任何系统服务进程,因此只需要将指定进程注册为系统服务就可以在系统进程列表中隐形此进程。
2.使用HOOK技术
我们可以利用Windows系统提供的挂钩函数,使得被挂钩的进程在自己处理接收到的消息之前,先处理我们的消息处理函数。一般地,这个消息处理函数放在DLL中,让目标进程加载,这就达到了注入代码的目的。
所谓的HOOK技术是指通过特殊的编程手段截取Windows系统调用的API函数,并将其丢掉或者替换。例如在用户查看任务管理器时截取系统遍历进程列表的函数并进行替换,隐藏木马进程。
3.基于DLL的进程隐藏技术
DLL不会在进程列表中出现,是因为它不能独立运行,必须由进程加载并调用。一个以DLL形式的程序,通过某个已经存在进程进行加载,就可实现程序的进程隐藏。主要有以下两种方式:
在注册表中插入DLL。在Windows NT/2000/XP/2003中,有一个注册表键值HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs。当某个进程加载User32.dll时,这里面所有的DLL都将User32.dll利用LoadLibrary函数加载到该进程空间中。我们可以把自己的代码放在一个DLL中,并加入该键值,这样就可以注入到所有使用User32.dll的进程中了。
远程线程注入。在Windows系统中,每个进程都有自己专门的地址空间,一个进程不能创建本来属于另一个进程的内存指针。远程线程技术就是利用特殊的内核编程手段打破这种限制,访问另一个进程的地址空间,进而达到隐藏自身的目的。所谓远程线性插入DLL技术是指通过在另一个进程中创建远程线程的方法进入其内存空间,然后加载启动DLL程序。
文献[3]提出的基于DLL加载三级跳和线程守护的隐藏技术,增强了木马的隐蔽性与抗毁性。
(三)启动隐藏
木马的最大特点就是它一定要伴随系统的启动而启动,否则就失去了意义。木马启动的方式有以下几种:
1.注册表启动项:
木马程序范文5
关键词:木马;VB;注册表;应用程序
“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。许多计算机用户特别是新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”之后应该如何清除。关键是得知道“木马”的工作原理,在了解其原理之后,查杀木马也就变得简单易行了。
1 木马分类
(1)远程控制木马。
远程控制木马是数量最多,危害最大,同时知名度也最高的一种木马,它可以让攻击者完全控制被感染的计算机,攻击者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作。
(2)密码发送木马。
密码发送型的木马是专门为了盗取被感染计算机上的密码而编写的,木马一旦被执行,就会自动搜索内存,Cache,临时文件夹以及各种敏感密码文件,一旦搜索到有用的密码,木马就会利用免费的电子邮件服务将密码发送到指定的邮箱。
(3)键盘记录木马。
这种特洛伊木马就是记录受害者的键盘敲击并且在LOG文件里查找密码,随着Windows的启动而启动。
(4)DoS攻击木马。
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。
(5)FTP木马。
这种木马可能是最简单的木马了,其历史悠久,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人用户计算机。
(6)反弹端口型木马。
反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口。
2 木马的工作原理
(1)木马的隐藏。
下面是一个用vb编辑的木马程序,用于隐藏木马。
程序的具体编制操作如下:
①新建一个工程名命名为Hidden, 在工程hidden中添加模块Modulel,应用程序标题也改为Hidden。
在模块Module1中加入如下声明:
Public Declare Function GetCurrentProcessId Lib “kernel32” () As Long
'获得当前进程ID函数的声明。
Public Declare Function RegisterServiceProcess Lib “kernel32” (ByVal ProcessId As Long, ByVal ServiceFlags As Long) As Long
'在系统中注册当前进程ID函数的声明。
②在Project1中新建一个窗体Form1,设置Form1的属性:
form1.Visible=False
form1.ShowInTaskBar=False
在代码窗口添加如下代码:
Private Declare Function GetDriveType Lib “kernel32” Alias “GetDriveTypeA” (ByVal nDrive As String) As Long
'获得当前驱动器类型函数的声明。
Private Declare Function GetVolumeInformation Lib “kernel32” Alias “GetVolumeInformationA” (ByVal lpRootPathName As String, ByVal lpVolumeNameBuffer As String, ByVal nVolumeNameSize As Long, lpVolumeSerialNumber As Long, lpMaximumComponentLength As Long, lpFileSystemFlags As Long, ByVal lpFileSystemNameBuffer As String, ByVal nFileSystemNameSize As Long) As Long
'获得当前驱动器信息函数的声明:
Private Sub Form_Load()
Dim drive_no As Long, drive_flag As Long
Dim drive_chr As String, drive_disk As String
Dim serial_no As Long, kkk As Long
Dim stemp3 As String, dflag As Boolean
Dim strlabel As String, strtype As String,strc As Long
RegisterServiceProcess GetCurrentProcessId, 1 ' 从系统中取消当前进程:
strlabel = String(255, Chr(0))
strtype = String(255, Chr(0))
stemp3 = “用户c盘序列号” '用户C盘的序列号(十进制),读者可根据自己情况给出。
dflag = False
For drive_no = 0 To 25
drive_disk = Chr(drive_no + 67)
drive_chr = drive_disk & “:/”
drive_flag = GetDriveType(drive_chr)
If drive_flag = 3 Then
kkk = GetVolumeInformation(drive_chr, strlabel, Len(strlabel), serial_no, 0, 0, strtype,Len(strtype)) '通过GetVolumeInformation获得磁盘序列号:
Select Case drive_no
Case 0
strc = serial_no
End Select
If serial_no = stemp3 Then
dflag = True
Exit For
End If
End If
Next drive_no
If drive_no = 26 And dflag = False Then '非法用户
GoTo err:
End If
MsgBox (“HI,合法用户!”)
Exit Sub
err:
MsgBox (“错误!你的C:盘ID号是” & strc)
End Sub
Private Sub Form_Unload(Cancel As Integer)
RegisterServiceProcess GetCurrentProcessId, 0 '从系统中取消当前程序的进程:
End Sub
(2)木马的启动。
“木马”的启动方式有很多种,这里我们介绍几种主要的:
①在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下 “=”后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:/windows/file.exeload=c:/windows/file.exe
②在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”。
③在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE/ Software/ Microsoft/ Windows/ CurrentVersion/ Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE。
参考文献
木马程序范文6
请出超级巡警,让RootKit木马现原形
超级巡警是一款功能强悍的安全工具,可以轻松让狡猾的RootKit木马现出原形。例如,当某款RootKit木马侵入本机后,其运行文件、非法开启的端口、创建的服务均处于隐藏状态,使用杀软等常规工具无法发现其踪迹。不过,在超级巡警面前,其狐狸尾巴就露出来了。运行超级巡警工具箱,在其主界面(如图1)的“进程管理”面板中显示当前所有的进程信息,其中以红色显示的就是处于隐身状态的可疑进程,可以看到某RootKit木马进程赫然在列,该进程在任务管理器中是不会显示的。在该进程的右键菜单上点击“中止当前进程”项,就可以将其强制关闭。
不过为了更好地拦截该木马,最好在其右键菜单上点击“禁止进程创建”项,这样只要超级巡警为您“站岗”,该RootKit病毒就无法继续猖狂。在“服务管理”面板中显示所有服务项目,其中以黄色显示的服务为可疑服务,从中找出和RootKit木马关联的服务项目,在其上点击右键,在弹出菜单点击“删除服务”、“删除服务和映像文件”等项目,将其停止并删除。
按照同样方法,在“网络管理”、“内核管理”、“扩展功能”等面板中,可以将被RootKit病毒隐藏的端口、文件、注册表以及被挂钩的函数全部显示出来,您可以根据情况进行关停删除等操作。当然,如果您想简单快捷地清除RootKit木马,可以运行卡巴斯基提供的TDSSkiller这款专门对付RootKit的工具,在其主界面(如图2)中点击“Start scan”按钮,可以检测并清除RootKit木马进程、服务、文件等内容,让其无法危害您的系统。
亮出照妖镜,彻底曝光RootKit木马
超级巡警是一款国产安全工具,操作起来很容易。实际上,还有很多国外的安全软件,也可以轻松应对RootKit木马,例如XueTr、IceSword、GMER、Sophos Anti-Rootkit、Rootkit Detective、RootkitBuste等等,这里限于篇幅无法逐一介绍。例如,Sophos Anti-Rootkit就是其中的佼佼者,该工具功能强悍,使用起来简单方便。这里就介绍如何利用该工具,发现并驱逐RootKit木马。
Sophos Anti-Rootkit可以对隐藏在系统进程、注册表、硬盘中的RootKit程序进行全面扫描,在其主窗口(如图3)点击“Start scan”按钮,即可对RootKit程序的上述藏身处进行彻底检测,在弹出的窗口中显示扫描的进度,在其中的文件列表中显示检测到的RootKit程序,在“Description”列中显示RootKit程序的名称,在“Location”列中显示对应的文件路径。从列表选中某个RootKit程序,在属性栏中可以列出其详细信息。
在其中的第四行(即文件标志栏)中如果显示为“Removable:No”,表示该RootKit程序不可以随意清除,如果显示为“Removable:Yes(clean up recommanded)”,表示可以清除该RootKit程序,如果显示为“Removable:Yes(but clean up not recommanded for this file)”,表示虽然可以清除该RootKit程序,但是Sophos Anti-Rootkit不建议用户这样做。之所以有些RootKit不能随意清除,是因为Sophos Anti-Rootkit考虑到这可能影响到系统的稳定性。当扫描完成后,所有可以清除的RootKit程序自动处于选定状态,当然,如果有把握的话,您也可以选中所有的RootKit程序,之后点击“Cleanup checked items”按钮,在弹出的对话框中点击“Yes”按钮,Sophos Anti-Rootkit即可清除所有选定的RootKit程序,之后重启系统,潜伏系统中的RootKit后门程序就会彻底消失了。
巧借系统权限,清除RootKit木马