 在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现哪些功能?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之一 - 冰河为例,向大家剖析木马的基本原理,为大家揭开木马的神秘面纱。木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。这个专题可以说是跨世纪了,都怪shotgun太忙了,三篇文章花了半年多的时间才写完。不过,这三篇文章也算是国内有关木马最详细的介绍啦。
揭开木马的神秘面纱<一>中主要分为基础篇;控制篇;潜行篇;破解篇;狡诈篇。从这五个方面,向大家彻底阐明无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!甚至还有人跟我争得面红耳赤,昏倒!!)
揭开木马的神秘面纱<二>这篇文章却是以关端口;隐藏进程;争夺系统控制权;防火墙攻防战;更加隐蔽的加载方式等防守原理为主的,让大家明白很多事情都是自己能够把握的。入侵高手可能会对于木马的编写和防御不屑一顾,但是,许多入侵事件多多少少会有木马的参与(这个时候,木马程序往往被叫做后门)。在最近的微软被黑事件中,入侵者使用的就是一种叫QAZ的木马,实际上,这种木马并不非常高级,甚至不能算是第二代木马(只是一种通过共享传播的蠕虫木马),而正是一只小小的木马,让强大的微软丢尽了脸。要知道:入侵者和黑客不同,对于入侵者来说,入侵是最终的目的,任何手段,只要能最快最简单的进入,就是最好的手段,由于被入侵的用户大多数并不是专业人员,所以木马往往是一个很好的选择。 在撰写本文的过程中,作者的朋友曾戏言:危言耸听。其实,事实并非如此,在本文中描述的木马,虽然看起来匪夷所思,但是在互联网上大多已经有了样品出现,而且,我相信,一定还有技术含量远远超过上述木马的软件正在开发中。
揭开木马的神秘面纱<三>是在揭开木马的神秘面纱(二)发表后,有很多朋友来信询问作者新型木马的详细情况,本文将会详细的分析Win2000下一种新型木马的内部构造和防御方法(主要从程序方面来讲)。大家知道,一般的"古典"型木马都是通过建立TCP连接来进行命令和数据的传递的,但是这种方法有一个致命的漏洞,就是木马在等待和运行的过程中,始终有一个和外界联系的端口打开着,这是木马的阿喀琉斯之踵(参看希腊神话《特洛伊战纪》),也是高手们查找木马的杀手锏之一(Netstat大法)。所谓道高一尺,魔高一丈,木马也是在斗争中不断进步不断成长的,其中一种ICMP木马就彻底摆脱了端口的束缚,成为黑客入侵后门工具中的佼佼者。
看完全文后,wuhanman也正在写一篇关于安全未来的文章,和作者对木马的看法可以说有很大的相同之处:病毒原来和木马有着截然不同的区别,首先就是机制不同:病毒本身具有主动传染性和自动破环性,木马则是属于被动的。木马是一些攻击者最为常用的攻击方法了,但是现在由于大家对未知文件已经有了戒心,不会在轻易使用不明的程序,木马攻击方法已经成功率不是很高了。但是在2000年里,这个传统的观念被打破了,首先是YAI(木马?病毒?)的出现(重庆出产的哦),这可是我认为最为霸道的木马了。要是美丽杀这种邮件病毒再和木马合并,我想好戏会更多...... |
