木马分析与防范

陆 军, 谭 龙

(黑龙江大学,黑龙江哈尔滨150080)

摘 要: 随着计算机网络飞速发展,网络安全日益成为人们不可忽视的问题.如何防范网络黑客攻击,是当今热门话题.本文重点分析了黑客攻击的手段之一)木马,并提出清除与防范手段,对广大网民具有一定实际意义.

关键词: 信息安全;木马;黑客

中图分类号: TP393.08 文献标识码: A

0 引 言

随着计算机网络技术的飞速发展,越来越多的人体验到网络所带来的便利.但是与此同时,也要无可奈何地面对来自网络安全方面的威胁./病毒0、/黑客0等名词已经为广大网民所熟悉.如何让广大网民认识黑客、了解黑客、防范黑客,使自己的合法权益不受侵害,已经变得刻不容缓.

在众多网络攻击手段中,特洛伊木马可谓独树一帜.

1 木马工作原理及分类

在计算机安全学中,特洛伊木马指一种计算机程序,确切地说是一种网络客户/服务程序,一般由两部分组成:一个是控制端,一个是服务端(木马).服务端程序可以悄悄驻留在目标计算机内,打开某个端口,对其进行侦听.该端口号通常大于1024,因为1024以下的端口是系统保留的.此时,只要用户上网,任何一个拥有控制端程序的人都可以登录到用户的机器上,可能进行任意浏览、读写、查找、删除、获取系统信息、盗取密码、上传、下载等功能以实现对用户计算机的完全控制.

常见木马可以分为以下几类:远程访问型、密码发送型、键盘记录型、毁坏型以及F TP 型.其中,远程访问型是目前使用最广的特洛伊木马.

2 木马发作现象及特点

如果用户计算机中了木马,那么发作时的情况多种多样,这要由木马程序以及控制端程序的功能决定.常见表现如下:

(1)计算机有时死机,有时又重新启动.

(2)莫名其妙读写硬盘或软驱.

(3)没有运行大的程序,系统速度却越来越慢,系统资源占用很多.

(4)在任务表中发现一些陌生的进程名,它们明显不应该出现在这个列表里.

出现上述现象,说明用户计算机有可能中了木马,当然,也有可能是其他病毒在作怪.事实上,大多数木马是非常隐蔽的,这也是木马最大的特点.在执行一次后(通常是用户受到诱骗,接收邮件或下载软件),便驻扎在用户计算机中,每次起机便自动悄然运行,运行时还要在任务栏和任务管理器中隐身,这一点就与远程控制软件有所不同,远程控制软件在目标计算机上会出现很醒目的标志.当该木马相应的控制端程序在被打开端口上请求连接时,木马程序会与控制端程序建立TCP 连接,从而被远程控制.木马另一个特

¹收稿日期:2004-02-24作者简介:陆军(1971-),女,黑龙江哈尔滨人,黑龙江大学计算机科学与技术学院讲师,工学硕士.

第22卷第2期 佳木斯大学学报(自然科学版) Vol.22No.2 2004 年4月 Journal of Jiamusi University (Natural Science Edition)

Apr. 2004

点是其攻击性只有通过里应外合才能发挥威力,且大多数木马本身不会传染,这就与病毒有所不同.但是,目前有些木马的感染方式已经开始转变,它们可以像病毒一样感染Windo ws 下的文件,木马也可以看作是一种特殊的病毒.

3 一个简单的木马实例

下面是用VC ++

6.0制作的一个简单的木马程序.它能获取远程用户计算机的一些系统信息.并可以在远程控制程序的控制下关闭用户计算机.其工作流程如图

1.图1 工作流程

具有上述功能还不够,木马应具有隐蔽性,因此要在应用程序文件zhtApp.cpp 中的InitInstance()函数里添加下列代码:m pMainWnd->Sho wWindo w(SW HIDE);该语句保证木马程序隐藏窗口,不在任务栏中显示;此外,我们还需要隐藏进程,当按下C trl+Alt+Del 键时,木马程序名不出现在任务表中;最后,复制文件到系统目录,并加载注册表,开机时木马自动运行[1].

4 木马清除与防范

下面是控制端程序大致流程如图2.

现在,唯一的问题就是黑客如何让用户在目标机上运行木马程序一次,只需运行一次,就可以使木马程序永久驻留目标机,以便控制该目标机.如果黑客可以从物理上接近目标计算机,就会很方便将木马程序安装到目标机.但大多数情况下是没有机会的,为了远程控制该机,通常可以用E-mail 发给目标计算机上的某一个用户,谎称这是一个游戏或是有用的工具,诱骗用户执行该程序.或者将该木马程序与一个173第2期陆 军等:木马分析与防范

真正的游戏程序捆绑在一起(可以由一个名叫Exe.bind 的程序完成),然后发送给用户,这种方式隐蔽性很高[2]

.

图2 工作流程

通常木马程序隐藏在系统目录下,因为那里程序较多,

如果发现有可疑程序,就去检查注册表中特定的键值,若确

定是木马程序就将其连同该注册表项一起删除,但是当木

马正在运行时是无法删除的,可以重新启动到DOS 方式,

然后将其删除,重新启动时木马就已经被清除了.

具体措施如下:

1)在win.ini 文件中,在[WINDOWS]下面,/run=0和

/load=0是可能加载/木马0程序的途径,一般情况下,它们

的等号后面什么都没有,如果发现后面跟有路径与文件名

不熟悉的启动文件,计算机就可能中上/木马0了.此时,我

们可以编辑win.ini 文件,将[WINDOWS]下面,/run=木马程序0或/load=木马程序0更改为/run=0和/load=0;

2)在syste m.ini 文件中,在[B OOT]下面有个/shell=文件名0.正确的文件名应该是/explorer.e xe 0,如果不是/e xplorer.exe 0,而是/shell=explorer.exe 程序名0,那么后面跟着的那个程序就是木马程序,就是说计算机已经中木马了.因此,我们应当编辑system.ini 文件,将[B OOT]下面的/shell=.木马.文件0,更改为:/shell=explorer.exe 0;

3)注册表中的情况最复杂,通过regedit 命令打开注册表编辑器,在点击/HKEY-LOC AL-MACHINE \\Software \\Microsoft \\Windows \\CurrentVersion \\Run 0目录下,查看键值中有没有不熟悉的自动启动文件,扩展名为EXE,注意:有的/木马0程序生成的文件很像系统自身文件,如expiorer.exe,与真正的E xplorer 之间只有一个字母差别(/i 0与/l 0),很容易蒙混过关.当然在注册表中还有很多地方都可以隐藏木马程序,如:/HKEY-C URRE NT-USER \\Software \\Microsoft \\Windows \\C urrentVersion \\Run 0,/HKE Y-USERS \\****\\Software \\Microsoft \\Windows \\CurrentVersion \\Run 0的目录下都有可能,清除木马程序时,先在/HKE Y-LOC AL-MAC HINE \\Software \\Microsoft \\Windows \\CurrentVersion \\Run 0下找到木马程序的文件名,再在整个注册表中搜索并替换掉木马程序.如果删不掉,就需要记下木马程序的名字与目录,然后退回到MS-DOS 下,找到此木马文件并删除掉.重新启动计算机,然后再到注册表中将所有木马文件的键值删除.

清除已经存在的木马不容易,因为毕竟发现它是困难的.因此应该重在防范.通常有以下注意事项:

(1)不要执行来历不明的程序.(2)不要让不信任的人使用计算机.(3)不要从一些可信度低的站点下载软件.(4)下载的软件一定要用杀毒程序如瑞星,KV300,Anti-Virus,金山毒霸,The Cleaner 等检测,这些软件可以检测并清除一些木马程序,如冰河木马,B O 2000,SubSeven 等.(5)不要打开可疑的电子邮件.(6)使用个人防火墙,监控自己计算机上所有程序的网络活动.

参考文献:

[1] 贾佳,郝洪明.网上警戒)))防范黑客技术[M].北京:电子工业出版社,2002.1.

[2] 徐伟建,严忠军,卢科霞,王凌.防守反击)))黑客攻击手段分析与防范[M ].北京:人民邮电出版社,2001.8.

ANALYSIS AND PREVENTION OF TROJAN HORSE

LU Jun, TAN Long

(H eilongjiang University,H arbin 150080,China)

ABSTRAC T: With the development of internet,the security of network is an important problem.It is a hot topic to defend the attempt of hacker.In this paper,we analyzed one of the methods of attacking-Trojan horse and e xplicated the methods of the prevention.It is important for people .s using internet.

KEY WOR DS: information security;Trojan horse;hacker.174佳木斯大学学报(自然科学版)2004年