计算机病毒与反病毒技术合肥工业大学计算机ppt下载(2)

由于木马DLL是在远程进程内调用的因此还必须将这个文件名复制到远程地址空间③计算LoadLibraryW的入口地址启动远程线程LoadLibraryW通过远程线程调用木马DLL透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的真隐藏技术可以用远程线程技术启动木马DLL也可以事先将一段代码复制至远程进程的存储空间之后借助远程线程启动这段代码无论是采用那种方法都是让木马的核心代码运行于别的进程的内存空间那样虽然可较好地隐藏自己也可更好地保护自己这时的木马虽然欺骗、进入用户的计算机或者处于了用户进程的外部。从某些意义上说这样木马已经具有了普通细菌的这些特征如寄生性(与寄主同生共死)透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的秘密信道技术木马程序的数据传递方式运用TCP、UDP传输数据运用WinSock与目标机的选定端口建立联结使用send和recv等API进行数据的释放这些方式的隐蔽性比较差在命令行状态下使用netstat命令就可以查看到当前的活动TCP、UDP连接攻击者为了不使用户察觉其与木马程序之间的通信一直使用各类协议来构建控制服务端的秘密通信隧道借助ICMP协议建立秘密通道利用HTTP协议制定秘密通道透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的秘密信道技术运用ICMP协议建立秘密通道ICMP回显请求(type=)和回显应答(type=)报文规范约定ICMP报文中的标识符和序列号字段由发送端任意选取因此在ICMP包中标识符、序列号和选项数据等个别都能拿来秘密携带信息因为防火墙、入侵检测系统等网络设施一般只检测ICMP报文的首部因此使用ICMP建立秘密通道时通常直接把数据放在选项数据中这类秘密信道可以推动直接的客户端和服务端通信具有准实时的特征透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的秘密信道技术运用HTTP协议建立秘密通道利用反弹端口型木马的ldquo逆向连接rdquo技术构建木马连接是合并端口法使用特殊的方式在一个端口上同时绑定两个TCP或者UDP连接通过把木马端口绑定于特定的服务端口之上除了HTTP的端口并且其秘密通信对防火墙更具迷惑性从而减少秘密通信流量被发觉的风险使用链路伪装技术构建秘密信道将数据插入到HTTP协议报文的一些无用的段内之后借助完善TCP连接的三次握手规则进行秘密通讯透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马的技术木马的技术比如远程监视科技对服务端计算机的监视包括对鼠标、键盘或者屏幕显示、甚至网络流量流向的监控也包含对服务端计算机平台信息(如磁盘信息、操作系统信息、硬件信息)的收集远程控制技术远程控制则是攻击者控制服务端计算机根据自己的需求运行某程序或关停某服务包含控制服务端计算机的光标、键盘、操作系统、文件系统以及使其推进停止某些服务程序或者关闭服务端计算机用途是木马最主要的功能也有木马的最后目的透视木马开发科技计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*中木马后常发生的情况发现下列异常应当检测计算机是否感染了木马当浏览一个网站时弹起来一些广告窗口是很正常的事情虽然即使客户根本没有打开浏览器而浏览器突然自己开启并且处于某个网站这么就要担心是否中了木马正在操作计算机突然一个警告框或者是提问框弹起来问一些用户从来没有在计算机上接触过的难题Windows平台配置经常被莫名其妙地自动更改总是无缘无故地读内存软驱灯就会自己亮起网络连接及键盘屏幕出现异常现象计算机意外地开启了某个端口用嗅探器发现存在异常的网路数据存储拨号上网用户离线操作计算机时突然跳出拨号对话框检测和清除木马计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*检测和消除木马的方式反击恶意代码最佳的武器是最新的、成熟的病毒扫描软件扫描工具无法测量出大多数木马并尽可能地让清理过程自动化许多管理员过分依赖这些专门对于木马的软件来测试和修复木马但这些软件的效果令人质疑至少不值得完全认同更何况任何工具软件在防治新木马时都存在一定的滞后性检测和消除木马计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*检测和消除木马的方式检查和修复木马的通常流程(对于动态嵌入式DLL木马一般不是查看端口而是查看内存模块)木马入侵的一个明显证据是受害计算机上意外地开启了某个端口检测和清除木马用Netstat检测BO木马计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*检测和消除木马的方式WindowsXP的Netstat工具提供了一个新的o选项才能显示出正在使用端口的程序或服务的进程标识符(PID)。

有了PID用任务管理器就可以便于地按照PID找到对应的程序旨在解除之进程标识符PID与映射名称检测和消除木马计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马ldquo广外女生rdquo的分析和清除木马ldquo广外女生rdquo简介是广东外语外贸大学ldquo广外女生rdquo网络小组的作品它可以运行于Windows、WindowsSE、WindowsME、WindowsNT、Windows或即将安装Winsock的Windows上该木马把启动项设在HKLMSOFTWAREClassesexefileshellopencommand下这个注册表项的作用是定义运行能执行文件的格式木马将HKLMSOFTWAREClassesexefileshellopencommand下的字段由原先的ldquo*rdquo修改为ldquoC:WINDOWSSystemDIAGCFGEXE*rdquo包含了木马程序DIAGCFGEXE此后经常再运行任何能执行文件时都应先运行DIAGCFGEXE即启动木马检测和消除木马计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马ldquo广外女生rdquo的分析跟清除木马端口Fport是FoundStone出品的一个用来列出系统中所有开启的TCPIP和UDP端口或者他们对应应用程序的完整模式、PID标识、进程名称等信息的工具。

在命令行中运行fportexe可以发现：检测和消除木马计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马ldquo广外女生rdquo的分析跟清除清除木马由于ldquo广外女生rdquo木马自启动项的特殊性如果先删去C:WINDOWSSystem目录下的DIAGCFGEXE将能够在平台中运行任何能执行文件。因此消除该木马要按如下步骤不能颠倒：()按ldquo开始rdquo菜单选择ldquo运行rdquo输入regedit按确定打开以下字段：HKEYLOCALMACHINESOFTWAREClassesexefileshellopencommand但是不要修改因为即使此时就更改注册表DIAGCFGEXE进程一直会马上把它改过来()打开ldquo任务管理器rdquo找到DIAGCFGEXE这个进程选中它按ldquo结束进程rdquo来打开这个进程。注意一定也不要先关进程再开启注册表管理器否则执行regeditexe时又会开启DIAGCFGEXE检测和清除木马计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*木马ldquo广外女生rdquo的分析跟清除()把HKEYLOCALMACHINESOFTWAREClassesexefileshellopencommand的键名由其实的ldquoC:WINDOWSSystemDIAGCFGEXE*rdquo改为ldquo*rdquo。

这样虽然不删除DIAGCFGEXE文件只要用户不再双击运行之木马才会因无激活机会而不能继续推进破坏()删除C:WINDOWSSystem目录下的DIAGCFGEXE如果应深入探讨这个木马可以在第()步中不删除它还是把它拷贝到其它的目录以便探究检测和消除木马计算机病毒与反病毒技术合肥工业大学计算机学院张仁斌*思考题．简述木马的基本原理。．如何理解木马与病毒的关系？．木马有什么伪装手段、隐藏模式、自动开启方法？．针对木马利用Windows注册表实现自动开启的各类方法(诸键值)查阅与注册表操作相关的API函数编程实现敏感键值的监控与手动修复或恢复。．如何防止木马？结合木马的藏身之所、隐藏技术总结清除木马的方式。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-137962-2.html