第五章計算機木馬病毒介紹木馬病毒基礎(chǔ)木馬病毒的定義3000多年前特洛伊王國及古希臘戰(zhàn)爭把戰(zhàn)場上巨大的木馬帶回自己的王國而帶來的淪陷在Internet網(wǎng)絡(luò)上下載的應(yīng)用程序或游戲中,包含了可以控制用戶的計算機系統(tǒng)的程序,它們讓被害的計算機對著未知的入侵敞開了大門,使得受害的系統(tǒng)和數(shù)據(jù)暴露在混亂的網(wǎng)絡(luò)世界里,木馬病毒的工作原理計算機木馬的定義:能潛伏在受害者計算機里,并且秘密開放一個甚至多個數(shù)據(jù)傳輸通道的遠(yuǎn)程控制程序客戶端(控制端)和服務(wù)器端木馬植入計算機過程入侵者必須通過各種手段把服務(wù)器端程序傳送給受害者運行,才能達(dá)到木馬傳播目的當(dāng)服務(wù)器端被受害者計算機執(zhí)行時,便將自己復(fù)制到系統(tǒng)目錄,并把運行代碼加入系統(tǒng)啟動時會自動調(diào)用的區(qū)域里,借以達(dá)到跟隨系統(tǒng)啟動而運行,這一區(qū)域通常稱為啟動項.當(dāng)木馬完成這部分操作后,便進(jìn)入潛伏期__偷偷開放系統(tǒng)端口,等待入侵者連接.木馬入侵的主要途徑郵件附件、下載軟件，以一定的提示故意誤導(dǎo)被攻擊者打開執(zhí)行文件，文件很小幾K到幾十K木馬可以通過ScriptActiveXAsp.CGI交互腳本的方式植入（漏洞）客戶端與服務(wù)器成功運行后，在通信協(xié)議上大多采用TCP/IP少數(shù)使用UDP協(xié)議進(jìn)行通訊當(dāng)服務(wù)端在被感染機器上運行以后，它一方面盡量把自己隱藏在計算機的某個角落里面，以防被用戶發(fā)現(xiàn)，同時監(jiān)聽某個特定的端口，等待客戶與其取得連接，另外為了下次重啟計算機時仍然能正常工作，木馬程序一般會通過修改注冊表或者其他方法讓自己成為自啟動程序特洛伊木馬具有的特性包含在正常程序中，當(dāng)用戶執(zhí)行正常程序時，啟動自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性。木馬執(zhí)行遠(yuǎn)程序控制及正常遠(yuǎn)程控制程序的差別 不產(chǎn)生圖標(biāo)木馬在你系統(tǒng)啟動時會自動運行，但它不會在“任務(wù)欄”中產(chǎn)生一個圖際木馬程序自動在任務(wù)管理器中隱藏，并以“系統(tǒng)服務(wù)”的方式欺騙操作系統(tǒng)具有自動運行性在系統(tǒng)啟動時即跟隨著啟動，所以必須潛入在你的啟動配置文件中如win.ini

system.ini

winstart.bat及啟動組等文件中包含具有未公開并且可能產(chǎn)生危險后果的功能的程序具備自動恢復(fù)功能現(xiàn)在很多木馬程序中的功能模塊不再由單一的文件組成，而是具有多重備份，可以相互恢復(fù)能自動打開特別的端口功能的特殊性除普通的文件操作以外，有此木馬具有搜索cache中的口令、設(shè)置口令、掃描目標(biāo)機器的IP地址、進(jìn)行鍵盤記錄、遠(yuǎn)程注冊表的操作以及鎖定鼠標(biāo)功能木馬病毒的判斷當(dāng)你瀏覽一個網(wǎng)絡(luò)，彈出一些廣告窗口是很正常的事情，可是如果你根本沒有打開瀏覽器，而瀏覽器突然自己打開，并且進(jìn)入某個網(wǎng)站系統(tǒng)配置老是自動被更改，比如屏保顯示的文字，時間和日期，聲音大小，還有CDROM自動運行配置硬盤老沒緣由的讀盤，軟驅(qū)燈經(jīng)常自己亮起，網(wǎng)絡(luò)連接及鼠標(biāo)屏幕出現(xiàn)異?，F(xiàn)象Netstat—a通過端口掃描方法也可能發(fā)現(xiàn)一些弱智的木馬，軟件來檢查系統(tǒng)進(jìn)程來發(fā)現(xiàn)木馬用基本命令檢查電腦是否中了木馬檢測網(wǎng)絡(luò)連接Netstat–an禁用不明服務(wù)Netstartnetstopserver輕松檢查賬戶Netusernetuset+用戶名木馬的啟動方式木馬的啟動方式的概述:自啟動功能是優(yōu)秀木馬保證木馬不會因為你的一次關(guān)機操作而徹底失去作用木馬編程人員不停地研究和探索新的自啟動技術(shù),并時常有新的發(fā)現(xiàn)如:木馬加入到用戶經(jīng)常執(zhí)行的程序(explorer.exe)中,用戶執(zhí)行該程序時,則木馬自動發(fā)生作用,如:windows系統(tǒng)文件和注冊表木馬的啟動方式1在win.ini中啟動(load=run=原為空木馬可改寫如load=c:\windows\file.exe)2在system.ini中啟動(boot字段shell=Explorer.exe386Enh字段driver=路徑\程序名micdriversdrivers32)3利用注冊表加載運行(1、自己不熟悉自動啟動文件擴展名為EXE2、偽裝蒙混過關(guān)3、找到木馬程序的文件名，再在整個注冊表中搜索即可)4在Autoexec.bat和Config.sys中加載運行（控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這兩個文件才行，不多見，）5在winstart.bat中啟動（自動被windows加載運行的文件。多數(shù)情況下為應(yīng)用程序及windows自動生成）6啟動組（啟動組對應(yīng)的文件夾c:\windows\startmenu\programs\startup）木馬的啟動方式7*.INI（即應(yīng)用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動木馬的目的。只啟動一次的方式：在winint.ini中用于安裝較多）8修改文件關(guān)聯(lián) 修改文件關(guān)聯(lián)是木馬常用的手段，比方說正常情況下TXT文件的打開方式為Notepad.exe文件，但一旦中了文件關(guān)聯(lián)木馬，則txt文件打開方式就會被修改為用木馬程序打開（冰河木馬）（htm\exe\zip\.com） 對付這類木馬，只能經(jīng)常檢查HKEY_C\shell\open\command主鍵，查看其鍵值是否正常9捆綁文件 控制端和服務(wù)端已通過木馬建立連接 控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋源文件，這樣即使木馬被刪除，只要運行捆綁木馬的應(yīng)用程序，木馬又會安裝上去木馬的啟動方式10反彈端口型木馬的主動連接服務(wù)端主動與客戶端建立連接，監(jiān)聽端口一般開80，在沒有合適工具，豐富的經(jīng)驗很難防范，如：網(wǎng)絡(luò)神偷，要在注冊表中建立鍵值11另一種鮮為人知的啟動方式，是在開始—運行—執(zhí)行Gpedit.msc，設(shè)置用戶添加的自動啟動的程序，如果剛才添加的是木馬程序，那么一個“隱形”木馬就這樣誕生了。因為用這種方式添加的自啟動程序在系統(tǒng)的“系統(tǒng)配置實用程序”找不到，在注冊表中也是找不到12還有一種不需要通過啟動項也能達(dá)到跟隨系統(tǒng)啟動的卑劣手法，那就是“系統(tǒng)路徑遍歷優(yōu)先級欺騙” 在系統(tǒng)搜尋一個不帶路徑信息的文件時遵循一種“從外到里”的規(guī)則，它會由系統(tǒng)所在盤符的根目錄開始向系統(tǒng)目錄深處遞進(jìn)查找，而不是精確定位。 這種手法常被用于“internat.exe”因為無論哪個windows版本的啟動項里，它都是沒有設(shè)置路徑的

木馬的種類破壞型惟一的功能就是破壞并且自動刪除文件,(DLL、INI、EXE)密碼發(fā)送型找到隱藏密碼并把它們發(fā)送到指定的郵箱。密碼存在電腦中密碼記憶功能黑客軟件長期潛伏記錄操作者鍵盤的操作，從中尋找有用的密碼遠(yuǎn)程訪問型最廣泛的是特洛伊馬，只需有人運行了服務(wù)端程序，如果客戶端知道服務(wù)端的IP地址，就可以實現(xiàn)遠(yuǎn)程控制，實現(xiàn)觀察“受害者”正在干什么，程序中用的UDP協(xié)議鍵盤記錄木馬記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼隨著WINDOWS的啟動而啟動，有在線和離線記錄選項，對于這種類型的木馬，郵件發(fā)送功能也是必不可少的木馬的種類DoS攻擊木馬入侵一臺計算機種上DoS攻擊木馬，此機成為日后DoS攻擊的最得力助手控制的肉雞數(shù)量越多，你發(fā)動DoS攻擊取得的成功率就越大此類木馬不體現(xiàn)在被感染的計算機，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺又一臺計算機，給網(wǎng)絡(luò)造成傷害和帶來損失類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機生成各種各樣主題的信件，對特定的郵箱不停地發(fā)送郵件，一直到對方癱瘓，不能接受郵件為止木馬的種類代理木馬對被控制肉雞種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板就是代理木馬最重要的任務(wù)通過代理木馬，攻擊者可以在匿者的情況下用Telnet,ICQ,IRC等程序，從而隱蔽自己的蹤跡。FTP木馬惟一的功能就是打開21端口，等待用戶連接，新的FTP木馬還加上了密碼功能，只要攻擊者本人才知道正確的密碼，從而進(jìn)入對方計算機程序殺手木馬程序殺手木馬的功能就產(chǎn)關(guān)閉對方機器上運行的這類程序，讓其他的木馬更好地發(fā)揮作用反彈端口型木馬在分析防火墻特性后發(fā)現(xiàn)，進(jìn)嚴(yán)出松規(guī)則此類木馬的服務(wù)端（被控制端）使用主動端口，客戶端（控制端）使用被動端口；為了隱蔽起見，控制端的被動端口一般開在80，即使用戶使用掃描軟件檢查自己的端口，發(fā)現(xiàn)類似TCPUserIP:1026ControllerIP:80ESTABLISHED的情況，稍微疏忽一點，你就會以為是自己在瀏覽網(wǎng)頁木馬采用的偽裝方法修改圖標(biāo)故意偽裝成XT。HTML等你可能認(rèn)為對系統(tǒng)沒有危害的文件圖標(biāo)，誘惑你打開以JPG或其他圖片格式的木馬，不經(jīng)意間執(zhí)行了捆綁文件捆綁在安裝程序上，安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷地進(jìn)入了系統(tǒng)，一般捆綁在可執(zhí)行文件（EXE，COM）出錯顯示在執(zhí)行木馬時提供一個出錯顯示的功能，在服務(wù)端被用戶打開的情況下，彈出一個錯誤提示框自我銷毀打開含有木馬的文件后，木馬會將自己拷貝到WINDWOS的系統(tǒng)文件夾下源木馬文件和系統(tǒng)文件夾中的木馬文件大小是一樣的，用戶在近來收到的信件和下載的軟件中找到源木馬文件，根據(jù)大小去系統(tǒng)文件夾中找相同大小的文件，判斷下哪個是木馬就行了，而此種木馬我自我銷毀功能。在沒查殺木馬的工具幫助下，就很難刪除木馬了木馬采用的偽裝方法木馬更名為了偽裝自己木馬服務(wù)端程序命名跟系統(tǒng)文件名差不多的名字，對系統(tǒng)文件不夠了解，不敢刪除（WINDOW.exedl）冒充為圖像文件將特洛伊木馬說成為圖像文件，比如說是照片偽裝成應(yīng)用程序擴展組件此類屬于最難識別的特洛伊木馬，黑客們將木馬程序?qū)懗扇魏晤愋偷奈募ɡ鏳ll

ocx）等然后掛在一個十分出名的軟件中，在打開如OICQ時，有問題的文件即會同時執(zhí)行。此類入侵大多也是特洛伊木馬編寫者，只要稍加改動，就會派生出一支新木馬來，所以即使殺毒軟件也拿它沒有絲毫辦法被感染后的緊急措施如果不幸你的計算機已經(jīng)被木馬光臨過了，你的系統(tǒng)文件被黑客改得一塌糊涂，硬盤上稀里糊涂得多出來一大堆亂七八糟的文件，很多重要的數(shù)據(jù)也可能被黑客竊取。所有的賬號和密碼都要馬上更改，刪除所有你硬盤上原來沒有的東西檢查一次硬盤上是否有病毒存在木馬常見的入侵方式1、修改批處理Autoexec.bat（自動批處理，在引導(dǎo)系統(tǒng)時執(zhí)行）Winstart.bat（在啟動GUI圖形界面環(huán)境時執(zhí)行）Dosstart.bat（在進(jìn)入MS-DOS方式時執(zhí)行）如：在編輯c:\\windows\\dosstart.bat,加入:startnotepad,當(dāng)你進(jìn)入MS-DOS方式時，就可以看到記事本被啟動2、修改系統(tǒng)配置System.ini

win.ini達(dá)到自動運行的目的如：在win.ini文件中：[windows]Load=程序名Run=程序名在system.ini文件中[boot]Shell=explorer.exe木馬常見的入侵方式3、借助自動運行功能利用硬盤支持自動運行的方式編寫autorun.inf此程序運行后還會替你打開硬盤，讓你難以查覺4、通過注冊表中的Run來啟動5、通過文件關(guān)聯(lián)啟動Exefile

txtfile

regfile

unknow關(guān)聯(lián)為了防止用戶恢復(fù)注冊表，用此法的黑客通常還連帶謀殺scanreg.exe\sfc.exe\extrac32.exe\regedit.exe木馬常見的入侵方式通過APIHOOK啟動通過替換系統(tǒng)DLL文件，讓系統(tǒng)啟動指定的程序（中獎后重裝系統(tǒng)）通過VXD啟動通過把木馬寫成VXD形