热搜:6KBBS6kbbs V8.0 官方论坛
当前位置: 6kbbs V8.0 官方论坛 » 查看快乐小玉的资料
木马病毒隐身术解密之文件注入和反弹连接

  木马的编写和保护技术在发展的同时,安全技术也在不断的发展,只要能找到它们存在的弱点,防范和清除它们也是完全可以做到的。
  一、进程及DLL文件注入
  进程注入,就是指木马将自己注入到某个正常的进程当中,然后,它就可以以此正常进程的子线程的方式运行。此时,它的进程名就不会在任务管理器中的进程列表框中出现。这样一来,用户将不能通过任务管理器来发现它。而且,杀毒软件即使能够发现它,但要将它从正常的进程当中清除它,也不会很容易的。
  由于防火墙对于系统中正常的网络相关进程(例如Services.exe、Svchost.exe等)默认都是放行的,因此,木马一般都是注入到这些系统进程当中,并以此来穿透防火墙。但是,木马程序只有在获得了与这些系统进程相同的系统权限,才能够有可能注入成功的。不过,就目前来说,已经有许多木马具有了这种功能来实现远程进程注入。
  至于DLL文件注入的目的,一般都是用来躲过防火墙的拦截。它主要是利用了防火墙在信任某个软件后,会对它所加载的所有DLL文件也全部信任。因此,只要木马将自己注入到这些DLL文件当中,就可以躲过防火墙的监控,然后就可以与攻击者进行网络通信,或者下载其它木马、键盘记录程序和后门程序等等。在Windows系统中,DLL注入利用最多的,就是IE浏览器。
  对于DLL文件注入的木马,可以通过验证系统文件的数字签名,来发现系统的DLL文件是否已经被修改过,这可以通过Windows系统中的“系统信息”中的数字签名验证程序来完成。对于进程注入,可以通过使用IceSword软件来查看进行所加载的模块,只要发现不是Windows系统本身的,就说明已经有木马注入。然后,就可以通过IceSword来强行终止这个非法模块,再在相应位置完全删除它。现在,还有一些杀毒软件已经可以查杀注入型的木马,例如瑞星杀毒软件。至于防火墙,现在开始有一种新的技术,就是当防火墙检测到某个应用程序所加载的文件被修改后,就会对它的网络连接进行阻止。只是现在这种技术还没有加入到家用防火墙中来。
  二、TCP/IP堆栈旁通
  对于一些个人防火墙来说,它们一般只会对由Windows系统本身所产生的TCP/IP堆栈进行过滤,而对其它方式所产生的网络数据堆栈却不会进行任何检查就会放行。因此,木马也就利用防火墙的这个漏洞,在其运行后,同时安装某个网络驱动,然后通过它来与系统中的网络接口卡进行通信,这样就能够躲过防火墙的检测。
  要想阻止这种方式的木马攻击,只要在防火墙中设置一条规则,禁止所有非标准Windows系统所产生的TCP/IP堆栈通过。现在一些个人防火墙的最新版本,都已经具有了这些功能。因此,计算机网络用户最好不断升级自己的防火墙软件,以此来防止这种木马穿墙术。
  三、反弹连接技术
  现在的计算机网络用户,一般都是使用PPPOE拔号方式,或通过代理服务器及NAT的方式连接互联网的,这就给攻击者通过木马的客户端主动连接其服务器器端的设置了一道不小的阻碍。因此,攻击者为了消除这道阻碍,就编写了一些具有反弹技术的木马。
  使用反弹技术,只要木马监测到系统已经有一个活动的网络连接,其服务器端就会主动地按攻击者设置的方式连接攻击者所在的客户端。而防火墙一般对系统内部发出的网络连接请求是不会拦截的,因此,木马就这样轻而容易举地穿过了系统防火墙的拦截。
  但是,仅仅使用反弹技术,木马有时是过得了系统防火墙这关,而过不了硬件式网络防火墙这关的。因此,为了能穿透硬件式网络防火墙,木马又打上了隧道技术的主意。它们将要发送到内容封装到其它网络防火墙允许通过的网络协议当中,例如HTTP、DNS和SMTP等,然后就可以借助这些协议包将这些内容发送到攻击者指定的位置(例如一个Email地址)。这些内容当中可能包括了用户登录系统的账号、密码、公网IP地址、打开了的端口和运行了的服务等等。然后,攻击都会以同样的方式来连接木马的服务器端了。
  要防范反弹式木马。第一就是使用具有应用程序过滤功能的个人防火墙,它们一般对请求网络连接的应用程序都进行拦截并提示用户是否通过。现在大部份最新版本的个人防火墙都已经具有了这种功能。例如ZA、瑞星等。第二就是使用具有免重组深度检测技术的硬件式网络防火墙,就有可能防范利用隧道方式进行攻击的木马。
  从本次介绍木马病毒隐身穿墙术系列文章中可以发现,每一种方法不论有多好,都有其弱点存在,也就说明能够有办法防范和清除它们。但是,现在所有的木马,肯定不会只使用一种躲避方法。它们往往是几种方法同时使用,例如,同时对使用加壳、加密和注入技术,这样就能大大提高杀毒软件和防火墙体测到它们的难度。但不管怎么说,木马的编写和保护技术在发展的同时,安全技术也在不断的发展,只要能找到它们存在的弱点,防范和清除它们也是完全可以做到的。其实,最终解决问题的关键还在于用户本身,约束自己的网络操作行为,了解一定的安全防范技术,这样就能大大减少木马的侵扰。

所在版块:源码与软件 - 发表时间: 2012-06-29 04:21
菜鸟必知之网络安全常识

对于网络安全有一点常识的朋友大可以不看此文,因为这里说的都是最初级的知识。

一:密码安全

无论你是申请邮箱还是玩网络游戏,都少不了要注册,这样你便会要填密码。大多数人都会填一些简单好记的数字或字母。还把自己的几个邮箱、几个QQ和网络游戏的密码都设成一样。在网上你有可能会因为需要而把密码告诉朋友,但若那位朋友的好奇心很强的话,他可能会用你给他的这个密码进入你的其他邮箱或QQ,你的网上秘密便成了他举手可得的资料了。因此建议,你最常用的那个邮箱密码设置一个不少于7位的有字母、数字和符号组成的没有规律的密码,并至少每月改一次。其他不常用的几个邮箱密码不要和主邮箱的密码设成一样,密码可以相对简单点,也可以相同。不过密码内容千万不要涉及自己的名字、生日、电话(很多密码字典都是根据这些资料做出来的)。其他的密码设置也是同样道理,最常用的那个密码要设置的和其他不同,免得被人“一路破”。 顺便提醒一下,不要把写有你密码的那本笔记本放在你认为安全的地方。

二:QQ安全

QQ是腾讯公司出品的网络即时聊天工具,现在的用户多的惊人!所以现在针对QQ的工具也十分之多。这里在提一下QQ的密码安全,你在申请完QQ后第一件事就是去腾讯公司的主页上的服务专区申请密码保护,这点很重要,但也很容易被忽略。 现在言归正转,说QQ的安全,在网上用QQ查IP地址(IP地址是一个32位二进制数,分为4个8位字节,是使用TCP/IP协议的网络中用于识别计算机和网络设备的唯一标识)的虑榧毡椤Q查IP可以用专门的软件,也可以用防火墙或DOS命令,这里不详细说明。IP被查到后,不怀好意的人可以用各种各样的炸弹攻击你,虽然这些攻击对你的个人隐私没什么危害,但常常被人炸下线,这滋味一定不好。 解决办法有两种:

1.不要让陌生人或你不信任的人加入你的QQ(但这点很不实用,至少我这样认为)。

2.使用代理服务器(代理服务器英文全称Proxy Sever,其功能就是代理网络用户去取得网络信息,更确切地说,就是网络信息的中转站)。设置方法是点击QQ的菜单==>系统参数==>网络设置==>代理设置==>点击使用SOCKS5代理服务器,填上代理服务器地址和端口号,确定就好了,然后退出QQ,再登陆,这就搞定了。 QQ密码的破解工具也很多,你只要把密码设的复杂点,一般不容易被破解。

三:代理服务器安全

使用代理服务器后可以很有效的防止恶意攻击者对你的破坏。但是天下没有白吃的午餐,因为你再使用代理服务器后你的上网资料都会记录在代理服务起的日志中,要是那个网管想“关照”你一下的话,你是一点生还余地都没有的。(除非你进入代理服务器删了他的日志

四:木马防范

木马,也称为后门,直截了当的说,木马有二个程序组成:一个是服务器程序,一个是控制器程序。当你的计算机运行了服务器后,恶意攻击者可以使用控制器程序进入如你的计算机,通过指挥服务器程序达到控制你的计算机的目的。千万不要小看木马,它可以所定你的鼠标、记录你的键盘按键、修改注册表、远程关机、重新启动等等功能这可是能让你一步成为纵横网络菜菜鸟中的极品工具,可不要因为“冰河”而学坏了呀~~ 想不中木马,先要了解木马的传播途径:

1:邮件传播:木马很可能会被放在邮箱的附件里发给你。因此一般你不认识的人发来的带有附件的邮件,你最好不要下载运行,尤其是附件名为*.exe的。

2:QQ传播:因为QQ有文件传输功能,所以现在也有很多木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起,然后骗你说是一个好玩的东东,你接受后运行的话,你就成了木马的牺牲品了。

3:下载传播:在一些个人网站下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话最好去比较知名的网站。 万一你不幸中了木马的话,立刻开启你的杀毒程序,接下来等着木马杀!杀!杀!。另外手工清除木马的方法在另外的文章中有详细说明。

所在版块:源码与软件 - 发表时间: 2012-06-28 10:28