木马的植入与隐藏技术分析(2)

有关木马植入和隐藏技术的分析

爱鞫溆ａｎｅｍ土ｆｃ

学术研究

Ｒ萱活ｅａｒｃｈ

用户的按键记录；第二是监视对方，远程控制对方机器；第三是窃取被控端的资源，比如复制、修改．删除对方文件，格式化硬盘，上传下载文件等。总之，木马的功能是非常强大的，下面从植入和隐藏的角度解析木马的植入和隐藏技术．

５木马的植入技术

利用木马进行攻击首先要把木马程序植入到目标系统里面．下面介绍攻击者植入木马的主要手段。

（Ｉ，利用系统的漏洞直接攻击，比如缓冲区溢出攻击是植入木马最常用的手段吐据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的８０％以上．缓冲区溢出（ｂｕｆｆｅｒｏｖｅｒｆｌｏｗ）指的是一种系统攻击的手段．通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。根据溢出发生的位餮将缓冲区溢出漏洞分成三类：

——堆栈型（Ｓｔａｃｋ）缓冲区溢出。

——格式化字符串（ＦｏｒｍａｔＳｔｒｉｎｇ）漏洞。——堆（Ｈｅａｐ）和静态数据（ＢＳＳ）的缓冲区溢出。（２）通过端口入侵，所以，一些著名的端口比如１３９、３３８９等如果不是特别需要，要关闭，或者在需要的时候再打开。

（３）在网站上面挂马（姜太公钓鱼，骡者上钩）。用户在浏览网页时，木马通过ｓｃｒｉｐｔ、ＡｃｔｉｖｅＸ及ＸＭＬ、Ａｓｐ、Ｃｇｉ等交互脚本植入。由于微软的ＩＥ浏览器在执行ｓｃｒｉｐｔ脚本上存在很多漏洞，攻击者把木马与一些含有她交互脚本的网页联系在一起，利用这些漏洞通过交互脚本植入木马。

（４）通过下载传播。这种方式和前面的网站挂马类似，用户下载软件或者游戏之类的对侯＇下载到的实琢上是事先准备好的木马，或者木马捆绑在这些软件上面，现在很多小型的下载网站，这种现象尤其突出．一旦用户运行，就会中招。

（５，通过电子部件传播。这是最简单的方法．一般是以附件的方式给用户发电子邮件，标题或者内容很诱人，引诱用户点击附件，如果用户点击运行了附件，那么用户的电脑就放植入了木马．

（６）在网络上发送超链接，一个常用的方法是通过ＱＱ或者ＭＳＮ发送一个超链接，引诱用户点击，该链接实际指向一个木马，一旦点击，就会教植入木马。不过随着用户安全意识的增强，这种方法成功的概率已经越来越小。

（７）与病毒结合在一起构成复合的恶意程序，利用病毒的传染性进行木马的植人．这种方式。比如前段时间流行的熊猫烧香，变种很多，很多感染了该病毒的机器又同时被中了木马，包括很多盗号木马等。令人防不胜防。

（８）攻击者利用管理上的疏漏或物理防范措麓的不足，

５４

Ｉ凹凹凹。ｃｉｓ哪ａ玑④①曲。①田

获得目标系统的权限。

４木马的隐藏技术

４．１通信隐藏

木马常用隐藏通信的方法有下列几种：

（１）端口隐藏。木马在植入主杌后一般会在１０２４以上的高端口上驻鼹也有些木马采用端口复用技术【”，不打开新的通信端口，而选择一些常用的端口（如８０）实现通信，在收到正常的ＨＴＴＰ请求仍然稻它交与Ｗｅｂ服务器处理，只有在收到一些特殊约定的数据包后，才调用木马。

（２）反向连接技术。主要利用防火墙的漏洞。由于防火墙一般对于连入的链接会进行严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反．反弹端口型木马采用反向连接技术的编程方法：将服务器端（被控制端）使用主动端口．客户扃带＜控翩端）使用被动端口。被植人反弹木马服务器端的计算机定时监测控制端的存在，发现控制端上线立即弹出端口主动连接控制端打开的主动端口。这种连接模式还艟突破内网与外部建立莲接。

（３）隐蔽通道技术。为了使木马客户端和服务器端的通信更加隐蔽，使得穿透防火墙更加容易．常采用所谓的隐蔽通道技术。任何萃蛙用ｊ＃正常的通信手段在网络中传递信息的通道砉墨可以称之为网络隐蔽通道。在ＴＣＰ／碑协议中，有很多设计得不严密的地方可以用来秘密地隐藏信息，特别是在协议的头格式定义中，有很多域都有潜在的危险性，至少有两种途径可以被利用．建立隐蔽通道～是利用ＯＩＸｉｏｎ域和传输数据时通常很少用到的域，二是利用传输数据时必须强制填充的域。还有

就是使用一些特殊的协议，比如ＪＣ艘就是常用的一种方式。

４，２进程隐藏

最简单的进程隐藏方式就是把木马进程改为非常类似于系统进程的名字，有的和系统进程名字很类似，比如ＥｘｐＩｏｒｅｒ．镊ｅ（利用英文字母叩’和阿拉伯数字。ｌ。看起来很像），还有ＳＶＣＨＯＳＴ．ＥＸＥ（利用英文字母。Ｏ”和阿拉伯数字。０”看起

来很像。由予系统中有多个ＳＶＣＨｏ盯ＥＸＥ进程，历以这个

名字迷惑性更强）。有的名字很像系统进程，实际上没有这个系统进程。现在很多木马都是以线程方式，即把木马写成动态链接库（ＤＬＬ）文｛孛，通过ＤＬＬ技术Ⅲ，木马以线程的方式 …… 此处隐藏：137字，全部文档内容请下载后查看。喜欢就下载吧 ……