常见木马实现技术分析及防范措施
<br> <b>木马和远程控制工具的区别:</b><br> 远程控制工具是一种用于正常的网络管理的工具,远程控制工具的存在及使用通常是为人所知的,而木马除了具有远程控制工具的功能外,通常还具有隐蔽性、秘密性、破坏性等特点。有些远程控制工具通过一些相应的配置可以作为木马使用,而木马也可以作为正当用途的远程控制工具使用。<br> <br> <b>木马的实现技术:</b><br> 1.木马的常用启动方式<br> <br> 对于一般的应用程序来说通常有下面的几种自启动方式:<br> <br> a.把程序放入系统的启动目录中,注意在windows中有两个自启动目录;<br> <br> b.把程序的自启动设置到系统配置文件中,如win.ini、system.ini等中;<br> <br> c.在注册表中进行配置实现程序的自动启动;<br> <br> d.把程序注册为系统服务;<br> <br> c.替换系统文件;(该方法在目前的Windows2000及以后的操作系统中已经基本失效);<br> <br> 木马为了达到隐藏自己的目标,通常在设置注册表启动项时具有很强的迷惑性,有些木马还可以随机更改有关的启动项。<br> <br> 2.木马的隐蔽性<br> <br> 木马的隐蔽性是木马能否长期存活的关键,这主要包括几方面的内容:<br> <br> a.木马程序本身的隐蔽性、迷惑性;<br> <br> 在文件名的命名上采用和系统文件的文件名相似的文件名,设置文件的属性为系统文件、隐藏、只读属性等,文件的存放地点是不常用或难以发现的系统文件目录中;<br> <br> b.木马程序在运行时的隐蔽性;<br> <br> 通常采用了远程线程技术或HOOK技术注入其他进程的运行空间,采用API HOOK技术拦截有关系统函数的调用实现运行时的隐藏,替换系统服务等方法导致无法发现木马的运行痕迹;<br> <br> c.木马在通信上的隐蔽性;<br> <br> 可以采用端口复用技术不打开新的通信端口实现通信、采用ICMP协议等无端口的协议进行通信,还有些木马平时只有收到特定的数据包才开始活动,平时处于休眠状态。<br> <br> d.不安全的木马技术;<br> <br> 具资料显示有些木马在运行时能够删除自身启动运行及存在的痕迹,当检测到操作系统重新启动时再重新在系统中设置需要启动自身的参数,这类木马存在的问题:不安全,当系统失效时(如断电、死机时)无法再次恢复运行。<br> <br> <b>木马的发现及清除:</b><br> 1.木马的发现<br> <br> 可以查看系统端口开放情况,查看系统服务情况,查看系统运行任务是否有可疑之处,注意网卡的工作情况,注意系统日志及运行速度有无异常。<br> <br> <br> 2.木马的清除<br> <br> 通常可以使用杀毒软件进行清除木马,也可以采用手工的方法来进行清除,但是对有些木马采用手工清除的方法可能会存在一些困难,主要时因为:<br> <br> a.有些木马采用了多进程相互监视技术来启动被关闭的进程,很多关键性应用中使用了该技术,比如InterBase数据库等;<br> <br> b.有些木马使用任务管理器无法停止运行,导致无法删除;<br> <br> c.有些木马运行在其他的进程空间中无法在任务管理器中发现及停止。<br> <br> 对于上述几种情况在一定程度上可以采用修改注册表,使用第三方的一些任务管理器来停止任务,重新启动进入命令行模式来手工清除木马,使用一些专杀工具来清除木马。 <
页:
[1]