木马L2002214046_刘睿_基于进程和通信隐藏的木马设计与实现

分类号 TP309 U D C D10621-408-(2007) 5800-0密 级公开 编号 2002214046

成都信息工程学院

学位论文

基于进程和通信隐藏的木马设计与实现

论文作者姓名 刘睿

申请学位专业 计算机科学与技术

申请学位类别 工学学士

指导教师姓名职称 王翔

论文提交日期 2007年06月 10 日

基于进程和通信隐藏的木马设计与实现

摘 要

近年来特洛伊木马等恶意代码己经成为网络安全的重要威胁。很多国家都采取积极的网络安全防御措施,投入大量的人力和物力研究网络信息安全技术。文章首先分析了传统木马的一般工作原理及其植入、加载、隐藏等关键技术。随着网络技术的不断更新和发展木马技术也在不断地更新换代,现代木马的进程隐藏和通信隐藏等等都发生了变化。

进程的隐藏和通信的隐藏一直是木马程序设计者不断探求的重要技术。攻击者为达到进程隐藏的目的采用远程线程和动态链接库将木马作为线程隐藏在其他进程中。选用一般安全策略都允许的端口通信,如80端口则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。

本文研究了如何将Windows环境下的动态链接库(DLL)技术与远程线程插入技术结合起来实现特洛伊木马植入的新方案。在该方案中提出了特洛伊木马程序DLL模块化,并且创建了独立的特洛伊木马植入应用程序将木马程序的DLL模块植入宿主进程。实验结果证明该方案能实现的木马植入具有很好的隐蔽性和灵活性。

关键词特洛伊木马动态连接库进程插入远程线程

The Design and Implementation of Trojan Horses Base on

Process Hiding and Communications Hiding

Abstract

In recent years,malicious codes including Trojan have threatened network information security, and more and more countries paid attention to take active measures to protect the network, and spent a lot in research to develop network information security technology mentally and materially.This paper firstly analyses the basic principle, entry technology, load technology and hiding technology of traditional Trojan horse.With the development of network technology,Trojan horse technology is upgrading constantly.Modern Trojan horse is changed in process hiding and communication hiding.

The process hiding and communications hiding are important technology being explored by Trojan horse programmers all long.Adopting the measure of dynamic link storage, and Remote Thread technology, and hiding Trojan horse behind the other processes as a thread program, it is easy to hide.Choosing the port correspondence which is permitted by almost all the ordinary security policy, likes 80port,may easily penetrate the firewall and avoid the examine of security systems as invasion-checking mechanisms and so on.Thus, it has a very strong covered.

This paper is implemented the injection of Trojan horse by combining the technology of DLL(dynamic linking library)and of remote thread injection on the Windows platform. In this paper,modularization of Trojan horse process is proposed to create an independent Trojan horse injection process, thus, to inject Trojan horse DLL module to the host process. Experimental results show that the program could realize the Trojan injected with good covered and flexibility.

Key Words Trojan Horse DLL Process Injection Remote Thread

目 录

论文总页数 23页1 引言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

2 特洛伊木马简介. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

2. 1 认识木马. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

2.2 木马原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

2.3 木马的危害. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

2.4 常见木马的介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

3 木马隐藏概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

3. 1 本地隐藏. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

3.2 通信隐藏. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

4 隐藏技术的实现. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

4. 1 隐藏进程. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

4.2 隐藏通信. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

4.3 木马功能的实现. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

5 系统测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5 1功能测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

5 2性能测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

结 论. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

参考文献. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

致 谢. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

声 明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

1 引言

近年来黑客攻击层出不穷对网络安全构成了极大的威胁。 2006年底我国互联网上大规模爆发“熊猫烧香”木马病毒及其变种该木马病毒通过多种方式进行传播并将感染的所有程序文件改成熊猫举着三根香的模样同时该病毒还具有盗取用户游戏账号、 账号等功能。该病毒传播速度快危害范围广截至案发为止 已有上百万个人用户、 网吧及企业局域网用户遭受感染和破坏引起社会各界高度关注。

木马是黑客的主要攻击手段之一它通过渗透进入对方主机系统从而实现对目标主机的远程操作破坏力相当之大。

到目前为止木马的发展已经经历了五代

1第一代木马只是实现简单的密码窃取、发送等在隐藏和通信方面均无特别之处。

2第二代木马以文件关联方式启动通过电子邮件传送信息。在木马技术发展史上开辟了新的篇章。其典型代表是冰河

3第三代木马的信息传输方式有所突破采用ICMP协议增加了查杀的难度。

4第四代木马在进程隐藏方面获得了重大突破采用插入内核的嵌入方式。利用远程插入线程技术嵌入DLL线程或挂接PSAPI等实现木马程序的隐藏。利用反弹端口技术突破防火墙限制。在Windows NT/2000下取得了良好的隐藏效果。

5.第五代木马与病毒紧密结合。利用操作系统漏洞直接实现感染传播目的而不必像以前的木马那样需要欺骗用户主动激活。例如类似冲击波病毒的木马—噩梦Ⅱ。

现在的黑客技术已经越来越完善精通各种攻击技术的人才也越来越多现在流行的木马都主要是针对网上银行交易、网上证券交易以及各种网络游戏木马的危害已经越来越大木马这个课题有着重要的研究意义。

2 特洛伊木马简介

特洛伊木马( Trojan Horse)  以下简称木马取名自希腊神话“特洛伊木马记” 是指一类伪装成合法程序或隐藏在合法程序中的恶意代码,这些代码或者执行恶意行为或者为非授权访问系统的特权功能而提供后门。木马的首要特征是它的隐蔽性,为了提高自身的生存能力木马会采用各种手段来伪装隐藏以使被感染的系统表现正常。近年来随着windows操作系统普及基于图形操作的木马程序出现许多不太懂计算机编程的人也能熟练操作木马大肆危害网络安全木马的发展。

2. 1认识木马

一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。

1硬件部分

建立木马连接所必须的硬件实体。具体包括

1客户端对服务器端进行远程控制的一方。

2服务端被控制端远程控制的一方。

3 Internet控制端对服务端进行远程控制远程传输的网络载体。

2软件部分

实现远程控制所必须的软件程序。具体包括

1客户端程序控制端用以远程控制服务端的程序。

2木马程序潜入服务端内部获得其操作权限的程序。

3木马配置程序设置木马程序的端口号、触发条件、木马名称等使其在服务端藏的更隐蔽的程序。

3连接部分

木马进行数据传输的目的地。具体包括

客户端端口、木马端口即客户端、服务端的数据入口通过这个入口数据可直达控制端程序或木马程序。

2.2木马原理

木马攻击网络原理大致可以分为六个步骤

1.配置木马

一般来说一个设计成熟的木马都有木马配置程序从具体的配置内容看主要是为实现以下两个功能木马伪装和信息反馈。

2.传播木马

木马的传播方式主要有两种一种是通过E-mai l客户端将木马程序以附件的形式夹在邮件中发送出去收件人只要打开附件就会感染木马另一种是软件下载一些非正规的网站以提供软件下载的名义将木马捆绑在软件安装程序上下载后只要一运行这些程序木马就会自动安装。

3.运行木马

服务端用户运行木马或捆绑木马的程序后木马就会自动进行安装。当满足触发条件时木马被激活进入内存并开启事先定义的木马端口准备与控制端建立连接。

4.信息泄露

木马成功安装后收集一些服务端的软件硬件信息并通过E-mai l、 IRC等方

式告知客户端用户。

5.建立连接

一个木马连接的建立首先必须满足两个条件一是服务端已安装了木马程序二是客户端、服务端都要在线。在此基础上客户端可以通过木马端口与服务端建立连接。

6.远程控制

木马连接成功后客户端口和服务端口之间会出现一条通道客户端上的控制端程序可借此通道与服务端上的木马程序取得联系并通过木马程序对服务端进行远程控制实施破坏行动。

2.3木马的危害

1窃取密码

一切以明文的形式或缓存在Cache中的密码都能被木马侦测到。此外很多木马还提供有击键记录功能所以一旦有木马入侵,密码将很容易被窃取。

2文件操作

客户端可通过远程控制对服务端上的文件进行删除、修改、下载等一系列操作基本涵盖了Windows平台上所有的文件操作功能。

3修改注册表

客户端可任意修改服务端注册表包括删除、新建或修改主键、子健、键值。有了这项功能客户端就可以将服务端上木马的触发条件设置得更隐蔽。

4系统操作

这项内容包括重启或关闭服务端操作系统断开服务端网络连接控制服务端的鼠标、键盘监视服务端桌面操作查看服务端进程等客户端甚至可以随时给服务端发送信息。

2.4常见木马的介绍

木马的种类繁多但是陷于种种原因真正广泛使用的著名木马只有少数几种如BO2000、 Subseven、冰河、 YAI、 Setiri等。

1.BO2000

BO2000有一个相当有用的功能 即隐藏木马进程一旦将这项功能设置为enable用ATM查看进程时 BO2000的木马进程将不会被发现。

2.Subseven

在版本较高的Subseven中除常规的触发条件外还提供有less knowmethod 和not knowmethod两种触发方法。选择前者运行木马后将SYSTEM. INI中的Shell 改为Shell=explorer.exe msrexe.exe 即用SYSTEM. INI触发木马。选择后者则

会在C \Windows\目录下创建一个名为Windows. exe的程序通过这个程序来触发木马并将\HKEY-ROOT\exef ile\shell\open\command\的键值“%1” 、 “%X”改为“Windows. exe% 1” 、 “Windows.exe%X” 。也就是说 即使我们把木马删除了只要一运行EXE文件 Windows.exe文件马上又将木马安装上去。对于这种出发条件我们只要将键值改回原值并删除Windows.exe即可。

3.冰河

冰河的特殊触发条件和Subseven极为相似。要注意的是冰河的木马程序有隐藏属性需要将显示模式设置为显示所有文件时才能看到。

4.YAI

YAI是一个木马和病毒的综合体它能通过寄生于任意GUI子系统、 PE格式的Windows程序触发木马这样即使YAIver被意外清除在短时间内也可以自动恢复。 YAI不可能用手工删除的方法清楚干净建议使用杀毒软件。

5 Setiri

2002年2月 Roelof Temmingh和Haroon Meer开发了一个名叫Setiri的木马工具。这个木马工具采用了多种隐藏技术如匿名技术、加密通信、 OLE编程、反弹性端口等从而使得检测、堵截和追踪非常困难可以说是目前最先进的木马技术之一。

3 木马隐藏概述

木马程序与普通远程管理程序的一个显著区别是它的隐藏性。木马被植入后通常利用各种手段来隐藏痕迹, 以避免被发现和追踪尽可能延长生存期。其中进程隐藏和通信隐藏是木马隐藏的关键。

3. 1本地隐藏

本地隐藏是指木马为防止被本地用户发现而采取的隐藏手段,主要包括启动隐藏、文件隐藏、进程隐藏、 内核模块隐藏、原始分发隐藏等。这些手段可以分为三类:

 将木马隐藏(附着、捆绑或替换)在合法程序中

 修改或替换相应的检测程序对有关木马的输出信息进行隐蔽处理

 利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。

1 启动隐藏

启动隐藏是指目标机自动加载运行木马程序而不被用户发现。在Windows 系统中,比较典型的木马启动方式有修改系统“启动”项修改注册表的相关键值插入常见默认启动服务修改系统配置文件(Config. sys、 Win. ini和

System. ini等) 修改“组策略”等。这些启动方式通常要修改系统的相关文件,容易被检测工具发现。此外还有些特殊的木马启动方式如:文件关联和寄生启动(注入普通进程)等。

2.文件隐藏

文件隐藏包括两方面一是通过伪装,达到迷惑用户的目的二是隐藏木马文件自身。对于前者除了修改文件属性为“隐藏”之外,大多通过一些类似于系统文件的文件名来隐蔽自己。对于后者可以修改与文件系统操作有关的程序,以过滤掉木马信息特殊区域存放(如对硬盘进行低级操作将一些扇区标志为坏区将木马文件隐藏在这些位置或将文件存放在引导区中)等方式达到隐藏自身的目的。在Windows NT/2000中,如果文件系统采用的是NTFS可以用NTFS 流来实现木马文件的隐藏。

3.进程隐藏

进程通常被定义为一个正在运行的程序的实例它由两个部分组成

1一个是操作系统用来管理进程的内核对象。 内核对象也是系统用来存放关于进程的统计信息的地方。

2另一个是地址空间它包含所有可执行模块或DLL模块的代码和数据。它还包含动态内存分配的空间。如线程堆栈和堆分配空间。

一个正常的Windows应用程序在运行之后都会在系统之中产生一个进程。Windows 2000/XP系统中的任务管理器能查看到系统中正在运行哪些进程。只要平时多看任务管理器中的进程列表熟悉系统的基本进程就可以随时发现可疑进程这对防范木马和病毒大有裨益所以要想木马在服务端运行就必须做到在任务管理器里面消失也就是进程隐藏。

木马的进程隐藏包括两方面伪隐藏和真隐藏。伪隐藏就是指木马程序的进程仍然存在 只不过是消失在进程列表里真隐藏则是让程序彻底消失 不以一个进程或者服务的方式工作。进程隐藏方式主要运用于Windows系统中。

 伪隐藏

在Windows9x系统下常通过将木马程序注册为服务的方式实现隐藏。WindowsNT/2K下,可以运用API的拦截技术通过建立系统钩子,拦截PSAPI的EnumProcessModules或PDH ToolHelp API等相关函数,控制检测工具对进程或服务的遍历调用实现进程隐藏。

 真隐藏

真隐藏的基本原理是将木马核心代码以线程或DLL的方式插入到远程进程中,由于远程进程是合法的用户程序 用户又很难发现被插入的线程或DLL,从而达到木马隐藏的目的。