3.2.2 特洛伊木马法

作者: 袁德明，乔月圆 出处:电子工业出版社易飞思公司 　2007-08-28 15:07　   砖    好    评论  条 　进入论坛

阅读提示：《计算机网络安全》第三章主要介绍了计算机网络入侵与攻击基本概念、入侵检测技术方法以及典型的攻击方法及其原理。本节是典型攻击方法中的特洛伊木马法介绍。

3.2.2  特洛伊木马法
特洛伊木马（简称木马）是一种C/S结构的网络应用程序。其中，木马的服务器端程序可以驻留在目标主机上并以后台方式自动运行。攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信，进而获取目标主机上的各种信息。例如，窃取用户口令、复制或删除文件、控制目标主机的运行状态等。
木马的服务器端程序常以下列三种形式存在于目标主机上，极具隐蔽性和危害性。
1）将它的程序代码作为单独的程序出现，这个程序可以在设定的时间自动运行。
2）将它的程序代码集中隐藏在合法程序中，随合法程序运行而独立工作。
3）更改合法程序，将其代码分布到合法程序中，随合法程序运行而独立工作。
系统中出现木马程序的原因主要有两种：一种是合法用户故意获得木马程序并将其安装在系统上；另一种是在网上下载的或由他人提供的软件中包含木马程序，在安装软件时，无意识地将木马程序安装到了系统上。另外，攻击者在入侵某个系统后，也会将木马程序复制到系统上，为自己留个后门，以便对系统进行远程操纵和控制。
安装木马程序的主要目的是用于远程管理和控制主机系统。但也经常被攻击者用做对系统进行攻击的一种手段。根据木马程序的启动特点，在Windows系统中，可以通过检查Windows系统启动时自动加载程序的几种方法来检查并清除木马程序。
检查和清除Windows系统中的木马程序的一般方法如下：
1）在“开始→程序→启动”菜单组中，如果发现有异常程序，则可直接清除。
2）在autoexec.bat文件中，如果发现有类似“win 程序名”的命令行，则在命令中的程序很可能就是木马程序。
3）在win.ini文件中，检查[windows]段上由“run=”和“load=”两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即清除。
4）在system.ini文件中，检查[boot]段上由“shell=”项指定的程序是否有异常。正常情况下，应该为“shell=explorer.exe”，如果变成“shell=explorer.exe 程序名”，则其中的程序名很可能是木马程序。
5）在注册表中，与启动相关的注册表项是需要注意的。可以使用regedit命令打开注册表编辑器。然后，依次检查相关的注册表项的值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查的项目内容。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_CLASSES_ROOT\exefile\shell\open\command
一般采用对比的方法来检查注册表项，用正确的注册表与当前的注册表进行对比，从中找出可疑的内容。例如，在HKEY_CLASSES_ROOT\exefile\shell\open\ command表项中包含的正确值为“"%1"%*”，如果被改为“程序名"%1"*”，则可能是木马程序名。
如果发现异常程序，除了在上述文件中删除它们之外，还要找到它们所在的目录，彻底清除，否则，它们有可能还会自动加到相应的启动位置。

评论共 条 匿名发表

验证码：

(如果看不清请点击图片进行更换)