問題描述:
木馬與病毒有什麽區別?
大家來說說啊
解析:
壹 計算機病毒的定義計算機病毒(Computer Virus)在《中華人民***和國計算機信息系統安全保護條例》中被明確定義,病毒“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的壹組計算機指令或者程序代碼”。
二 計算機病毒的特點計算機病毒是人為的特制程序,具有自我復制能力,很強的感染性,壹定的潛伏性,特定的觸發性和很大的破壞性。
三 病毒存在的必然性計算機的信息需要存取、復制、傳送,病毒作為信息的壹種形式可以隨之繁殖、感染、破壞,而當病毒取得控制權之後,他們會主動尋找感染目標,使自身廣為流傳。
四 計算機病毒的長期性病毒往往會利用計算機操作系統的弱點進行傳播,提高系統的安全性是防病毒的壹個重要方面,但完美的系統是不存在的,過於強調提高系統的安全性將使系統多數時間用於病毒檢查,系統失去了可用性、實用性和易用性,另壹方面,信息保密的要求讓人們在泄密和抓住病毒之間無法選擇。病毒與反病毒將作為壹種技術對抗長期存在,兩種技術都將隨計算機技術的發展而得到長期的發展。
五 計算機病毒的產生病毒不是來源於突發或偶然的原因.壹次突發的停電和偶然的錯誤,會在計算機的磁盤和內存中產生壹些亂碼和隨機指令,但這些代碼是無序和混亂的,病毒則是壹種比較完美的,精巧嚴謹的代碼,按照嚴格的秩序組織起來,與所在的系統網絡環境相適應和配合起來,病毒不會通過偶然形成,並且需要有壹定的長度,這個基本的長度從概率上來講是不可能通過隨機代碼產生的。病毒是人為的特制程序現在流行的病毒是由人為故意編寫的,多數病毒可以找到作者信息和產地信息,通過大量的資料分析統計來看,病毒作者主要情況和目的是:壹些天才的程序員為了表現自己和證明自己的能力,處於對上司的不滿,為了好奇,為了報復,為了祝賀和求愛,為了得到控制口令,為了軟件拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括壹些病毒研究機構和黑客的測試病毒.
六 計算機病毒分類根據多年對計算機病毒的研究,按照科學的、系統的、嚴密的方法,計算機病毒可分類如下:按照計算機病毒屬性的方法進行分類,計算機病毒可以根據下面的屬性進行分類:
按照計算機病毒存在的媒體進行分類根據病毒存在的媒體,病毒可以劃分為網絡病毒,文件病毒,引導型病毒。網絡病毒通過計算機網絡傳播感染網絡中的可執行文件,文件病毒感染計算機中的文件(如:COM,EXE,DOC等),引導型病毒感染啟動扇區(Boot)和硬盤的系統引導扇區(MBR),還有這三種情況的混合型,例如:多型病毒(文件和引導型)感染文件和引導扇區兩種目標,這樣的病毒通常都具有復雜的算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形算法。
按照計算機病毒傳染的方法進行分類根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計算機後,把自身的內存駐留部分放在內存(RAM)中,這壹部分程序掛接系統調用並合並到操作系統中去,他處於激活狀態,壹直到關機或重新啟動.非駐留型病毒在得到機會激活時並不感染計算機內存,壹些病毒在內存中留有小部分,但是並不通過這壹部分進行傳染,這類病毒也被劃分為非駐留型病毒。
按照計算機病毒破壞的能力進行分類根據病毒破壞的能力可劃分為以下幾種:無害型除了傳染時減少磁盤的可用空間外,對系統沒有其它影響。無危險型這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。危險型這類病毒在計算機系統操作中造成嚴重的錯誤。非常危險型這類病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。這些病毒對系統造成的危害,並不是本身的算法中存在危險的調用,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產生的錯誤也會破壞文件和扇區,這些病毒也按照他們引起的破壞能力劃分。壹些現在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統造成破壞。例如:在早期的病毒中,有壹個“Denzuk”病毒在360K磁盤上很好的工作,不會造成任何破壞,但是在後來的高密度軟盤上卻能引起大量的數據丟失。
按照計算機病毒特有的算法進行分類根據病毒特有的算法,病毒可以劃分為:伴隨型病毒這壹類病毒並不改變文件本身,它們根據算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件並不改變EXE文件,當DOS加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的EXE文件。“蠕蟲”型病毒通過計算機網絡傳播,不改變文件和資料信息,利用網絡從壹臺機器的內存傳播到其它機器的內存,計算網絡地址,將自身的病毒通過網絡發送。有時它們在系統存在,壹般除了內存不占用其它資源。寄生型病毒除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或文件中,通過系統的功能進行傳播,按其算法不同可分為:練習型病毒病毒自身包含錯誤,不能進行很好的傳播,例如壹些病毒在調試階段。詭秘型病毒它們壹般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩沖區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閑的數據區進行工作。變型病毒(又稱幽靈病毒)這壹類病毒使用壹個復雜的算法,使自己每傳播壹份都具有不同的內容和長度。它們壹般的作法是壹段混有無關指令的解碼算法和被變化過的病毒體組成。
特洛伊木馬(以下簡稱木馬),英文叫做“Trojan house”,其名稱取自希臘神話的特洛伊木馬記。
它是壹種基於遠程控制的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會采用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具 *** 置,往往只能望“馬”興嘆。
所謂非授權性是指壹旦控制端與服務端連接後,控制端將享有服務端的大部分操作權限,包括修改文件,修改註冊表,控制鼠標,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網絡還處於以UNIX平臺為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將壹段程序嵌入到系統文件中,用跳轉指令來執行壹些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網絡和編程知識。
而後隨著WINDOWS平臺的日益普及,壹些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,壹旦被木馬控制,妳的電腦將毫無秘密可言。
鑒於木馬的巨大危害性,我們將分原理篇,防禦與反擊篇,資料篇三部分來詳細介紹木馬,希望大家對特洛伊木馬這種攻擊手段有壹個透徹的了解。
原 理 篇
基礎知識
在介紹木馬的原理之前有壹些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。
壹個完整的木馬系統由硬件部分,軟件部分和具體連接部分組成。
(1)硬件部分:建立木馬連接所必須的硬件實體。 控制端:對服務端進行遠程控制的壹方。 服務端:被控制端遠程控制的壹方。 INTERNET:控制端對服務端進行遠程控制,數據傳輸的網絡載體。
(2)軟件部分:實現遠程控制所必須的軟件程序。 控制端程序:控制端用以遠程控制服務端的程序。 木馬程序:潛入服務端內部,獲取其操作權限的程序。 木馬配置程序:設置木馬程序的端口號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。
(3)具體連接部分:通過INTERNET在服務端和控制端之間建立壹條木馬通道所必須的元素。 控制端IP,服務端IP:即控制端,服務端的網絡地址,也是木馬進行數據傳輸的目的地。 控制端端口,木馬端口:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或木馬 程序。
木馬原理
用木馬這種黑客工具進行網絡入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
壹.配置木馬
壹般來說壹個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能:
(1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會采用多種偽裝手段,如修改圖標 ,捆綁文件,定制端口,自我銷毀等,我們將在“傳播木馬”這壹節中詳細介紹。
(2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,IRC號 ,ICO號等等,具體的我們將在“信息反饋”這壹節中詳細介紹。
二.傳播木馬
(1)傳播方式:
木馬的傳播方式主要有兩種:壹種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人只要打開附件系統就會感染木馬;另壹種是軟件下載,壹些非正規的網站以提供軟件下載為 名義, 將木馬捆綁在軟件安裝程序上,下載後,只要壹運行這些程序,木馬就會自動安裝。
(2)偽裝方式:
鑒於木馬的危害性,很多人對木馬知識還是有壹定了解的,這對木馬的傳播起了壹定的抑制作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目 的。
(壹)修改圖標
當妳在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴妳,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提 心吊膽,疑神疑鬼的。
(二)捆綁文件
這種偽裝手段是將木馬捆綁到壹個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的 情況下 ,偷偷的進入了系統。至於被捆綁的文件壹般是可執行文件(即EXE,COM壹類的文件)。
(三)出錯顯示
有壹定木馬知識的人都知道,如果打開壹個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的 設計者也意識到了這個缺陷,所以已經有木馬提供了壹個叫做出錯顯示的功能。當服務 端用戶打開木 馬程序時,會彈出壹個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定制成 壹些諸如“文件已破壞,無法打開的!”之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了 系統。
(四)定制端口
很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查壹下特定的 端口就 知道感染了什麽木馬,所以現在很多新式的木馬都加入了定制端口的功能,控制端用戶可 以在1024---65535之間任選壹個端口作為木馬端口(壹般不選1024以下的端口),這樣就給判斷 所感染木馬類型帶 來了麻煩。
(五)自我銷毀
這項功能是為了彌補木馬的壹個缺陷。我們知道當服務端用戶打開含有木馬的文件後,木馬 會將自己拷貝到WINDOWS的系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),壹般來說 原木馬文件 和系統文件夾中的木馬文件的大小是壹樣的(捆綁文件的木馬除外),那麽中了木馬 的朋友只要在近來 收到的信件和下載的軟件中找到原木馬文件,然後根據原木馬的大小去系統 文件夾找相同大小的文件, 判斷壹下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬後,原木馬文件將自動銷毀,這 樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。
(六)木馬更名
安裝到系統文件夾中的木馬的文件名壹般是固定的,那麽只要根據壹些查殺木馬的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麽木馬。所以現在有很多木馬都允許控 制端用戶自由定制安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。
三.運行木馬
服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然後在註冊表,啟動組,非啟動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啟動木馬了,具體過程見下圖:
(1)由觸發條件激活木馬
觸發條件是指啟動木馬的條件,大致出現在下面八個地方:
1.註冊表:打開HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。
2.WIN.INI:C:\WINDOWS目錄下有壹個配置文件win.ini,用文本方式打開,在[windows]字段中有啟動 命令 load=和run=,在壹般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:\WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動命令。
4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式壹般都 需要控制端用戶與服務端建立連接後,將已添加木馬啟動命令的同名 文件上傳 到服務端覆蓋這兩個文件才行。
5.*.INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將制作好的帶有木馬 啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。
6.註冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\mand主鍵,查看其鍵值。舉個例子,國產 木馬“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\mand下的鍵值,將“C :\WINDOWS \NOTEPAD.EXE %1”該為“C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1”,這時妳雙 擊壹個TXT文件 後,原本應用NOTEPAD打開文件的,現在卻變成啟動木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬 ,不同之處只在於“文件類型”這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找壹下。
7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然後控制端用戶用工具 軟件將木馬文件和某壹應用程序捆綁在壹起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。
8.啟動菜單:在“開始---程序---啟動”選項下也可能有木馬的觸發條件。
(2)木馬運行過程
木馬被激活後,進入內存,並開啟事先定義的木馬端口,準備與控制端建立連接。這時服務端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看端口狀態,壹般個人電腦在脫機狀態下是不會有端口 開放的,如果有端口開放,妳就要註意是否感染木馬了。下面是電腦感染木馬後,用NETSTAT命令查 看端口的兩個實例:
其中①是服務端與控制端建立連接時的顯示狀態,②是服務端與控制端還未建立連接時的顯示狀態。
在上網過程中要下載軟件,發送信件,網上聊天等必然打開壹些端口,下面是壹些常用的端口:
(1)1---1024之間的端口:這些端口叫保留端口,是專給壹些對外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木馬會用保留端口作為木馬端口 的。
(2)1025以上的連續端口:在上網瀏覽網站時,瀏覽器會打開多個連續的端口下載文字,圖片到本地 硬盤上,這些端口都是1025以上的連續端口。
(3)4000端口:這是OICQ的通訊端口。
(4)6667端口:這是IRC的通訊端口。 除上述的端口基本可以排除在外,如發現還有其它端口打開,尤其是數值比較大的端口,那就要懷疑 是否感染了木馬,當然如果木馬有定制端口的功能,那任何端口都有可能是木馬端口。
四.信息泄露:
壹般來說,設計成熟的木馬都有壹個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集 壹些服務端的軟硬件信息,並通過E-MAIL,IRC或ICO的方式告知控制端用戶。下圖是壹個典型的信息反 饋郵件。
從這封郵件中我們可以知道服務端的壹些軟硬件信息,包括使用的操作系統,系統目錄,硬盤分區況, 系統口令等,在這些信息中,最重要的是服務端IP,因為只有得到這個參數,控制端才能與服務端建立 連接,具體的連接方法我們會在下壹節中講解。
五.建立連接:
這壹節我們講解壹下木馬連接是怎樣建立的 。壹個木馬連接的建立首先必須滿足兩個條件:壹是 服務端已安裝了木馬程序;二是控制端,服務端都要在線 。在此基礎上控制端可以通過木馬端口與服 務端建立連接。為了便於說明我們采用圖示的形式來講解。
如上圖所示A機為控制端,B機為服務端,對於A機來說要與B機建立連接必須知道B機的木馬端口和IP地 址,由於木馬端口是A機事先設定的,為已知項,所以最重要的是如何獲得B機的IP地址。獲得B機的IP 地址的方法主要有兩種:信息反饋和IP掃描。對於前壹種已在上壹節中已經介紹過了,不再贅述,我們 重點來介紹IP掃描,因為B機裝有木馬程序,所以它的木馬端口7626是處於開放狀態的,所以現在A機只 要掃描IP地址段中7626端口開放的主機就行了,例如圖中B機的IP地址是202.102.47.56,當A機掃描到 這個IP時發現它的7626端口是開放的,那麽這個IP就會被添加到列表中,這時A機就可以通過木馬的控 制端程序向B機發出連接信號,B機中的木馬程序收到信號後立即作出響應,當A機收到響應的信號後, 開啟壹個隨即端口1031與B機的木馬端口7626建立連接,到這時壹個木馬連接才算真正建立。值得壹提 的要掃描整個IP地址段顯然費時費力,壹般來說控制端都是先通過信息反饋獲得服務端的IP地址,由於 撥號上網的IP是動態的,即用戶每次上網的IP都是不同的,但是這個IP是在壹定範圍內變動的,如圖中 B機的IP是202.102.47.56,那麽B機上網IP的變動範圍是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索這個IP地址段就可以找到B機了。
六.遠程控制:
木馬連接建立後,控制端端口和木馬端口之間將會出現壹條通道,見下圖
控制端上的控制端程序可藉這條通道與服務端上的木馬程序取得聯系,並通過木馬程序對服務端進行遠 程控制。下面我們就介紹壹下控制端具體能享有哪些控制權限,這遠比妳想象的要大。
(1)竊取密碼:壹切以明文的形式,*形式或緩存在CACHE中的密碼都能被木馬偵測到,此外很多木馬還 提供有擊鍵記錄功能,它將會記錄服務端每次敲擊鍵盤的動作,所以壹旦有木馬入侵, 密碼將很容易被竊取。
(2)文件操作:控制端可借由遠程控制對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬 性等壹系列操作,基本涵蓋了WINDOWS平臺上所有的文件操作功能。
(3)修改註冊表:控制端可任意修改服務端註冊表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這 項功能控制端就可以禁止服務端軟驅,光驅的使用,鎖住服務端的註冊表,將服務端 上木馬的觸發條件設置得更隱蔽的壹系列高級操作。
(4)系統操作:這項內容包括重啟或關閉服務端操作系統,斷開服務端網絡連接,控制服務端的鼠標, 鍵盤,監視服務端桌面操作,查看服務端進程等,控制端甚至可以隨時給服務端發送信 息,想象壹下,當服務端的桌面上突然跳出壹段話,不嚇人壹跳才怪.