维普资讯 http://www.cqvip.com 科 信l息l科I学 木马程序的技术分析与研究 李海龙 (黑龙江工程学院计算机科学与技术系,黑龙江哈尔滨150050) 擅妻:黑客技术对网络安全造成了极大的威胁,特洛伊木马是黑客的主要攻击手段之一,是一种非常危险的恶意程序。使用木马技术,渗透到 对方的主机系统里,从而实现对远程目标主机的操作。其破坏力之大,是绝不容忽视的。从特洛伊木马的分类、原理、编程技术进行介绍,使读者对未 马开发技术中的自加载运行技术、隐藏技术、建立连接的隐藏和发送数据的组织方法做一次彻底的透视。 关键词:木马;远程目标主机;自加载运行技术;隐藏技术 法外,还有很多其他的办法。还有几十种方法 之多,比如可以修改Boot.ini,或者通过注册 表里的输入法键值直接挂接启动,通过修改 Explorer.exe启动参数等等的方法。其他的一 端:对服务端进行远程控制的一方。服务端: 些恶意程序插件、计算机病毒等也都是使用上 被控制端远程控制的一方。INTER_NET:控制 述的方法。 端对服务端进行远程控制,数据传输的网络 3.2木马程序的隐藏技术 载.b.软件部分:实现远程控制所必须的软件程 木马程序的服务器端,为了避免被发现, 序。控制端程序:控制端用以远程控制服务端 多数都要进行隐藏处理,下面让我们来看看木 的程序。木马程序:潜入服务端内部,获取其 马是如何实现隐藏的。 操作权限的程序。木马配置程序:设置木马程 个进程当以服务的方式工作的时候, 序的端口号,触发条件,木马名称等,使其在 它将会在后台工作,不会出现在任务列表中, 服务端藏得更隐蔽的程序Ic.具体连接部分:通 但是,在Windows NT/2Ooo下。仍然可以通过 过INTERNEl"在服务端和控制端之间建立一 服务管理器检查任何的服务程序是否被启动运 一I-r"作原理 特洛伊木马是一种基于C/S架构的网络 通讯软件I11。一个完整的木马系统由硬件部 分,软件部分和具体连接部分组成: 硬件部 分:建立木马连接所必须的硬件实体。控制 EkMicmsoft\Windows\CttrrentVersionsLRtm的方 于TCP,UDP,ICMP工作于网络的应用层不 使用TCP协议 。 3,4发送数据的组织方法 数据的组织方法关键在于传递数据的可 靠性,压缩性,以及高效性。木马程序为了避 免被发现,必须很好的控制数据传输量,—个 编制较好的木马,往往通过是用高级语言编写 自己的传输协议。 4结论 以上叙述的几点技术,基本上包括了第 一代刭第四代木马的特点,个别的木马程序支 条木马通道所必须的元素。控制端IP,服务 端IP:即控制端,服务端的网络地址,也是 木马进行数据传输的目的地。控制端端口,木 马端口:即控制端,服务端的数据人口,通过 这个人口,数据可直达控制端程序或木马程 真隐藏则是让程序彻底的消失。不以一个进程 业科技2002,19(4):54_57. 序。用木马这种黑客工具进行网络入侵,从过 或者服务的方式工作。 【2】邓吉.黑客攻防实战入门【M】.北京:电手 工业出版社.2004. 程上看可分为六步:配置木马;传播木马;运 伪隐藏的方法,是比较容易实现的,只 要把木马服务器端的程序注册为一个服务就可 【3】汤子赢.计算机操作系统原理【M】.北京: 行木马;信息反馈;建立连接;远程控制。 2木马的分类 以了,这样,程序就会从任务列表中消失了, 西安电子科技大学出版社,2001. 从木马的发展史考虑,有人把木马分为 因为系统不认为他是一个进程。当按下cm+ 【4】Jeffe ̄Richter.Windows核心编程【M】.北 lete的时候,也就看不到这个程序。但 京:机械工业出版社,2000. 四代,第一代功能简单,主要对付Unix操作 Ah+De系统,而Windows操作系统木马为数不多, 是,这种方法只适用于Windows9x的系统,对 【5】谢希仁计算机网络(第四版)【M】.北京: 电子工业出版社。2003. 有BO,Ne ̄py等少量木马,功能也非常简单。 于Windows NT,WiMows 2000等。通过服务 第二代功能大大加强,几乎能够进行所有的操 管理器,一样会发现在系统中注册过的服务。 【6】陈贵敏等译.决战恶意代码【M】.北京{电 当然伪隐藏的方法也能用在Windows NT/2Ooo 子工业出版杜,2005. 作,国外有代表性的有B02000和sub7,而国 有冰河和广外女生。第三代继续完善连接与文 下,那就是API的拦截技术,通过建立一个后 【7】Eric Cole.Hiding in Plain Sight:Steganogra- he Art of Convert Communlesttion 件传输技术,并增加了木马穿透防火墙的功能 台的系统钩子,拦截PSAPI的EnumProeess— phy and tdules等相关的函数来实现对进程和服务的 『和“反弹端口 技术,出现了ICMP(Intemet MoJ】,Wiley,2003. Control Message Protoco1)等类型的木马,利 遍历调用的控制,这样就实现了进程的隐藏 【8】Michael Rasmussen.Demand for Endpolnt f.j用畸形报文传递数据,增加了查杀的难度,如 Security Growing.Forrester Research啊,2O05. 国内的“灰鸽子”。第四代木马在进程隐藏方 3-3木马程序的建立连接的隐藏 面,做了大的改动,采用了内核插入式的嵌入 木马程序的数据传递方法有很多种,其 UDP传输数据的方法 方式。利用远程插入线程技术,嵌入DLL线 中最常见的要属TCP,程。或者挂接PSAPI,实现木马程序的隐藏, 了,但是,黑客还是用种种手段躲避了这种 甚至在各版本Windows操作系统下,都达到 侦察,方法大概有两种,一种是合并端口法, 也就是说,使用特殊的手段,在一个端口上同 了良好的隐藏效果 。 3木马编程技术 时绑定两个TCP或者UDP连接,而且已经出 对于木马程序的编写,可以使用高级语 现了使用类似方法的程序,通过把自己的木马 言或者汇编语言。为了实现各种功能,还要使 端口绑定于特定的服务端口之上,比如8O端 用到各种先进的技术,下面介绍木马开发技术 口的H1Ⅵ,,一般没有人怀疑他会是木马程 中的自加载运行技术和隐藏技术,同时附加介 序,从而达到隐藏端口的目地。另外一种办 法,是使用ICMP协议进行数据的发送,原理是 绍木马程序的部分源代码。 3.1木马程序的自加载运行技术 修改ICMP头的构造,加入木马的控制字段, 让程序自运行的方法比较多,除了最常 这样的木马,具备很多新的特点,不占用端口 见的方法:加载程序到启动组,写程序启动路 的特点,使用户难以发觉,同时,使用ICMP 径到注册表的HKEY_LoCAL—MA— 可以穿透一些防火墙,从而增加了防范的难 CHINE、sOF-rW^R 责任编辑:扬帆 度。之所以具有这种特点,是因为ICMP不同 。 持服务器列表,宏传播等,实现上大同小异。 随着软件编程技术的不断更新和发展,木马程 序的功能和特性也会进一步发展,网络的入侵 和防御,基于木马的入侵和防御都在不断发 行131o 展,从根本上防御木马,也只有从我们自身对 想要隐藏木马的服务器端,可以伪隐藏, 木马的认识开始。 也可以是真隐藏。伪隐藏,就是指程序的进程 参考文献 木马攻击与防御啊.北京:河北工 仍然存在,只不过是让他消失在进程列表里。 【1】刑建民.一1OO—