1、第八讲第八讲 计算机木马防范计算机木马防范本讲的目标本讲的目标 了解计算机木马的工作原理了解计算机木马的工作原理 掌握查杀计算机木马的方法(手动方式、专用工具);掌握查杀计算机木马的方法(手动方式、专用工具);授课建议授课建议 了解计算机木马的工作原理了解计算机木马的工作原理 掌握查杀计算机木马的方法(手动方式、专用工具);掌握查杀计算机木马的方法(手动方式、专用工具);木马程序的利用与监测 “木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。木马原则上和Laplink、PCanywhere 等程序一样,只是一
2、种远程管理工具 木马本身不带伤害性,也没有感染力,所以不能称之为病毒(也有人称之为第二代病毒)计算机木马种类计算机木马种类 键盘记录型木马键盘记录型木马主要用来截取用户的密码资料信息,类似于主要用来截取用户的密码资料信息,类似于QQQQ、msnmsn、魔兽世界等大多网游或即使通讯程、魔兽世界等大多网游或即使通讯程序的密码,当然,对于用户网上银行的资料序的密码,当然,对于用户网上银行的资料记录,这类木马也能够记录下来。记录,这类木马也能够记录下来。远程监控型木马远程监控型木马 DosDos攻击木马攻击木马木马技术的发展木马技术的发展第一代木马第一代木马个将自己伪装成特殊的程序或文件的软件,如本身
3、伪装成一个用户登陆窗口,当用户运行了木马伪装的登陆窗口,输入个将自己伪装成特殊的程序或文件的软件,如本身伪装成一个用户登陆窗口,当用户运行了木马伪装的登陆窗口,输入用户名与密码后,木马将自动记录数据并转发给供给者,入侵者借此来获得用户的重要信息,达到自己的目的。用户名与密码后,木马将自动记录数据并转发给供给者,入侵者借此来获得用户的重要信息,达到自己的目的。第二代木马第二代木马有能够进行的远程控制操作有能够进行的远程控制操作第三代木马第三代木马由原来的服务端被动连接变为服务端主动连接由原来的服务端被动连接变为服务端主动连接第四代木马第四代木马远程线程插入技术,将木马线程插入远程线程插入技术,将
4、木马线程插入DLL DLL 线程中,增加了隐藏进程技术线程中,增加了隐藏进程技术 木马连接方式木马连接方式传统方式传统方式端口反弹方式端口反弹方式计算机木马工作原理计算机木马工作原理运行机制运行机制 木马运行机制木马运行机制第一步:木马客户端会将自己的第一步:木马客户端会将自己的IP IP 地址以地址以及监听端口发送给一个及监听端口发送给一个“中间机器中间机器”,如某,如某网页文件,网页文件,http:/ IP 地址和端口信息。地址和端口信息。第三步:木马服务端主动向客户端发出连接第三步:木马服务端主动向客户端发出连接请求,直至双方建立连接成功请求,直至双方建立连接成功计算机木马的工作原理计算
5、机木马的工作原理欺骗方式欺骗方式 捆绑欺骗捆绑欺骗把木马服务端和某个游戏,或者把木马服务端和某个游戏,或者flash flash 文件文件捆绑成一个文件捆绑成一个文件 邮件冒名欺骗邮件冒名欺骗 压缩包伪装压缩包伪装 网页欺骗网页欺骗 利用利用net send net send 欺骗欺骗木马隐藏木马隐藏 在任务栏里隐藏在任务栏里隐藏任务栏中隐藏文件图标任务栏中隐藏文件图标 在任务管理器隐藏在任务管理器隐藏把木马设置为把木马设置为“系统服务系统服务”,通信端口的隐藏通信端口的隐藏 加载方式加载方式 最新隐身技术最新隐身技术通过修改虚拟设备驱动程序通过修改虚拟设备驱动程序(VXD)(VXD)或修改动
6、或修改动态链接库态链接库 (DLL)(DLL)来加载木马来加载木马特洛伊木马隐身方法 主要途径有主要途径有躲避躲避(改成重要的系统文件名)(改成重要的系统文件名)绑定器绑定器(将木马和合法程序混合在一起产生一个可执行的(将木马和合法程序混合在一起产生一个可执行的程序)程序)在任务栏中隐藏自己在任务栏中隐藏自己“化妆化妆”为驱动程序为驱动程序使用动态链接库技术使用动态链接库技术木马启动方式木马启动方式 在在win.iniwin.ini中启动中启动 在在system.inisystem.ini中启动中启动 通过启动组实现自启动通过启动组实现自启动*.ini.ini 修改文件关联修改文件关联 捆绑文
7、件捆绑文件 反弹技术反弹技术木马潜伏时的常见症状木马潜伏时的常见症状 网速突然很慢,系统性能显著下降网速突然很慢,系统性能显著下降 系统进程中出现陌生进程系统进程中出现陌生进程 浏览器经常弹出网页窗口浏览器经常弹出网页窗口 计算机莫名重启或关机计算机莫名重启或关机手工查杀木马手工查杀木马 1.1.查看计算机启动时启动的所有程序有无陌生查看计算机启动时启动的所有程序有无陌生进程进程 2.2.查看系统服务,有无非自身安装的服务。查看系统服务,有无非自身安装的服务。3.3.找到上述两种方式查找出的木马以及其相关找到上述两种方式查找出的木马以及其相关程序路径。程序路径。4.4.结束木马进程,删除木马启
8、动项以及木马本结束木马进程,删除木马启动项以及木马本身。身。灰鸽子的特征灰鸽子的特征灰鸽子木马使用了“线程插入”技术以及“Rootkit 隐藏”技术。其进程在“任务资源管理器”上无法被发现。其次在“服务”列表中也隐藏了起来。灰鸽子木马的客户端在执行后,会将其自身拷贝到系统目录(C:windowssystem32)下,紧接着,会释放出两个dll 文件。比如我们设定的客户端名称是Setup.exe,那么运行该客户端后,会在系统目录下新增Setup.exe、Setup.dll、Setup_Hook.dll 三个文件。其中,Setup.exe 是灰鸽子服务端主程序,Setup.dll 文件实现后门功能
9、,与灰鸽子控制端进行通信。Setup_Hool.dll 则是通过拦截API 调用来隐藏病毒。因此,中了灰鸽子后,我们看不到灰鸽子文件,也看不到灰鸽子在注册表以及服务项里的键值。随着灰鸽子服务端设置的不同,Hook.dll 会插入explorer.exe(或者Iexplore.exe)进程中。由于灰鸽子拦截了API 调用,在常规下,木马程序文件和它注册的服务项均被隐藏,即使用户设置了“显示所有隐藏文件”,在系统目录下你也看不到它们。所以,要清除灰鸽子,用户首先得进入安全模式下。手动清除灰鸽子木马手动清除灰鸽子木马 清除灰鸽子的服务;清除灰鸽子的服务;删除灰鸽子程序文件,重启系统,进入删除灰鸽子程
10、序文件,重启系统,进入“安全安全模式模式”设置显示所有文件设置显示所有文件 在系统目录下,找到在系统目录下,找到Setupdll.dllSetupdll.dll和和Setupapi.dllSetupapi.dll 修改注册表值修改注册表值HKEY_LOCAL_MACHINGSYSTEMCurrentControlSHKEY_LOCAL_MACHINGSYSTEMCurrentControlSetServicesetServices,以点击查找找到灰鸽子对应的服,以点击查找找到灰鸽子对应的服务选项务选项(GrayPigeon)(GrayPigeon)来删除灰鸽子的自启动服来删除灰鸽子的自启动服务
11、。务。木马查杀工具木马查杀工具IceSwordIceSword木马查杀工具木马查杀工具AVG Anti-SpywareAVG Anti-Spyware木马防御方法总结 端口扫描端口扫描扫描程序尝试连接某个端口,如果成功,则说明端口开放;否则扫描程序尝试连接某个端口,如果成功,则说明端口开放;否则关闭。但对于驱动程序关闭。但对于驱动程序/动态链接木马,扫描端口不起作用动态链接木马,扫描端口不起作用 查看连接查看连接在本地机上通过在本地机上通过netstat-anetstat-a查看所有的查看所有的TCP/UDPTCP/UDP连接连接 查看启动文件查看启动文件AUTOEXEC.BAT,CONFIG.SYS,WIN.BAT,SYSTEM.INI,WIN.INIAUTOEXEC.BAT,CONFIG.SYS,WIN.BAT,SYSTEM.INI,WIN.INI 检查注册表检查注册表通过检查注册表来发现木马在注册表里留下的痕迹通过检查注册表来发现木马在注册表里留下的痕迹 查看内存查看内存 查找文件查找文件木马的特征文件,特殊端口木马的特征文件,特殊端口
