木马病毒(你知道木马病毒的原理吗?)
木马原理基础知识
在介绍木马的原理之前,有一些木马的基础知识,我们应该先在技术资源网进行讲解,因为下面有很多地方会提到这些内容。
一个完整的木马系统由硬件部分、软件部分和具体的连接部分组成。
(1)硬件部分:建立木马连接所必需的硬件实体。主人:远程控制服务器的一方。服务器:由受控终端远程控制的一方。互联网:主机远程控制服务器和传输数据的网络载体。
(2)软件部分:实现远程控制所必需的软件程序。主程序:主机用来远程控制服务器的程序。木马程序:潜入服务器获取其操作权限的程序。木马配置程序:设置端口号、触发条件、木马名称等的程序。以使其更好地隐藏在服务器中。
(3)具体连接部分:通过INTERNET在服务器和主机之间建立木马通道所需的要素。主机IP、服务器IP:即主机和服务器的网络地址,也是木马进行数据传输的目的地。主控技术资源网口、木马口:即主控和服务器的数据入口,通过它数据可以直接到达主控程序或木马程序。
木马
利用木马作为黑客工具入侵网络大致可以分为六个步骤(详见下图)。我们将按照这六个步骤详细讨论木马的攻击原理。
1.配置特洛伊木马
一般来说,设计好的木马都有木马配置程序。从具体的配置内容来看,重要的是要达到以下两个效果:
(1)木马伪装:为了在服务器端尽可能的隐藏木马,木马配置器会采用多种模仿技术,如纠正图标、绑定文件、自定义端口、自烧等。,这将在“传播特洛伊木马”一节中详细描述。
(2)信息反馈:木马配置程序会设置信息反馈的方式或地址,如设置信息反馈的邮箱地址、IRC号、ICO号等。,这将在“信息反馈”一节中详细描述。2.传播木马
(1)流通方式:
传播木马有两种重要方式:一种是通过E-MAIL,主人以附件的形式发送木马,收件人只要打开附件系统就会感染木马;另一个是软件下载。一些非正规网站以提供软件下载为名,将木马绑定到软件安装程序上。下载后,木马一运行就会主动安装这些程序。
(2)假装方法:
鉴于木马的危害性,很多人对木马还是有一定的了解,对木马的传播起到一定的抑制作用,这是木马设计者不愿意看到的。因此,他们开发了各种功能来冒充木马,以降低用户的警惕性,欺骗用户。
(1)校正图标
当你在电子邮件的附件中看到这个图标时,你认为它是一个文本文件吗?但我不得不告诉你,它也可能是一个木马程序。现在有木马可以把木马服务器程序的图标改成HTML、TXT、ZIP等文件的图标,相当混乱。但目前提供这种效果的木马并不多见,这种伪装也不是无懈可击的,没必要整天提心吊胆,疑神疑鬼。
(2)具有约束力的文件
这个假手腕就是把木马绑在安装者身上。安装程序运行时,木马潜入系统,用户并未察觉。至于捆绑的文件,一般都是可执行文件(即EXE、COM等文件)。
(3)错误显示
任何了解木马的人都知道,如果打开一个文件没有任何响应,很可能是木马程序,而木马的设计者也意识到了这个缺点,所以某个木马提供了一个叫错误显示的功能。当服务器用户打开Muma程序时,会弹出一个bug提醒框,如下图所示(当然是false)。bug内容可以自由定义,大部分都会定制成类似“文件损坏无法打开!”等等,当服务器用户相信是真的时候,木马就悄悄入侵系统了。
(4)定制端口
很多老木马端口都是固定的,这给判断是否感染木马带来了方便。只需查看具体端口就知道感染了哪些木马,所以现在很多新木马都参与了自定义端口的功能,主控端用户可以选择1024到65535之间的任意端口作为木马端口(一般不选择1024以下的端口),这就给确定感染木马的类型带来了麻烦。
(5)自燃
这个效果是为了填补木马的一个缺点。我们知道,当服务器用户打开包含木马的文件时,木马会将自己复制到WINDOWS的系统文件夹(C:WINDOWS或C:WINDOWSSYSTEM目录)。一般来说,原始木马文件的大小与系统文件夹中的木马文件大小相同(捆绑文件的木马除外),所以被木马攻击过的朋友只需要在最近收到的信件和下载的软件中找到原始木马文件,然后根据原始木马的大小去系统文件夹中查找相同大小的文件即可。木马的自烧效应是指木马安装后,原有的木马文件会被主动烧毁,服务器用户很难找到木马的来源,没有查杀木马的工具支持,很难删除木马。
(6)木马改名。
安装在系统文件夹中的木马的文件名一般都是固定的,所以只要根据一些关于查杀木马的文章在系统文件夹中查找具体的文件,就可以判断什么是木马。所以现在很多木马都允许控制端的用户自由自定义安装的木马的文件名,所以很难判断被污染的木马类型。3.运行木马服务器的用户运行木马或捆绑木马程序后,木马会主动安装。首先将自己复制到WINDOWS的系统文件夹(C:WINDOWS或C:WINDOWSSYSTEM目录),然后在注册表、启动组和非启动组中设置木马的触发条件,从而完成木马的安装。安装后,木马即可启动。具体流程见下图:
(1)触发条件激活木马触发条件是指启动木马的条件,一般出现在以下八个地方:
1.注册表:打开HKEY _ local _ machine software Microsoft windows current version 下的五个Run和RunServices主键,查找可能用于启动木马的键值。
2.win.ini:C: Windows目录下有一个配置文件win . ini,用文本方法打开。在[windows]字段中,有启动命令load=和run=,通常为空白色。如果有启动程序,可能是木马。3.有一个配置文件3。系统. INI:C:WINDOWS目录,用文本方式打开。[386Enh]、[mic]和[drivers32]中有命令行,可以找到木马的启动命令。
4.Autoexec.bat和Config.sys:驱动器C根目录下的这两个文件也可以启动木马。但是这种加载方式一般需要掌握终端用户和服务器之间的连接,将同名的文件上传到服务器来覆盖这两个文件。
5.*.INI:即使用程序的启动配置文件,掌握这些文件在末端的应用可以启动程序的特点,将制作好的同名文件与木马启动命令一起上传到服务器,覆盖同名文件,从而达到启动木马的目的。
6.注册表:打开HKEY _ class _ ROOT 文件类型 shell open 命令主键并检查其键值。比如国内的木马“冰川”就是纠正HKEY _ class _ root txt file shell open 命令下的键值,改“C :WINDOWS NOTEPAD”。EXE %1 "到" C: Windows system syxxxplr . EXE % 1 "还需要说明的是,不仅TXT文件,木马也可以通过修正HTML、EXE、ZIP等文件的启动命令的键值来启动。唯一不同的是“文件类型”的不同,TXT是TXTfile,Zip是WINZIP,大家可以试着找一下。
7.绑定文件:要实现这个触发条件,首先要掌握服务器和客户端已经通过木马建立了连接,然后掌握最终用户用工具软件将木马文件与某个应用程序绑定,再上传到服务器覆盖原始文件,这样即使木马被删除,只要与木马捆绑的应用程序在技术资源网络中运行,木马就会重新安装。
8.启动菜单:“启动-程序-启动”选项下也可能存在木马的触发条件。(2)木马激活后进入内存,打开预定义的木马端口,准备与主终端连接。此时,服务器用户可以键入NETSTAT -AN来检查MS-DOS方法下的端口状态。一般来说,个人电脑在脱机时不会打开端口。如果有端口打开,要注意是否感染了木马。以下是计算机感染木马后使用NETSTAT命令检查端口的两个例子:①服务器与主机连接时的显示状态,②服务器与主机未连接时的显示状态。在上网的过程中,必须打开一些端口来下载软件、发送信件、在线聊天等。以下是一些常用的端口:
(1) 1-1024端口:这些端口称为保存端口,是为一些外部通信程序设计的,如FTP应用程序21、SMTP应用程序25、POP3应用程序110等。只有少数特洛伊木马会将保存端口用作特洛伊木马端口。
(2)1025以上的持久端口:在线阅读网站时,阅读器会打开几个持久端口,将文字和图片下载到本地硬盘。这些端口是1025以上的持久端口。
(3)4000端口:这是OICQ的通信端口。
(4)端口6667:这是IRC的通信端口。除了上述端口之外,如果在本发明中还打开了其他端口,尤其是数值较大的端口,就有必要怀疑它们是否被木马污染了。当然,如果木马有自定义端口的功能,任何端口都可能是木马端口。四.信息泄露:
一般来说,设计良好的木马都有信息反馈机制。所谓信息反馈机制,就是木马安装成功后,会收集服务器的一些软硬件信息,通过E-MAIL、IRC或ICO告诉主用户。下图是典型的信息反馈邮件。
从这封邮件中,我们可以知道服务器的一些软硬件信息,包括应用操作系统、系统目录、硬盘分区状态、系统密码等。在这些信息中,最重要的就是服务器IP,因为只有获取这个参数,掌握服务器的能力,与服务器建立连接,我们才会在下一节教具体的连接方法。5.设置连接:在本节中,我们将教您如何设置特洛伊木马连接。建立木马连接首先要满足两个条件:一是服务器上已经安装了木马程序;第二,主终端和服务器终端都应该在线。基本上,主终端可以通过木马端口与服务器终端连接。为了便于讲解,我们采取图文并茂的情境进行教学。如上图所示,机器A是主终端,机器B是服务器终端。机器A要和机器B建立连接,需要知道机器B的木马端口和IP地址,既然木马端口是机器A预设的并且已知,那么最重要的就是如何获取机器B的IP地址,获取机器B的IP地址有两个重要途径:信息反馈和IP扫描。对于前面一节已经介绍过的前一个问题,我们在这里不再重复。我们将重点关注IP扫描。由于B机装有木马程序,其木马端口7626是开放的,所以现在A机只需要扫描IP地址段中端口7626开放的主机。比如图中机器B的IP地址是202.102.47.56。当机器A扫描这个IP时,发现它的端口7626是开放的,所以这个IP将被添加到列表中。然后A机可以通过木马控制终端程序向B机发送连接信号。机器B中的木马程序收到信号后会立即响应。当A机收到响应信号后,会打开立即端口1031与B机的木马端口7626连接,这时才会真正建立木马连接。值得一提的是,扫描所有的IP地址段显然是费时费力的。一般来说,主终端首先通过信息反馈获取服务器终端的IP地址。因为拨号上网的IP是动态的,也就是用户每次上网的IP是不一样的,但是这个IP在一定的范围内变化。如图,机器B的IP为202.102.47.56,因此机器B的IP变化规模为202.102.000.000-202。6.远程掌握:木马连接建立后,主端口和木马端口之间会出现一个通道,如下图所示。主终端上的主程序可以通过这个通道与服务器上的木马程序取得联系,通过木马程序远程掌握服务器。先说大师可以享受的具体权限,比你想象的要大很多。
(1)窃取密码:明文中的所有情况,*缓存在缓存中的情况或密码都可以被木马检测到。此外,很多木马还提供按键记录功能,会记录服务器的每一次按键,所以一旦有木马入侵,密码很容易被盗。
(2)文件操作:主控通过远程控制,可以对服务器上的文件进行删除、创建、修改、上传、下载、运行、更改属性,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:主机可以任意修改服务器注册表,包括删除、创建或修改主键、子项和键值。有了这个效果,主人可以停止服务器上软驱和光驱的应用,锁定服务器上的注册表,将服务器上木马的触发条件设置得更加隐蔽。
(4)系统操作:此内容包括重启或关闭服务器操作系统、断开服务器网络连接、掌握服务器鼠标键盘、监督服务器桌面操作、检查服务器进程等。主人甚至可以随时向服务器发送消息。想象一下,当服务器桌面上突然跳出一个段落,跳起来并不可怕。