礦機木馬是如何入侵的
① 木馬的入侵的手段
木馬入侵手段及防範措施
前言
木馬,全稱特洛伊木馬(Trojan horse),這個詞語來源於古希臘神話,在計算機領域是一種客戶/伺服器程序,是黑客最常用的基於遠程式控制制的工具。目前,比較有名的國產木馬有:「冰河」、「廣外女生」、「黑洞」、「黑冰」等;國外有名的木馬則有:「SubSeven」、「Bo2000(Back Orifice)」、「NetSpy」、「Asylum」等。木馬對計算機系統和網路安全危害相當大,因此,如何防範特洛伊木馬入侵成為了計算機網路安全的重要內容之一。
1 木馬的實現原理及特徵
1.1 木馬的實現原理
從本質上看,木馬都是網路客戶/服務模式,它分為兩大部分,即客戶端和服務端。其原理是一台主機提供服務(伺服器) ,另一台主機接受服務(客戶機),作為伺服器的主機一般會打開一個默認的埠進行監聽。如果有客戶機向伺服器的這一埠提出連接請求,伺服器上的相應程序就會自動運行,來應答客戶機的請求。這個程序被稱為守護進程。
當攻擊者要利用木馬進行網路入侵,一般都要完成「向目標主機傳播木馬」,「啟動和隱藏木馬」,「建立連接」,「遠程式控制制」等環節。
1.2 木馬的特徵
一個典型的木馬程序通常具有以下四個特徵:隱蔽性、欺騙性、頑固性和危害性。
(1)隱蔽性:隱蔽性是木馬的生命力,也是其首要特徵。木馬必須有能力長期潛伏於目標機器中而不被發現。一個隱蔽性差的木馬往往會很容易暴露自己,進而被殺毒(或殺馬)軟體,甚至用戶手工檢查出來,這樣將使得這類木馬變得毫無價值。木馬的隱蔽性主要體現在以下兩方面:
a.不產生圖標。木馬雖然在系統啟動時會自動運行,但它不會在「任務欄」中產生一個圖標。
b.木馬自動在任務管理器中隱藏或者以「系統服務」的方式欺騙操作系統。這也就使得要及時了解是否中了木馬帶來了一定的困難。
(2)欺騙性:木馬常常使用名字欺騙技術達到長期隱蔽的目的。它經常使用常見的文件名或擴展名,如dll、win、sys、explorer等字樣,或者仿製一些不易被人區別的文件名,如字母「l」與數字「1」、字母「o」與數字「0」,常常修改幾個文件中的這些難以分辨的字元,更有甚者乾脆就借用系統文件中已有的文件名,只不過它保存在不同路徑之中而已。
(3)頑固性:很多木馬的功能模塊已不再是由單一的文件組成,而是具有多重備份,可以相互恢復。當木馬被檢查出來以後,僅僅刪除木馬程序是不行的,有的木馬使用文件關聯技術,當打開某種類型的文件時,這種木馬又重新生成並運行。
(4)危害性:當木馬被植入目標主機以後,攻擊者可以通過客戶端強大的控制和破壞力對主機進行操作。比如可以竊取系統密碼,控制系統的運行,進行有關文件的操作以及修改注冊表等。
2 木馬入侵手段
木馬能不能完全發揮它的功能和作用,關鍵一步就是能否成功地進入到目標主機。隨著網路知識的普及以及網路用戶安全意識的提高,木馬的入侵手段也隨著發生了許多變化。
2.1木馬的傳統入侵手段
所謂傳統入侵手段就是指大多數木馬程序採取的、已經廣為人知的傳播方式,主要有以下幾種:
1)電子郵件(E-mail)進行傳播:攻擊者將木馬程序偽裝成E-mail附件的形式發送過去,收信方只要查看郵件附件就會使木馬程序得到運行並安裝進入系統。
2)網路下載進行傳播:一般的木馬服務端程序都不是很大,最大也不超過200K,有的甚至只有幾K。如果把木馬捆綁到其它正常文件上,是很難發現的。一些非正規的網站以提供軟體下載為名,將木馬捆綁在軟體安裝程序上,下載後,只要運行這些程序,木馬就會自動安裝。通過Script、ActiveX及Asp、Cgi交互腳本的方法傳播:由於微軟的瀏覽器在執行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對瀏覽者主機進行文件操作等控制。如果攻擊者有辦法把木馬服務端程序上載到目標主機的一個可執行WWW目錄夾裡面,他就可以通過編制Cgi程序在被攻擊的目標主機上執行木馬程序。
3)網頁瀏覽傳播:這種方法利用Java Applet編寫出一個HTML網頁,當我們瀏覽該頁面時,Java Applet會在後台將木馬程序下載到計算機緩存中,然後修改注冊表,使指向木馬程序。
4)利用系統的一些漏洞進行傳播:如微軟著名的IIS伺服器溢出漏洞,通過一個IISHACK攻擊程序即可把IIS伺服器崩潰,並且同時在受控伺服器執行木馬程序。
5)遠程入侵進行傳播:黑客通過破解密碼和建立IPC$遠程連接後登陸到目標主機,將木馬服務端程序拷貝到計算機中的文件夾(一般在C:\WINDOWS\system32或者C:\WINNT\system32)中,然後通過遠程操作讓木馬程序在某一個時間運行。
2.2 木馬入侵手段的發展
以上的木馬入侵手段雖然使用廣泛,但也很容易引起用戶的警覺,所以一些新的入侵手段也相繼出現,主要有:
1) 基於DLL和遠程線程插入的木馬植入
這種傳播技術是以DLL的形式實現木馬程序,然後在目標主機中選擇特定目標進程(如系統文件或某個正常運行程序),由該進程將木馬DLL植入到本系統中。
DLL文件的特點決定了這種實現形式的木馬的可行性和隱藏性。首先,由於DLL文件映像可以被映射到調用進程的地址空間中,所以它能夠共享宿主進程(調用DLL的進程)的資源,進而根據宿主進程在目標主機的級別未授權地訪問相應的系統資源。其次,因為DLL沒有被分配獨立的進程地址空間,也就是說DLL的運行並不需要創建單獨的進程,所以從系統的進程列表裡看不見DLL的運行蹤跡,從而可以避免在目標主機中留下木馬進程蹤跡,因此滿足了隱蔽性的要求。將木馬程序以DLL的形式實現後,需要使用插入到目標進程中的遠程線程將該木馬DLL插入到目標進程的地址空間,即利用該線程通過調用Load Library函數來載入木馬DLL,從而實現木馬的傳播。
2)利用蠕蟲病毒傳播木馬
以前的木馬傳播大都比較被動,而使用E-mail傳播效率又太低,系統漏洞很快又被打上補丁,所以在某種程度上限制了木馬的傳播能力。網路蠕蟲病毒具有很強的傳染性和自我復制能力,將木馬和蠕蟲病毒結合在一起就可以大大地提高木馬的傳播能力。結合了蠕蟲病毒的木馬利用病毒的特性,在網路上大批量地進行傳播、復制,這就加快了木馬的傳播速度,擴大了其傳播范圍。
3 木馬的防範措施
為了減少或避免木馬給主機以及網路帶來危害,我們可以從兩方面來有效地防範木馬:使用防火牆阻止木馬入侵以及及時查殺入侵後的木馬。
防火牆是抵擋木馬入侵的第一道門,也是最好的方式。絕大多數木馬都是必須採用直接通訊的方式進行連接,防火牆可以阻塞拒絕來源不明的TCP數據包。防火牆的這種阻塞方式還可以阻止UDP、ICMP等其它IP數據包的通訊。防火牆完全可以進行數據包過濾檢查,在適當規則的限制下,如對通訊埠進行限制,只允許系統接受限定幾個埠的數據請求,這樣即使木馬植入成功,攻擊者也是無法進入到你的系統,因為防火牆把攻擊者和木馬分隔開來了。但是,仍然有一些木馬可以繞過防火牆進入目標主機(比如反彈埠木馬),還有一些將埠寄生在合法埠上的木馬,防火牆對此也無能為力。因此,我們必須要能迅速地查殺出已經入侵的木馬,並刪除文件!
② 木馬是怎樣入侵電腦的
通過電腦或者軟體的漏洞進行入侵,一般的木馬都會繞防火牆的。
③ 木馬如何入侵
可能是你系統中的漏洞太多了,所以很容易中標,建議你定期用360安全衛士掃描修復一下漏洞,把360安全衛士和360殺毒升級到最新版本,上網時注意點一般是不會有問題的,希望對你有用。
④ 木馬病毒的入侵途徑有哪些
1、捆綁欺騙。把木馬服務端和某個游戲捆綁成一個文件在QQ或郵件發給別人。服務端運行後會看到游戲程序正常打開,卻不會發覺木馬程序已經悄悄運行,可以起到很好的迷惑作用。而且即使別人以後重裝系統了,他還是保存你給他的這個「游戲」的話,還是有可能再次中招。
2、這是教科書式的老式欺騙,方法如下:直接將木馬服務端發給對方,對方運行,結果毫無反應(運行木馬後的典型表現),他說:「怎麼打不開呀!」你說:「哎呀,不會程序是壞了吧?」或者說:「對不起,我發錯了!」然後把正確的東西(正常游戲、相片等)發給他,他收到後歡天喜地的就不想剛才該發生的事有什麼不對勁了。
3、QQ冒名欺騙。前提:你必須先擁有一個不屬於你自己的QQ號。然後使用那個號碼給他的好友們發去木馬程序,由於信任被盜號碼的主人,他的朋友們會毫不猶豫地運行你發給他們的木馬程序,結果就中招了。
4、郵件冒名欺騙。和第三種方法類似,用匿名郵件工具冒充好友或大型網站、機構單位向別人發木馬附件,別人下載附件並運行的話就中木馬了。
5、危險下載點。這是後面幾位朋友提到的,蔬菜常用的方法:(據說他已經用這種方法得到了數千台肉雞)攻破一些下載站點後,下載幾個下載量大的軟體,捆綁上木馬,再悄悄放回去讓別人下載,這樣以後每增加一次下載次數,你就等於多了一台肉雞。或者你乾脆把木馬捆綁到其它軟體上,然後"正大光明"的發布到各大軟體下載網站,它們也不查毒,就算查也查不出我寫的新木馬,然後...我就不用說了,肉機會至少兩位數。
6、文件夾慣性點擊。把木馬文件偽裝成文件夾圖標後,放在一個文件夾中,然後在外面再套三四個空文件夾,很多人出於連續點擊的習慣,點到那個偽裝成文件夾木馬時,也會收不住滑鼠點下去,這樣木馬就成功運行了。
7、zip偽裝。這個方法是最新的,將一個木馬和一個損壞的zip包(可自製)捆綁在一起,然後指定捆綁後的文件為zip圖標,這樣一來,除非別人看了他的後綴,否則點下去將和一般損壞的zip沒什麼兩樣,根本不知道其實已經有木馬在悄悄運行了。
8、在某個公文包或者可以上傳附件的論壇傳上捆綁好的木馬,然後把鏈接發給受害者。
9、網頁木馬法。
⑤ 木馬病毒是怎麼入侵電腦系統的
首先,先跟你解釋下什麼叫木馬:通過入侵電腦(比如網頁、文件、漏洞等),伺機DAO取賬號密碼的惡意程序,它是電腦病毒中一種。通常木馬會自動運行,在你的上網過程中,如果登錄網yin、聊天賬號等,你的個人
安全信息都會被QIE取,從而導致用戶賬號被用、CAI產遭受損失。
推薦試試騰訊電腦管家,它是免費專業安全軟體,殺毒管理二合一(只需要下載一份),占內存小,殺毒好,防護好,無誤報誤殺。擁有雲查殺引擎、反病毒引擎、金山雲查殺引擎、AVIRA查
殺引擎、小紅傘和查殺修復引擎等世界一流殺毒軟體內嵌殺毒引擎!保證殺毒質量。如果遇到頑固木馬,可用首頁——工具箱——頑固木馬剋星,強力查殺,效果相當不錯的。
建議你在用殺毒軟體檢測出木馬病毒後,第一時間進行清除。一般當掃描出木馬後,都會幫您勾選所有木馬,只需要點擊「立即清除」就可以了。有些木馬需要重啟電腦,為了徹底清除危害
千萬不要嫌麻煩哦。
⑥ 木馬是如何入侵的
1,就是通過一些偽裝成正常軟體進入到電腦
2,然後當打開後就不停的給電腦安裝軟體
3,提前給電腦安裝電腦管家並保持開啟,可以直接檢測出此類文件。
⑦ 說明木馬入侵的過程
這些惡意木馬傳播的途徑大部分是利用網頁掛馬的形式,將惡意特徵代碼強行嵌入到受攻擊入侵的Web網頁代碼中,使得計算機用戶很難識別這些已經被掛馬的Web網頁。一旦計算機用戶訪問這個含有惡意代碼的Web網頁,操作系統就會在後台按照這段惡意代碼的指令進行一系列的破壞行為。
以上是網站掛馬傳播的
⑧ 撒旦挖礦木馬是怎麼侵入電腦的
該變種利用永恆之藍漏洞進行網路攻擊,一旦入侵成功,就會上傳中毒電腦信息、更新病毒模塊、下載執行挖礦模塊以及執行網路攻擊模塊進行蠕蟲式擴散。由於該變種具備感染性強、傳播速度快、波及范圍廣等顯著特點,極易在企業內網爆發,需要引起行業用戶及安全業界的高度警惕。可以用騰訊電腦管家進行防禦的
⑨ 木馬入侵主要手段
木馬,全稱特洛伊木馬(Trojan horse),這個詞語來源於古希臘神話,在計算機領域是一種客戶/伺服器程序,是黑客最常用的基於遠程式控制制的工具。目前,比較有名的國產木馬有:「冰河」、「廣外女生」、「黑洞」、「黑冰」等;國外有名的木馬則有:「SubSeven」、「Bo2000(Back Orifice)」、「NetSpy」、「Asylum」等。木馬對計算機系統和網路安全危害相當大,因此,如何防範特洛伊木馬入侵成為了計算機網路安全的重要內容之一。
1 木馬的實現原理及特徵
1.1 木馬的實現原理
從本質上看,木馬都是網路客戶/服務模式,它分為兩大部分,即客戶端和服務端。其原理是一台主機提供服務(伺服器) ,另一台主機接受服務(客戶機),作為伺服器的主機一般會打開一個默認的埠進行監聽。如果有客戶機向伺服器的這一埠提出連接請求,伺服器上的相應程序就會自動運行,來應答客戶機的請求。這個程序被稱為守護進程。
當攻擊者要利用木馬進行網路入侵,一般都要完成「向目標主機傳播木馬」,「啟動和隱藏木馬」,「建立連接」,「遠程式控制制」等環節。
1.2 木馬的特徵
一個典型的木馬程序通常具有以下四個特徵:隱蔽性、欺騙性、頑固性和危害性。
(1)隱蔽性:隱蔽性是木馬的生命力,也是其首要特徵。木馬必須有能力長期潛伏於目標機器中而不被發現。一個隱蔽性差的木馬往往會很容易暴露自己,進而被殺毒(或殺馬)軟體,甚至用戶手工檢查出來,這樣將使得這類木馬變得毫無價值。木馬的隱蔽性主要體現在以下兩方面:
a.不產生圖標。木馬雖然在系統啟動時會自動運行,但它不會在「任務欄」中產生一個圖標。
b.木馬自動在任務管理器中隱藏或者以「系統服務」的方式欺騙操作系統。這也就使得要及時了解是否中了木馬帶來了一定的困難。
(2)欺騙性:木馬常常使用名字欺騙技術達到長期隱蔽的目的。它經常使用常見的文件名或擴展名,如dll、win、sys、explorer等字樣,或者仿製一些不易被人區別的文件名,如字母「l」與數字「1」、字母「o」與數字「0」,常常修改幾個文件中的這些難以分辨的字元,更有甚者乾脆就借用系統文件中已有的文件名,只不過它保存在不同路徑之中而已。
(3)頑固性:很多木馬的功能模塊已不再是由單一的文件組成,而是具有多重備份,可以相互恢復。當木馬被檢查出來以後,僅僅刪除木馬程序是不行的,有的木馬使用文件關聯技術,當打開某種類型的文件時,這種木馬又重新生成並運行。
(4)危害性:當木馬被植入目標主機以後,攻擊者可以通過客戶端強大的控制和破壞力對主機進行操作。比如可以竊取系統密碼,控制系統的運行,進行有關文件的操作以及修改注冊表等。
2 木馬入侵手段
木馬能不能完全發揮它的功能和作用,關鍵一步就是能否成功地進入到目標主機。隨著網路知識的普及以及網路用戶安全意識的提高,木馬的入侵手段也隨著發生了許多變化。
2.1木馬的傳統入侵手段
所謂傳統入侵手段就是指大多數木馬程序採取的、已經廣為人知的傳播方式,主要有以下幾種:
1)電子郵件(E-mail)進行傳播:攻擊者將木馬程序偽裝成E-mail附件的形式發送過去,收信方只要查看郵件附件就會使木馬程序得到運行並安裝進入系統。
2)網路下載進行傳播:一般的木馬服務端程序都不是很大,最大也不超過200K,有的甚至只有幾K。如果把木馬捆綁到其它正常文件上,是很難發現的。一些非正規的網站以提供軟體下載為名,將木馬捆綁在軟體安裝程序上,下載後,只要運行這些程序,木馬就會自動安裝。通過Script、ActiveX及Asp、Cgi交互腳本的方法傳播:由於微軟的瀏覽器在執行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對瀏覽者主機進行文件操作等控制。如果攻擊者有辦法把木馬服務端程序上載到目標主機的一個可執行WWW目錄夾裡面,他就可以通過編制Cgi程序在被攻擊的目標主機上執行木馬程序。
3)網頁瀏覽傳播:這種方法利用Java Applet編寫出一個HTML網頁,當我們瀏覽該頁面時,Java Applet會在後台將木馬程序下載到計算機緩存中,然後修改注冊表,使指向木馬程序。
4)利用系統的一些漏洞進行傳播:如微軟著名的IIS伺服器溢出漏洞,通過一個IISHACK攻擊程序即可把IIS伺服器崩潰,並且同時在受控伺服器執行木馬程序。
5)遠程入侵進行傳播:黑客通過破解密碼和建立IPC$遠程連接後登陸到目標主機,將木馬服務端程序拷貝到計算機中的文件夾(一般在C:\WINDOWS\system32或者C:\WINNT\system32)中,然後通過遠程操作讓木馬程序在某一個時間運行。
2.2 木馬入侵手段的發展
以上的木馬入侵手段雖然使用廣泛,但也很容易引起用戶的警覺,所以一些新的入侵手段也相繼出現,主要有:
1) 基於DLL和遠程線程插入的木馬植入
這種傳播技術是以DLL的形式實現木馬程序,然後在目標主機中選擇特定目標進程(如系統文件或某個正常運行程序),由該進程將木馬DLL植入到本系統中。
DLL文件的特點決定了這種實現形式的木馬的可行性和隱藏性。首先,由於DLL文件映像可以被映射到調用進程的地址空間中,所以它能夠共享宿主進程(調用DLL的進程)的資源,進而根據宿主進程在目標主機的級別未授權地訪問相應的系統資源。其次,因為DLL沒有被分配獨立的進程地址空間,也就是說DLL的運行並不需要創建單獨的進程,所以從系統的進程列表裡看不見DLL的運行蹤跡,從而可以避免在目標主機中留下木馬進程蹤跡,因此滿足了隱蔽性的要求。將木馬程序以DLL的形式實現後,需要使用插入到目標進程中的遠程線程將該木馬DLL插入到目標進程的地址空間,即利用該線程通過調用Load Library函數來載入木馬DLL,從而實現木馬的傳播。
2)利用蠕蟲病毒傳播木馬
以前的木馬傳播大都比較被動,而使用E-mail傳播效率又太低,系統漏洞很快又被打上補丁,所以在某種程度上限制了木馬的傳播能力。網路蠕蟲病毒具有很強的傳染性和自我復制能力,將木馬和蠕蟲病毒結合在一起就可以大大地提高木馬的傳播能力。結合了蠕蟲病毒的木馬利用病毒的特性,在網路上大批量地進行傳播、復制,這就加快了木馬的傳播速度,擴大了其傳播范圍。
3 木馬的防範措施
為了減少或避免木馬給主機以及網路帶來危害,我們可以從兩方面來有效地防範木馬:使用防火牆阻止木馬入侵以及及時查殺入侵後的木馬。
防火牆是抵擋木馬入侵的第一道門,也是最好的方式。絕大多數木馬都是必須採用直接通訊的方式進行連接,防火牆可以阻塞拒絕來源不明的TCP數據包。防火牆的這種阻塞方式還可以阻止UDP、ICMP等其它IP數據包的通訊。防火牆完全可以進行數據包過濾檢查,在適當規則的限制下,如對通訊埠進行限制,只允許系統接受限定幾個埠的數據請求,這樣即使木馬植入成功,攻擊者也是無法進入到你的系統,因為防火牆把攻擊者和木馬分隔開來了。但是,仍然有一些木馬可以繞過防火牆進入目標主機(比如反彈埠木馬),還有一些將埠寄生在合法埠上的木馬,防火牆對此也無能為力。因此,我們必須要能迅速地查殺出已經入侵的木馬。木馬的查殺,可以採用自動和手動兩種方式。最簡單的刪除木馬的方法是安裝殺毒軟體,現在很多殺毒軟體能刪除網路上最猖獗的木馬。但是,由於殺毒軟體的升級多數情況下慢於木馬的出現,因此學會手工查殺非常必要。方法是:
1)檢查主機開放的埠
木馬進行通訊時大都會開啟一個通訊埠,這個埠一般是用戶不常見的。檢查埠可以使用專門的埠掃描器,也可以在「命令行提示符」下使用「net stat –an」命令進行查看,如圖1所示。除了伺服器默認使用的埠外,其它的開放埠都要引起警覺。
因為在注冊表中可以設置一些啟動載入項目,所以很多木馬程序都會利用注冊表來啟動自己。事實上,只要是Run\RunOnce\RunonceEx\RunServices\RunServicesOnce等都是木馬程序載入的入口,如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once;HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once或Run Services或RunServicesOnce。檢查這些鍵值下是否有可疑的文件名,如果有,先關閉其進程,再刪除鍵值和相應的應用程序。 對於一些文本(.txt)文件關聯木馬(比如「冰河」)和應用程序(.exe)文件關聯木馬(比如「廣外女生」),除了以上步驟外,還要將HKEY_Classes_ROOT\txtfile\shell\open\command中的鍵值改為「c:\windows\notepad.exe %1」以及將HKEY_Classes_ROOT\exefile\shell\open\command中的鍵值改為「」%1」 %*」。
3)檢查啟動組
雖然木馬隱藏在啟動組並不是十分安全,但這里的確是自動載入運行的好場所,因此還是有木馬在這里駐留。啟動組對應的文件夾為「C:\Documents and Settings\All Users\「開始」菜單\程序\啟動」,要經常檢查這個地方。
除了以上防範措施外,用戶上網時應該避免訪問一些非正規的網站或者下載文件;在收到帶有附件的E-mail時,應該先對附件進行病毒掃描確保安全後再打開。
4 結束語
多年以來,木馬與網路安全技術一直較量著,並且不斷向前發展。未來的計算機木馬將更注重底層的通訊編程,如針對網卡和Modem的通訊編程,這樣可以有效地逃過安全檢測,對網路安全形成新的威脅,我們對它的防範也將更加困難。