浅析计算机黑客“木马”的危害与防治

减小字体 增大字体 作者:陈 楚  来源:www.zhonghualunwen.com  发布时间:2009-09-13 01:59:01

  随着计算机网络技术的迅猛发展和广泛应用,互联网让人们充分享受到了其给工作和生活带来的巨大便利,人类社会对计算机系统和信息网络的依赖性也越来越大。然而据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。
  
  一、木马病毒概述
  
  (一)木马的概念
  “木马”全称是“特洛伊木马(Trojan Horse)”。在大英百科全书中,Trojan Horse的定义是“隐藏在其他程序中的安全破坏程序(security
   breaking),如地址清单、压缩文件或游戏程序中”。木马程序通常不会单独出现,总是会隐藏在其他程序后面,或者以各种手段来掩护它本来的目的。
  一般的木马程序分为两部分:被控制端和控制端。在正向连接中,被控制端会打开一个默认的端口进行监听,等待控制端提出连接请求。在反向连接中,被控制端则主动发送连接请求。双方建立连接后,控制端一般会发送命令,如键盘记录命令、文件操作命令以及敏感信息获取命令等,被控制端接收并执行这些命令,然后返回相应结果到控制端。
  (二)木马病毒的分类
  按通信方式,可将木马分为基于TCP技术的木马,包括正向连接、反弹端口、HTTP隧道、发送邮件型;基于其它IP技术的木马,如畸形UDP、ICMP数据包等;基于非IP协议的木马,如利用NetBios,MailSlot等协议传输的木马。
  按木马运行层次,可分为应用级木马和内核级木马。应用级木马,工作在操作系统Ring 3级,由于计算机底层的操作系统中的程序、库以及内核都未受影响,这种木马对系统的影响相对较小。典型的应用级木马有:Bingle、网络神偷、ZXshell、灰鸽子等。内核级木马,运行在操作系统内核中,常采用驱动程序技术实现内核级木马的加载工作。内核级木马与一般检测工具一样运行在系统内核,隐蔽性较高,查杀难度大,是当前的主流发展趋势。
  根据木马程序对计算机的具体动作方式,还可以把现在的木马程序分为以下几类:
  1.远程控制型:远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。这种木马在控制端的控制下可以在被控主机上做任意的事情,比如键盘一记录,文件上传/下载,截取屏幕,远程执行等。
  2.密码发送型:密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。
  3.键盘记录型:键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录。这种木马程序随着Windows系统的启动而自动加载,并能感知受害主机在线,且记录每一个用户事件,然后通过邮件或其他方式发送给控制者。
  4.毁坏型:大部分木马程序只是窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动删除受控主机上所有的.ini或.exe文件,甚至远程格式化受害者硬盘,使得受控主机上的所有信息都受到破坏。
  5.FTP型:FTP型木马打开被控主机系统的21号端口(FTP服务所使用的默认端口),使每一个人都可以用一个FTP客户端程序来不要密码连接到受控制主机系统,并且可以进行最高权限的文件上传和下载,窃取受害系统中的机密文件。
  (三)木马的特性分析
  一个典型的特洛伊木马(程序)通常具有以下四个特点:有效性、隐蔽性、顽固性和易植入性。以从这四个方面来加以评估一个木马的危害大小和清除难易程度。它们是:
  1.有效性:由于木马常常构成网络入侵方法中的一个重要内容。它运行在目标机器上就必须能够实现入侵者的某些企图,因此有效性就是指入侵的木马能够与其控制端(入侵者)建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息。
  2.隐蔽性:木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。

[1] [2] [3]  下一页

Tags:

作者:陈 楚
  • 好的评价 如果您觉得此文章好,就请您
      0%(0)
  • 差的评价 如果您觉得此文章差,就请您
      0%(0)

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论