恶意代码研究及防治分析 学位论文.docx
- 文档编号:15692693
- 上传时间:2023-07-06
- 格式:DOCX
- 页数:21
- 大小:166.93KB
恶意代码研究及防治分析 学位论文.docx
《恶意代码研究及防治分析 学位论文.docx》由会员分享,可在线阅读,更多相关《恶意代码研究及防治分析 学位论文.docx(21页珍藏版)》请在冰点文库上搜索。
恶意代码研究及防治分析学位论文
摘要
随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。
因特网使得全世界都联系到了一起。
极大的促进了全球一体化的发展。
但是随着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。
它以其攻击范围广、危害大等特点成为常见的网络攻击技术之一,对整个互联网照成了极大的危害。
本文分析了木马病毒的基本原理,针对木马病毒的特征、传播途径等分析结果,找出计算机感染病毒的原因。
并且对木马病毒的种类、加载技术及现状进行了详细的研究,提出了完善的防范建议。
目录
一、绪论1
1.木马病毒的概述1
1.1木马的定义--------------------------------------------------------------------------1
1.2木马病毒的基本特征1
1.3木马病毒的传播途径1
1.3木马病毒的病毒危害3
二、木马病毒的现状3
2.1特洛伊木马的发展4
2.2木马病毒的种类5
3、木马病毒的基本原理------------------------------------------------------------------------------------7
3.1木马病毒的加载技术-----------------------------------------------------------------------------------10
3.1.1系统启动自动加载-------------------------------------------------------------------------------10
3.1.2文件劫持-------------------------------------------------------------------------------------------11
3.2木马病毒的隐藏技术------------------------------------------------------------------------------------11
4、熊猫烧香病毒剖析-------------------------------------------------------------------------------------12
5、木马病毒的防范----------------------------------------------------------------------------------------17
5.1基于用户的防范措施------------------------------------------------------------------------------------18
5.2基于服务器端的防范措施------------------------------------------------------------------------------20
5.3加强计算机网络管理------------------------------------------------------------------------------------22
总结23
1
一、绪论
本文简单的介绍木马病毒的制作原理和防护措施,让大家对木马病毒的基本
了解。
所谓知己知彼方能百战百胜,我们要是学会了木马病毒的制作原理和目的,这样对我们来说计算机病毒就不是那么深奥了,难以琢磨了。
我们把计算机木马病毒的特性,生理周期,传播情况,主要危害,和他的分类弄清楚了,我们才能对症下药.
虽然计算机病毒正随着科技的进步而飞快的发展,但是我们只要把他的工作原理弄清楚了,再加以对计算机病毒的不断认识,我们就不必要为止恐慌了,下面就有请看主题:
1 木马病毒的概述及概述
1.1木马的的定义
木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序,是一种基于远程控制的黑客工具,它利用自身具有的植入功能,或依附具有传播功能的病毒,进驻目标机器监听、修改。
窃取文件。
1.2木马的基本特征
1、隐蔽性是其首要的特征
当用户执行正常程序时,在难以察觉的情况下,完成危害影虎的操作,具有
1
隐蔽性。
它的隐蔽性主要体现在6个方面:
1.不产生图标、
2.文件隐藏、
3.在专用文件夹中隐藏、
4.自动在任务管理其中隐形、
5.无声无息的启动、
6.伪装成驱动程序及动态链接库
2、它具有自动运行性
它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3、木马程序具有欺骗性
木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。
还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。
等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。
4、具备自动恢复功能 现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
5、能自动打开端口应服务器客户端的
2
通信手段,利用TCP/IP协议不常用端口自动进行连接,开方便之“门” 6、功能的特殊性 通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。
1.3木马的传播途径
1.利用操作系统和浏览器漏洞传播。
2.利用移动存储设备(U盘)等来传播。
3.利用第三方软件(如realplayer,迅雷,暴风影音等)漏洞传播 4.利用ARP欺骗方式来传播
5利用电子邮件,QQ,MSN等通讯软件传播 6.利用网页挂马,嵌入恶意代码来传播
1.4木马病毒的危害
1.利用通讯软件盗取用户个人信息。
黑客可以利用木马病毒盗取用户的如QQ,MSN等账号进行盗取用户好友个人信息等。
2.盗取网游账号,威胁我们的虚拟财产安全
黑客利用木马病毒盗取用户游戏账户密码,并将用户游戏中的装备或游戏币转移,照成损失。
3.盗取用户的网银信息,威胁我们的真是财产安全黑客利用木马,采用键盘记录等方法盗取用户的个人银行信息,直接到市用户的经济损失
3
4.给电脑打开后门,使电脑可能被黑客控制
2木马病毒的现状
目前,木马病毒结合了传统病毒的破坏性,产生了更有危害性的混合
型木马病毒。
有关报告显示:
截止2011年上半年,所截获的新增病毒总计有111474种,而木马病毒占总数的64.1%。
其中,盗号木马占总木马数的70%,从数据上可以看出,木马数量的成倍增长,变种称出不穷,使得计算机用户的处境更加危险。
2.1特洛伊木马的发展
计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
第一代木马 :
伪装型病毒
这种病毒通过伪装成一个合法性程序诱骗用户上当。
世界上第一个计算机木马是出现在1986年的PC-Write木马。
它伪装成共享软件PC-Write的2.72版本(事实上,编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,那么他的下场就是硬盘被格式化。
在我刚刚上大学的时候,曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序,当你把你的用户ID,密码输入一个和正常的登录界面一模一样的伪登录界面后后,木马程序一面保存你的ID,和密码,一面提示你密码错误让你重新输入,当你第二次登录时,你已成了木马的牺牲品。
此时的第一代木马还不
4
具备传染特征。
第二代木马 :
AIDS型木马
继PC-Write之后,1989年出现了AIDS木马。
由于当时很少有人使用电子邮件,所以AIDS的作者就利用现实生活中的邮件进行散播:
给其他人寄去一封封含有木马程序软盘的邮件。
之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品,价格,预防措施等相关信息。
软盘中的木马程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。
可以说第二代木马已具备了传播特征(尽管通过传统的邮递方式)。
第三代木马:
网络传播性木马
随着Internet的普及,这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。
同时还有了两个新特征,第一,添加了“后门”功能;第二,添加了击键记录功能;第三,有了视频监控和桌面监控等功能。
2.2 木马病毒的种类
种类
途径
传播途径
破坏性
唯一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件
硬盘传播
密码发送型
向密码输入窗口发送WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND消息模拟单击。
在破解过程中,把密码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举直到找到密码为止。
可以找到隐藏密码并把它们发送到指定的信箱。
也有些黑
客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。
远程访问型
最广泛的是特洛伊马,只需有人运行
了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制
通过控制internet的UDP协议进行传播。
键盘记录木马
这种特洛伊木马是非常简单的。
它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码
潜伏在计算机硬盘中,通过记
录使用者的键盘操作进行传
播。
Dos攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流
起来。
当你入侵了一台机器,给他种上DoS攻击木马,你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。
通过邮件传播,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
代理木马
“代理木马”具有自动下载木马病毒的功能,一旦感染系统后,当系统接入互联网,再从指定的网址下载其他木马、病毒等恶意软件。
它们可以根据病毒编者指定
的网址下载木马病毒或其他恶意软件,还可以通过网络和移动存储介质传播。
FTP木马
这种木马可能是最简单和古老的木马了,它的唯一功能就是打开21端口,等待用户连接。
控制用户的21端口使其运行某一指定的命令。
反弹端口型木马
木马定时监测控制端的存在,发现控
制端上线立即弹出端口主动连结控制端打开的主动端口;即使用户使用扫描软件检查自己的端口,发现类似TCP的情况。
通过控制计算机防火墙端口进行传播。
3 木马病毒的基本原理
木马病毒通常饱饭两个部分:
服务器和客户端。
服务端植入危害主机,而施种者利用客户端侵入运行了服务端的主机。
木马的服务端一旦启动,受害主机的一个或几个端口即对施种者敞开,使得 施种者可以利用这些端口受害主机,开始执行入侵操作。
如图:
图表 1 木马病毒传播基本原理
7
1、配置、传播木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现伪装和信息反馈两方面的功能。
传播方式:
木马的传播方式主要有两种:
一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
2、运行木马
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。
首先将自身拷贝到WINDOWS的 系统文件夹中(C:
\WINDOWS或C:
\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。
这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。
3、信息反馈
木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等。
4、建立连接
一个木马连接的建立首先必须满足两个条件:
一是服务端已安装了木马程序;二是控制端,服务端都要在线。
在此基础上控制端可以通过木马端口与服务端建立连接值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通
8
过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的。
5、远程控制
木马连接建立后,控制端端口和木马端口之间将会出现一条通道,控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。
6、木马病毒的传播及植入
由于木马病毒是一种非自我复制的恶意代码,因此她需要依靠用户向其他人发送其拷贝。
木马病毒可以作为电子邮件附件或者隐藏在用户与其他用户进行交互的文档或者其他文件中。
他们还可以被其他恶意代码所携带,如蠕虫。
木马病毒有时也会隐藏在从互联网上下载的捆绑软件中。
当用户安装此软件是,病毒就会在后台秘密安装。
木马植入技术主要是指木马病毒利用各自途径进入到目标机器的具体方法。
7、木马病毒植入技术 木马病毒植入技术,主要是指木马病毒利用各种途径进入目标机器的具体实现方法。
(1)利用电子邮件进行传播:
攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。
(2)利用网络下载进行传播:
一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。
(3)利用网页浏览传播:
这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,JavaApplet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。
(4)利用一些漏洞进行传播:
如微软著名的IIS服务器溢出漏洞,通过一个IISHACK
9
攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。
由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。
(5)远程入侵进行传播:
黑客通过破解密码和建立IPC远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:
\WINDOWS\system32或者C:
\WINNT\sys-tem32)中,然后通过远程操作让木马程序在某一个时间运行。
(6)基于DLL和远程线程插入的木马植入:
这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。
(7)利用蠕虫病毒传播木马:
网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。
结合了蠕虫病毒的木马利用病毒的特性,在网络上进行传播、复制,这就加快了木马的传播速度。
3.1木马病毒的加载技术
当木马病毒成功植入目标机后,就必须确保自己可以通过某种方式得到自动运行。
常见的木马病毒加载技术主要包括:
系统启动自动加载、文件关联和文件劫持等。
3.1.1 系统启动自动加载
系统启动自动加载,这是最常的木马自动加载方法。
木马病毒通过将自己拷贝到启动组,或在win.ini,system.ini和注册表中添加相应的启动信息而实现系统启动时自动加载。
这种加载方式简单有效,但隐蔽性差。
目前很多反木马软件都会扫
10
描注册表的启动键(信息),故而新一代木马病毒都采用了更加隐蔽的加载方式。
3.1.2 文件劫持
文件劫持,是一种特殊的木马加载方式。
木马病毒被植入到目标机后,需要首先对某个系统文件进行替换或嵌入操作,使得该系统文件在获得访问权之前,木马病毒被率先执行,然后再将控制权交还给相应的系统文件。
采用这种方式加载木马不需要修改注册表,从而可以有效地躲过注册表扫描型反木马软件的查杀。
这种方式最简单的实现方法是将某系统文件改名,然后将木马程序改名。
这样当这个系统文件被调用的时候,实际上是木马程序被运行,而木马启动后,再调用相应的系统文件并传递原参数。
3.2 木马病毒的隐藏技术
为确保有效性,木马病毒必须具有较好的隐蔽性。
木马病毒的主要隐蔽技术包括:
伪装、进程隐藏、DLL技术等。
伪装,从某种意义上讲,伪装是一种很好的隐藏。
木马病毒的伪装主要有文件伪装和进程伪装。
前者除了将文件属性改为隐藏之外,大多通过采用一些比较类似于系统文件的文件名来隐蔽自己;而后者则是利用用户对系统了解的不足,将自己的进程名设为与系统进程类似而达到隐藏自己的目的。
进程隐藏,木马病毒进程是它驻留在系统中的最好证据,若能够有效隐藏自己的进程,显然将大大提高木马病毒的隐蔽性。
在windows98系统中可以通过将自己设为系统进程来达到隐藏进程的目的。
但这种方法在windows2000/NT下就不再有效,只能通过下面介绍的DLL技术或设备驱动技术来实现木马病毒的隐藏。
DLL技术,采用DLL技术实现木马的隐蔽性,主要通过以下两种途径:
DLL陷阱和
11
DLL注入。
DLL陷阱技术是一种针对DLL(动态链接库)的高级编程技术,通过用一个精心设计的DLL替换已知的系统DLL或嵌入其内部,并对所有的函数调用进行过滤转发。
DLL注入技术是将一个DLL注入到某个进程的地址空间,然后潜伏在其中并完成木马的操作。
4 “熊猫烧香”病毒剖析
“熊猫烧香”病毒感染机理:
“熊猫烧香”,是一个感染型的蠕虫病毒,它能
感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:
拷贝文件病毒运行后,会把自己拷贝到C:
\WINDOWS\System32\Drivers\spoclsv.exe
2:
添加注册表自启动病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:
\WINDOWS\System32\Drivers\spoclsv.exe 3:
病毒行为
a:
每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、
12
msctls_statusbar32、pjf(ustc)、IceSword,并使用的键盘映射的方法关闭安全软件IceSword。
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:
\WINDOWS\System32\Drivers\spoclsv.exe并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。
b:
每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享。
c:
每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享。
d:
每隔6秒删除安全软件在注册表中的键值。
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc。
e:
感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在
13
扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了
该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone 。
g:
删除文件
病毒会删除扩展名为gho的文件,该文件是一
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 恶意代码研究及防治分析 学位论文 恶意代码 研究 防治 分析 学位 论文