资源描述:
《关于特洛伊木马攻击的探析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、关于特洛伊木马攻击的探析摘要:木马是计算机X络四大公害之一,对计算机的安全带来了严重的威胁。文章主要对木马攻击的原理与进行了分析,并接受了对其进行检测与删除的一般方法。 关键词:木马攻击检测删除 :TP393.08:A:1007-9416(2011)03-0126-02 1、引言 特洛伊木马来自于希腊神话,这里指的是一种黑客程序,它一般有两个程序,一个是服务器端程序,一个是控制器端程序。如果用户的电脑安装了服务器端程序,那么黑客就可以使用控制器端程序进入用户的电脑,通过命令服务器断程序达到控制用户电
2、脑的目的。 对个人电脑上X构成威胁最大的就是病毒和特洛伊木马(以下简称木马)。首先,中了木马的电脑什么安全性也没有了,拨号上X的密码、信箱密码、主页密码、甚至X络信用卡密码也会被偷走。其次,黑客如果携带病毒,就可以通过木马传染到用户的电脑中去,电脑里所有的操作对方也都可以完成,包括格式化。特洛伊木马程序常常做一些人们意想不到的事情,如在用户不察觉时窃取口令和拷贝文件。因此,为了保护电脑的安全,有必要对木马的攻击原理进行详细探析,寻求有效的木马探测方法。 2、木马的攻击 2.1木马服务端程序的植入 攻
3、击者要通过木马攻击用户的系统,一般他所要作的第一步就是要把木马的服务器端程序植入用户的电脑里面。植入的方法有: 2.2.1下载的软件 木马执行文件非常小,大到都是几K到几十K,把木马捆绑到其他的正常文件上,用户会很难发现的。有一些X站提供的下载软件往往是捆绑了木马文件的,在用户执行这些下载的文件,也同时运行了木马。 2.2.2通过交互脚本 木马可以通过Script、ActiveX以及Asp、Cgi交互脚本的方式植入,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木
4、马甚至直接对浏览者电脑进行文件操作等控制。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行目录的文件夹里面,他可以通过编制Cgi程序在攻击主机上执行木马程序。 2.2.3通过系统漏洞 木马还可以利用系统的一些漏洞进行植入,如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并且同时在攻击服务器中执行远程木马执行文件。 2.2木马将入侵主机信息发送给攻击者 木马在被植入攻击主机后,他一般会通过一定的方式把入侵主机的信息、如主机的IP地址、木马植入的端口等发送给攻
5、击者,这样攻击者就可以与木马里应外合控制受攻击主机。 在早期的木马里面,大多数都是通过发送电子邮件的方式把入侵主机的信息告诉攻击者,有一些木马文件干脆把主机所有的密码有邮件的形式通知给攻击者,这样攻击都不用直接连接攻击主机即可获得一些重要数据,如攻击OICQ密码的GOP木马等。使用电子邮件的方式对攻击者来说并不是最好的一种选择,因为如果木马被发现,可能通过这个电子邮件的地址能够找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。 2.3木马程序启动并发挥作用 黑客通常都是
6、和用户的电脑中木马程序联系,当木马程序在用户的电脑中存在的时候,黑客就可以通过控制器断的软件来命令木马做事。这些命令是在X络上传递的,必须要遵TCP/IP协议。TCP/IP协议规定电脑的端口有256×256=65536个,从0到65535号端口,木马可以打开一个或者几个端口,黑客使用的控制器断软件就是通过木马的端口进入用户的电脑的。 每个木马所打开的端口是不同的,根据端口号,可以识别不同的木马,比如SPY木马的端口是7306、SUB7的端口是1243。但是,有些木马的端口号是可以改变的,比如SUB7,黑客通过
7、控制器断的软件可以将端口改变为12345等号码。特洛伊木马要能发挥作用必须具备三个因素:(1)木马需要一种启动方式,一般在注册表启动组中;(2)木马需要在内存中才能发挥作用;(3)木马会打开特别的端口,以便黑客通过这个端口和木马联系。基于这三点,可以采用相关对策来删除木马,以防御黑客的攻击。 3、特洛伊程序的检测与删除 检测一个特洛伊程序,常用以下方法:(1)通过检查文件的完整性来检测特洛伊程序;(2)利用专门检测技术MD5。当检测到木马后,最简单的删除方法是安装杀毒软件,现在很多杀毒软件都能删除多种木
8、马,如LockDo软件看以下内存中正在运行着哪些软件,把这些软件名称和其在硬盘的位置记下,终止某个程序,如果端口是开放的,那么被你终止运行的程序就不是木马,然后继续终止下一个,直到端口不再开放,也就是找到了木马。在ATM中可以看到“标志”带“S”的程序是后台运行的,带“S”标志的一般有两种:一种是系统文件,另一种就是木马。终止系统文件的运行可能导致死机,所以在终止程序运行时要小心注意。
