木马后门(精选十篇)
木马后门 篇1
木马全称为特洛伊木马(Trojan Horses),原指木马屠城记中装载希腊军队用来攻破特洛伊城的大木马,古希腊人利用这只木马,麻痹敌人,赢得了战役的胜利[1]。而在如今的网络世界里,木马被指代一种带有伪装面具的恶意程序,其悄悄潜入用户的系统,进行不可告人的行动。
1 木马的定义、功能结构和工作机制
1.1 木马的定义
为了让木马区别于蠕虫、病毒等其他类型的恶意代码,定义木马为伪装成合法程序以欺骗用户执行,进而建立后门,达到攻击者远程控制目的的一类恶意程序。在这里,强调了木马的伪装性、被动执行性以及要建立后门、并进行远程控制的特点,常把满足这四个条件的恶意程序称为木马。
从这个定义出发,可以区分木马与病毒,因为病毒常不具备远程控制的功能;也可以区分木马和蠕虫,因为蠕虫不需要伪装成合法程序,而且蠕虫执行无需用户干预,主动执行。
也有研究者在定义上将木马与后门区分开,文献[2]认为木马只是用来诱骗用户执行的部分,而后门是其维持远程控制权的工具。但本文认为如果木马没有远程功能,其与病毒并没有本质区别,因此上述木马属性缺一不可。
1.2 木马的功能结构
常规的木马都是C/S结构,包含服务端和客户端两部分。服务端是传递到目标计算机的部分,骗取用户执行后,便在目标机器上释放后门,作为响应程序,其接受攻击者指令,完成记录键盘记录、文件窃取、界面截取等恶意操作。客户端是安装在控制主机的部分,用来连接远程服务端,进而发送指令实现远程控制,实现攻击者意图。
1.3 木马的工作机制
使用木马入侵目标系统的具体过程为:木马首先通过网络或者存储介质传播到用户处,因其具有伪装、欺骗性,常被经验不足或防范意识较差的用户执行后,释放出其携带的后门,以实现对目标主机的远程控制,在必要时还可释放出其携带的Exploit(漏洞利用程序)以提升用户权限。
2 研究对象
最新的木马研究已从单独的软件方式扩展到基于集成电路的硬件木马[3]研究,但比起软件木马的全面发展,硬件木马尚处于理论研究阶段,本文将主要阐述软件木马的研究进展情况。以下提及的木马均为软件木马。
当前对木马的研究主要集中在木马植入方式、后门隐藏技术、木马检测与防护三个方面,下文将分别介绍各项研究进展。
3 木马植入技术
要想实现木马入侵,植入是最基础的步骤。植入在这里指攻击者通过多种媒介传递木马服务端到目标主机,诱骗用户执行木马主程序,并释后门的过程。在木马的发展史中,植入方式也发生了很大的变化。
(1)首先出现的是借助物理介质人工传播的木马。如出现在1986年的世界上第一个计算机木马PC-Write[4],其采用的植入方式是将木马伪装成共享软件,然后通过软盘和光盘进行传播,这种将木马主程序改头换面为共享软件或者盗版软件的方法到现在还在使用,其传播方式已扩展到U盘、网络等。
(2)接着出现的是基于计算机网络的文件传递方式,如最普遍的Email方式[5],攻击者将木马客户端伪装成用户熟悉的应用程序或者其他诱惑性文件后以附件的形式发送给目标主机,目标主机如果点击接收到的附件文件,将感染此木马,并被植入后门。这种传送方式也被扩展到通信软件、聊天室等文件交互场所。
(3)目前最流行也是传播范围最广的植入方式是网页挂马技术[6]。其常通过诱惑性的提示,如中奖、色情信息等诱使用户点击这些链接,这些恶意链接中,常能促发一些交互性的脚本,如JavaScript、CSS等,这些脚本会利用浏览器的漏洞下载木马本体,完成植入。特别是一些涉及浏览器的Oday漏洞,这些漏洞在相关厂商没有给出安全补丁之前,常能造成大面积的用户主机中毒现象。如果借助博客、BBS以及社交网络,这种危害将进一步的扩展。
(4)其它方式。木马植入方式随着人们防范意识的提高也产生了很多新颖的反制措施。如借助于“摆渡”技术,即使目标主机没有连接互联网,也能实现木马客户端的种植。
4 木马隐藏技术
木马植入是木马入侵的第一步,它完成了攻击者对目标系统的远程控制权,但是如何维持对目标系统的远程控制权,则需要对植入的后门进行伪装或者隐藏。由于木马客户端与服务端的通信技术与正常网络程序的通信方式并没有很大区别,所以木马的发展更多倾向于木马隐藏技术的发展。很多木马研究者对木马的分类都基于不同的木马隐藏技术。对木马隐藏技术的分类常有按照隐藏对象分类[7]:启动隐藏、后门文件隐藏、进程隐藏、端口隐藏、通信隐藏。也有按照技术类别来划分[8],如端口反弹隐藏、DLL线程插入隐藏、Rootkit隐藏等。本文为了进一步清晰地解释木马隐藏技术的发展过程,从隐藏级别入手对木马的隐藏技术进行了细化分析。
4.1 Ring3级的隐藏
Ring3级是指木马的隐藏都在用户层实现。尽管这种级别的隐藏无法做到Ring0级的深度,但从技术角度考虑,这些隐藏技术的设计和实现思路都值得借鉴。
(1)对启动的隐藏。早期木马后门普遍在系统中将自己注册为“服务程序”的后台网络应用程序,而且大部分不存在自我保护模式,这时候木马启动项通常只是写在注册表启动项中的Run下或者RunService下[1],后又出现了将启动内容写入System.ini或者windows.ini等系统配置文件的方式,也有利用系统路径遍历优先级的欺骗方式来隐蔽启动等[9],利用注册表配置来加载自身DLL启动等[5]。
(2)后门隐藏。对后门程序主体的隐藏在早期多以伪装形式出现,简单的方式包括放入深层系统目录、修改程序图标为常规文件图标、添加系统隐藏属性[5]。比较高级的方式有对硬盘进行低级操作,将一些扇区标注为坏区,并将后门放入这些位置等。
(3)进程隐藏。早期简单的进程隐藏常利用用户的错觉,使木马的进程名称与系统某常用合法进程十分相似。如有的木马利用数字1与字母L的相似性,定义进程名称为Exp1orer.exe,与资源管理器的进程Explorer.exe十分相似[5]。后期出现了“远程线程注射”技术[8],此方法将后门DLL注入到系统现有任意一个进程的内存空间中维持运行,从而避免被进程查看工具发现。国内第一款“无进程”木马“广外女生”正是采用了此项技术。
(4)端口隐藏。早期木马在植入后都会在主机1024以上的高端口上驻留[5],但后期出现的端口复用技术[10],不打开新的通信端口,而是采用常用的端口来实现通信。如80端口,此时在收到正常的HTTP请求时仍把数据包交与Web服务器处理,只有在收到一些特殊约定的数据包后,才会交与木马处理。还有一种称为反弹端口的木马[8],采取了服务器主动连接客户端的方式,此种方法也避免了目标主机开放端口,有效避开了防火墙的监控。
(5)通信隐藏。要想不被防火墙捕捉到通信信息,除了端口隐藏外,还需要对通信信道进行隐藏。在TCP/IP协议中,有很多设计不严密的地方可以用来秘密地隐藏信息[5],特别是在协议的头格式定义中,有很多潜在的危险性来建立隐蔽通道。如,利用Option域和传输数据时通常很少用到的域;利用传输数据时必须强制填充的域;利用一些特殊的协议,如不需要建立端口的ICMP协议[11]。这些技术不仅能实现隐蔽通道,还能穿越防火墙,有效提高了木马两端间通信的成功率。
4.2 Ring0级的隐藏
随着安全技术的发展和计算机用户群的技术提高,一般的木马后门越来越难以生存,于是一部分有能力的后门作者开始将眼光投向了系统底层———Ring0。以windows为例,位于Ring0层的是系统核心模块和各种驱动程序模块,所有位于这一层的木马也是以驱动的形式存下的,而不是一般的exe。这种木马也被称之为Rootkit木马。下面讨论此级别下的具体木马隐藏技术。
(1)启动隐藏。以Windows环境为例,后门被写成符合WDM(windows driver model)规范的驱动程序模块,把自身添加进注册表的驱动程序加载入口,便实现了“无启动项”运行[12]。也有的Rootkit木马被分为了Ring3层执行程序和Ring0驱动两种[8],它的驱动能够做到在用户每次启动进入桌面所有启动项还没有加载时将Ring3层可执行程序的路径写入启动项,但当桌面加载完、所有启动项执行完毕后,驱动又删除了自己写入的启动项,从而有效对用户实现了启动隐藏。
(2)进程隐藏。一般的系统进程查看工具都是通过系统API函数来获取当前进程列表,这个进程列表是靠一个进程活动链表来实现。如果将木马进程对象从进程双向链表中移除,那么依靠进程枚举API函数就无法获取此进程,从而实现进程隐藏[13]。这种方法在Windows下和Linux下都有实现。
(3)端口隐藏。同进程隐藏类似,深入内核的Rootkit木马会拦截和过滤端口枚举API,在Windows下为Zw DeviceIoControlFile,然后对建立了链接的TCP端口实现过滤。如果发现匹配端口,则调整输出缓冲区,覆盖掉响应区域[14]。
(4)文件和通信隐藏。在linux下,某些Rootkit木马替换了ps、ls、who和netstat等程序管理程序,实现了木马程序文件和网络连接的隐藏[15]。
5 木马的检测防护
研究者对木马的检测也提出了一些方法,下面对这些方法进行分析介绍。
(1)基于网络通信内容[16]。此方法是最常用的木马检测方法之一,通过提取数据包的重要信息,选取合适的模型匹配算法,与长期积累的木马通信特征码表进行比较。但此方法存在效率低下,实时性不强的特点。
(2)基于动态系统行为监测[17,18]。此方法弥补了基于静态特征进行木马检测的缺点,通过木马植入、隐蔽和恶意操作所需资源的控制和动态可疑行为来构成识别策略,利用机器学习方法进行木马识别和检测,具有比静态特征识别更高的识别率。
(3)基于概率算法的木马检测[19]。如采用贝叶斯算法等,此方法定义多种木马存在带来的行为和环境特点为属性,然后从概率论的角度判断当前系统环境和真实木马环境的相似度,进而判断系统是否存在木马。其特点在于能够检测已知木马的多态变形体以及新出现的木马。
(4)基于攻击树算法[20]。此方法提出了一种通过静态分析PE文件来发现木马的方法,设计了攻击树模型,以此来对木马攻击中常见的危险系统调用序列进行建模,将分析PE文件得到的API调用集合与建模得到的做匹配,来预测程序中可能存在的攻击行为,从而有效区分木马和正常文件。
(5)利用数据结构不变量检测Rootkit木马[21]。由于Rootkit木马运行后常会带来相关系统API函数数据结构的变化,因此这种方法可用来检测此环境下的Rootkit木马。
(6)云安全检测。利用云计算环境来进行安全检测是近期提出的一种新颖的木马检测方式,此检测方式将被检测主机上的文件与存放大量特征码的云端检测系统进行匹配,这种分布式的检测方式大大提高了检测的效率和准确率。
6 结束语
随着互联网的高速发展,木马带来的危害也在逐渐扩大。从最初的软盘型木马到如今深入内核无声无息的Rootkit木马,木马已成为互联网安全最大的安全威胁之一。随着安全技术的提高,木马技术也必须改进技术来维持其生存,其发展趋势为:(1)与蠕虫相结合,改进其传播能力;(2)深入内核,结合Rootkit技术,提高生存能力;(3)改进通信方式,向僵尸网络方向发展。为了防范木马带来的危害,也必须有效提高针对木马的检测技术,特别是针对内核级的Rootkit木马。
摘要:木马是一种具有悠久传统且不断更新的网络攻击方式,随着网络技术的发展,木马出现了很多新的攻击和生存模式,对互联网安全造成了很大的危害。本文介绍了木马的基本定义,分析了其工作机制和功能结构,着重讨论了其植入、隐藏和检测方式,指明了其发展趋势。
教你做服务级的木马后门 篇2
前置原理
Windows NT/2000/XP提供的服务既可以指一种特定的Win32进程,也可以指内核模式的设备驱动程序。操作系统的一个称为“服务控制管理器SCM”的组件被用来装载和控制这两种类型的服务。当然,我们说的服务,是指的前者,即我们可以利用的服务是一个在Windows NT/2000/XP下执行的程序。当我们打开“控制面板管理工具服务”,就可以看到右边有一堆的服务。每一行指定了一个特定服务的属性,包括名称、描述、状态、启动类型、登录方式等。
“服务”本身是Windows NT/2000/XP下客户/服务器软件的合理选择,因为它提供了像Unix下后台程序Daemons(守护进程)的等价物,而且使得创建能够代表权限低的用户进行权限高的操作的程序成为可能。像我们熟知的RPC服务,病毒扫描程序以及备份程序都是很适合作为服务进程。
服务能被我们利用作为后门实现自启动,是因为它有三个很重要的特性:
1. 服务可以被指定为自启动,在利用传统的注册表修改RUN键值,添加ini自启动项等方法的基础上又多了一种选择。
2. 服务可以在任何用户登录前开始运行,我们可以在服务启动时加入杀防火墙的代码。
3. 服务是运行在后台的,如果不注意,天知道什么时候被人家装了后门,
服务大都是由服务控制程序在注册表中维护的一个信息数据库来管理的,每个服务在HKEY_LOCAL_MACHINESystemCurrentControlSetServices中都可以找到相应的一个关键项。服务区别于一般Windows NT/2000/XP程序的主要之处在于服务与服务控制管理程序的合作,在后面的编程中我们将会体会到这一点。
编程实现
一个完整的服务分为安装服务程序,主体服务程序和卸载服务程序。我们先来写服务的主体部分,示例代码如下:
Code:void main{SERVICE_TABLE_ENTRY ServiceTable[] = {{“scuhkr”, BDServiceMain},{NULL, NULL} //“哨兵”};//连接到服务控制管理器StartServiceCtrlDispatcher(ServiceTable);}
上面代码中,我们先给出了一个SERVICE_TABLE_ENTRY结构数组,每个成员描述了调用进程提供的服务,这里我们只安装了一个服务名为Scuhkr的服务,后面的BDServiceMain()我们称之为服务主函数,通过回调该函数提供了服务入口地址,它原形的参数必须定义成如下形式:
VOID WINAPI BDServiceMain(DWORD dwArgc, //lpszArgv参数个数LPTSTR* lpszArgv //该数组第一个的参数指定了服务名,可以在后面被 StartService()来调用);
木马清理王:远离木马的强力保障 篇3
木马清理王是一款国产的专业木马查杀软件,它拥有海量的病毒库,可以查杀数万种木马病毒;还拥有lE防漏、漏洞检查、系统防火墙、网络防火墙等功能,让我们时时刻刻远离木马病毒的困扰。目前,木马清理王已更新到50版本,大小为9 93M,下载地址是http://down.jujumao.com/downinfo/23035.html。该软件为共享软件,您可以试用或者购买注册。
一、软件的安装与界面
木马清理王的安装很简单,与我们所熟悉的安装方式完全无异,且没有捆绑任何第三方程序。安装完成后即可立即进行木马查杀。
安装完成后启动木马清理王,我们可以看到一个简洁而又美观的主界面。在主界面中,各个功能区域错落有致,主要的几个功能通过右上方分布的按钮可以方便地切换,包括“基本状态”、“查杀木马”、“系统保护”和“病毒库升级”四类;在默认显示的“基本状态”标签下,界面中间则是木马病毒检测、系统防御等功能的快速按钮和状态信息区域,在界面右侧则有软件信息、安全资讯等。从界面外观上,我们可以感受到木马清理王下了不少功夫,不仅仅是布局合理、有序,且在界面按钮等一些细节上也设计精细,如当鼠标移动到按钮上时,会有相应的鼠标响应效果。
在“面子问题”上,木马清理王带给我们不错的体验,接下来我们来看看核心功能方面。
二、木马查杀有力保障
木马查杀是木马清理王的核心功能之一,它可以查杀数万种国际、国内流行的木马和间谍软件,并且通过自动更新程序,保持病毒库的更新。如同杀毒软件一样,木马清理王的木马查杀功能可以自由选择扫描的对象,包括内存、系统敏感区、系统分区和指定文件夹等。
我们从网上下载了11个木马样本,保存在本地一个存着各种文件的目录下,使用木马清理王对该文件夹进行查杀。在查杀过程中,当发现危险情况会弹出对话框提示并询问处理方法,并可选择以后都依次方法操作。
测试结果令人满意,木马清理王的查杀的速度很快,成功查杀了11个木马中的10个,成功率达到了90%以上。当查杀完毕后,木马清理王并非直接将查杀到的文件清除,而是进行了安全隔离,我们可以进入“程序隔离区域”中,将查杀到的文件进行彻底的删除或者还原。
从我们的试用中,可以感受到木马清理王具备了较强的木马查杀能力,不仅查杀速度快且查杀成功率较高,为我们的电脑安全提供了有力保障。
三、实时监控多级防御
实时监控已是如今安全软件必备的功能,它能够通过实时的安全检测,阻止对系统有害的操作,木马清理王也具备了实时的保护功能,通过多方位的监控来保障系统安全。
进入“系统保护”功能区域,我们可以看到木马清理王提供了初级、高级和全面三个防御级别,每个级别对应不同的保护范围。用户只要根据自己的需要,点击相应的防御级别按钮,通过这种“傻瓜式”的操作,木马清理王即会自动为我们启动相应的保护功能。
在一般情况下。建议大家选择高级防御即可,它包括了注册表防火墙、IE防漏墙、USB防火墙和驱动防火墙四大功能,通过这些防护,可以在一定程度上抵御一般的木马侵害。当然,除了默认的三个防御级别外,我们也可以根据自己的需要和系统的配置负担手动选择开启哪些保护功能,自定义保护范围。设置的方法很简单,同样只要在界面上选择开启或停止即可。
在开启保护功能后,当系统出现相应的威胁时,木马清理王会自动拦截此操作并提醒用户是否允许更改。
四、附加功能全面保护
除了木马查杀和实时保护两项核心的功能外,木马清理王还提供了一些扩展的安全功能,为我们带来全面的安全保障。
在木马清理王的主界面中点击“漏洞修复”按钮,可以启动“升级天使”功能,检测系统当前存在的漏洞,并替代操作系统自带的Win—dows Updata,就Windows的漏洞自动下载补丁并进行安装修复。此外,木马清理王的“升级天使”功能中还提供了软件管理和装机必备软件推荐。在装机必备推荐中,升级天使精选了十几类、百余种优秀软件,用户可以直接在其中了解到软件信息,并下载、安装,免去了自己在网络中寻找的麻烦,同时也可以避免下载到一些带有木马的程序,从而保障系统安全。
在主界面中点击“系统分析”按钮,可以启动电脑信息检查管理工具。在这个功能中,木马清理王可以自动对当前系统的安全状况进行扫描,并对扫描结果进行安全划分。如果扫描结果中有怀疑有危险的项目,可以使用“清除修复”功能进行处理;而如果你对于扫描的结果不甚了解,不知如何处理,那么可以点击“建立报告”按钮,将报告内容导出,发布到木马清理王的论坛上寻求帮助。
木马隐藏技术分析 篇4
1 木马的定义和特征
计算机网络中的木马(Trojan),是指隐藏在正常程序中的一段具有特殊功能的代码。木马通常具有以下特征:第一是隐蔽性,木马为了保护自身通常具有很强的隐蔽性,比如:隐藏进程、尽量减少文件的体积、自动复制到其它文件夹中做备份、修改生成时间等。第二是欺骗性:木马的文件名和系统文件名非常相似,或者就是和系统文件名相同,但是路径不同。第三是自启动性:一种是随系统自动启动的,另一种是附加或者捆绑在系统程序或者其他应用程序上,或者干脆替代它们。第四是自动恢复性:很多木马程序中的功能模块已不是由单一的文件组成,它们具有多重备份,可以相互恢复。但木马程序无论如何神秘,归根究底,仍是Win32平台下的一种程序。
2 木马的隐藏技术
2.1 通信隐藏
木马常用隐藏通信的方法有下列几种:
1)端口隐藏,木马在植入主机后一般会在1024以上的高端口上驻留;也有些木马采用端口复用技术,不打开新的通信端口,而选择一些常用的端口(如80)实现通信,在收到正常的HTTP请求仍然把它交与Web服务器处理,只有在收到一些特殊约定的数据包后,才调用木马。
2)反弹端口型木马,主要利用防火墙的漏洞。由于防火墙一般对于连入的链接会进行严格的过滤,但是对于连出的链接却疏于防范。于是,反弹端口型木马采用反向连接技术的编程方法:将服务器端(被控制端)使用主动端口,客户端(控制端)使用被动端口。被植入反弹木马服务器端的计算机定时监测控制端的存在,发现控制端上线立即弹出端口主动连接控制端打开的主动端口。这种连接模式还能突破内网与外部建立连接。
3)隐蔽通道技术。为了使木马客户端和服务器端的通信更加隐蔽,使得穿透防火墙更加容易,常采用所谓的隐蔽通道技术。任何利用非正常的通信手段在网络中传递信息的通道都可以称之为网络隐蔽通道。在TCP/IP协议中,有很多设计得不严密的地方可以用来秘密地隐藏信息,特别是在协议的头格式定义中,有很多域都有潜在的危险性。至少有两种途径可以被利用,建立隐蔽通道:一是利用Option域和传输数据时通常很少用到的域,二是利用传输数据时必须强制填充的域。还有就是使用一些特殊的协议,比如ICMP就是常用的一种方式。
2.2 进程隐藏
1)最简单的进程隐藏方式就是把木马进程改为非常类似于系统进程的名字,有的和系统进程名字很类似,比如Exp1orer.exe(利用英文字母“l”和阿拉伯数字“1”看起来很像),有的名字很像系统进程,实际上没有这个系统进程。
2)注册服务隐藏(Register Service Process),利用此方法,木马程序的进程将自己注册为服务进程,而服务进程在Windows 98中的任务管理器中是不显示的,这样在早期的操作系统中便实现了木马的隐藏。但是,在Windows 2000/XP不支持这种隐藏方法。
3)进程注入,现在很多木马都是以线程方式,即把木马写成动态链接库(DLL)文件,在Windows中,每个进程都有自己的私有内存地址空间,当一个进程访问另一个进程的地址空间时,那就是“进程注入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,同时也实现任务管理器里的隐藏,当查看当前使用的端口时,木马打开的端口对应的进程不是木马本身,而是被插入的进程,即一个正常的进程。进程插入主要有以下几种技术:
(1)使用注册表注入DLL,早期的进程注入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrent VersionWindowsApp Init_DLLs]来达到注入进程的目的。
(2)使用钩子(Hook)插入DLL,这是比较高级和隐蔽的方式,通过调用Set Windows Hook Ex API函数来注入进程,在对特定的系统事件(如,特定API函数的调用事件)进行Hook后,一旦发生该事件,木马就会收到系统的通知,这时木马程序就能在第一时间对该事件做出响应,在函数返回前对结果进行了修改。所以无论是“任务管理器”还是杀毒软件,均无法对这种木马的进程进行检测。只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除,这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。
(3)使用远程线程函数(Create Remote Thread)注入DLL,在Windows 2000及以上的系统中提供了“远程进程”机制,可以通过一个系统API函数来向另一个进程中创建线程(注入DLL)。一旦木马将自身作为DLL插入别的进程空间后,用查看进程的方式就无法找出木马的踪迹了,你能看到的仅仅是一些正常程序的进程,但木马却已经偷偷潜入其中了。其他的隐藏方式还有:修改进程管理程序,隐藏进程信息,利用由于进程管理程序不列出进程标识号(pid)为0的进程信息,因此把要隐藏进程的pid设为0(空转进程),实现进程隐藏等。
2.3 文件隐藏
木马程序植入目标系统后,会在目标系统的磁盘上加以隐蔽欺骗用户。隐藏保护木马文件的主要方式有:
1)嵌入到宿主文件中,采用此隐蔽手段的木马通常有以下两种形式:插入到某程序中、与某程序捆绑到一起。一运行这个程序就会启动木马,还可以通过ZIP制成自解压执行程序,一旦点击ZIP文件就会加载木马。
2)木马文件在磁盘上以单独的文件存,木马一般会把文件属性设置为隐藏、只读,很多木马文件会放到windows或者windows/system32文件夹下面,并且会修改自己的生成日期,以迷惑用户。木马还伪装成系统文件或者伪装成非可执行文件并可以更换图标,比如bmp,来迷惑用户。
3)文件替换,这是目前木马技术发展的一种新趋势。这种方式用修改后的DLL替换系统原来的系统DLL,不需要监听端口,非常隐蔽。替换之后,对于正常的系统调用还照常进行,但是,它多了一些功能供木马调用、执行。这种木马没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它,只有在木马的控制端向被控制端发出特定的信息后,隐藏的程序才开始运行,隐蔽性控制端发出特定的信息后,隐藏的程序才开始运行,隐蔽性极强。
2.4 注册表隐藏
现在的DLL木马均通过系统中未启用的服务来加载其DLL,服务项存在于注册表项HKLMSystemCurrent Control SetServices中,DLL木马对其加载服务项进行隐藏,从而使得通过注册表编辑器或其它一般的注册表查看工具无法查看到木马加载服务项。
3 结束语
随着反病毒技术的发展,随着木马编制者对操作系统研究的逐步深入和编码技术的广泛交流,木马会朝着嵌入内核级隐蔽、嵌入应用级远程控制的方向发展。木马将更加注重自身的隐蔽性,木马将和蠕虫病毒等其他病毒形态结合在一起,具有更加强大的攻击性,同时拥有更加方便的人机界面,并可能出现跨平台木马。
参考文献
[1]李慧慧.浅析木马程序的隐藏[J].太原大学教育学院学报,2008(3):97-99.
[2]蔺聪,黑霞丽.木马的植入与隐藏技术分析[J].学术研究,2008,7:53-55.
[3]王战浩.木马攻击与防范技术研究[D].上海:上海交通大学,2007:20,15.
[4]刘成光.基于木马的网络攻击技术研究[D].西安:西北工业大学,2004:15.
[5]Sebastian Clau,Marit Kohntopp.Identity management and itssupport of multilateral security[J].Computer Networks,2001,37(2):205-219.
木马后门 篇5
自昌谷到洛后门作者:李贺 朝代:唐 体裁:五古 九月大野白,苍岑竦秋门。
寒凉十月末,雪霰蒙晓昏。
澹色结昼天,心事填空云。
道上千里风,野竹蛇涎痕。
石涧冻波声,鸡叫清寒晨。
强行到东舍,解马投旧邻。
东家名廖者,乡曲传姓辛。
杖头非饮酒,吾请造其人。
始欲南去楚,又将西适秦。
襄王与武帝,各自留青春。
闻道兰台上,宋玉无归魂。
缃缥两行字,蛰虫蠹秋芸。
为探秦台意,岂命余负薪?
★ 游鸣春谷作文
★ 《昌谷读书示巴童》的翻译及赏析
★ 春谷幽居,春谷幽居钱起,春谷幽居的意思,春谷幽居赏析
★ 伤春怀归,伤春怀归独孤及,伤春怀归的意思,伤春怀归赏析
★ 丁未岁归王官谷,丁未岁归王官谷司空图,丁未岁归王官谷的意思,丁未岁归王官
★ 清平乐·春归何处原文、翻译及赏析
★ 黄庭坚《清平乐·春归何处》习题
★ 又是春归时美文欣赏
微微,木马,阮白 篇6
2005年冬天,外面天寒地冻,行人都脸色灰白地匆匆回家。我在家里偎着暖气,挂在网上玩文字游戏,波浪线、惊叹号、大笑脸,笑骂嗔痴很放肆,招惹的不招惹的我统统招惹来,找不到可以心动的人。
Ice,他的头像始终黯淡,资料里我找了一千遍看不到一个字。
据说他很低调,并且永远低调着。映衬我的招摇过市顽劣幼稚。且歌且舞哉,网络那么大,我要他满眼皆是我,这个奢望必定落空。
我永远不动用黑名单,因为没有人在我看来配得起如此殊荣。不过这个坚持自从遇到Ice就要终结了。我心里倒是高兴,因为终于有人能让我试用一下黑名单。
如此这般,他极具资格得我青眼,入了我的黑名单也该欢欣鼓舞。
天雪微微。微微来了,小兔头像闪了一闪。微微说她要放弃文字,让文字见鬼去吧!让爱情见鬼去吧!是的是的,她的阳光明媚正视现实永远在我前一步,我们都不是绝代的才女,守住寂寞在电脑前面编织爱情剧本。我视电脑为情人,电脑永不领我好意,空负美貌。
白马通缉令:阮阮要白马,请白马自投罗网!每一个相熟的网友都来问:嘿!阮阮你这新资料是怎么回事?我毫不害臊,年终我要出清存货,请朋友们相互转告:
本人孤单一生,为性格所累,至今没有哥哥(就是大名叫男朋友的那种生物啦),愿在世上找到一位志同道合的哥哥共迈人生。有志加我QQ。本人相貌和才艺无可挑剔,惟是脾气古怪,有志“帅哥+才子+多金”3合1者可加我QQ-12345678。申明本人属于正常女性,没有奇怪嗜好。请有这方面嗜好的女性不要痴心妄想!
阮阮你好大口气,世上有如此条件的男生早就失踪,剩下的在你眼里恐怕色衰而爱弛。网友尖酸一番,心满意足姗姗而去。
哦不!你不要忘记我是一个写手,且只写爱情,痴心似海,百无聊赖。我制造爱情,指点迷津,自己也快深信不疑:这世上必还有白马,前来轻轻一吻,江山便固若金汤。我愿把我的今生交他掌管。
亲爱的编辑们,阮阮暂时不愁吃穿,请不要再来向我约稿。亲爱的朋友们,爸妈给的卡足够阮阮荒唐一辈子,请不要挂念。亲爱的Ice,如果你改了名字再来找我,系统会自动通过你,请你在网上耐心等待。
我要离开这台沉默的电脑,暂时,站到阳光照得到的地方,去等我的白马。希望他可以勇敢,不要比我矜持。
你是木头还是石头,至今仍然这么矜持
高中同学聚会,石慕冰提前一个月通知我,三请四请,他不厌其烦,我终于愤怒。
我从没有片刻如愿忘记他,他不用拿这么滑稽手法来加深我印象!
这个高中时的前座,高考填志愿时频繁打探我的去向,有模有样像一个称职班长来催我的志愿表。他是微微的男朋友,避我眼神如避蛇蝎,却心心念念一心牵挂我的志愿表。每每想到这些我都无端羞愤,私下填毕直接交至班主任。可怜他如此秀质少年,藏头露尾,不肯红了面皮亲口来问我。
他给我发短信,31日同学会,地点还是去年的避风塘。我说31号我有事。我们彼此彼此,公事公办。
31号我和微微在德川路逛街,天气很好,抬头望天,叹息韶华如流云飞逝,你我已经年未见。一路从德川路晃到新街口,挥霍欲望强烈,半天就败光身上所有现金,在专柜停下脚步流连香水,已经落魄到要刷卡,穷开心。
微微自嘲我们都是物质的动物。不错,物质握在手里带来99分的安全感,还有一分要用感情来补。不过99分,也够了。人不可太贪心,知足可长乐。我问微微,有物质是否好过有情人?她似惊讶又宽慰,阮白阮白你若早些开窍何必受那些痛苦?
唔,人的造化真是奇妙,她今日之透彻远非我当日之早熟可比拟。天时地利人和,缺一不可,我能有今日颇有水准一问,也是得益于日夜的失望。
阮阮在等的白马,高中时就是一匹未有慧根的木马,恋爱的慧根,他没有。他从来都懂得怎么让我失望,怎么让我没了信心,怎么刺激到我偏执的神经。我在通缉一只白马,可是我怀疑他仍然要坚持他比我矜持比我自持比我铁石心肠。
写了太久爱情,令自己也几乎要陷入痴情,原来有一种人是不疯魔不成活,爱得要走火入魔才罢休。可惜我早学会自持,终于也没能坠入自己编造的小说。青春冉冉,痴情在手心越来越像尘埃里开出的花,渺渺无根。
香港奇情女子亦舒造了喜宝,你和我都借喜宝之口说如果没有很多很多的爱,那么很多很多的钱也是好的。可是钱捏在手心里也没有温暖,缺乏了安全感,只有换成物质来安慰。
华灯初上,已轮到晚餐节目。还有十个硬币,我和微微分享一个汉堡。她伸手过来捏我的鼻子,骂我是个败家的主儿。我笑着躲开,复又捉住她的手,微微你真没用,被谁收住了?纤细的指上缚着一枚戒环,黑色的晶石。羡慕又惋惜。
她笑嘻嘻说觅到了财主,白马王子,以后要收心。我略略惋惜你怎么那样就被收服,以后谁来陪我颠倒众生?
两个人似假还真地调笑,周围食客神色惊讶,浮出一点暧昧。音乐,如此可心正是高中时我们常常去唱的《我这么容易爱人》,那时候我们每次去唱,都很惊讶那么贴切,于是明白世界末日还没有来,只怕明天又有新的恋情需要力气。
手机震动起来,我们正回忆快乐青葱岁月,如此念兹念兹,几要泪盈于睫。它不依不饶地颤三个回合,与我比拼耐力。我终于察觉,从皮包中挖出接通。听到自持的声音问,你今天真的不来了么?几年没见人影了,全班都在等你。微微冲我挑了挑眉毛,嘴角挂着一点看好戏的味道,我便收敛了笑声示意微微不要说话。
我今天突然有事,不好意思你们不必挂怀,好好热闹!他沉默也许在想措辞,我看表。坦然不心虚。
他退一步,那么就算了,下次吧!
挂上电话,我冲微微做了个鬼脸,是木头。
石慕冰啊,她若有所思地笑我,我也是他高中同学啊,他怎么就不说全班都在等我呢?我呵呵地笑,不是说都有白马王子了么,怎么还在意那个木头啊?石慕冰,我和微微共同的高中同学,贱称“木头”。因恨此人不解风情。一块石头有“精诚所至,金石为开”的时候,一块寒冰有脉脉化水的时候,一截木头却只能看着它腐朽。微微曾经这么评价。当然我们只在背后评论。
如果有选择,愿我生如夏花
世纪末的炎夏,所有人都在教官手里锻炼得色如乌钢的时候,女孩在教官背后对我做鬼脸,阮白你这个衰人怎么还是白得像豆腐一样,好奸哦!我瞪着眼睛看这个胆大包天的丫头,却被眼神里的快乐诱惑,鬼使神差便回她一笑。教官当场捉住了我们发配到正午太阳下去站军姿。
她说阮白你知道么,你总是很忧郁的,可是你好吸引人,这个学校的女生里就数你最好看,我最中意。
也许被人真心赞美是每个女孩心里小小的虚荣,我这么面似忧郁,也不能免俗。我开始在意这个叫微微的女孩,我们的目光彼此追逐。微微的美和我是不同的,她像我的彼岸,我们是两极,阴差阳错。如果要选择的话,我更希望是她那样子,被阳光照彻生命中每个角落,快乐简单的美。
得偿所愿的时候,已经是高一下学期,一次座位大调整。
石慕冰在我的前座,人高马大,需要微蜷了身子才能让我张望到黑板。这样的排座很不合理,不过没有人抗议。
高中是一段充满颜色的日子,每一片树冠投下的碎影里都游走金色的发丝。我和微微一路抬杠着走去5路车站,在站牌下磨蹭着不肯上车。絮叨最多的是帅哥,得罪最多的是石慕冰。因为石慕冰就是一个帅哥,所以我们经常背后议论他。
微微怒道他是块木头,迟早腐烂掉。
我同意,一截木头它再英俊也是木头。木马王子,微微的男朋友,不拉微微的手,不拥抱,黝黑英俊如一块食古不化的愚顽石头。
似乎有木头般腐朽的道德感,可以安稳现世。
阮白,有水没有?体育课刚下,木马抱着篮球把蒸腾热气带进空荡的教室。
我开瓶,自己喝了一口,伸手递给他。木马愣了一下接过去,对着瓶口一口气强灌了半瓶。呵!他好似负气。
把瓶还我的时候我淡漠地看着他闪烁的眼睛。他避开我的目光坐下,只肯给我看一个背影。我看见,他后颈上稀疏的绒毛柔软温驯,耳垂酡红了如一场醉酒。
呆子,你是她的男朋友吧?我曾经那样羡慕微微,想要做她一样的女孩,笑容耀眼,心无芥蒂。可是却似有心魔,羡慕,嫉妒,渴望分享。为什么?
我是坏的,他是善良的,她是无辜的。
我踢他椅子,呆子,你们有没有吻过?懂不懂什么叫间接接吻?
圣诞的夜里,他不懂得送旧报纸包扎的11朵玫瑰,活该被冷落。
圣诞是我和微微的。在永遇路上自由地穿梭于人流,去一家家店里转,寻找好看的对戒。各家店铺都装饰得热闹喜气,街上铺了几百米的大红地毯,路上有小女孩紧紧追着情侣卖花,我们拖着手满心羡慕地看那个男孩无奈地掏钱。
我们笑了,好像很开心。
如果有朝一日呢?
如果有那一天,他懂得哄她开心,这样的天空下就该她和他浓情蜜意,他为她掏钱买十一支玫瑰。再没有什么不开心的了。
心中无故蒙上冤屈,似乎自己被错待,只是不知道被谁错待。他?还是她?
微微买来糖葫芦,我便狠狠咬去一口,鲜红欲滴。
钟敲十二下,魔法还原南瓜
我渴望安稳的现世,可我又害怕岁月无情。
钟敲十二下,风度翩翩的男子挽着年轻女郎走过我身边,我看见他发际的银丝。他仍然俊雅风流一如回忆,只是岁月唐突了年华。微微说,如果能嫁到这样的良人,不枉此生。
我微笑,是的。他是致命的男子,点燃天下女子飞蛾扑火的决心。
这样的男子,曾经在我面前掩面。我负气哭叫,如果你走,我就再也不要记得你!他搂着七岁的小女儿在深夜里呜咽,疼痛如伤口。我说爸爸你走吧你走,阮阮再也不要记得你!
只是他竟然真的走了。
只是原来我一直没有忘记。他看见我已经以为是别家的女儿,我看见他知道原来我的不安定来自于他。
情欲的红尘中,为什么要是这样精彩的男子,从容优雅,不落桎梏。可是他永远似稚子,不能担负起责任。岁月蹉跎,他仍然是那个忧伤的小王子,浪漫多情,游走在爱与道德的边缘。
我们多么相像,同样不甘于岁月的平庸,渴望惊世的浪漫,毕竟我那么像他。来自于他的天性使我游离于道德和规范之外,竟然会快乐。可是我又多么胆怯,我又似那个被他抛舍的女人,遗传着她的伤痛,急迫着一份现世的安稳。
微微,他多么好多么美,可是不要羡慕他身边的女子。
痴情多么缥缈。
耳边惊呼的声音,车轮呼啸着飙起水幕,她拉住我惊慌后退。脚心蹂残破碎的花瓣,汁液的淋漓几乎真实。
水幕落下,光的盛大寒冷里,惊世璀璨。阮白,你的手好冷,我们回去吧。
你知道么?凡能够叫我们心动的,必能叫我们心痛。我听见我的声音轻轻颤抖,我紧紧抓住微微的手。
十二下钟声。微微笑,放炮了。漫天的礼花落下藏着透彻的冰晶。
偏僻的爱情寂寞得彻底
数学老太在黑板前挥舞着粉笔,口沫神勇地喷上了第一排学生的眼镜。
微微歪着头在看窗外,我眯起眼睛寻找了半天,除了那一方白色的天空,什么风景也没有。
早上第一节课我通常不太有精神,捂着呵欠准备继续做梦。踢一下石慕冰的椅子,他回头看一眼我半死不活的样子,把松塌塌靠在椅子里的身子坐直了,高大的肉墙足以隔绝老师看我的视线。我嘿嘿一笑,很不心虚地就在他的庇护下继续睡了。
中午我说我要去陪宁毅吃饭去,你们小俩口好好恩爱。微微红着脸推我说去吧去吧,嫁出去的女儿泼出去的水,石慕冰低着头吃他的大排,无动于衷的木头!
阮白,你大学志愿会填哪里?
还没想好。我要走得远远的,去一个没有人认识我的地方。
宁毅沉默了。又换了一种轻佻的口吻,我以为你会想和我在一起。
你不认识我,怎么看透我过去的黑白
阮白,记得我们去爬山吗?下过雨石头都湿漉漉的,你第一个到山顶,那么多男孩子都跟在你的后面追不上你。可是等我拉住你,你的手脚破皮还在流血。我要给你上药,你不要。你说流血破皮没关系,每一副身体到最后都应该伤痕累累才算活过。
阮白,我那时候就告诫自己,一个连自己都不在乎的女孩子,她还会在乎谁?她会在乎对她好的人?
他的眉眼,不甘的苦恼,我想看得仔细。分离在即了,我想从他身上看出答案。我可不可以就放自己一马?可不可以就求命运对我高抬贵手?这个在乎我的人,如果我在乎的是他,那么不是一切都会好么?
可是宁毅,有些事情是没有必要去执著的。我们最初的包装,到最后都要布满笞裂痕迹。
一份感情,错了就是错了,没有为什么。
他不再说话,我知道我是说给他听,也是说给自己听。得不到,没有为什么。放得下就快点放吧。
没有见过比我的母亲更美的女人,我见犹怜。可惜我不似她。
她常常说,阮白你长得真好,你像你爸爸,眉毛、眼睛、鼻子、嘴唇……
她的手指冰凉地抚过我的脸庞,从双眉到唇。可是为什么我有了你,还是不能不想他?
她呜咽,然后痛哭,死命地把我按在胸口。那双苍白可怜的手,抱得我生疼。直到我疼得哭了,她才放开我,赶我出去玩。外婆来我家时,发疯一样地敲门,把她从满地的碎玻璃碴中拉出来。
十三岁以后,外婆接我去住。
她改嫁给一个平庸的男人,那个男人宽厚、富有、体贴,不介意她带着女儿。
可是她介意。她怕我,她说。
我放学回来,在门外听她的哭泣,我真的害怕看见阮白,他们那么像。也许没有她,我可以更幸福。外婆叹着气,那么把阮白接我那儿去住吧。
我从门缝里偷偷地窥视,她的细长苍白的手捂着脸,点头。
如果那时候我还不够悲伤,是因为我隐隐地知道有这一天,并且像黑暗土穴中的残草期待从未谋面的阳光一样,期待着这一天。
他逃离她,如同月亮渴望逃脱地球的束缚。我们的不堪如出一辙,对置人于窒息的痴情有着天生的恐慌。
我认识宁毅,没有悬念,我们都是学校里才貌招摇的人物。
可是缘分呢?来得猝不及防。
无数次点头错肩,只要有谁张一张口,我们就不再是点头之交。每个人都以为我们可以水到渠成。可是我知道,我对他只有欣赏,我们可以远远地彼此欣赏,故而不去画蛇添足。
直到有一天,空寂的校园里我倾斜了红酒瓶子在浇花,夜幕压得那么低,逼到了我们的心头。于我是荒唐,于他是情窦。
于是好奇,惊艳,浪漫。
啊,你这么容易爱人
阮白你做什么?
宁毅的神色是惊诧,还有一丝压不住的惊艳。
我么?我在浇花。淅淅沥沥,在月光下隐约透出薄薄的红,是我没有再见到她的第五个秋天了。
我说我在浇花呵,今天有个喜事,让它们也尝一回这醉生梦死的滋味。
宁毅,你过来一起喝么?
阮白,别疯了,你酒品行不行啊?他犹豫着该不该靠近我。你不会是醉了就要大哭大闹的那种人吧?
有么?我摸脸。宁毅你别取笑我了。说着就摸到了湿湿的温热,似乎刚刚喝了的酒这会儿又还回来,醺醺的,情不自禁。
覆住脸孔蹲了下来,有人旁观可我怎么脆弱似回到幼年。他就在我面前,手足无措。我已经没有方向,攀住温暖颈项,便是唯一浮木。
那是我第一次与人勾肩搭背,感觉到身体的温暖。阮白,不哭啊不哭……我的面前晃动着好几张宁毅那慌慌张张的脸。
第二天晨会,微微尖着鼻子嗅我,死丫头,你学坏了!
我说,微微祝贺我吧,我昨天用一瓶酒钓到一个白马王子。
爱情是犯贱的理由
大学,去了很北的北方,我曾经想着要到一个没有人认识我的地方,忘记前尘。然而终于有一个男孩千里迢迢地追来,继续演这爱情的对手戏。
我是被需要的,我不可以缺少爱,纵然需要我的爱我的都不是我要的。
宁毅,你永远要看住我吗?你永远不放弃我吗?我想要有一双手,牵着我,永远不会突然地松开。可是,我想那个人不是你。
是不是一种犯贱?我看着Ice黯淡的头像,它呆在那里一动不动。Ice,要我的我不珍惜,我要的不珍惜我。是不是犯贱?那个小鱼头像好像是凸出来的,好像可以摸到。我知道,你们也焦头烂额,各自经历地狱天堂。难道,真的是愈喜欢的我愈不可碰?
可是如果不是我想要的,又紧握在手里做什么?
也许我应该去看医生。
我在电话里问微微:你们吻过吗?他真正在看的是你还是我?你和石慕冰。
咄咄逼人地问。
微微哭了。我放下电话,觉得很茫然。我怎么这样凶狠?可是我这样绝望。
室友看见我通红的眼睛,没有过来说话,只有微微疲软的哭声鼓动着我的耳膜。
阮白,我知道你喜欢他,我知道他也喜欢你,可是你们谁为我想……
可是微微,你从来不问他么?他一直在看的是我,是我,一直是我!
下午的宿舍里空空的,窗帘被卷到窗框外,框着的一小角天空是白色的。高中的时候微微上课常常走神,呆看着窗外的天空,满怀心事的样子。我们都满怀心事。我回到床上去,电脑放着歌,《我这么容易爱人》。我想我是个病人,病态地痴痴等着那个永远暗着的头像。
阮阮,你要乖,以后不要像你妈妈去招惹那些不该招惹的人。妈妈,我没有学乖,这么容易又去爱人。
我告诉宁毅,那是我的网恋对象。宁毅沉默地看我,用我憎恨的怜悯,一直看得我流泪,阮白你现实点!
我很现实,宁毅,你不要以为我是个病人!那个Ice、你看他叫Ice,他是石慕冰,你认识的,他是石慕冰!
我克制不住我的歇斯底里。
谁不可以没有谁?傻瓜
他像个傻瓜,他第一天和我聊天我就知道他是石慕冰,尽管他否认。他从哪里拿来我的号码的我不知道,就像高三的时候他想方设法打听我的志愿,可是从来不肯自己来问我。
现在他在我的黑名单里,竭力要表现对我的漠视。谁不可以没有谁?傻瓜!
宁毅说我有幻想症。
我不承认。
我们都是谨慎的爱人
直到大学毕业,他第一次给我电话。高中同学会,我缺席了几年,他作为班长,有通知所有人到的义务。
我从来不去,我见那些不相干的人做什么?而他的消息,总是借了43人的名义。
人是会成熟的,慢慢懂得进退。生命中来过的很多,不一定什么都要拥有。抬一抬手,也就放自己过去了。
唯一不变的,是我仍然和一个叫Ice的人保持联系。看到网络里铺天盖地的网恋,我们很有默契地缄口,只不过有时候我会故意出乎他意料地招摇过市。对他来说,只是一个调皮女子的小把戏。
我们都是谨慎说爱的人。
终
2005年的冬天,微微仍然保有我羡慕的甜美笑容,仍然是两个女孩牵着手约会,只是她的手上多了一枚戒指。Ice说过,生活剥去了华丽的外衣,就什么也没有了,坦然地面对只能是尴尬。我们之间有没有什么是已经消耗了的,从彼此的脸上都无迹可寻。
购物、K歌、吃饭,情谊死灰复燃。对谁斩钉截铁,对谁藕断丝连,我们面容仍然纯白。各自有地狱天堂,转身清清爽爽。
谁真的痴情,谁真的不变,谁真的重要得让你和我流下真泪。似水惆怅,我们都已修炼到家,笑一笑,往事弹指间灰飞烟灭。
一招废掉所有木马 篇7
运行regedit打开注册表, 里面有一个目录树:
打开其中目录HKEY_LOCAL_MACHINE
再打开其中目录SAM
再打开其中目录SAM
再打开其中目录Domains
再打开其中目录Account
再打开其中目录Groups
好了, 这个Groups就是负责建立用户的。删掉它, 系统就不能建立用户了。无论木马怎样折腾, 都无法建立用户, 更谈不上提升为管理员了。但这个目录里的文件如果被删除, 是没有办法还原的。所以, 在该项操作之前必须进行备份, 必要的时候可以还原。
备份方法:右键点击Groups选择“导出”, 给导出的文件起个名字并保存好就可以了。
需要说明的是, 可能你进入注册表的时候, 只能看到第一个SAM目录, 其他的都看不到。那是因为你的权限不够, 右键点击相应目录选择“权限”, 把你自己 (通常是Administrator) 设置为“允许完全控制”就可以了。依此类推, 一直找到Groups目录为止。还原很简单, 找到导出的那个文件, 直接双击即可。
木马技术分析与防范 篇8
木马(Torjan Horse),源自大家耳熟能详的希腊特洛伊木马记,其原理取至这个故事的精髓即隐蔽性和破坏性极强。木马病毒能够在用户不知不觉的情况下控制计算机系统、开放管理员权限、非法获取重要信息、破坏计算机系统等重要资源。
木马的工作机制与特征
木马病毒区别于其他病毒是它特别的工作机制,木马病毒寄生于系统关键进程中不易发现、不易杀毒。只要是WINDOWS系列的操作系统,在启动系统时必须加载一些必要程序例如:winlogon.exe、smss.exe、services.exe等,这些程序很都是常驻内存形成进程的,还有部分是执行一次获得一定的入口以后就停止的如注册表中的“HI}EY_LOCAL_M ACHINESoftwareMicrosoftWin<IowsCurrent Version下Run与Run Services”;不论哪一种情况其工作机制均为:获取计算机控制,在系统中留下后门并传输加密信息和监视网络,选端如果发送命令就会及时响应或执行批处理操作。
木马病毒据其传播据点其有如下特征:
(1)体积不大(通常只有KB大小),执行时所占内存资源小,不易被使用者发现;
(2)一但执行不能停止或中断运行;
(3)执行后能做一些超乎想象的操作,可能就连系统使用者都无法完成的;
(4)执行后会存放于启动区、自动隐藏、自动复制,一经感染只要计算机启动就会自动执行;
(5)病毒的操作权限自动获取,不需要使用者给予。
针对网页的木马传播及研究
网页木马是木马病毒中最多的一种,其通过Internet传播,其传播速度快、时间短、难以防范。黑客将网页木马挂载到一些高访问量门户网站的正常页面下,客户端浏览被挂马的网页时,木马程序被激活并利用浏览客户端的漏洞执行木马的僵尸程序或链接到其他文件的批处理文件,形成多层次感染病毒。访问了被挂马的网页后,浏览者经常无法正常使用和受到一定的损失,那么重点是大家要采取措施注意预防几个重要的环节:
(1)国家层级的防范,在整个互联网范围内,应由工信部权威部门制定周期性的木马检测条令指导互联网运营商进行硬件及服务器物理层的检测,对常见木马和流行木马的查杀方法及时公布;对一些顽固的、无法查杀的木马将其被挂马的网页强制恢复或临时关闭,等管理员处理完成后继续使用。
(2)技术层级的防范,国家或网络运营商应该在特定的部门监督下建立木马样本分析部门,及时对新的木马研究和推广对抗手段,所得研究成果必须通过“杀毒软件”、“防火墙”等病毒特征库及时更新来防止它的进一步扩散。
(3)企业层级的防范,网页挂马的载体是在企业的门户网站,这些都是用户经常访问。在企业的服务器中进行有效的防木马注入,可从源头上堵住缺口,但这样的工作量巨大、辐射范围广,一般需要企业有很强的自我防范意识和一定的技术能力。
企业层级的木马防范常见手段的推广
对于Internet上提供优质服务的企业应该大力的推广其木马的防范技术,同时这样的企业也会吸引更多的产品用户,这对于企业的发展来说也是形象展示。企业应该从以下几点加以木马的防范:
(1)从木马进入的可能性上防范。对于企业的服务器操作不可能只是个别的管理员,企业越大、业务越多就需要更多的服务器管理员,这些管理员可能分布的不同的地域,操作的时间点也是不同;在对服务器进行更新时或上传文件时一定要先进行检测,下载RAR、ZIP等压缩包时应在干净的计算机上下载并解压以后进行杀毒,然后在上传到服务器上;要对服务器增加功能或安装新软件时保证增加的服务要安全、漏洞及时安装补丁。
(2)从木马传播的途径上防范。电子邮件成为信息时代的通讯方式,经常带有附件如WORD文档、EXCEL电子表格、PDF文件和CAJ文件等,这些文件经常有意或无意地带有木马,应将这些文件先进行木马病毒扫描然后才能在服务器上使用。
(3)从木马攻击的权限上防范。企业的服务器很多运行的操作系统是WINDOWS的SERVER版本、UNIX操作系统,第一不能直接使用系统内置的ADMINISTRATOR用户默认登录,应该建立其他具有管理员权限的ID登录;第二登录密码要字母与数字相组合、大小写字母组合、包含如“~、#、¥、—”等的一些符号,来为避免黑客猜中密码和使用简单的工具轻易算出密码;第三注意保存密码文件的安全性,如SAM文件是否被恶意修改,访问时间异常情况发生,要养成查看日志的习惯等。
网页木马的发展研究
网页木马出现之初只能是由一些具有黑客技术的人员才能完成,并针对企业进行攻击。现在已经发展的比较“普遍化”的趋势,利用一些黑客组织发布的工具如drivesploit可以轻易的制作网页木马。普通网民经常出于好奇心将这些攻击漏洞的木马程序链接到一些类似BBS等可以发布链接的网站就能造成一定范围的挂马,加上有的服务器提供二级域名、个人链接站点、免费空间主页等形式使得木马传播途径多样化。如QQ空间链接、音乐、视频等二次链接更是高危。
网页技术发展迅速,传统的木马病毒攻击方式引成业界的很多目光,目前的防止手段也具有很强的针对性。而木马的攻击已经出现向某些载体的发展的趋势,如针对PDF、Flash文档、PSD模版等文件。Html漏洞挂马形式均会在大众的关注视线中,而针对第三方的向量载体利用诸如阅读器之内的漏洞使得木马监测防范更难、范围更广。
结束语
木马技术与防治分析 篇9
木马, 又称为特洛伊木马, 是一类特殊的后门程序, 是一种基于远程控制的黑客工具, 通过非法手段把服务器程序种植在用户的机器上。一旦侵入用户的计算机, 就悄悄地在宿主计算机上运行, 在用户毫无察觉的情况下, 让攻击者获得远程访问和控制系统的权限, 进而在用户的计算机上修改文件、修改注册表、控制鼠标、监视/控制键盘等操作, 以达到各种目的, 如窃取用户的私人信息, 商业机密等, 造成无法估量的损失。本文将从木马的常用技术、木马的预防和木马的检测及清除三个方面来分析。
1 木马的常用技术
木马由两部分组成, 一部分是客户端程序, 即控制在攻击者手中的程序, 攻击者通过它获取远程计算机的数据并通过它控制远程计算机。另一部分是服务器端程序, 即由用户运行的程序, 用户计算机上一旦运行了该程序, 就可以通过客户端程序与之通讯, 从而可以得到用户计算机的各种控制权限, 包括各种指令操作和窃取私人信息。一个典型的特洛伊木马通常具有:隐蔽性、非授权性、欺骗性等特点。隐蔽性是指木马的设计者为了防止木马被发现, 会采用各种手段隐蔽木马, 使木马能够在用户不易察觉的情况下, 完成一些危害用户的操作;非授权性是指一旦控制端与服务器连接后, 控制端将享有用户机器的控制权限, 包括修改文件、修改注册表、监视服务器的一切动作等;欺骗性是指木马的设计者常利用工具软件将木马绑定到某个合法软件上, 诱使用户运行合法软件。
近年来, 木马技术取得了较大的发展, 目前已彻底摆脱了传统模式下通信方式单一、隐蔽性差等不足。借助一些新技术, 木马不再依赖于对用户进行简单的骗, 也可以不必修改系统注册表, 不开新端口, 不在磁盘上保留新文件, 甚至可以没有独立的进程, 这些新特点使对木马的查杀变得愈加困难, 但与此同时却使得木马的功能得到了大幅提升。
1.1 木马的植入技术
木马的植入是一个非自我复制的恶意代码, 可以作为电子邮件附件传播, 或者可能隐藏在用户与用户进行交流的文档和其他文件中, 主要是指木马利用各种途径进入目标机器的具体实现方法, 大致分为以下四种:
(1) 通过电子邮件:通过E-mail, 将木马程序以附件的形式通过电子邮件发送到用户端 (收信人) , 收信人只要打开附件就会被植入木马程序。
(2) 通过下载文件:黑客将木马程序捆绑在软件安装程序上, 用户在不知道的情况下下载并安装, 木马程序随着安装程序的安装也就自动地安装到用户的计算机上。
(3) 通过网页:木马和网页捆绑在一起, 当用户浏览到该网页, 就会在不知不觉中下载其捆绑的木马并执行。
(4) 通过社会工程学:通过欺骗的手段诱惑用户植入木马程序。
木马的植入离不开系统及应用程序漏洞, 利用漏洞得到机器控制权以后再种上木马也是一种行之有效的方法。随着系统及应用程序漏洞的不断发掘, 木马的植入技术也必将随之不断推陈出新。
1.2 木马的加载技术
当木马成功植入目标机后, 就必须确保自己可以通过某种方式得到自动运行。流行的木马加载技术主要包括:系统服务加载、文件劫持和底层驱动加载等。
(1) 系统自动加载:木马设计成服务的方式启动, 这是最常用的木马自动加载方法, 加载方式简单有效, 但隐蔽性差。
(2) 件劫持:木马被植入到目标机后, 首先对某个系统文件进行替换或嵌入操作, 使得该系统文件获得访问权之前, 木马被率先执行, 然后再将控制权交还给相应的系统文件。采用这种方式加载木马不需要修改注册表, 可以有效地躲过注册表扫描型反木马软件的查杀。一种常用简单的实现方法是将某系统文件改名, 然后将木马程序改名, 当这个系统文件被调用的时候, 实际上是木马程序被运行, 而木马启动后, 再调用相应的系统文件并传递原参数。另一种实现方法是采取嵌入操作, 包括以下三种策略:
策略一:把木马启动代码插入PE文件头部, 或者尾部, 缺点是改变了宿主程序的大小, 且容易被查杀。
策略二:利用PE文件中足够长的全部为零的程序数据区或堆栈区放入木马启动代码, 然后改变宿主程序开始代码入口地址, 使藏在其中的启动代码先于宿主程序而运行, 这种方式能够保持宿主程序插入启动代码后长度不变, 缺点是PE文件有时没有足够的空间, 启动代码必须短小高效。
策略三:为了躲避查杀, 更好的隐蔽自身, 常采用入口模糊技术, 即木马在不修改宿主原入口点的前提下, 通过在宿主代码体内某处插入跳转指令来使木马获得控制权, 即在宿主程序启动的时候, 没有立刻跳转到木马启动代码开始处执行。
通常选择的PE文件都是系统文件, 如LSASS.EXE, 系统启动的同时加载了木马启动代码, 启动代码再加载功能部分, 这样就没有新的进程, 通常可以躲避一些杀毒软件。
(3) 底层驱动:把木马设计成驱动程序的形式, 可以逃避大部分杀毒软件, 缺点是编程难度增大。
1.3 木马的反清除技术
为确保木马被清除, 木马常常具有一定反清除能力, 主要反清除技术包括:多线程、系统内核嵌入和BIOS写入等。
(1) 多实例:将木马程序分别存放在目标机器的不同目录下, 木马实例相互监督, 以防止某个木马实例被查杀。当一个进程 (或线程) 被杀死时, 其他进程 (或线程) 就立刻重新生成该进程 (或线程) 的实例。
(2) 操作系统内核嵌入。木马如果已获取了操作系统的部分控制权, 就可以将自己紧密地依附到系统部件上, 这就使木马查杀变得更加困难。
(3) BIOS写入。BIOS是系统的基本输入输出系统, 如果将特定的木马代码写入BIOS, 将会使木马更加难于清除。
1.4 木马的隐藏技术
为确保有效性, 木马必须具有较好的隐蔽性。现在流行的木马隐蔽技术包括:DLL技术、RootKit技术等。
(1) DLL技术:采用DLL技术实现木马的隐蔽性, 主要通过以下两种途径:DLL陷阱和DLL注入。DLL陷阱技术是一种针对DLL的高级编程技术, 用一个精心设计的DLL替换已知的系统DLL或嵌入其内部, 并对所有的函数调用进行过滤转发。DLL注入技术是将一个DLL注入到某个进程的地址空间, 然后潜伏在其中并完成木马的操作, 注入的常用进程包括SVCHOST, EXPLORE.EXE等进程。
(2) RootKit技术:通过修改操作系统软件, 使攻击者获得持续的系统访问权, 并将自己隐藏在系统中不被用户发现。通过两种不同层次来实现, 一种是用户模式Root Kit, 即修改系统中用户运行的可PE文件和库文件, 在操作系统的用户态运行;另一种是内核模式Root Kit, 即控制和修改操作系统内核, 运行在操作系统的内核态, 为了运行在内核态, RootKit技术需要以驱动程序调入内核, 进入内核后对系统所有用户的和内核的内存空间拥有完全的访问权限, 能够修改任何的程序代码和系统数据结构。RootKit隐藏的内容包括文件、目录、进程、注册表项、网络端口、设备驱动器、网卡模式等所有使用户判断系统异常的行为和表现。
2 木马的预防
为了防止木马, 必须强化系统安全, 确保操作系统和应用程序是最新的, 及时安装所有补丁、紧急修复以及升级补丁;禁止不需要的服务, 不必要的服务和不合适软件的运行会产生不必要的风险, 同时还要加强个人素质。
对于一般的木马防护采取如下措施:
(1) 不要随意下载和运行来历不明的软件, 最好是在一些知名的网站下载软件, 安装软件之前先用杀毒软件查杀。但由于网站容易被未公开的漏洞攻破, 导致出现网站挂马, 所以下载免费软件都有潜在的风险。
(2) 安装杀毒软件和防火墙, 防火墙可以主动拦截各种应用程序的网络连接, 但是对于DLL注入的木马有时就无能为力, 杀毒软件可以查杀病毒库的木马。
(3) 自动升级系统补丁, 关闭没必要的服务和端口, 自动升级系统和更新病毒库。
对于网页木马, 因网页木马的运行需要一定的条件, 可以采取如下措施:
(1) 禁用文件系统对象FileSystemObject, 用regsvr32scrrun.dll/u即可。
(2) 卸载WSH, 打开”控制面板”-->”添加/删除程序”-->”Windows安装程序”-->”附件”, 取消Windows Scripting Host一项。
(3) 删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。
(4) 在系统目录下删除或者改名WScript.exe。
(5) 自定义IE安全级别, 把与“ActiveX控件及插件”有关的一切禁用。
(6) 禁止Outlook、Outlook Express的自动收发邮件功能, 使用文本的方式浏览网页邮件。
3 木马的检测及清除
反击木马, 最佳的武器是最新的、成熟的木马扫描工具。扫描工具能够检测出大多数木马, 并尽可能的是清理过程自动化, 但任何工具软件在防治新木马时都存在一定的滞后性。检测和清除木马的一般流程如下:
(1) 查看端口;
(2) 端开网络连接;
(3) 查找并停止木马进程、线程、服务名;
(4) 清除木马。
常用的手工检测方法如下:
(1) 利用系统自带的命令netstat-an来查看当前开放的端口及连接状态。
(2) 利用任务管理器查看当前运行的进程。
(3) 利用计算机管理来查看所有的服务及当前运行的服务。
对于有进程的木马, 找到木马进程, 即可停止该进程, 并查看木马常用来隐藏、启动的地方是否还存在木马及其启动项, 有则删除之;对于使用dll技术的木马, 使用工具软件Ice Sword来查看当前可疑的服务及不正常网络连接的dll文件, 发现木马并终止之。
4 结语
随着网络安全的不断发展, 木马的入侵与防护技术必将会以更隐蔽的方式出现。本文主要分析了木马的常用技术、木马的预防和木马的检测及清除方法, 意在引起人们在新时期对网络木马防范的重视和掌握防范的方法, 以减少不必要的损失。深入地研究木马技术, 建立相应的木马预防及检测机制, 对网络和计算机的安全起着重要的作用。
参考文献
[1]崔宝江, 周亚建, 杨义先, 钮心忻.信息安全实验指导[M].北京:国防工业出版社.2005.
[2]张仁斌, 李钢, 侯整风.计算机病毒与反病毒技术[M].北京:清华大学出版社.2006.
特种木马的分析与识别 篇10
特洛伊木马 (以下简称木马) ,英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其特点是具有隐蔽性和非授权性。所谓隐蔽性是指木马的设计者为防止木马被发现,采用了多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的资料及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。但这些权限并不是服务端赋予的,而是通过木马程序窃取的。
2. 木马的工作原理
完整的木马系统由硬件和软件两部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体 (Internet/Intranet) ;软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。
利用木马窃取信息,恶意攻击的整个过程可以分为3部分。
(1)获取并传播木马。
木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,便于隐藏和传播。木马的传播途径主要有3种: (1) E-MAIL; (2) 软件下载; (3) 依托病毒传播。2001年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒 (W32 BACTRANS 1 3312@MM) 。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候5分钟,然后利用MAPI回复所有未读邮件,并将自己作为邮件的附件,使用不同的名称继续传播。
(2)运行木马。
服务端用户运行木马或捆绑了木马程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中 (C:WIN-DOWS或C:WINDOWSSYSTEM目录下) ,然后在注册表启动组和非启动组中设置好触发条件,这样木马就安装完成了。以后,当木马被触发条件激活时,它就进人内存,并开启事先定义的木马端口,准备与控制端建立连接。
(3)建立连接并控制。
建立一个木马连接必须满足2个条件: (1) 服务端已安装有木马程序; (2) 控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。
3. 木马程序的编写
以DELPHI编写木马程序来简要说明。 (1) 用DELPHI建立客户端程序Client和服务器端程序Server两个程序。 (2) 在Client工程中建立一个窗体,加载WinSock控件,并建立连接。 (3) 处理事先定义好的事件。 (4) 在服务器端Server工程中也建立一个窗体visible,属性设置为False,加载WinSock控件,称为Win-Server,协议选择TCP。在Form_Load事件中加入代码(略)。 (5) 准备应答客户端程序的请求连接,监听指定端口(代码略)。 (6) 客户端按下连接按钮后,服务器端程序的监听事件即被触发,执行以上代码。如果不出意外,连接将被建立起来,别人就可以在千里之外控制这台计算机了。
4. 发现和清除木马
杀毒软件主要是针对已知病毒设计的,而新病毒层出不穷,特别是在有些特洛伊木马病毒刚出现时,由于杀毒软件没有建立病毒库,大都无能为力。因此,学习一些手工检查特洛伊木马的方法很有必要。
简单介绍一种在WinXP系统下手工发现和清除木马的方法。
TCP服务程序都需要listen在某个端口 (port) 上,客户端程序才能与其建立连接,进行数据传输。可以用Winxp的命令netstat-an查看所有活动连接,典型输出见图1。
C:Documents and Settingsxiaoma>netstat-an
其中“Local Address”栏即本机IP地址,冒号后为port号。正常情况下没有安装其他TCP服务时,上述输出只有80, 135, 443, 445等几个port处于listen状态;若未安装其他TCP服务程序,但在netstat-an的输出中发现有别的port处于listen状态则该机器已经被感染了木马。
这里需要说明两点: (1) “Local Address”栏中IP地址若为127.0.0.4则无害,而若为59.34.5.4且port不熟悉则要引起注意了。 (2) 有的木马比较隐蔽,平时看不到,只有当机器接入Internet时它才处于listen状态。
上网下载软件、收发信件、网上聊天时必然打开一些端口。下面是一些常用端口: (1) 1~1024之间的端口:这些是保留端口,是某些对外通信程序专用的,如FTP使用21, SMTP使用25, POP3使用110等。木马很少使用这些保留端口。 (2) 1025以上的连续端口:在上网浏览时, 浏览器会打开多个连续的端口, 将文字、图片下载到本地硬盘。这些端口都是1025以上的连续端口。 (3) 4000端口是OICQ的通信端口, 6667端口是IRC的通信端口。
这些端口基本可以排除在外。若发现还有其他端口打开, 尤其是数值比较大的端口, 就要怀疑感染了木马。当然, 如果木马有定制端口的功能, 则任何端口都有可能是木马端口。
如果用netstat-an发现了异常 (有时在使用系统时也能感到异常) ,应该从以下8个方面检查: (1) WIN.INI:用文本方式打开WINDOWS目录下的配置文件win.ini.在『windows]字段中有启动命令“load=”和“n.n=”, 一般情况下“=”右边是空白的,否则就有可能是木马。 (2) SYS-TEM.INI:用文本方式打开WINDOWS目录下的配置文件system ini:若发现字段【386Enh】,【mci】和【drivers32】中有命令行,则需要检查其中是否有木马的启动命令。此外,[BOOT]字段下面有条命令“shell=explorer.exe”, 如果是“shell=explorer.exe程序名”,则后面跟着的那个程序就是“木马”程序。 (3) Autoexec.bat和Config.sys:系统盘根目录下的这2个文件也可以启动木马。但这种加载方式需要控制端用户与服务端建立连接后,将已加入木马启动命令的同名文件上传到服务端覆盖这两个文件。 (4) INI:即应用程序的启动配置文件。控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖相应文件,就可以启动木马。 (5) 注册表1:打开HKEY-LOCAL MACHINE, software, MicrosoftWindows currentVersion,下5个以Run和RunServices开头的主键,在其中寻找可能是启动木马的键值。 (6) 注册表2:打开HKEY-CLASSES-ROOT文件类型shell%pencommand主键,查看其键值。此类信息可以从一定程度上帮助网站建设者分析人们在网络上的行为习惯。传播者通过了解用户,从而达到从用户角度出发,提供更优质的服务的目的。不论何种形式的调查或信息收集都要尊重人们的合法权益,保护大众的隐私不受侵犯,保障受众的信息安全。 (7) 捆绑文件:实现该触发条件首先要控制端和服务端已通过木马建立连接,接着控制端用户用工具软件将木马文件和某个应用程序捆绑在一起,上传到服务端覆盖原文件。这样即使木马被删除了,只要运行捆绑着木马的应用程序,木马就又会重新安装。 (8) 启动菜单:在“开始/程序/启动”选项下也可能有木马的触发条件。如果在以上8项检查中发现有可疑程序,则将其连同该注册表项一同删除,再重启系统,木马就会清除。