第八章 计算机木马防范

1主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院第八讲计算机木马防范2主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院本讲的目标•了解计算机木马的工作原理•掌握查杀计算机木马的方法（手动方式、专用工具）；3主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院授课建议•了解计算机木马的工作原理•掌握查杀计算机木马的方法（手动方式、专用工具）；4主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院木马程序的利用与监测•“木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。•木马原则上和Laplink、PCanywhere等程序一样，只是一种远程管理工具•木马本身不带伤害性，也没有感染力，所以不能称之为病毒(也有人称之为第二代病毒)5主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院计算机木马种类•键盘记录型木马–主要用来截取用户的密码资料信息，类似于QQ、msn、魔兽世界等大多网游或即使通讯程序的密码，当然，对于用户网上银行的资料记录，这类木马也能够记录下来。•远程监控型木马•Dos攻击木马6主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院木马技术的发展•第一代木马–个将自己伪装成特殊的程序或文件的软件，如本身伪装成一个用户登陆窗口，当用户运行了木马伪装的登陆窗口，输入用户名与密码后，木马将自动记录数据并转发给供给者，入侵者借此来获得用户的重要信息，达到自己的目的。•第二代木马–有能够进行的远程控制操作•第三代木马–由原来的服务端被动连接变为服务端主动连接•第四代木马–远程线程插入技术，将木马线程插入DLL线程中，增加了隐藏进程技术典型的C/S结构，隐蔽性差隐藏、自启动和操纵服务器等技术上有长足进步隐藏、自启动和数据传递技术上有根本性进步，出现了以ICMP进行数据传输的木马采用改写和替换系统文件的做法7主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院木马连接方式传统方式端口反弹方式8主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院计算机木马工作原理运行机制•木马运行机制–第一步：木马客户端会将自己的IP地址以及监听端口发送给一个“中间机器”，如某网页文件，，–第二步：木马服务端会连接“中间机器”，获取服务端目前的IP地址和端口信息。–第三步：木马服务端主动向客户端发出连接请求，直至双方建立连接成功9主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院计算机木马的工作原理欺骗方式•捆绑欺骗–把木马服务端和某个游戏，或者flash文件捆绑成一个文件•邮件冒名欺骗•压缩包伪装•网页欺骗•利用netsend欺骗10主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院木马隐藏•在任务栏里隐藏–任务栏中隐藏文件图标•在任务管理器隐藏–把木马设置为“系统服务”，•通信端口的隐藏•加载方式•最新隐身技术–通过修改虚拟设备驱动程序(VXD)或修改动态链接库(DLL)来加载木马11主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院特洛伊木马隐身方法•主要途径有–躲避（改成重要的系统文件名）–绑定器（将木马和合法程序混合在一起产生一个可执行的程序）–在任务栏中隐藏自己–“化妆”为驱动程序–使用动态链接库技术12主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院木马启动方式•在win.ini中启动•在system.ini中启动•通过启动组实现自启动•*.ini•修改文件关联•捆绑文件•反弹技术13主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院木马潜伏时的常见症状•网速突然很慢，系统性能显著下降•系统进程中出现陌生进程•浏览器经常弹出网页窗口•计算机莫名重启或关机14主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院手工查杀木马•1.查看计算机启动时启动的所有程序有无陌生进程•2.查看系统服务，有无非自身安装的服务。•3.找到上述两种方式查找出的木马以及其相关程序路径。•4.结束木马进程，删除木马启动项以及木马本身。15主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院灰鸽子的特征•灰鸽子木马使用了“线程插入”技术以及“Rootkit隐藏”技术。其进程在“任务资源管理器”上无法被发现。其次在“服务”列表中也隐藏了起来。•灰鸽子木马的客户端在执行后，会将其自身拷贝到系统目录（C:\windows\system32）下，紧接着，会释放出两个dll文件。比如我们设定的客户端名称是Setup.exe，那么运行该客户端后，会在系统目录下新增Setup.exe、Setup.dll、Setup_Hook.dll三个文件。•其中，Setup.exe是灰鸽子服务端主程序，Setup.dll文件实现后门功能，与灰鸽子控制端进行通信。Setup_Hool.dll则是通过拦截API调用来隐藏病毒。因此，中了灰鸽子后，我们看不到灰鸽子文件，也看不到灰鸽子在注册表以及服务项里的键值。随着灰鸽子服务端设置的不同，Hook.dll会插入explorer.exe（或者Iexplore.exe）进程中。•由于灰鸽子拦截了API调用，在常规下，木马程序文件和它注册的服务项均被隐藏，即使用户设置了“显示所有隐藏文件”，在系统目录下你也看不到它们。所以，要清除灰鸽子，用户首先得进入安全模式下。16主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院手动清除灰鸽子木马•清除灰鸽子的服务；•删除灰鸽子程序文件，重启系统，进入“安全模式”•设置显示所有文件•在系统目录下，找到Setupdll.dll和Setupapi.dll•修改注册表值HKEY_LOCAL_MACHING\SYSTEM\CurrentControlSet\Services，以点击查找找到灰鸽子对应的服务选项(GrayPigeon)来删除灰鸽子的自启动服务。17主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院木马查杀工具－IceSword18主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院木马查杀工具——AVGAnti-Spyware19主讲人:单蓉胜邮件地址：rsshan@sjtu.edu.cn上海交通大学信息安全工程学院木马防御方法总结•端口扫描–扫描程序尝试连接某个端口，如果成功，则说明端口开放；否则关闭。但对于驱动程序/动态链接木马，扫描端口不起作用•查看连接–在本地机上通过netstat-a查看所有的TCP/UDP连接•查看启动文件–AUTOEXEC.BAT,CONFIG.SYS,WIN.BAT,SYSTEM.INI,WIN.INI•检查注册表–通过检查注册表来发现木马在注册表里留下的痕迹•查看内存•查找文件–木马的特征文件，特殊端口