木马程序的发展、分类和功能

电子说

1.3w人已加入

描述

木马的发展与分类

木马是一种后门程序,黑客可以利用其盗取用户的隐私信息,甚至远程控制用户的计算机。木马全称特洛伊木马,其名称源于古希腊神话中的《特洛伊木马记》。在公元前12世纪,希腊向特洛伊城宣战,交战了10年也没有取得胜利。最后,希腊军队佯装撤退,并在特洛伊城外留下很多巨大的木马。这些木马是空心的,里面藏了希腊最好的战士。在希腊人佯装撤走后,特洛伊人把这些木马作为战利品拉进了城。当晚,希腊战士从木马中出来并与城外的希腊军队里应外合攻下特洛伊城,这就是特洛伊木马名称的由来。因此,特洛伊木马一般会伪装成合法程序植入系统,进而对系统安全构成威胁。完整的木马程序一般由两部分组成,一是服务器被控制端程序,二是客户端控制端程序。黑客主要利用植入目标主机的客户端控制端程序来控制目标主机。

(1)木马技术的发展

从木马技术的发展来看,其基本上可分为4代。

第1代木马功能单一,只是实现简单的密码窃取与发送等,在隐藏和通信方面均无特别之处。

第2代木马在隐藏、自启动和操纵服务器等方面有了很大进步。国外具有代表性的第2代木马有BOZ000和Sub7。冰河可以说是国内木马的典型代表之一,它可以对注册表进行操作以实现自动运行,并能通过将程序设置为系统进程来进行伪装隐藏。

第3代木马在数据传递技术上有了根本性的进步,出现了ICMP等特殊报文类型传递数据的木马,增加了查杀的难度。这一代木马在进程隐藏方面也做了很大的改进,并采用了内核插入式的嵌入方式,利用远程插入线程技术嵌入DLL线程,实现木马程序的隐藏,达到了良好的隐藏效果。

第4代木马实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必像以前的木马那样需要欺骗用户主动激活。具有代表性的等4代木马有最近新出现的磁碟机和机器狗木马等。

(2)木马程序的分类

根据木马程序对计算机的具体动作方式,可以把现在的木马程序分为以下5类。

1)远程控制型

远程控制型木马是现今最广泛的特洛伊木马,这种木马具有远程监控的功能,使用简单,只要被控制主机联入网络并与控制端客户程序建立网络连接,就能使控制者任意访问被控制的计算机。这种木马在控制端的控制下可以在被控主机上做任何事情,如键盘记录、文件上传/下载、屏幕截取、远程执行等。

2)密码发送型

密码发送型木马的目的是找到所有的隐藏密码,并且在用户不知情的情况下把它们发送到指定的邮箱。在大多数情况下,这类木马程序不会在每次Windows系统重启时都自动加载,它们大多数使用25端口发送电子邮件。

3)键盘记录型

键盘记录型木马非常简单,它们只做一件事情,就是记录用户的键盘敲击,并且在LOG文件里进行完整的记录。这种木马程序会随着Windows系统的启动而自动加载,并能感知受害主机在线,且记录每一个用户事件,然后通过邮件或其他方式将用户事件发送给控制者。

4)毁坏型

大部分木马程序只是窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动删除受控主机上所有的.ini或.exe文件,甚至远程格式化受控主机硬盘,使受控主机上的所有信息都受到破坏。总而言之,该类木马的目标只有一个,就是尽可能地毁坏受感染系统,使其瘫痪。

5)FTP型

FTP型木马会打开被控主机系统的21号端口(FTP服务所使用的默认端口),使每个人都可以用一个FTP客户端程序无需密码就能连接到被控主机系统,进而进行最高权限的文件上传和下载,窃取受害系统中的机密文件。

根据木马的网络连接方向,可以将木马分为以下两类。

正向连接型:发起连接的方向为控制端到被控制端,这种技术被早期的木马广泛采用,其缺点是不能透过防火墙发起连接。

反向连接型:发起连接的方向为被控制端到控制端,其出现主要是为了解决从内向外不能发起连接这一问题。其已经被较新的木马广泛采用。

根据木马使用的架构,木马可分为4类。

C/S架构:这种架构是普通的服务器、客户端的传统架构,一般将客户端作为控制端,服务器端作为被控制端。在编程实现的时候,如果采用反向连接的技术,那么客户端(也就是控制端)就要采用socket编程的服务器端的方法,而服务端(也就是被控制端)就要采用Socket编程的客户端的方法。

B/S架构:这种架构是普通的网页木马所采用的方式。通常在B/S架构下,服务器端被上传了网页木马,控制端可以使用浏览器来访问相应的网页,进而达到对服务器端进行控制的目的。

C/P/S架构:这里的P意为Proxy,也就是在这种架构中使用了代理。当然,为了实现正常的通信,代理也要由木马作者编程实现,进而才能实现一个转换通信。这种架构的出现,主要是为了适应一个内部网络对另外一个内部网络的控制。但是,这种架构的木马目前还没有被发现。

B/S/B架构:这种架构的出现,也是为了适应一个内部网络对另外一个内部网络的控制。当被控制端与控制端都打开浏览器浏览这个服务器上的网页时,一端就变成了控制端,而另一端就变成了被控制端。这种架构的木马已经在国外出现。

根据木马存在的形态的不同,可将木马分为以下几种:

传统EXE程序文件木马:这是最常见、最普通的木马,即在目标计算机中以.exe文件运行的木马。

传统DLL/VXD木马:此类木马自身无法运行,它们须利用系统启动或其他程序来运行,或使用Rundi132.exe来运行。

替换关联式DLL木马:这种木马本质上仍然是DLL木马,但它却会替换某个系统的DLL文件并将它改名。

嵌入式DLL木马:这种木马利用远程缓冲区溢出的入侵方式,从远程将木马代码写入目前正在运行的某个程序的内存中,然后利用更改意外处理的方式来运行木马代码。这种技术在操作上难度较高。

网页木马:即利用脚本等设计的木马。这种木马会利用IE等的漏洞嵌入目标主机,传播范围广。

溢出型木马:即将缓冲区溢出攻击和木马相结合的木马,其实现方式有很多特点和优势,属于一种较新的木马类型。

此外,根据隐藏方式,木马可以分为以下几类:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏、内核模块隐藏和协同隐藏等。隐藏技术是木马的关键技术之一,直接决定木马的生存能力。木马与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。

(3)木马的功能

木马的功能可以概括为以下5种。

1)管理远程文件

对被控主机的系统资源进行管理,如复制文件、删除文件、查看文件、以及上传/下载文件等。

2)打开未授权的服务

为远程计算机安装常用的网络服务,令它为黑客或其他非法用户服务。例如,被木马设定为FTP文件服务器后的计算机,可以提供FTP文件传输服务、为客户端打开文件共享服务,这样,黑客就可以轻松获取用户硬盘上的信息。

3)监视远程屏幕

实时截取屏幕图像,可以将截取到的图像另存为图片文件;实时监视远程用户目前正在进行的操作。

4)控制远程计算机

通过命令或远程监视窗口直接控制远程计算机。例如,控制远程计算机执行程序、打开文件或向其他计算机发动攻击等。

5)窃取数据

以窃取数据为目的,本身不破坏计算机的文件和数据,不妨碍系统的正常工作。它以系统使用者很难察觉的方式向外传送数据,典型代表为键盘和鼠标操作记录型木马。
责编AJX

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分