木马病毒(你知道木马病毒的原理吗?)
木马原理基础知识
在介绍木马的原理之前,有一些关于木马的基础知识,我们需要提前讲解一下,因为下面有很多地方会提到这些内容 。
一个完整的木马系统由硬件部分、软件部分和具体的连接部分组成 。
(1)硬件部分:建立木马连接所必需的硬件实体 。控制端:远程控制服务器的一方 。服务器:由受控终端远程控制的一方 。互联网:从控制端到服务器端进行远程控制和数据传输的网络载体 。
(2)软件部分:实现远程控制所必需的软件程序 。控制终端程序:控制终端用来远程控制服务终端的程序 。木马程序:潜入服务器并获得其操作权限的程序 。木马配置程序:设置端口号、触发条件、木马名称等的程序 。特洛伊木马程序,这样它就可以隐藏在服务器中 。
(3)具体连接部分:通过互联网在服务器和控制终端之间建立木马通道的必备要素 。控制终端和服务终端的IP:即控制终端和服务终端的网络地址,也是木马的数据传输目的地 。控制端端口,木马端口:即控制端和服务器端的数据入口,通过该端口数据可以直接到达控制端程序或木马程序 。
文章插图
木马
利用木马作为黑客工具入侵网络大致可以分为六个步骤(详见下图) 。这里我们就按照这六个步骤来阐述木马的攻击原理 。
1.配置特洛伊木马
一般来说,设计好的木马都有木马配置程序 。从具体的配置内容来看,主要是实现以下两个功能:
(1)木马伪装:为了在服务器端尽可能的隐藏木马,木马配置器会使用各种伪装方法,比如修改图标、绑定文件、自定义端口、自毁等 。我们将在“传播特洛伊木马”一节中详细介绍它们 。
(2)信息反馈:木马配置程序会设置信息反馈的方式或地址,如设置邮箱地址、IRC号、ICO号等 。我们将在“信息反馈”一节中详细介绍 。二.特洛伊木马的传播
(1)传输方式:
传播木马的方式主要有两种:一种是通过E-MAIL,控制端将木马以附件的形式剪辑发送出去,收件人只要打开附件系统就会感染木马;另一个是软件下载 。一些非正规网站以提供软件下载为名,将木马绑定到软件安装程序上 。下载后,这些程序一运行,木马就会自动安装 。
(2)伪装模式:
针对木马的危害性,很多人对木马知识有一定的了解,对木马的传播起到了一定的抑制作用,这是木马设计者不愿意看到的 。因此,他们开发了各种功能来伪装木马,以降低用户的警惕性,欺骗用户 。
(a)修改图标
当你在电子邮件的附件中看到这个图标时,洪都博客会认为它是一个文本文件吗?但是我不得不告诉你,这也可能是一个木马程序 。现在有木马可以把木马服务器程序的图标改成HTML、TXT、ZIP等文件,相当混乱 。但是,提供这种功能的木马目前并不多见,而且这种伪装也不是无懈可击的,没必要整天忧心忡忡,疑神疑鬼 。
(2)捆绑文档
这种伪装意味着特洛伊木马与安装程序捆绑在一起 。安装程序运行时,木马会在用户没有察觉的情况下秘密进入系统 。至于捆绑文件,一般都是可执行文件(即EXE、COM之类的文件) 。
(3)错误显示
任何对木马有一定了解的人都知道,如果一个文件被打开而没有任何响应,那很可能是木马程序,而木马设计者也意识到了这个缺陷,所以某个木马提供了一个叫做错误显示的功能 。当服务用户打开木马程序时,会弹出如下图所示的错误提示框(当然是假的) 。错误内容可以自由定义,大部分都会定制成类似“文件损坏无法打开!”这样的信息,当服务器用户相信是真的时,木马已经悄悄入侵系统 。
(4)定制端口
很多老木马端口都是固定的,为判断是否感染木马带来了便利 。只要查具体端口就知道感染了什么木马,所以很多新木马都增加了自定义端口的功能 。控制端用户可以选择1024-65535之间的任意端口作为木马端口(一般不选择1024以下的端口),这给判断感染木马的类型带来了麻烦 。
(5)自我毁灭
这个功能是为了弥补木马的一个缺陷 。我们知道,当服务器用户打开包含木马的文件时,木马会将自己复制到WINDOWS的系统文件夹中(在C:\WINDOWS或C:\WINDOWS\SYSTEM的目录下) 。一般来说,原始木马文件与系统文件夹中的木马文件大小相同(绑定该文件的木马除外),因此陷入木马的朋友只需要在最近收到的信件和下载的软件中找到原始木马文件,然后根据原始木马大小到系统文件夹中找到大小相同的文件即可 。木马的自毁功能是指安装木马后,原有的木马文件会被自动销毁,使得服务器用户很难找到木马的来源,没有木马查杀工具的帮助,很难删除木马 。
(6)木马更名
安装在系统文件夹中的木马的文件名一般都是固定的,所以可以根据一些关于查杀木马的文章,通过在系统文件夹中查找具体的文件来判断已经查杀了哪些木马 。因此,有很多木马允许控制端的用户自由自定义安装的木马文件名,很难判断被感染的木马类型 。3.在用户运行木马或与木马捆绑的程序后,木马将自动安装 。首先将自己复制到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表、启动组和非启动组中设置木马的触发条件,从而完成木马的安装 。安装后,就可以启动木马了 。具体流程见下图:
(1)触发条件激活木马触发条件是指启动木马的条件,大致出现在以下八个地方:
1.注册表:打开HKEY _ local _ machine \ software \ Microsoft \ windows \ current version \下Run和RunServices的五个主键,查找可能是启动木马的键值 。
2.win.ini: c: \ Windows的目录下有一个配置文件win.ini,是文本打开的 。在[windows]的字段中,有启动命令load=和run=,通常为空白色 。如果有启动程序,可能是木马 。3.系统中有一个配置文件系统. ini 。ini: c: \ Windows目录,以文本方式打开 。[386Enh],[mic]和[drivers32]中都有命令行,在其中可以找到木马的启动命令 。
4.Autoexec.bat和config . sys:c盘根目录下的这两个文件也可以启动木马 。但是这种加载方式一般需要控制端用户与服务器建立连接,然后将添加了木马start命令的同名文件上传到服务器,覆盖这两个文件 。
5.*.INI:即应用程序的启动配置文件 。控制终端利用这些文件可以启动程序的特点,将与木马启动命令同名的文件上传到服务器,覆盖同名文件,即可启动木马 。
6.注册表:打开HKEY _ class _ ROOT \文件类型\ shell \ open \命令主键并检查其键值 。比如国内的木马“冰川”就是修改HKEY _ class _ root \ txt file \ shell \ open \命令下的键值,更改“C :\WINDOWS \NOTEPAD 。EXE %1 "到" c:\ windows \ system \ syxxxplr . EXE % 1 "还需要注意的是,修改HTML、EXE、ZIP等文件的启动命令键值,不仅可以启动TXT文件,还可以启动木马 。唯一的区别在于“文件类型”的主键 。TXT是txtfile,zip是WINZIP,大家可以试着找一下 。
7.捆绑文件:要实现这个触发条件,控制端和服务器必须先通过木马建立连接,然后控制端用户将木马文件与带有工具软件的应用程序捆绑在一起,再上传到服务器上覆盖原始文件,这样即使木马被删除,只要运行与木马捆绑的应用程序,木马就会重新安装 。
8.开始菜单:在“开始-程序-开始”选项下,也可能有木马的触发条件 。(2)木马激活后,进入内存,打开预定义的木马端口,准备与控制终端建立连接 。此时,服务器用户可以在MS-DOS模式下键入NETSTAT -AN来检查端口状态 。电脑离线时一般不会有端口打开 。如果有端口打开,要注意是否感染了木马 。以下是计算机感染木马后使用NETSTAT命令检查端口的两个例子:①是服务器与控制端建立连接时的显示状态;②是服务器和控制端尚未建立连接时的显示状态 。在上网的过程中,需要打开一些端口来下载软件、发送信件、在线聊天等 。以下是一些常用的端口:
(1)1-1024之间的端口:这些端口称为保留端口,专门用于一些外部通信程序,如FTP使用21、SMTP使用25、POP3使用110等 。只有少数木马使用保留端口作为木马端口 。
(2)1025以上的连续端口:在互联网上浏览网站时,浏览器会打开几个连续端口,将文字和图片下载到本地硬盘,这些端口都是1025以上的连续端口 。
(3)端口4000:这是OICQ的通信端口 。
(4)端口6667:这是IRC的通信端口 。除了上述可以基本排除的端口,如果发现其他端口都是开放的,尤其是数值比较大的端口,就要怀疑是否感染了木马 。当然,如果木马有自定义端口的功能,任何端口都可能是木马端口 。四.信息披露:
一般来说,设计良好的木马都有信息反馈机制 。所谓信息反馈机制,是指木马安装成功后,会收集服务器的一些软硬件信息,通过E-MAIL、IRC或ICO通知控制端用户 。下图是典型的信息反馈邮件 。
从这封邮件中,我们可以知道服务器的一些软硬件信息,包括使用的操作系统、系统目录、硬盘分区状态、系统密码等 。在这些信息中,最重要的是服务器IP,因为只有获取这个参数,控制端才能与服务器建立连接 。我们将在下一节解释具体的连接方法 。5.建立连接:在本节中,我们将解释特洛伊木马连接是如何建立的 。建立木马连接首先要满足两个条件:一是服务器已经安装了木马程序;第二,控制端和服务器端都应该在线 。在此基础上,控制终端可以通过木马端口与服务终端建立连接 。为了便于解释,我们用图解的形式来解释 。如上图所示,机器A为控制终端,机器B为服务终端 。机器A要和机器B建立连接,需要知道机器B的木马端口和IP地址,由于木马端口是机器A预设的,是已知项,所以最重要的是如何获取机器B的IP地址..获取B机IP地址的方法主要有两种:信息反馈和IP扫描 。前一个已经在前一节介绍过了,我就不重复了 。我们将重点关注IP扫描 。由于B机装有木马程序,其木马端口7626是开放的,所以现在A机只需要扫描IP地址段中端口7626开放的主机 。比如图中,B机的IP地址是202.102.47.56 。当机器扫描这个IP并发现它的端口7626是开放的,那么这个IP将被添加到列表中 。此时A机可以通过木马控制程序向B机发送连接信号 。B机中的木马程序收到信号后立即响应 。A机收到响应信号后,打开随机端口1031,与B机的木马端口7626建立连接 。只有这样才能真正建立特洛伊木马连接 。值得一提的是,扫描整个IP地址段显然费时费力 。一般来说,控制端首先通过信息反馈获取服务器的IP地址 。因为拨号上网的IP是动态的,即用户每次上网的IP不同,但这个IP在一定范围内变化 。如图,B机的IP是202.102.47.56,所以B机的互联网IP变化范围是202.102.000.000-202 。6.远程控制:木马连接建立后,控制端口和木马端口之间会出现一个通道 。如下图所示,控制端的控制程序可以通过这个通道与服务器上的木马程序取得联系,通过木马程序远程控制服务器 。接下来我们将介绍控制端可以享有的具体控制权限,这个权限远远大于你的想象 。
(1)窃取密码:所有明文,*或缓存在缓存中的密码都可能被木马检测到 。此外,很多木马还提供按键记录功能,会记录服务器的每一次按键,所以一旦有木马入侵,密码很容易被盗 。
(2)文件操作:控制终端可以通过远程控制对服务器上的文件进行删除、创建、修改、上传、下载、运行、更改属性,基本涵盖了WINDOWS平台上的所有文件操作功能 。
(3)修改注册表:控制端可以任意修改服务器注册表,包括删除、创建或修改主键、子项和键值 。有了这个功能,控制终端可以禁止在服务器上使用软驱和光驱,锁定服务器上的注册表,将服务器上木马的触发条件设置得更加隐蔽 。
【你知道木马病毒的原理吗? 木马病毒】(4)系统操作:此内容包括重启或关闭服务器操作系统、断开服务器网络连接、控制服务器鼠标键盘、监控服务器桌面操作、查看服务器进程等 。控制终端甚至可以随时向服务器发送信息 。想象一下,当服务器桌面上突然弹出一段话,并不可怕 。
推荐阅读
- 湖北省中医院为什么那么贵 湖北省中医院怎么样
- 担保人的房子能查封吗 担保人被起诉如何自保
- 买平板不办公买哪种好 平板电脑怎么样
- 天赋异禀北极星洗浴 天赋异禀北极星
- 东芝硬盘有缺点 东芝硬盘怎么样
- 濠州是现在的哪个城市 濠州是现在的什么城市
- 家里没养动物为什么会有跳蚤 家里为什么会有跳蚤
- cad2016怎么闭合多段线 AutoCAD2016设置闭合多线段的具体步骤
- 狮王去污笔只能用白衣服吗