基于木马植入的网络远程探测新方案

基于木马植入的网络远程探测新方案.txt*一篇一篇的翻着以前的的签名,那时候的签名有多幼稚就有多么的幼稚。你连让我报复的资格都没有-〞好想某天来电显示是你的号码。好想某天你的状态是为我而写。有些人，我们明知道是爱的，也要去放弃，因为没结局本文由yangzhen2204贡献pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。信息安全周建亮等:基于木马植入的网络远程探测新方案基于木马植入的网络远程探测新方案周建亮,朱畅华,裴昌幸(西安电子科技大学综合业务网国家重点实验室摘陕西西安710071)要:为了填补系统安全漏洞和制定正确的网络安全策略,分析和研究了黑客典型的攻击过程和常用的特洛伊木马技术,并提出了基于木马植入的计算机网络远程探测新方案,此套方案隐蔽性很好,具有很强的扩展性,并在实验网络中通过了模拟测试。关键词:网络安全;远程探针;黑客;特洛伊木马中图分类号:TP309文献标识码:B文章编号:1004373X(2007)2106203NewSchemeforRemoteProbeofComputerNetworksBasedontheInjectionofTrojanHorseZHOUJianliang,ZHUChanghua,PEIChangxing(StateKeyLabofIntegratedServicesNetworks,XidianUniversity,Xian,710071,China)Abstract:AtypicalprocedureofattackfromhackerandthecommonlyusedTrojanhorseareanalyzedtoamendthesecurityleaksandcustomizetherightsecuritypolicy.MeanwhileanewschemeforrealizingremoteprobeofcomputernetworksbasedontheinjectionofTrojanHorseisproposed.Ithasgoodcharacteristicofconcealment,andstrongexpansibilityaswellbyadoptingthisscheme,thensucceedsinimplementingtheschemeintheLANtestbedtosimulateanattack.Keywords:networksecurity;remoteprobe;hacker;trojanhorse1引言目前木马入侵的主要途径是先通过一定的方法把木马执行文件植入被攻击者的电脑系统里,利用的途径有邮件附件、捆绑在下载软件中等,然后通过一定的提示,故意误导被攻击者打开执行文件,从而实现木马的种植。远程窥探是黑客常用的一种手段,以获取目标机器或网站的私人信息或系统信息,然后找出其中的一些漏洞,以便进行下一步攻击。对于传统的远程SMTP服务器探测,一旦远程主机更改软件的标志信息,探测回的信息就不可靠;对于ASP探测,只要远端主机不浏览网页,信息也就无从获得。因而这两种方法都存在局限。该文引入的基于木马植入的计算机网络远程探针克服了以上缺点,能可靠有效地探测出远端主机信息。木马的自动恢复和启动作为一个优秀的木马,自启动功能是必不可少的,这样可以保证木马不会因为一次关机操作而彻底失去作用。2.2通过调用CopyFile()等函数,将木马复制为Windows系统文件,使木马具有自动恢复功能;再通过修改注册表,实现木马的开机自启动和文件关联功能。2黑客及其攻击技术解析一次成功的黑客攻击,可以归纳成5个步骤:隐藏IP;踩点扫描;获得系统或管理员权限;种植后门;在网络中隐身。2.1木马的攻击原理作为黑客常用的攻击工具,木马包括客户端和服务端木马的隐藏传统的隐藏方法是将木马进程注册为系统服务,这样就能够从进程查看器中隐形。但是在WindowsNT中,无论木马从端口、动文件上如何巧妙地隐藏自己,始终都启不能欺骗WindowsNT的任务管理器。本文采用DLL(动态链接库)技术,将木马程序编译成DLL文件,通过系统中正常运行的explore.exe进程加载2.3运行木马程序,从而无论是入侵检测软件还是在进程列表中,都不能检测到木马程序在运行,实现了木马的隐藏。两个程序,其中客户端程序用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。收稿日期:20070622基金项目:国家自然科学基金重点项目(60132030,60572147);西安市工业科技攻关项目(GG04018)33.1远程探测的设计方案总体设计思路设计分为客户端程序、代理端程序和服务端程序3部分。为了实现客户端(即控制端)信息的隐藏,特地使用代62现代电子技术#2007年第21期总第260期理来对服务端进行远程探测和远程操作;此外,为了避开防火墙,还设计成反弹端口型木马,代理端和服务端(被控制端)主动与客户端(控制端)建立连接。客户端程序利用MFC应用程序向导编写,生成一个用户界面;代理端和服务端程序为了实现在运行时不留痕迹,编写成Win32应用程序。客户端程序只有1个,即网络探针.exe!;代理端程序有4个,Setup.exe!,Update.exe!,Client.dll!,Listen.dll!;服务端程序也有4个,Setup.exe!,Update.exe!,Server.dll!,Listen.dll!。Setup.exe实现将其他3个程序添加到系统文件和修改注册表的功能;Update.exe将Client.dll(或Server.dll)和Listen.dll注入到explorer.exe中;Client.dll实现代理端与客户端和服务端进行三方通信;Server.dll实现服务端与客户端(或代理端)通信;而Listen.dll则保护Update.exe不被删除。这4个程序放在同一个文件夹下,上传到互联网上,等待用户下载。为了诱使用户下载,还可以将此文件夹捆绑在其他待下载软件中。用户下载了以后,如果被误导双击运行了Setup.exe,这时不会有任何不良后果,但其实电脑的系统文件和注册表已经被修改,在电脑下一次启动的时候,Update.exe也会自启动,这样这台电脑的一些信息就被窃取了,还被远程控制重新启动。如果远程主机的用户安全意识比较高,他在系统配置实用程序!的启动项目!中去掉了Update!,则Update.exe开机不会自启动。不过,木马还与文本文件关联起来了,这是另一个后门,只要用户双击文本文件,Update.exe就会将自己加载到内存中,自行启动。总体流程图如图1所示。图3通信与信息技术现将dll文件注入到explorer.exe中的功能。Listen.dll保护Update.exe不被删除,实现保护后门的功能。植入木马流程图3.2.3三方通信模块三方(客户端、代理端和服务端)通信模块是设计的重点部分,客户端通过代理来对远程服务端进行探测和远程操作。当然,客户端也可以直接对远程服务端进行这种操作,但是,为了安全和隐藏起见,建议使用代理端。实现三方通信的流程图详见图4。3.2模块化设计3.2.1安装后门模块Setup.exe完成安装后门的任务,其流程图如图2所示。图1总体流程图图2安装后门流程图3.2.2植入木马模块Update.exe开机自启动,并与其他的文件关联,通过调用子函数ImportDll()将Client.dll(或Server.dll)和Listen.dll注入到远程进程explorer.exe中,实现种植木马的功能,其流程图如图3所示。子函数ImportDll()实图4客户端、代理端和服务端三方通信流程图63信息安全周建亮等:基于木马植入的网络远程探测新方案实现此套软件时,采用了远程线程技术将木马DLL植入目标进程,使得木马运行不需要创建独立的进程,从而能够很好地满足木马隐蔽性和低开销的要求。4探测实例在客户端(控制端)运行网络探针.exe!,采用正确的用户名和密码进行登录后,探针处于侦听状态;当在远程代理端和服务端种植了木马,则客户端可以探测出他们的信息,并可以通过代理端向服务端发送指令(如图5所示)。图6成功探测参考文献[1]董玉格,金海.攻击与防护网络安全与实用防护技术[M].图5探测并操纵代理端北京:人民邮电出版社,2002.[2]石志国,薛为民,江俐.计算机网络安全教程[M].北京:清华大学出版社,2004.[3]朱畅华.IP网络测量和业务性能研究[D].西安:西安电子科技大学,2004.[4]RadcliffD.HackBack.NetworkWorld,2000.[5]VikasJayawalWilliamYurcikDavidDoss.InternetHackBack:CounterAttacksasSelfDefenseorVigilantism?.theIEEEInternationalSymposiumonTechnologyandSociety(ISTAS),RaleighNC.USA,2002.单击确定!,客户端通过代理向远程服务端发送命令,本次探测完成(如图6所示),可选择下一次!,进行下一次探测;也可选择退出!,关闭网络探针.exe!。5结语该文比较分析了黑客及其使用的攻击技术,并编写了一套基于木马植入方案的计算机网络远程探针软件,在实验室进行了模拟,说明了他的有效性和实用性。在设计并作者简介周建亮男,1983年出生,西安电子科技大学硕士研究生。研究方向为IP网络性能测量与网络安全。(上接第49页)具体计算方法如下:每个握手过程所需检测的信号都有一个必须持续的时间,而这个信号到达接收机被检测器检测到要有一个延迟,用该信号的持续时间减去延迟时间,然后再用该信号的抽样频率乘以该数值,抽样频率应大于或等于被检测信号的数据率。上述程序设置是通过P89C58在系统上电复位后,对K224进行初始化的。图2是系统工作的流程图。5结语本系统经过星研Star51PH单片机仿真器仿真,并通过TOP2005编程器编程后,结果证明系统是可行的,调制解调器接收在1200b/s可以完全稳定接收发送,当工作在速率较大时,长时间工作数据会不能稳定接收,需要进一步实验验证。该系统设计结构简单,性能稳定可靠。参考文献[1]何立民.MCS51系列单片机应用系统配置与接口技术[M].北京:北京航空航天大学出版社,1990.[2]徐建军.MCS51系列单片机应用及接口技术[M].北京:人民邮电出版社,2003.[3]王晖,薛永存.基于MCS51单片机的复位电路抗干扰分析与设计[J].现代电子技术,2006,29(8):113114.[4]杜建勇,徐明龙.模拟信号的数字化无线调制解调[J].现代图2软件工作流程图电子技术,2004.27(13):7981.641