木馬檢測

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇木馬檢測范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

木馬檢測范文第1篇

關(guān)鍵詞：HTTP隧道木馬；原理；檢測方法

中圖分類號(hào)：TP309.5文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：16727800（2012）009015202

0引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展以及網(wǎng)絡(luò)中病毒木馬程序的日益泛濫，防火墻已經(jīng)成為保護(hù)局域網(wǎng)絡(luò)中主機(jī)免受惡意程序侵害的一道屏障。隨著防火墻技術(shù)的日益成熟，很多傳統(tǒng)遠(yuǎn)控型木馬程序已經(jīng)失去了其發(fā)展空間，然而一種新型的利用HTTP協(xié)議隧道的木馬又出現(xiàn)了。本文將主要介紹該類木馬的運(yùn)行原理以及目前針對(duì)該類木馬的主流檢測方法。

1HTTP協(xié)議隧道

HTTP協(xié)議隧道位于應(yīng)用層，是將需要傳輸?shù)臄?shù)據(jù)封裝在HTTP協(xié)議格式數(shù)據(jù)包中，通過HTTP協(xié)議在網(wǎng)絡(luò)中進(jìn)行傳輸，當(dāng)HTTP數(shù)據(jù)包抵達(dá)目的地后對(duì)HTTP數(shù)據(jù)包進(jìn)行解包，得到真實(shí)的數(shù)據(jù)。HTTP協(xié)議隧道分為直接型和中轉(zhuǎn)型兩種模式。

1.1直接型模式

此模式中每臺(tái)主機(jī)都既作客戶端又作服務(wù)器，可以相互通信。在客戶端中，數(shù)據(jù)經(jīng)過HTTP隧道軟件使用HTTP協(xié)議進(jìn)行封裝，然后通過80端口或者8080端口發(fā)送到對(duì)方主機(jī)。服務(wù)器端收到數(shù)據(jù)后對(duì)HTTP包進(jìn)行解包操作得到實(shí)際傳輸?shù)臄?shù)據(jù)。

1.2中轉(zhuǎn)型模式

此模式中有一個(gè)專門的HTTP隧道服務(wù)器，負(fù)責(zé)接收客戶機(jī)的請(qǐng)求，然后與目標(biāo)主機(jī)通信，將客戶端傳過來的數(shù)據(jù)交付給目標(biāo)主機(jī)。在客戶端與目標(biāo)主機(jī)之間仍使用HTTP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝后傳輸。

2HTTP隧道木馬原理

HTTP隧道木馬與傳統(tǒng)木馬程序在功能上基本一致，主要差別在于通信方式上。傳統(tǒng)木馬，不論是正向連接型還是反向連接型，基本都是通過高于1024端口進(jìn)行通信，然而現(xiàn)在的很多殺毒軟件以及防火墻對(duì)于這些端口的檢測會(huì)較為嚴(yán)格，從而使得木馬程序容易暴露身份。而隨著B/S模式的廣泛應(yīng)用，越來越多的網(wǎng)上流量都是通過HTTP協(xié)議進(jìn)行傳輸，因此絕大多數(shù)防火墻對(duì)于HTTP協(xié)議都采取進(jìn)行簡單協(xié)議結(jié)果判定后直接允許其通過的策略，而這樣的策略就給了木馬程序以可乘之機(jī)。

HTTP隧道木馬利用HTTP協(xié)議隧道，將自己需要傳輸?shù)臄?shù)據(jù)利用HTTP協(xié)議進(jìn)行封裝，然后經(jīng)由HTTP協(xié)議專用端口80端口或者8080端口與外部服務(wù)器進(jìn)行連接，服務(wù)器在得到數(shù)據(jù)以后進(jìn)行簡單的HTTP協(xié)議解包就可以得到實(shí)際的數(shù)據(jù)。

一般此類木馬選擇的HTTP協(xié)議隧道類型均為上一節(jié)中介紹的中轉(zhuǎn)型模式。在木馬實(shí)際運(yùn)行過程中，客戶端（即控制端）首先將待執(zhí)行的命令以文件的形式存放在HTTP隧道服務(wù)器中，而對(duì)于服務(wù)端（及被控端），每次上線后會(huì)主動(dòng)請(qǐng)求連接HTTP隧道服務(wù)器，然后用GET或者POST命令請(qǐng)求服務(wù)器中的特定文件（預(yù)先設(shè)定好的存放命令的文件）。如果文件中有需要執(zhí)行的命令，則在被控端主機(jī)上執(zhí)行相應(yīng)操作，然后將數(shù)據(jù)封裝成HTTP數(shù)據(jù)包回送給HTTP隧道服務(wù)器，如果文件中沒有命令需要執(zhí)行，則服務(wù)端斷開連接，一段時(shí)間后再次以相同方式詢問是否有命令，如此往復(fù)。通過此流程，HTTP隧道木馬就可以借用HTTP協(xié)議躲避防火墻的阻攔與控制端進(jìn)行通信。

3主流檢測方法

針對(duì)HTTP隧道木馬的檢測方法目前主要存在下面的三大類：基于簽名的檢測、基于協(xié)議的檢測以及基于操作行為的檢測。下面分別對(duì)3種檢測方法進(jìn)行介紹。

3.1基于簽名的檢測（SIGNATUREBASED DETECTION）

該方法主要通過檢測HTTP協(xié)議數(shù)據(jù)包定的數(shù)據(jù)式樣來判斷是否是可疑的HTTP數(shù)據(jù)包。這里所謂的特定的數(shù)據(jù)式樣，指的是比如“cat c：”、“cat d：”、“del c：”、“PWD”、“RETR ”、“cmdc：”、“cmd net start”等字串。這些字串一般為計(jì)算機(jī)的一些操作指令，如果HTTP數(shù)據(jù)包中含有這些數(shù)據(jù)式樣則將其判定為使用HTTP隧道進(jìn)行傳輸。

然而這種方法也存在一些問題，比如很難準(zhǔn)確找到有哪些數(shù)據(jù)樣式只存在于HTTP隧道木馬傳遞的數(shù)據(jù)包中而不可能或很少出現(xiàn)在正常網(wǎng)頁里，因?yàn)镠TTP協(xié)議是基于對(duì)象的協(xié)議，可以傳輸任何類型的文件，我們不能保證這些文件中不會(huì)出現(xiàn)所定義的“數(shù)據(jù)式樣”，因此此方法在實(shí)際運(yùn)用中可行性較低。

3.2基于協(xié)議的檢測

由于很多HTTP隧道木馬在進(jìn)行HTTP隧道傳輸時(shí)都只是進(jìn)行了一個(gè)簡單的HTTP協(xié)議封裝，即在數(shù)據(jù)外加上了一個(gè)HTTP頭部，然而這種簡單的協(xié)議封裝往往在很多時(shí)候不符合實(shí)際的HTTP協(xié)議正常的格式。并且在數(shù)據(jù)交互的過程中，HTTP隧道木馬一般只是簡單發(fā)送單個(gè)HTTP數(shù)據(jù)包，而不會(huì)完整執(zhí)行整個(gè)HTTP協(xié)議中規(guī)定的一整套交互流程。根據(jù)這些協(xié)議上的特點(diǎn)可以對(duì)HTTP隧道木馬進(jìn)行檢測。

然而在有些情況下這種方式仍不能正確地對(duì)該類木馬進(jìn)行準(zhǔn)確識(shí)別。比如木馬程序?yàn)榱藗窝b而進(jìn)行一系列虛假的HTTP協(xié)議交互過程，從協(xié)議層面上看該過程完全無法分辨出是否為木馬程序。

3.3基于操作行為的檢測

該方法主要提取了HTTP隧道木馬程序在網(wǎng)絡(luò)會(huì)話上的一系列特征，如：數(shù)據(jù)包大小、數(shù)量、會(huì)話時(shí)長、會(huì)話上傳數(shù)據(jù)量、會(huì)話上傳數(shù)據(jù)量和下載數(shù)據(jù)量之比以及會(huì)話平局上傳速率等。然后基于這些特征采取數(shù)據(jù)挖掘技術(shù)，對(duì)HTTP隧道木馬進(jìn)行分類，對(duì)其建立相應(yīng)木馬網(wǎng)絡(luò)會(huì)話特征模型，根據(jù)此模型對(duì)其進(jìn)行檢測。

資料顯示，此種檢測方法在HTTP隧道木馬程序檢測方面的效果較好。此方向研究者較多，各研究者之間差別在于采取的特征選取有細(xì)微不同，以及采取的分類算法存在一定差異。

3.4分析比較

分析了3種當(dāng)前主流HTTP隧道木馬檢測技術(shù)以后，我們可以看到，第一種技術(shù)基本無法單獨(dú)運(yùn)用于真實(shí)環(huán)境下的木馬檢測，在某些情況下可以作為輔助條件進(jìn)行木馬判定；基于協(xié)議的檢測方法存在一定的適用性，但是也很容易被木馬繞過，因此會(huì)導(dǎo)致實(shí)際使用的效果不佳；而第三種方式則相對(duì)顯得效果更好，有很好的實(shí)用性。

4結(jié)語

本文主要就HTTP隧道木馬的運(yùn)行原理進(jìn)行了介紹，然后對(duì)目前主流的HTTP隧道木馬檢測方法進(jìn)行了分析比較。通過分析幾種當(dāng)前提出較多的HTTP隧道木馬檢測方法，得到當(dāng)前檢測該類木馬程序最有效的方法在于對(duì)木馬網(wǎng)絡(luò)回話中的一些特征進(jìn)行分類處理，建立該類木馬特征模型，然后進(jìn)行檢測。

參考文獻(xiàn)：

[1]許治坤，王偉，郭添森，等.網(wǎng)絡(luò)滲透技術(shù)[M].北京：電子工業(yè)出版社，2005.

[2]李俊林.通用性HTTP隧道檢測技術(shù)研究[D].成都：電子科技大學(xué)，2006.

木馬檢測范文第2篇

簡二 家承(丞)一人。

按，“家”后一字原形作 ，字形下部無“手”，就是丞字，釋文當(dāng)作“家丞一人”。

二

簡五 宦者九人，其四人服牛車。

簡六 牛車，宦者四人服。

上二簡“?！痹巫?，此是羊字，非牛字。馬王堆簡帛牛字皆作二橫，無作三橫者，而羊字多作三橫，少數(shù)作四橫，無作二橫者。羊車是一種裝飾精美的車，用人拉，而非羊拉，正符合上二簡所言。漢劉熙《釋名·釋車》：“羊車。羊，祥也；祥，善也。善飾之車。”清王先謙《釋名疏證補(bǔ)》：“漢時(shí)以人牽之?！?/p>

三

簡九 建鼓一，羽栓 卑二，鼓者二人操搶。

按，“栓”原形作 ，此是 字。羽 疑即羽翿， ，書母魚韻，翿，定母幽韻，聲類同為舌音，韻部旁轉(zhuǎn)。《經(jīng)籍籑詁?號(hào)韻》：“《禮記?雜記》‘匠人執(zhí)羽葆御柩’，《周禮?鄉(xiāng)師注》作‘匠人執(zhí)翿以御柩’?！蹦铣和躞蕖墩衙魈影晕摹罚骸坝鹇R前驅(qū)，云旂北御?！睋?jù)漢代畫像石，建鼓鼓上一般裝飾有羽葆，如河南方城東關(guān)畫像石所刻大型建鼓，鼓頂飾一羽葆，沂南畫像石的建鼓，鼓頂有羽葆和旒蘇。

“卑二”，指建鼓上裝的兩面小鼓，據(jù)漢代畫像石，建鼓上常設(shè)小鼓，如南陽漢畫像石的建鼓，兩側(cè)鼓面下各設(shè)一小鼓?！氨啊奔贋椤绊@”，《詩經(jīng)?周頌?有瞽》：“應(yīng)朄縣鼓。”鄭玄注：“朄，小鼓，在大鼓旁，應(yīng)、鞞之屬也。”《文選?丘遲〈旦發(fā)魚浦潭〉》：“鳴鞞響沓障。”李善注引《字林》：“鞞，小鼓也?！焙喴凰摹按蠊囊?，卑二”，“卑”所指同。

“搶”原形作 ，此是抱字，其右旁“包”的寫法，與簡七五、八0的“鮑”和簡二三五的“炮”的右旁寫法相同?！氨А奔贋椤皷ⅰ保墩f文?木部》：“枹，擊鼓杖也?！?/p>

如此則簡九應(yīng)標(biāo)點(diǎn)為“建鼓一，羽 （翿） ，卑（鞞）二，鼓者二人操抱（枹）。”

四

簡三六 孝（絹？）繻椽（緣）。

按，“孝”原形作 ，此是李字?！袄睢蓖ā袄怼保斡癫谩墩f文解字注》：“古李、理同音通用”理即“紋理”，《廣韻?止韻》：“理，文也?！?《荀子?正名》：“形體、色理以目異。”楊倞注：“理，文理也?！?/p>

“椽”原形作 ，從“手”，是掾字，馬王堆一號(hào)漢墓竹簡遣策同，三號(hào)墓遣策原釋文作“椽”者，皆當(dāng)改為“掾”。

五

簡四九 鄭竽瑟各一，炊（吹）鼓者二。

按，“二”后當(dāng)補(bǔ)“人”，原圖版“人”雖不清晰，但猶有痕跡。

六

簡五三 琴一，青綺 ，素裏菜（彩）繢掾（緣）

簡五五 瑟一，繡 ，素裏繢掾（緣）

簡五三 竽一，錦 ，素裏繢掾（緣）

按， 疑是橐字異體，從糸，禿聲。簡三八一作“青綺琴囊一，素裏蔡（彩）繢掾（緣）”。

七

簡六八 胡人一人，操弓矢、贖觀，率附馬一匹。

按，“率”原形作 ，下從“?！?，是牽字。

八

簡一0三 榆菜。

按，“菜”原形作 ，是華字。

九

簡一0四 右方羹凡卅物，物一鼎。瓦維（甕）、 各一、蜀鼎六、瓦貴（繢）六。不足十六買瓦鼎錫涂。

按，依原牘格式，釋文“瓦維（甕）、 各一”當(dāng)移到“不足”一句前。“涂”原形從土從余，不從“氵”。

十

簡一二一 肋酒二。

按，“肋”原形作 ，此是“助”字。

十一

簡二二四 鰿 孰一器。

原注： 孰，不可解。

按，“孰”前一字為“縣”，縣孰，是肉與糧食合蒸的一種食物，后作“懸熟”，《北堂書抄》卷一四五引謝諷《食經(jīng)》：“作懸熟，以豬肉和米三升，豉五升，調(diào)味而蒸之?！?/p>

十二

簡二二五 丞（蒸）秋（鰍）一器。

簡二二六 丞（蒸）鱥（鱖）一器。

按，上二簡“丞”原形作 ，下從“火”，此是烝字。“烝”即“蒸”的本字。

十三

簡二六一 畫檢，徑尺，食鹽成（盛）五斗二合。

按，“食”原形作 ，是高字，“高”字簡二七四作 ，本批簡字形構(gòu)件“曰”常以“兒”代替，如簡一三的“楮”字、簡二七一的“曾”字、簡三五五的“緒”字等，此形即為以“兒”代“曰”的“高”字。

“成”前一字為“藍(lán)”字。釋文“斗”，原形是“寸”。

十四

簡三三四 盭機(jī)巾一，素裏繢掾（緣），素 。

簡三八九 槨中繡帷一，褚繢掾（緣），素 。

按， 簡三八九與馬王堆一號(hào)墓遣策簡二五一基本相同， 素 ，一號(hào)墓遣策作“素旅”（原釋文作“素?！保`。），指周緣外又續(xù)的素帛緣?！?”當(dāng)是“旅”字異體，“旅”為從 從從的會(huì)意字，“ ”為從 來聲的形聲字。來、旅同為來母字，來，之韻，旅，魚韻，之、魚旁轉(zhuǎn)。 是“來”的上一橫與“ ”重合的借筆形體。

十五

簡三四三 單一繡平 皃（貌）百。

按，釋文“ 皃（貌）”乃“ 完”誤釋?！?完”疑即“黊纊”，指黃錦制的小球，懸于冠冕之上。

十六

簡四0八 二人。十 囗囗囗。

原注：此為殘簡。“十”字下三字難以確認(rèn)。

按，細(xì)審圖片，“十”下第二、第三字猶可識(shí)別，乃“到此”二字，其“到”字與簡一“到”字寫法相同。此簡似應(yīng)列為最后一簡。

其他

1、簡一釋文“先選”，從圖版看，無疑是“光 ”二字，“光”與“先”的重要區(qū)別一是前者上下不連，后者相反，二是后者中為直橫，前者相反。

2、簡一一、簡四二“鐸”前一字就是“鐃”字，只是“堯”寫作兩“土”在上、一“土”在下。

3、簡五十“鼓者”后雖殘缺，但與簡四九對(duì)照，“鼓者”下定是“二人”二字。

4、簡一二二、簡一二三“一”前一字從自從旨，當(dāng)是脂字異體。

5、簡一七六釋文“熟”，當(dāng)作“孰”。

6、簡一八0“一”前一字就是“橘”字。

7、簡二0三釋文“五斗”前脫“穜（種）”。

8、簡二0四“三石”后就是“ ”字。

9、簡二五九與相鄰簡相比，“食般”前缺字為“ 畫”二字，圖版尚留“畫”字最后一筆。

10、簡二六0“大”后一字為“移”。

11、簡二七九“白”后為“辟”字。

12、簡三0二“大”后一字為“叔”字。

木馬檢測范文第3篇

準(zhǔn)備工作

首先，準(zhǔn)備自己需要免殺的木馬，這里我們選擇了查殺率最高的木馬之一――上興木馬。上興木馬是除灰鴿子外最為流行的木馬之一，各大殺毒軟件都針對(duì)這類木馬準(zhǔn)備了多套查殺特征碼及手段，因此免殺上興木馬是比較困難的，這也正好用以檢測我們所使用的免殺方法效果到底怎么樣。

另外，以前要制作免殺木馬時(shí)，往往必須在系統(tǒng)中安裝多款殺毒軟件以進(jìn)行免殺效果檢測，反復(fù)安裝卸載殺毒軟件非常的麻煩。這里我們準(zhǔn)備了一個(gè)在線查毒的網(wǎng)站“VlrSCANorg”。這是一個(gè)用于檢測文件是否有病毒的多病毒引擎查毒站點(diǎn)，上傳文件后可調(diào)用數(shù)十款殺毒軟件引擎進(jìn)行病毒檢測，其中包括國內(nèi)常用的各大殺毒軟件，如金山、瑞星、江民、卡巴斯基、趨勢、諾頓、Macefee等。

用VirSCAN網(wǎng)站檢測剛制作好的上興木馬，檢測結(jié)果顯示，大部分殺毒軟件都報(bào)警有病毒。下面就看看我們?nèi)绾巫寵z測結(jié)果中的紅色報(bào)警全部變成正常通過吧!

修政PE文件頭

下載“MaskPE 2.0”工具，這個(gè)工具可修改PE文件，用于生成免殺的木馬或病毒。不過現(xiàn)在MaskPE已經(jīng)不能實(shí)現(xiàn)免殺的效果了，我們只是用它來修改一下上興木馬的PE文件頭，用于增加殺毒軟件查殺的難度。至于一些普通不常用的木馬，也可以省略這個(gè)步驟。

運(yùn)行MaskPE，點(diǎn)擊“LoadFile”按鈕，瀏覽指定剛才生成的上興木馬文件。然后在下方最右邊的下拉列表中選擇加密類型為“Type2”或“Type3”，對(duì)于Tvpel加密的程序在運(yùn)行時(shí)會(huì)還原，所以可能無法通過內(nèi)存檢測。最后點(diǎn)擊“Make File”按鈕。就可完成木馬文件的PE修改了。

修改后的PE文件上傳到VirSCAN網(wǎng)站上檢測，發(fā)現(xiàn)經(jīng)過修改后。僅免殺了其中一款不常見的殺毒軟件。不過我們的目的僅僅是為后面的免殺作準(zhǔn)備而已。另外，需要備份并運(yùn)行PE修改后的木馬文件，看看木馬是否能夠正常上線。

核心――加密殼

現(xiàn)在到了今天我們免殺技術(shù)的核心――加密殼。加殼是一種常見的免殺方法，但是以前我們介紹的都只是加上Aspack、UPX之類的普通殼，這些殼只屬于壓縮殼。雖然可以對(duì)木馬起到加密的作用，但是現(xiàn)在各款殺毒軟件早就能輕松的脫殼反查出木馬了。今天要使用的是“加密殼”，這類殼與普通殼不同，是由一些廠商為保護(hù)軟件而開發(fā)的特殊殼，可對(duì)程序的所有資源進(jìn)行特殊的加密，根本無法進(jìn)行反編譯脫殼和還原破解。用加密殼加密過后的木馬。殺毒軟件無法進(jìn)行脫殼查殺，因此可以突破殺毒軟件實(shí)現(xiàn)免殺!

Themida加殼

Themida一款優(yōu)秀的商業(yè)保護(hù)殼，強(qiáng)度非常高。直接下載運(yùn)行“Themida 18.5.5正式版”會(huì)提示缺少文件，需要再下載“ThemidaFiles”，解壓后將所有文件復(fù)制到“Themida1.8.5.5正式版”目錄中，即可正常運(yùn)行。

運(yùn)行Themida后，點(diǎn)擊窗口中“l(fā)nput Filename”后的瀏覽按鈕，瀏覽指定剛才修改過PE的木馬文件，在“OutputFilename”處瀏覽指定木馬加密保護(hù)后的文件路徑。然后點(diǎn)擊工具欄“Protect”按鈕，即可打開加密保護(hù)對(duì)話框，點(diǎn)擊“Protect”按鈕即可開始進(jìn)行加密保護(hù)了。

加密保護(hù)完成后，將生成文件上傳到VirSCAN網(wǎng)站上檢測，發(fā)現(xiàn)加密后的木馬文件。已經(jīng)躲過了大部分殺毒軟件的查殺。國內(nèi)的三大殺毒軟件及卡巴斯基等，已經(jīng)對(duì)木馬視而不見了!

ASProtct　SKE加密殼

ASProtect SKE是一款非常著名的加宿殼，用它來對(duì)木馬加密免殺的效果也非常好!

運(yùn)行“ASP rotect SKE 2.3 build 05.14 beta”，在“Options”選項(xiàng)頁中，點(diǎn)擊“File to Protect”處瀏覽按鈕。指定修改過PE的文件，在“Output To Filename”處指定生成加密文件路徑。在加密選項(xiàng)“Protections Options”處勾選“Resou rces Protetion”以加密資源，其它保護(hù)項(xiàng)可根據(jù)需要設(shè)置。在“CompressiORS Options”處設(shè)置壓縮率為最高“Good Compression”。

再切換到“Mode”選項(xiàng)頁。點(diǎn)擊“Add Mode”按鈕，添加一個(gè)加密模式“1”。在列表中選擇壓縮模式1，勾選下方的“IsThis Mode Active?”，將該模式激活。點(diǎn)擊工具欄上的“Start Protection”按鈕，即可開始進(jìn)行加密壓縮了。

用VirSCAN在線掃描ASProtect SKE$11密后的木馬，結(jié)果顯示國內(nèi)常見的殺毒軟件全部檢測無毒，僅有幾款來自國外的少見殺毒軟件能夠查殺!

補(bǔ)充――過主動(dòng)防御

現(xiàn)在的殺毒軟件不只用被動(dòng)的查殺方式防御病毒木馬，還采用了主動(dòng)防御的方案，過主動(dòng)防御也是病毒免殺的一個(gè)重要步驟。在國內(nèi)的殺毒軟件中，金山?jīng)]有提供主動(dòng)防御功能，可以不必考慮，瑞星的主動(dòng)防御很脆弱，用Byshefl、evllotus之類生成的木馬就可以輕松突破；而卡巴斯基的主動(dòng)防御功能，一般是通過修改系統(tǒng)時(shí)間來突破的，在上興之類的木馬中都提供了修改系統(tǒng)時(shí)間功能：而對(duì)于江民殺毒軟件的主動(dòng)防御突破是比較困難的。可以使用一個(gè)叫作“過主動(dòng)免殺殼1.0”的工具來實(shí)現(xiàn)。

運(yùn)行過主動(dòng)免殺殼工具，將剛才生成的免殺木馬拖到程序窗口中，點(diǎn)擊“加殼”按鈕即可直接加殼完成。生成的文件可過常見殺毒軟件的主動(dòng)防御。效果不錯(cuò)。

MaskPE 2.0 http：//www．3800hk．com/Soft/lmhb/12113htmI

Themida 1.8.5.5正式版http：//www．pediy．com/tools/PACK/Protectors/Themida/Themida 1.8.5.5.rar

ThemidaF_les http：//WWW．pediy．com/tools/PACK，Protectors/Themida/ThemidaFiles，rar

木馬檢測范文第4篇

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全問題已變得越來越受到人們的重視，網(wǎng)絡(luò)攻擊形式多種多樣，很多蠕蟲病毒、木馬病毒等植入到某些網(wǎng)頁中，給網(wǎng)絡(luò)用戶帶來了很大的安全隱患，網(wǎng)頁木馬通過利用瀏覽器或插件的一些漏洞，在客戶端下載并執(zhí)行一些惡意程序進(jìn)行網(wǎng)絡(luò)攻擊，它已經(jīng)成為了目前惡意程序傳播的一種重要方式，本文主要闡述了網(wǎng)頁木馬的機(jī)理和特點(diǎn)，重點(diǎn)分析了木馬的檢測以及木馬的特征，并針對(duì)這些特點(diǎn)進(jìn)行了一些相應(yīng)防范對(duì)策的探討。

【關(guān)鍵詞】網(wǎng)頁木馬 木馬機(jī)理 攻擊 防范

由于網(wǎng)頁木馬制作簡單、傳播速度快、破壞力強(qiáng)。掛馬形式多等原因，已經(jīng)成為惡意程序傳播中最常見的形式之一，給互聯(lián)網(wǎng)用戶造成嚴(yán)重的安全威脅。

目前國內(nèi)外很多研究人員圍繞網(wǎng)頁木馬的防御進(jìn)行了深入的探討與研究，同時(shí)攻擊者也在采用一些更先進(jìn)的手段來提高木馬的攻擊隱蔽性，用以提高木馬的攻擊成功率，因此，網(wǎng)頁木馬的機(jī)理與防范對(duì)策研究已成為了當(dāng)前計(jì)算機(jī)工作者的一個(gè)重要課題。

1 網(wǎng)頁木馬工作機(jī)理與特征

（1）網(wǎng)頁木馬定義。網(wǎng)頁木馬是在宏病毒、木馬等惡意代碼基礎(chǔ)上發(fā)展出來的一種新形態(tài)的惡意代碼。類似于宏病毒通過Word 等文檔中的惡意宏命令實(shí)現(xiàn)攻擊。網(wǎng)頁木馬一般通過 HTML 頁面中的一段惡意腳本達(dá)到在客戶端下載、執(zhí)行惡意可執(zhí)行文件的目的，而整個(gè)攻擊流程是一個(gè)“特洛伊木馬式”的隱蔽的、用戶無察覺的過程，因此，國內(nèi)研究者通常稱該種攻擊方式為“網(wǎng)頁木馬”。

（2）網(wǎng)頁木馬典型攻擊流程。網(wǎng)頁木馬采用的是一種被動(dòng)的攻擊模式，攻擊者將網(wǎng)頁木馬部署在服務(wù)器端，被動(dòng)的等待客戶端發(fā)起訪問請(qǐng)求，一旦有客戶端訪問攻擊頁面，服務(wù)器就將頁面內(nèi)容反饋給客戶端，頁面通過瀏覽器及插件漏洞將客戶端攻破，進(jìn)而下載、安裝、執(zhí)行惡意程序。其攻擊流程圖如圖1。

（3）網(wǎng)頁木馬的漏洞利用機(jī)理。網(wǎng)頁木馬的漏洞利用機(jī)理主要是通過利用客戶端瀏覽器以及插件的漏洞來獲取攻擊權(quán)限，一旦獲取攻擊權(quán)限后就會(huì)進(jìn)行惡意程序的下載和執(zhí)行。這些漏洞的腳本語言主要是JavaScript等，一方面在于瀏覽器提供了腳本語言與插件間進(jìn)行交互的 API，攻擊腳本通過畸形調(diào)用不安全的 API 便可觸發(fā)插件中的漏洞；另一方面，攻擊者也可以利用腳本的靈活特性對(duì)攻擊腳本進(jìn)行一定的混淆處理來對(duì)抗反病毒引擎的安全檢查。網(wǎng)頁木馬利用的漏洞主要有兩類，一類是任意下載 API 類漏洞，另一類是內(nèi)存破壞類漏洞。

（4）網(wǎng)頁木馬涉及的關(guān)鍵手段。網(wǎng)頁木馬采用基于Web的客戶端攻擊方式，它作為一種新型的惡意代碼，在結(jié)構(gòu)和組成上與普通的病毒惡意代碼有很大區(qū)別，在木馬程序中，攻擊者通常采用一些靈活多變的攻擊技術(shù)和手段來提高網(wǎng)頁木馬的成功率和隱蔽性。攻擊者通常采用“環(huán)境探測+動(dòng)態(tài)加載”的模式來應(yīng)對(duì)客戶端環(huán)境的復(fù)雜多樣性，采用一種all-in-one 的方式將針對(duì)不同漏洞的攻擊代碼全部包含進(jìn)單個(gè)攻擊頁面中。但這種方式能使得瀏覽器反應(yīng)遲緩，容易引起用戶的察覺，為了提高攻擊的隱蔽性和成功率，攻擊者采用“一個(gè)探測頁面+多個(gè)攻擊腳本/攻擊頁面”的“環(huán)境探測+動(dòng)態(tài)加載”模式，這種模式在提升攻擊成功率的同時(shí)，也增加了攻擊的隱蔽性和攻擊效率。此外，網(wǎng)頁木馬還具有增強(qiáng)自身隱蔽性的手段，攻擊者往往采用混淆免殺、人機(jī)識(shí)別、動(dòng)態(tài)域名解析等一些技術(shù)手段來提升攻擊的隱蔽性。

2 網(wǎng)頁木馬防范對(duì)策研究

根據(jù)網(wǎng)頁木馬的防范位置，可以從三個(gè)方面入手，它們分別是基于網(wǎng)站服務(wù)器端的網(wǎng)頁掛馬防范、基于的網(wǎng)頁木馬防范以及基于客戶端網(wǎng)頁木馬防范。

（1）基于網(wǎng)站服務(wù)器端網(wǎng)頁掛馬防范。網(wǎng)站服務(wù)器端網(wǎng)頁掛馬防范是網(wǎng)頁木馬防范中的第一個(gè)環(huán)節(jié)，網(wǎng)站掛馬的主要途徑有：利用網(wǎng)站服務(wù)器系統(tǒng)漏洞、利用內(nèi)容注入等應(yīng)用程序漏洞、通過廣告位和流量統(tǒng)計(jì)等第三方內(nèi)容掛馬等。利用網(wǎng)站服務(wù)器系統(tǒng)漏洞來進(jìn)行攻擊是一種常見的網(wǎng)頁掛馬途徑，攻擊者利用服務(wù)器的漏洞獲取權(quán)限后，可以對(duì)頁面進(jìn)行篡改。因此，網(wǎng)站服務(wù)器應(yīng)打好系統(tǒng)漏洞補(bǔ)丁，或按照一些入侵檢測系統(tǒng)來防范這些木馬程序的攻擊。

3用網(wǎng)站服務(wù)器系統(tǒng)漏洞

（1）基于的網(wǎng)頁木馬防范?；诘木W(wǎng)頁木馬防范是在頁面被客戶端瀏覽器加載之前，在一個(gè) shadow 環(huán)境（即）中對(duì)頁面進(jìn)行一定的檢測或處理。主要可以從幾個(gè)方面著手：一是“檢測-阻斷”式的網(wǎng)頁木馬防范方法，這種方法是在處進(jìn)行網(wǎng)頁木馬檢測；二是基于腳本重寫的網(wǎng)頁木馬防范方法；三是基于瀏覽器不安全功能隔離的網(wǎng)頁木馬防范方法。這種方法主要由來解析頁面并執(zhí)行腳本，它需要大量的時(shí)間，在實(shí)際應(yīng)用中難以適應(yīng)。（2）基于客戶端網(wǎng)頁木馬防范?；诳蛻舳司W(wǎng)頁木馬防范主要應(yīng)用在客戶端，比較常見的方法有URL 黑名單過濾、瀏覽器安全加固、操作系統(tǒng)安全擴(kuò)展等。通過Google來檢測索引庫中的頁面，生成一個(gè)URL黑名單，然后Google的搜索引擎會(huì)將URL黑名單中的搜索結(jié)果進(jìn)行標(biāo)記。瀏覽器安全加固是通過在瀏覽器中增加一些檢測功能來對(duì)瀏覽器進(jìn)行安全加固，操作系統(tǒng)安全擴(kuò)展主要用來阻斷網(wǎng)頁木馬攻擊流程中未經(jīng)用戶授權(quán)的惡意可執(zhí)行文件下載、安裝/執(zhí)行環(huán)節(jié)。

4 總結(jié)

網(wǎng)絡(luò)木馬是惡意程序在網(wǎng)絡(luò)中傳播的一種常見方式，它主要是通過網(wǎng)絡(luò)客戶端對(duì)服務(wù)器的訪問，利用系統(tǒng)安全漏洞隱蔽的將網(wǎng)頁木馬惡意程序植入到客戶端，客戶端通過瀏覽網(wǎng)頁，執(zhí)行惡意程序后感染木馬病毒，給計(jì)算機(jī)用戶帶來嚴(yán)重危害，基于Web的被動(dòng)攻擊模式能將網(wǎng)頁木馬感染到大量的客戶端，它具有隱蔽性高、傳染快等特點(diǎn)，因此，安全研究人員必須對(duì)網(wǎng)頁木馬高度重視，應(yīng)針對(duì)網(wǎng)頁木馬的機(jī)理、特征進(jìn)行多方面的研究，才能針對(duì)其結(jié)果做出相應(yīng)的防范措施，避免網(wǎng)頁木馬的擴(kuò)散與傳播，對(duì)于網(wǎng)絡(luò)安全人員來說，網(wǎng)頁木馬的防范工作將是一項(xiàng)任重而道遠(yuǎn)的工作。

木馬檢測范文第5篇

    【關(guān)鍵詞】掃描 權(quán)限后門

    信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是,隨著信息化應(yīng)用的深入、認(rèn)識(shí)的提高和技術(shù)的發(fā)展,現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

    入侵攻擊有關(guān)方法,主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等,下面僅就包括筆者根據(jù)近年來在網(wǎng)絡(luò)管理中有關(guān)知識(shí)和經(jīng)驗(yàn),就入侵攻擊的對(duì)策及檢測情況做一闡述。

    對(duì)入侵攻擊來說,掃描是信息收集的主要手段,所以通過對(duì)各種掃描原理進(jìn)行分析后,我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征。

    一、利用數(shù)據(jù)流特征來檢測攻擊的思路

    掃描時(shí),攻擊者首先需要自己構(gòu)造用來掃描的IP數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達(dá)到計(jì)算機(jī)端口,再等待端口對(duì)其響應(yīng),通過響應(yīng)的結(jié)果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準(zhǔn)確地檢測到系統(tǒng)遭受了網(wǎng)絡(luò)掃描。考慮下面幾種思路:

    1.特征匹配

    找到掃描攻擊時(shí)數(shù)據(jù)包中含有的數(shù)據(jù)特征,可以通過分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù),來檢測端口掃描的存在。如UDP端口掃描嘗試:content:“sUDP”等等。

    2.統(tǒng)計(jì)分析

    預(yù)先定義一個(gè)時(shí)間段,在這個(gè)時(shí)間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)定值的連接次數(shù),認(rèn)為是端口掃描。

    3.系統(tǒng)分析

    若攻擊者對(duì)同一主機(jī)使用緩慢的分布式掃描方法,間隔時(shí)間足夠讓入侵檢測系統(tǒng)忽略,不按順序掃描整個(gè)網(wǎng)段,將探測步驟分散在幾個(gè)會(huì)話中,不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常,不導(dǎo)致日志系統(tǒng)快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過上面的簡單的統(tǒng)計(jì)分析方法不能檢測到它們的存在,但是從理論上來說,掃描是無法絕對(duì)隱秘的,若能對(duì)收集到的長期數(shù)據(jù)進(jìn)行系統(tǒng)分析,可以檢測出緩慢和分布式的掃描。

    二、檢測本地權(quán)限攻擊的思路

    行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對(duì)比檢查是常用的檢測技術(shù)。虛擬機(jī)技術(shù)是下一步我們要研究的重點(diǎn)方向。

    1.行為監(jiān)測法

    由于溢出程序有些行為在正常程序中比較罕見,因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件,如果符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實(shí)現(xiàn)起來有一定難度,不容易考慮周全。行為監(jiān)測法從以下方面進(jìn)行有效地監(jiān)測:一是監(jiān)控內(nèi)存活動(dòng),跟蹤內(nèi)存容量的異常變化,對(duì)中斷向量進(jìn)行監(jiān)控、檢測。二是跟蹤程序進(jìn)程的堆棧變化,維護(hù)程序運(yùn)行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。

    監(jiān)測敏感目錄和敏感類型的文件。對(duì)來自www服務(wù)的腳本執(zhí)行目錄、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運(yùn)行,進(jìn)行攔截、仲裁。對(duì)這些目錄的文件寫入操作進(jìn)行審計(jì),阻止非法程序的上傳和寫入。監(jiān)測來自系統(tǒng)服務(wù)程序的命令的執(zhí)行。對(duì)數(shù)據(jù)庫服務(wù)程序的有關(guān)接口進(jìn)行控制,防止通過系統(tǒng)服務(wù)程序進(jìn)行的權(quán)限提升。監(jiān)測注冊表的訪問,采用特征碼檢測的方法,阻止木馬和攻擊程序的運(yùn)行。

    2.文件完備性檢查

    對(duì)系統(tǒng)文件和常用庫文件做定期的完備性檢查。可以采用checksum的方式,對(duì)重要文件做先驗(yàn)快照,檢測對(duì)這些文件的訪問,對(duì)這些文件的完備性作檢查,結(jié)合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。

    3.系統(tǒng)快照對(duì)比檢查

    對(duì)系統(tǒng)中的公共信息,如系統(tǒng)的配置參數(shù),環(huán)境變量做先驗(yàn)快照,檢測對(duì)這些系統(tǒng)變量的訪問,防止篡改導(dǎo)向攻擊。

    4.虛擬機(jī)技術(shù)

    通過構(gòu)造虛擬x86計(jì)算機(jī)的寄存器表、指令對(duì)照表和虛擬內(nèi)存,能夠讓具有溢出敏感特征的程序在虛擬機(jī)中運(yùn)行一段時(shí)間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序相似的行為,比如可疑的跳轉(zhuǎn)等和正常計(jì)算機(jī)程序不一樣的地方,再結(jié)合特征碼掃描法,將已知溢出程序代碼特征庫的先驗(yàn)知識(shí)應(yīng)用到虛擬機(jī)的運(yùn)行結(jié)果中,完成對(duì)一個(gè)特定攻擊行為的判定。

    虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合,并沒有拋棄已知的特征知識(shí)庫。虛擬機(jī)的引入使得防御軟件從單純的靜態(tài)分析進(jìn)入了動(dòng)態(tài)和靜態(tài)分析相結(jié)合的境界,在一個(gè)階段里面,極大地提高了已知攻擊和未知攻擊的檢測水平,以相對(duì)比較少的代價(jià)獲得了可觀的突破。在今后相當(dāng)長的一段時(shí)間內(nèi),虛擬機(jī)在合理的完整性、技術(shù)技巧等方面都會(huì)有相當(dāng)?shù)倪M(jìn)展。目前國際上公認(rèn)的、并已經(jīng)實(shí)現(xiàn)的虛擬機(jī)技術(shù)在未知攻擊的判定上可達(dá)到80%左右的準(zhǔn)確率。

    三、后門留置檢測的常用技術(shù)

    1.對(duì)比檢測法

    檢測后門時(shí),重要的是要檢測木馬的可疑蹤跡和異常行為。因?yàn)槟抉R程序在目標(biāo)網(wǎng)絡(luò)的主機(jī)上駐留時(shí),為了不被用戶輕易發(fā)現(xiàn),往往會(huì)采取各種各樣的隱藏措施,因此檢測木馬程序時(shí)必須考慮到木馬可能采取的隱藏技術(shù)并進(jìn)行有效地規(guī)避,才能發(fā)現(xiàn)木馬引起的異?，F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對(duì)比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。

    2.文件防篡改法

    文件防篡改法是指用戶在打開新文件前,首先對(duì)該文件的身份信息進(jìn)行檢驗(yàn)以確保沒有被第三方修改。文件的身份信息是用于惟一標(biāo)識(shí)文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗(yàn)和的方式進(jìn)行生成。

    3.系統(tǒng)資源監(jiān)測法

    系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機(jī)系統(tǒng)資源的方式來檢測木馬程序異常行為的技術(shù)。由于黑客需要利用木馬程序進(jìn)行信息搜集,以及滲透攻擊,木馬程序必然會(huì)使用主機(jī)的一部分資源,因此通過對(duì)主機(jī)資源(例如網(wǎng)絡(luò)、CPU、內(nèi)存、磁盤、USB存儲(chǔ)設(shè)備和注冊表等資源)進(jìn)行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

    4.協(xié)議分析法

    協(xié)議分析法是指參照某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議對(duì)所監(jiān)聽的網(wǎng)絡(luò)會(huì)話進(jìn)行對(duì)比分析,從而判斷該網(wǎng)絡(luò)會(huì)話是否為非法木馬會(huì)話的技術(shù)。利用協(xié)議分析法能夠檢測出采取了端口復(fù)用技術(shù)進(jìn)行端口隱藏的木馬。

    參考文獻(xiàn):