计算机病毒与反病毒技术合肥工业大学计算机ppt下载

爱问共享资料高等教育频道提供木马.ppt文档免费下载计算机病毒与反病毒技术 下载，数万用户每日上传大量最新资料计算机病毒与反病毒技术 下载，数量累积超一个亿！

计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*计算机病毒与反病毒技术合肥工业大学计算机与信息学院张仁斌计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*主要内容木马的概念木马的伪装手段、隐藏模式、自动开启方法木马的机理以及危害木马的自动开启技术、隐藏技术、远程监视技术第章木马计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的定义木马(TrojanHorse)简称木马是一种恶意程序是一种基于远程控制的黑客软件即使侵入用户的计算机就悄悄地在宿主计算机上运行在用户毫无察觉的状况下使攻击者获得远程访问和控制系统的权限进而在用户的计算机中设置文件、修改注册表、控制光标、监视控制屏幕或毁坏用户信息古亚述之战中利用木马攻陷城现代网络攻击者利用木马采用伪装、欺骗(哄骗Spoofing)等方式开启被攻击的计算机平台中窃取信息实施木马概述计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的定义木马与病毒通常状况下病毒是根据其无法进行自我复制即传染性的特征而定义的木马主要是按照它的有效载体以及是其用途来定义的更多情况下是按照其动机来定义的木马一般不进行自我复制但带有寄生性如捆绑在合法程序中受到安装、启动木马的权限DLL木马甚至采取动态嵌入技术寄生在合法程序的进程中木马一般不具备普通细菌所带有的自我繁殖、主动感染传播等特点但我们习惯上将其纳入广义病毒也就是说木马也是广义病毒的一个子类木马的最后企图是偷窃信息、实施远程监视木马与合法远程控制工具(如pcAnyWhere)的主要差别在于能否具备隐蔽性、是否带有非授权性木马概述计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的结构木马系统工具通常由木马配置程序、控制程序和木马程序(服务器程序)三部分构成木马概述计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的基本原理运用木马实施网络入侵的基本过程木马概述计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的基本原理用netstat查看木马打开的网关木马概述计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的基本原理木马控制端与服务端连接的构建控制端应与服务端建立联结必须知道服务端的木马端口和IP地址由于木马端口是事先设定的为已知项所以很重要的是怎样获得服务端的IP地址获得服务端的IP地址的方式主要有两种：信息反馈和IP扫描木马概述计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的基本原理木马控制端与服务端连接的构建木马概述计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的基本原理木马通道与远程控制木马连接建立后控制端端口和服务端木马端口之间将会出现一条通道控制端上的控制端程序能藉这条通道与服务端上的木马程序获得联系并借助木马程序对服务端进行远程控制实现的远程控制就如同本地操作木马概述计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的基本原理木马的基本原理木马包括客户端和服务器端两个部分也就是说木马虽然是一个服务器客户端程序攻击者通常运用一种称为绑定程序(exebinder)的软件将木马服务器绑定到某个合法工具上促使用户运行合法工具。

只要用户运行该工具木马的服务器就在客户毫无察觉的状况下完成了调试过程攻击者要借助客户端、控与反病毒技术合肥工业大学计算机学院张仁斌*木马程序的手动开启技术木马程序的第一次运行必须用户主动执行这一次主要是运用伪装手段欺骗用户运行调试木马程序。

此后通常会在用户开启系统的同时自动读取木马程序使程序手动运行的方式非常多加载程序到推进组写程序开启模式到注册表的手动开启键值修改Bootini通过注册表里的输入法键值直接挂接启动通过设置Explorerexe启动参数等方式透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的伪隐藏技术进程、线程和服务进程一个正常的Windows应用程序在运行期间还会在平台之中形成一个进程同时每个进程分别对应了一个不同的PID(ProgressID进程标识符)。这个进程会被平台分配一个虚拟的内存地址空间一切相关的程序操作就会在这个虚拟的空间中进行线程一个进程可以存在一个或多个线程线程之间同步执行多种操作。一般状况下线程之间是互相独立的当一个线程发生错误的之后并不一定会导致整个进程的崩溃服务一个进程当以服务的方法工作的之后它将在后台工作Windowsx下不会出现在进程列表中虽然在WindowsNT下依然会显示在进程列表中仍然可以借助服务管理器检查任何的服务程序能否被开启运行透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的伪隐藏技术伪隐藏与真隐藏隐藏木马的服务器端可以伪隐藏也可以是真隐藏伪隐藏指程序的进程一直存在只不过是使他消失在进程列表中真隐藏程序彻底地消失不是以一个进程以及服务的手段工作伪隐藏的方式把木马服务器端的程序登录为一个服务就可以从进程列表中消失因为平台不觉得它是一个进程。

但是这些方式只适用于Windowsx的平台针对WindowsNT、Windows等通过服务管理器照样会看到在平台中登录过的服务透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的伪隐藏技术WindowsNT下的伪隐藏API的拦截技术也堪称进程欺骗技术。在Windows中有多种方法无法见到进程的存在：PSAPI（ProcessStatusAPI）、PDH（PerformanceDataHelper）、ToolHelpAPI。如果无法欺骗客户或入侵测试工具用来查看进程的变量(例如截获相应的API读取替换返回的数据)就完全可推动进程隐藏例如借助完善一个后台的平台钩子拦截PSAPI的EnumProcessModules等相关的变量来推动对进程和服务的泛型调用的控制当测量至进程ID(PID)为木马程序的服务器端进程的之后直接跳过这样就推动了进程的隐藏透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的伪隐藏技术借助注册服务程序实现进程伪隐藏透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的真隐藏技术真隐藏则是使程序彻底地消失不是以一个进程以及服务的方法工作当进程为真隐藏的之后这么这个木马服务器运行期间就不需要具有一般进程的体现也不需要具有服务的体现也就是说完全溶进了平台的内核不把木马作为一个应用程序而把它成为一个线程、一个其他应用程序的线程将其注入到其它应用程序的地址空间而这个应用程序对于平台来说是一个必不可少、绝对安全的程序那样就超过了彻底隐藏的效果这么的结果增加了查杀木马的难度透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的真隐藏技术运用DLL实现简单隐藏假设编写了一个木马DLL并且借助别的进程来运行它如此无论是入侵测试工具还是进程列表中都只会出现该进程而并不会出现该木马DLL如果该进程是可信进程(如资源管理器Explorerexe)那么木马DLL作为该进程的一部分也将变成被信任的一员而为所欲为运行DLL文件更简单的方式是运用RunDLLexeRundllexeMyDllMyFunc如果在MyDllDLL的MyFunc函数中实现了木马的功能在平台管理员看来进程列表中提高的是Rundllexe而并不是木马文件那样只是木马的一种简易欺骗和自我保护方法透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的真隐藏技术DLL木马使用RunDLL的方式进行进程隐藏是简易的但十分易于被识破比较高级的方式是使用DLL木马工作原理是更换常用的DLL文件截获并处置特定的消息将正常的调用转发给原DLL例如Windows的Socketx的变量都存放在wsockdll中可以写一个wsockdll文件替换原来的wsockdll(将其重命名为wsockolddll完全实现原DLL的功能是非常麻烦的事情通常也没这个必要)DLL木马wsockdll只做两件事：一是即使遭遇不了解的调用就直接转发给wsockolddll(使用数组转发器forward)二是遭遇特殊的请求(事先约定的)就解码并处理。

这样理论上即使木马编写者通过Socket远程输入一定的暗号就可以控制wsockdll(木马DLL)做任何操作透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的真隐藏技术DLL木马技术是非常古老的科技从而微软也为此做了非常的应对在Windows的system目录下有一个dllcache目录一旦操作系统发现被保护的DLL文件被窃取(利用数字签名技术)就会自动从dllcache中修复该文件这个方式也不能算是DLL木马的绝佳选择采用动态嵌入技术的DLL木马DLL木马的最高境界是动态嵌入技术动态嵌入技术是指将自己的代码嵌入正在运行的进程中的科技。Windows平台中的每个进程都有自己的私有存储空间通常不容许别的进程对这个私有空间进行操作之后实际上仍然可以运用种种方式开启并操作进程的私有存储。在多种动态嵌入技术(窗口钩子即Hook函数、挂接API、远程线程)中常见的是远程线程技术透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的真隐藏技术在进程中可以借助CreateThread函数构建线程通过CreateRemoteThread也相同可以在另一个进程内建立新线程被组建的远程线程同样可以共享远程进程的地址空间创建一个远程线程进入远程进程的内存地址空间就拥有了该远程进程的权限可以开启一个DLL木马甚至轻易篡改该进程的数据透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的真隐藏技术动态嵌入的推动方法①通过OpenProcess函数开启试图嵌入的进程由于必须读取远程进程的内存地址空间因而需要申请足够的权限包含远程创建线程、远程VM操作、远程VM写权限②为LoadLibraryW函数线程启动DLL木马准备参数LoadLibraryW函数是在kerneldll中定义的一个功能函数用于读取DLL文件它只有一个参数就是DLL文件的绝对路径名(也就是木马DLL文件的全模式文件名)。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-137962-1.html