摘要:本文主要介绍Windows系统漏洞攻防、木马攻防、病毒攻防、后门攻防、智能手机病毒与木马攻防,会从安全威胁产生的原因、特点、分类以及中病毒后的表现进行介绍,会介绍各种攻击防御的方法。
关键词:攻防;病毒;木马;漏洞;后门;智能手机病毒与木马
Abstract:This article mainly introduces Windows system vulnerability attack and defense, Trojan attack and defense, virus attack and defense, backdoor attack and defense, smart phone virus and Trojan attack and defense, will introduce the causes, characteristics, classification and performance of the virus after the security threat, will introduce various The method of attack defense.
Keywords:Attack and Defense; Virus; Trojan; Vulnerability; Backdoor; Smartphone virus and Trojan
在信息化飞速发展的今天,计算机网络得到了广泛的应用但随着网络之间信息传输的急剧增长,一些机构部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。在当前的Internet 上有一批熟谙网络技术的人,其中不乏网络天才,他们只是经常利用网络上现存的漏洞,想法设法进入他人的计算机网络系统,探究他人的隐私等但并不会对他人的计算机造成危害。许多网络系统都存在着这样的漏洞,也有可能是系统本身所有的,也有可能是由于网关的疏忽而造成的的,黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使目的邮箱被撑爆而无法使用。攻击者不仅可以窃听网络上信息,窃听用户口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,他们删除数据库的内容,摧毁网络节点,释放计算机病毒等等,这些都使数据的安全性和自身的利益受到了严重的威胁。
随着我国互联网行业的飞速发展,木马、后门、病毒等计算机恶意程序也越来越成为广大计算机用户面临的最大网络危害。网络安全防护形势严峻木马问题引发社会关注。
漏洞是硬件、软件、协议的具体实现或系统安全策略上存在缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。这个缺陷或错误将可能被不法者或黑客利用,通过植入木马、病毒等方式攻击或控制整个计算机,从而窃取计算机中的重要性资料和信息,甚至破坏系统。
计算机系统漏洞的产生大致有三个原因:(1)程序逻辑结构设计不合理,不严谨;(2)程序设计错误漏洞;(3)硬件限制。
在这里主要介绍Windows XP系统常见漏洞和Windows 7系统常见漏洞,Windows XP 系统常见的漏洞有UPNP服务漏洞、升级程序漏洞、帮助和支持中心漏洞、压缩文件夹漏洞、服务拒绝漏洞、Windows Media Player漏洞、RDP漏洞、热键漏洞、账号快速切换漏洞等。而Windows 7系统常见的漏洞就比Windows XP的漏洞少很多了,主要有快捷方式漏洞、SMB协议漏洞。
(1)UPNP服务漏洞
漏洞描述:允许攻击者执行任意指令。
防御策略:禁用UPNP服务之后,下载并安装对应的补丁程序。
(2)升级程序漏洞
漏洞描述:如将Windows XP 升级至Windows Prp,IE会重新安装,以前的补丁程序将会被全部清除。
防御策略:如IE浏览器未下载升级补丁可至微软网站下载最新的补丁程序。
(3)帮助和支持中心漏洞
漏洞描述:删除用户系统文件
防御策略:安装Windows XP的Service Pack 3。
(4)压缩文件夹漏洞
漏洞描述:Windows XP压缩文件夹可按攻击者的选择运行代码。
防御策略:不接收不信任的邮件附件,也不下载不信任的文件。
(5)服务拒绝漏洞
漏洞描述:服务拒绝
防御策略:关闭PPTP服务
(6)Windows Media Player漏洞
漏洞描述:可能导致用户信息的泄露;脚本的调用;缓存路径泄露
(7)RDP漏洞
漏洞描述:信息泄露并拒绝服务
防御策略:Windows XP默认并启动它的远程桌面服务。即使远程桌面服务启动,只需要在防火墙中屏蔽3389端口,就可以避免该攻击了。
(8)VM漏洞
漏洞描述:可能会造成信息泄露,并执行攻击者代码
防御策略:经常进行相关软件的安全更新。
(9)热键漏洞:
漏洞描述:设置热键后,由于Windows XP的自注销功能,可使系统“假注销”,其他用户即可通过热键调用程序。
防御策略:
①由于该漏洞被利用的前提为热键所用,因此需检查可能会带来危害的程序和服务的热键。
②启动屏幕保护程序,并设置密码
③在离开计算机时锁定计算机
(10)账号快速切换漏洞
漏洞描述:Windows XP快速账号切换功能存在问题,可造成账号锁定,使所有非管理员账号均无法登录。
防御策略:被锁定后可注销计算机,重新进入账号。
(10)代码文件自动升级漏洞
漏洞描述:该漏洞可攻击任何一台提供PPTP服务的服务器,对于PPTP服务客户端的工作站,攻击者只需激活PPTP会话,即可进行攻击。对任何遭到攻击系统,可通过重启来恢复正常的操作。
防御策略:建议不默认启动PPTP。
(1)快捷方式漏洞
漏洞描述:快捷方式漏洞是Windows Shell框架中存在的一个危机安全漏洞,在Shell32.dll的解析过程中,会通过“快捷方式”的文件格式去逐个解析:首先找到快捷方式所指向的文件路径,接着找到快捷方式依赖图标的图标资源。这样,Windows桌面和开始菜单上就可以看到各种漂亮的图标,我们点击这些快捷方式时,就会执行相应的程序。
微软lnk漏洞就是利用了系统解析的机制,攻击者恶意构造一个特殊的lnk(快捷方式)文件,精心构造一串程序代码来骗过操作系统。当Shell32.dll解析到这串编码的时候,会认为这个“快捷方式”依赖一个系统控件(dll文件),于是将这个“系统控件”加载到内存中执行。如果这个“系统控件”是病毒,那么Windows在解析这个lnk(快捷方式)时,就把病毒激活了。该病毒很可能通过USB存储器进行进行传播。
防御策略:禁用USB存储器的自动运行功能,并且手动检查USB存储器的根文件夹。
(2)SMB协议漏洞
漏洞描述:SMB协议只要是作为Microsoft网络的网络通信协议。用于在计算机间共享文件、打印机、串口等。当用户执行SMB2协议时,系统将会受到网络攻击,从而导致系统崩溃或重启。因此只要故意发送一个错取得网络协议请求,Windows 7系统就会页面错误,导致蓝屏会死机。
防御策略:关闭SMB服务。
DcomRpc漏洞往往是利用溢出工具来完成入侵,其实“溢出”在一定程度上也可以看成系统内的“间谍”,它对黑客们的入侵一呼即应,一应即将所有的权限拱手让人。所以需认识DcomRpc漏洞入侵手段,以便更好地做好计算机的安全防护。
Rpc服务作为操作系统中一个重要服务,其描述为“提供终结点映射程序及其他RPC服务”,系统大多数功能和服务都依赖于它。目前已知的DcomRpc接口漏洞有MS03-026(DocRpc接口堆栈缓冲区溢出漏洞)、MS03-039(堆栈出漏洞)和一个RPC包长度域造成的漏洞和另外几个拒绝服务漏洞。
要利用这个漏洞,可以发送畸形请求给远程服务器监听的特定DcoRpc漏洞溢出攻击前,用户需下载DcoRpc.xpn作为X-scan插件,复制到X-scan所在文件夹的Plugin文件夹中,扩展X-scan的扫描DcoRPc漏洞的功能,也可下载RpcDcom.exe专用DcomRPC漏洞扫描工具,扫描具有DcoRPC漏洞的目标主机,使用网上诸多的DcoRPC溢出工具进行攻击。
RPC服务远程漏洞入侵具体的操作方法如下:
(1)运行X-scan扫描工具,选择“设置”-“扫描参数”菜单项,即可弹出“扫描参数”对话框。选择“全局设置”-“扫描模块”选项,即可看到增加的“DcoRPC溢出漏洞”模块。
(2)在使用X-Scan扫描到具有DcoRpc接口漏洞的主机时,可以看到在X-Scan中有明显的提示信息。如果使用RpcDcom.exe专用DcomRPC溢出漏洞扫描工具,则可先打开“命令提示符”窗口,进入RpcDcom.exe所在文件夹,执行“RpcDcom-d IP 地址”命令后,开始扫描并看到最终的扫描结果。
如果操作成功,则执行溢出操作将立即得到了被入侵主机的系统管理员权限了。
RPC服务远程漏洞防御具体的操作方法如下:
(1)打好补丁
尽可能的在服务厂商的网站中下载补丁;打补丁的时候务必注意相应的系统版本。
(2)封锁135端口
135端口非常的危险,但是却难以了解其用途无法实际感受到其危险性的代表性端口之一,该工具是由提供安全相关技术信息和工具类软件的“SecurityFriday.com”公司提供的。以简单明了的形式验证了135端口的危险性,不过,由于该工具的特征代码追加到了病毒定义库文件中。如果在安装了该公司的病毒扫描软件中的计算机中安装了IE,EN,就有可能将其视为病毒。
(3)关闭RPC服务
关闭RPC服务也是防范DcomRPC漏洞攻击的方法之一,而且效果非常的彻底。具体方法方法为:选择“开始”-“设置”-“控制面板”-“管理工具”菜单项,即可打开“管理工具”窗口。双击“服务”图标,即可打开“服务”窗口。双击打开“Remote Procedure Call”属性窗口,在属性窗口中将启动类型设置为“已禁用”,这样自下次启动开始RPC就将不再启动。要想将设置为有效,需在注册表编辑器中将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlServices\RpcSs”的“Start”的值由0x04变成0x02后,重新启动计算机即可。
但进行这种设置后,将会给Windows运行带来很大影响,这是因为Windows的很多服务都依赖RPC,而这些服务在将RPC设置为无效后将无法正常启动。由于这样做弊端非常大,因此一般来说,不能关闭RPC服务。
(4)手动为计算机启用(或禁用)DCOM
以Windows 7为例,在“运行”中输入Dcomcnfg,单击“确定”按钮。依次选择“控制台节点”,“组件服务”,“计算机”,“我的电脑”选项找到属性,选择“默认属性”选项卡,取消勾选“在此计算机上启用分布式COM”复选框,单击“确定”。依次选择“计算机”-“新建”-“计算机”选项。
计算机体检高风险但是不能完成修复主要是因为检测项异常或关联错误导致的,首先从软件环境入手,之后针对系统环境进行更新,漏洞修复以及杀毒等操作,一些项可能牵扯到系统环境,有可能软件误报,若确定操作后依旧,可添加信任尝试。把杀毒软件和安全卫士卸载后重新一遍,建议使用金山卫士或是360安全卫士等,然后再修复漏洞。如果用户的系统安装时间很久了,重装系统也是解决问题的方式。
如今网络世界中,木马带来的安全问题已经远远超过病毒,他们如幽灵般的渗入到计算机中,已成为监控,窃取和破坏我们信息安全的头号杀手。一直以来,由于公众对木马知之甚少,才使得木马有机可乘,只有将木马的使用伎俩公之于众才能横好的保护我们的信息财富。以下主要介绍了木马攻击的技巧,其中包括木马的伪装手段、捆绑木马及木马清除工具的使用等,可有效帮助用户避免自己的计算机中木马,从而就可以保护计算机的安全。
木马在计算机领域中指的是一种后门程序,是黑客用来盗取其他用户的个人信息,与病毒相似,木马程序有很强的隐秘性,他会随着操作系统启动而启动。工作原理:一个完整的木马程序包括两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方计算机的是服务端,而黑客正是利用客户端进入运行了服务端的计算机,运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,实时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入计算机系统。
第一代:是最原始的木马程序。主要是密码的窃取,通过电子邮件发送信息等具备木马最基本的功能。
第二代:冰河木马。技术上有了进步。
第三代:ICMP木马。主要改进在数据传递技术,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。
第四代:DLL木马。采用内核插入式的嵌入式方式,利用远程插入线程技术,嵌入DLL线程。或者是挂接PSAPI,实现木马程序的隐藏,甚至是在Windows NT/2000下,都达到了良好的隐藏效果,灰鸽子和蜜蜂大盗是比较出名的DLL木马。
第五代:驱动级木马。使用了大量的Rootkit技术来达到深层隐藏的效果,并深入内核空间,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。
第六代:黏虫技术类型和特殊反显技术类型木马。前者主要是以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主,PassCopy和暗黑蜘蛛侠是这类木马的代表。
一个完整的木马有硬件部分和软件部分和具体连接部分组成。
常见的木马只要可以分为以下9类
(1)破坏性。这类木马主要功能就是破坏并且删除文件,能够自动删除目标主机上的DLL、INI、EXE文件
(2)密码发送性。因为Windows提供密码记忆功能,这类木马恰好就是利用这一点获取目标机的密码,他们会在重新启动Windows时重新运行,而且多使用25号端口发送E-mail。
(3)远程访问型。可以远程访问被攻击者的硬盘只用运行了服务端程序,客户端通过扫描等手段就会知道服务端的IP地址,就可以实现远程控制了。远程访问型木马会在目标上打开一个端口,而且有些木马还可以改变端口,设置连接密码等,为的是能够让黑客自己控制这个木马。只有改变了大家都熟知的端口,才更具有隐蔽性。
(4)键盘记录型木马。随着Windows的启动而启动,会记录受害者的键盘敲击并且在日志文件中查找密码,他们会有在线和离线的记录选项,科技分别记录用户在线和离线状态下的按键情况,黑客会从记录中知道密码等有用的信息,甚至是信用卡账号密码等。而且这种类型的木马很多具有邮件发送功能,会自动将密码发送到黑客的指定邮箱。
(5)Dos攻击木马。有一种类似Dos的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样的主题信件,对它定的邮箱不同的发送邮件,一直到对方瘫痪、不能接收邮件为止。
(6)FTP木马。最古老的木马,现在新FTP木马还加上了密码保护功能,这样,只有攻击者本人才知道正确的密码,从而进入对方的计算机。
(7)反弹端口型木马。与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连接控制端打开的被动端口;控制端口一般在80。
(8)代理木马。黑客会给“肉鸡”种上代理木马,通过代理木马,攻击者可以再匿名的情况下使用Telnet、ICQ、IRC等程序,从而隐蔽自己的踪迹。
(9)程序杀手木马。要在对方的计算机上发挥木马的作用,还要提防防木马软件才行,常见的防木马软件有ZoneAlarm、Norton Amti-Virus等。程序杀手木马就是关闭对方计算机上的这种程序,让其他的木马更好地发挥作用。
(1)修改图标
现在已经有木马可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标,但是提供这种功能的木马还是很少见的,伪装也很容易识破。
(2)捆绑软件
这种伪装手段一般会把木马捆绑在安装程序上,当安装程序运行时,木马进入系统,被捆绑的文件一般都是可执行文件(exe,com一类的文件)。本人机器最近就遭受了这种木马的袭击,真的是深受其伤害。该木马伪装成腾讯电脑管家中的exe文件,每次开机启动就会修改IE主页,还会进行网页
(3)出错显示
当用户打开文件却没有任何反应,就很可能是一个木马程序。为了让用户更难以察觉,设计者就专门为木马提供一个出错显示功能,用户打开服务端程序时会弹出“文件已破坏,无法打开”。
(4)把木马伪装成文件夹
把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面在套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹的木马时,也会点下去,这样木马就成功运行了,识别方法:不要隐藏系统中已知文件类型的扩展名称即可。
(5)自我销毁
自我销毁是指安装完木马后,源木马文件自动销毁,这样服务端用户就
(6)木马更名
有的木马把名称改为“windows.exe”,还有的就是更改一些后缀名,如把dll改为数字“11”而非此处的英文字母“ll”。
(7)冒充图片文件
将图片伪装成图像文件,如照片等,只要入侵者扮成美女及更改服务端口程序的文件名为“类似”图像文件的名称,再假装传送图片给受害者,受害者就会立刻执行它。
在这里简单介绍一下EXE捆绑机和自解压捆绑木马。
黑客主要利用捆绑技术将一个正常的可执行文件和木马捆绑在一起。一旦用户运行这个包含有木马的可执行文件,就可以通过木马控制或攻击用户的计算机,EXE捆绑机可以将两个执行文件(EXE文件)捆绑成一个文件,运行捆绑文件等于同时运行了两个文件。它会自动更改图标,使捆绑后的文件与捆绑前的文件图标一样。在执行过程中最好将第一个可执行文件选择为正常的可执行文件,第二个可执行文件选择为木马文件,这样捆绑后的文件图标会与正常的可执行文件的图标相同。
随着人们安全意识的提高,木马、硬盘炸弹等程序的生存越来越成为问题,于是有些人就利用WinRAR自解压程序捆绑恶意程序。利用WinRAR制作的自解压文件,不仅可以用来隐蔽的加载木马服务端程序,还可以用来修改运行者注册表键值。还可以把这个自解压文件和木马服务端程序或硬盘炸弹用WinRAR捆绑在一起,然后制成自解压文件,不仅能破坏注册表,还会破坏大家的硬盘数据。
为了使得木马程序难以被各种杀毒软件查杀,就促使了各种加壳工具与脱壳工具的使用,加壳就是将一个可知性程序中的各种资源,包括EXE、DLL等文件进行压缩,压缩后的可执行文件依然可以正常运行,运行前先在内存中将各种资源压缩,再调入资源执行程序。加壳后的文件变小,代码也发生了变化,从而避免了被木马查杀软件扫描出来并查杀,加壳后的文件也可通过专门的软件查看是否加壳成功。而脱壳就是去掉木马外面的壳,脱壳后的木马很容易被杀毒软件扫描并查杀。
ASPack是专门对WIN32可执行程序进行压缩的工具,压缩后程序能正常运行,即使已经将ASPack从系统中删除,曾经压缩过的文件仍可以正常使用。
木马加壳过后可以躲过很多杀毒软件的查杀,但是还会有一些特别强的杀毒软件仍可以查杀出加过一次壳的木马,所以只有进行多次加壳才能保证不被软件的查杀。北斗程序压缩文件(NsPack)多次加壳工具,是一款拥有自主知识产权的压缩文件,是一个exe/dll/ocx/scr等32位,64位可运行文件的压缩器,压缩后的文件会减少程序的加载和下载时间。
有当量的木马程序需要进行压缩加壳时,可以使用“北斗程序压缩”的“目录”压缩功能,进行批量压缩加壳。经过“北斗程序压缩”加壳的木马程序,可以使用ASPack等加壳工具进行再次加壳,这样就有了两层壳的保护。
PE-Scan是一个类似FileInfo和PE iDentifier的工具,可以很方便的检测出软件到底加的是什么壳,给汉化/脱壳/破解带来了极大的便利。PE-Scan还可以检测出一些壳的入口点(OEP),方便你手动脱壳,它对加壳软件的识别能力完全超过FileInfo和PE iDentifiter,它能识别出当今流行的绝大多数壳的类型,内建脱壳器,目前支持脱去ASPack、PECompact 0.90和0.92版本加的壳;具备高级扫描器;具备重建脱壳后的文件资源表功能。
在查出来木马的加壳程序之后,就需要找到原加壳程序进行脱壳,上述木马使用ASPack进行加壳,所以需要使用ASPack的脱壳工具UnASPack进行脱壳。一定要注意使用UnASPack进行脱壳时注意,UnASPack的版本要与加壳时的加壳时的ASPack一致,才能够成功为木马脱壳。
木马清除专家是专业防杀木马的软件,针对当前的流行木马病毒特别有效,可彻底查杀各种流行的QQ盗号木马、网游盗号木马、冲击波、灰鸽子、黑客后门等上万种木马间谍程序,是计算机不可或缺的坚固堡垒。软件除了采用传统的病毒库查杀木马外,还能智能查杀未知变种木马,自动监控内存可以程序,实时查杀内存硬盘木马,采用第二代木马扫描内核,查杀木马快速。软件本身还集成了IE修复、恶意网站拦截系统文件修复、硬盘扫描功能、系统进程管理和启动项目管理等。
具体操作步骤如下:
(1)安装时,最好安装在默认的目录下,安装完毕之后就可以进行体验了。
(3)更新完成后进入木马清道夫主页面,单击“扫描进程”按钮。
(4)单击“扫描”,按钮对系统进行扫描。查看扫描结果,没有扫描到木马,单击“确定”按钮返回主页面,如果扫描到了木马,则选中该文件后单击“清除”按钮,即可将其删除。
(5)选择扫描硬盘,在弹出的快捷菜单中单击“高速扫描硬盘”。扫描结束后可对扫描出的木马进行清除或隔离操作。
(6)接下来就可以扫描注册表了,查看扫描结果,单击“修复”,修复扫描到的问题。
(9)还可以切换到专业版本,进行木马监控,内存监控扫描,查看扫描到的结果,如果扫描到了木马,可以进行清除隔离全部。
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,是指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码”。
(1)寄生性。计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用。
(2)传染性。病毒程序代码一旦进入计算机并被执行,就会自动搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,实现自我繁殖。
(3)潜伏性。一个编制精巧的计算机病毒程序,进入系统后一般不会马上发作,可以在一段时间内隐藏在合法文件中,对其他系统进行感染,而不被人发现。
(4)可触发性。可触发性是指某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性。
(5)破坏性。病毒等到条件成熟后,便会发作,给系统带来严重的破坏。
(6)主动性。病毒的攻击是主动的,计算机系统无论采取多么严密的保护措施,都不可能彻底排除病毒对系统的攻击,而保护措施只是一种预防的手段。
(7)针对性。计算机病毒是针对特定的计算机和特定的操作系统的。
(1)传染源。病毒总是依附于某些存储介质,如软盘、硬盘等构成传染源。
(2)传染媒介。病毒传染的媒介是由其工作的环境来决定,可能是计算机网络,也可能是可移动的存储介质,如U盘等。
(3)病毒激活。是指将病毒装入内存,并设置触发条件。一旦触发条件成熟,病毒就开始自我复制到传染对象中,进行各种破坏活动等。
(4)病毒触发。触发的条件多种多样,可能是内部闹钟,系统的日期,用户标识符,也可能是系统一次通信等。
(5)病毒表现。表现是病毒的主要目的之一。有时在屏幕上显示出来,有时则表现为破坏系统数据。
(6)病毒传染。病毒传染的第一步是驻留内存;一旦进入内存之后,寻找传染机会,寻找可攻击对象,判断条件是否满足,决心是否可以传染;当条件满足时进行传染,将病毒写入磁盘系统。
计算机中病毒通常有以下几种症状。
(1)计算机操作系统运行速度减慢或经常死机
(2)系统无法启动
(3)文件打不开或被更改图标
(4)提示硬盘空间不足
(5)文件目录发生混乱
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。
(1)编写简单。
(2)感染力大。
(3)破坏力大。
(4)传播范围大。
(5)病毒源码容易被获取,变种多。
(6)欺骗性强。
(7)使得病毒生产机实现起来非常容易。
(1)绝大部分VBS脚本病毒运行时需要用到一个对象:FileSystemObject,具有局限性。
(2)VBScript代码是通过Windows Script Host来解释执行的。
(3)VBS脚本病毒的运行需要其关联程序Wscript.exe的支持,缺少Wscript.exe该病毒就会无法运行,具有依赖型。
(4)通过网页进行传播的病毒需要ActiveX的支持。
(5)通过E-mail传播的病毒需要OE的自动发送邮件功能支持,但是绝大部分病毒都是以E-mail为主要传播方式的。
(1)通过E-mail附件进行传播
病毒可以通过各种方法得到合法的E-mail地址,最常见的就是直接获取Outlook地址薄中的邮件地址,也可以通过程序在用户文档中搜索E-mail地址。
(3)通过局域网共享传播
局域网共享传播也是一种非常普遍并且有效的网络传播方式,为了局域网交流的方便一定存在不少共享目录,并且具有可写权限,这样病毒通过搜索这些共享目录就可以将病毒代码传播代码到这些目录之中。
(4)通过感染htm、asp、jsp、php等网页文件传播
病毒通过感染htm等文件,采用了和绝大部分网页恶意代码相同的原理,这段代码是病毒FSO、WSH等对象能够在网页运行的关键,并且势必会导致所有访问过该网页的用户计算机感染病毒。
(5)通过IRC聊天通道进行传播
病毒也可以通过现在广泛流行的KaZaA进行传播。将病毒文件复制到KaZaA的默认目录中,这样,当其他用户访问这台计算机时,就有可能下载该病毒文件并执行。这种传播方法可能会随着KaZaA这种点对点共享工具的流行而发生作用。
“VBS脚本病毒生成机”是一个傻瓜式的VBS病毒制造程序,程序向用户提供各项选择,自动产生需要的VBS脚本病毒。即使没有一点编程知识也可以制造出来一个VBS脚本病毒。病毒生成之后,可以使用修改文件名,使用双后缀的文件名,如“病毒.txt.vbs”等,然后通过邮件发送出去。在使用此软件制造生成病毒的同时,会产生一个名为“reset.vbs”的恢复文件,如果不小心运行了病毒,系统不能正常工作,则可以运行它来解决。
防范VBS脚本病毒措施如下:
(1)禁用文件系统对象FileSystemObject。
(2)卸载Windows Scripting Host。
(3)在Windows目录中,找到WScript.exe,将其更改名称或者删除,如果以后要用到,最好更改名称。
(4)要彻底防治蠕虫病毒,还需要设置一下浏览器。
(5)禁止OE的自动收发邮件功能。
(6)由于蠕虫病毒大多数利用文件扩展名做文章,所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”,将其修改为显示所有文件类型的扩展名称。
(7)删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
(8)将系统的网络连接的安全级别至少设置为“中等”,它可以在一定程度上预防某些有害的Java程序或者是某些ActiveX组件对计算机的侵害。
(9)杀毒软件的使用
根据病毒存在的媒体,媒体可以分为网络病毒、文件病毒、和引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件;文件并苏感染计算机中的文件,如COM、EXE、DOC等;引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,如多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,他们使用非常规的方法侵入系统,同时使用了加密和变形算法。
根据病毒传染的方式可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内纯种,这一部分程序挂接系统调用并合并到操作系统中去,它处于激活状态,一直到关机或重新启动;非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
为了防止U盘中毒,每次插入U盘的时候,按住“shift”键,它就不会自动打开,打开U盘的时候不要双击,要右击打开,因为有时候中毒了会出现量噶打开,双击打开就是默认了第一个打开,那么就会中毒。
如果中了毒也不要担心,单击“工具”中的“文件夹选项”命令,再在里面单击查看,把“显示隐藏的文件、文件夹和驱动器”单选按钮选中,再回到你的U盘,把你的文件夹后面是.exe的全部删掉,如果中毒太深,连U盘都打不开,就在U盘还插在计算机上时重启计算机,重启计算机,重启计算机时按“F8”间进入安全模式,之后就按照计算机上的提示操作,这种方法可以杀掉包括计算机在内的计算机上的所有病毒。
(1)功能上的发展
最原始的后门只有一个cmdshell功能,如列表进行,结束进程等。在winshell之后的后门在功能上已经趋于完善,拥有开启远程终端、克隆用户等功能,甚至有些后门就具有替换桌面的功能。
(2)隐藏性上的发展
后门程序的隐蔽性一般体现在自启动、连接、进程等方面的隐蔽性。
①自启动的隐蔽性
在启动方面,最初是利用注册表中的RUN项来实现的,但这种启动方法在“系统配置实用程序”中很容易被发现,而且在没有用户登录的情况下也可以启动,这样隐蔽性就提高了,现在又相继出现ActiveX启动、SVChost.exe加载启动及感染系统文件启动,还有API HOOK技术,可以实现在用户模式下无进程、无启动项、无文件启动。
②连接上的隐藏性
在连接上,最初是正向连接后门,后门监听一个端口,远程计算机对其进行连接。只要查看端口和程序的对应关系就可以很容易发现后门,所以这种后门的隐蔽性是非常弱的。
③进程上的隐藏性
当遇到对进程进行过滤的防火墙时,反向连接后门需要用到远程线程技术。在线程方面,应用最多的是远程技术,先把后门写成一个.dll文件,通过远程线程函数注入其他进程,从而实现无进程。所以通过远程插入线程可突破对进程进行过滤的防火墙。另外,还有其他隐藏方法,如利用原始套接字的嗅探后门等。
(1)网页后门。一般是通过服务器上正常的Web服务器来构造自己的连接形式,国内的主流形式是想利用某种脚本楼栋上传脚本后门,浏览服务器内安装和程序,找到提升权限的突破口,进而得到服务器的系统权限。
(2)线程插入后门。这种后门在运行时没有进程,所有网络操作在其他应用程序的进程中完成,即使客户端安装的防火墙拥有“应用程序访问权限功能”,也不能对这样的后门进行有效的警告和拦截。
(3)扩展后门。扩展后门本身就集成了很多功能,从而可以方便的直接控制肉鸡或服务器。这类后门非常受初学者的喜爱,通常集成了文件上传、下载、系统用户的检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能。
(4)C/S后门。传统的木马程序通常使用C/S架构,C/S后门和传统的木马程序有类似的控制方法,即采用“客户端/服务端”的控制方式,通过某种特定的访问方式来启动后门进而控制服务器等功能。
(5)RootKit。RootKit是黑客用来隐蔽自己的踪迹额保留root访问权限的工具,通常,攻击者通过远程攻击获得root访问权限,进入系统后,攻击者会在侵入的主机中安装RootKit,再将经常通过RootKit的后门监察系统是否有其他用户登录哦,如果只有自己,攻击者就会开始着手清理日志中的有关信息。如果存在其他用户,则会通过RootKit的网络嗅塘器获得其他系统的用户和密码,攻击者就会利用这些信息进入其他计算机。
(6)BootRoot。通过在Windows内核启动过程中额外插入第三方代码的技术项目-即为“BootRoot”。国外的eBye通过这种新的RootKit启动技术-并赋予
这种无须依赖Windows内核启动过程去加载自身代码的技术及其衍生品-“BootRoot”,即“Boot RootKit”
我们可以使用不同的工具实现系统服务后门技术,像Instsrv、Srvinstw等工具,黑客在成功控制一台计算机时,便可使用命令实现Guest账户的启用与禁用,当输入net user Guest/active:no时,就表示禁用Guest用户,当输入net user Guest/active:yes时,则表示启用Guest账户。以下是查看了自己的Guest账户的具体信息,可见账户启用为No。
接下来给大家介绍一个可以远程克隆账号权限的工具:CA.exe,其命令格式为:ca.exe\ip<账号><密码><克隆账号><密码>,其中各个参数的含义是:
①<账号>:被克隆的账号(拥有管理员的权限)
②<密码>:被克隆账号的密码
③<克隆账号>:克隆的账号(该账号在克隆前必须存在)。
④<密码>:设置克隆账号的密码
例如:ca.exe\192.168.59.128 Adminstrator 123 Guest命令是指将目标计算机中密码为123的Adminstrator账户权限克隆给Guest账户,即使得Guest拥有和Administrator一样的管理员账户权限。
(1)简单手工监测法
用AutoRuns检查系统启动项,观察可疑启动服务。可疑启动程序路径。如果已经中毒,一般是要检查最近被修改过的文件,当然了,目前一些高级的webshell后门程序已经支持更改自身的创建修改时间来迷惑管理员了。
(3)拥有反向连接的后门检测
这类后门程序一般会监听某个指定的端口,要检查这类后门需要用到DOS命令,在没有打开任何网络连接页面和防火墙的情况下,输入netstat -an监听本地开放端口,看是否有本地IP 连接外网IP。
(4)无连接的系统后门
这类后门如shift、放大镜、屏保后门,一般都是修改了系统文件,所以检测这类后门的方法就是对照他们的MD5值。
(5)CA后门
CA克隆账号这样的后门建立以$为后缀的超级管理员在DOS下无法查看该用户,用户组管理也不显示该用户,手工检查一般是在SAM里删除该键值。没有经验的话,建议还是用工具删除,CA有可能克隆的是Guest用户,所以建议服务器最好把Guest设置为一个复杂的密码。
(6)ICMP后门
这类后门罕见,如果要预防只有在默认的情况下Windows防火墙中设置只允许ICMP传入的回显请求。
(7)RootKit后门
BootRoot也是该后门的一种高级变种,为了抵御这类高级后门,国外也相继出现了这类查杀工具,例如,荷兰的反RootKit的工具Gmer,Rootkit Unhooker和RKU都可以检测并删除这些变种的RootKit。
(1)关闭系统中所有可能连接网路的程序,然后只登录某个程序,打开命令提示符,输入并执行“Netstat -an>C:\NET1.TXT”命令,将未运行木马前的网络连接状态保存在C:\NET1.TXT之中,关闭程序。
(2)运行“后门”,配置并生成木马程序。
(3)运行生成的QQ木马程序后重新登录程序。打开命令提示符,输入执行“Netstat -an>C:\NET2.TXT”命令,将运行木马程序后的网络连接保存在C:\NET2.TXT中。
(4)比较NET1.TXT和NET2.TXT
我们会发现在NET2.TXT中多出了几个网络地址,而除了我们配置得到的木啊马地址外,其他就是后门了。
手机木马有很多分类,且功能各有不相同,既可以单独使用也可以几种木马同时使用,几种木马同时使用可以使木马的功能更加强大。这里列举几种常见的手机木马分类:
(1)远程控制木马:这类木马的主要功能就是通过远程主机控制用户手机,其数量最多,危害最大,是木马中功能最强的一种。它具有键盘记录、数据记载和下载、下载系统功能,以及判断系统信息等功能。并且会在“肉鸡”上打开一个端口,以保证目标主机能够被长久控制,这里“肉鸡”指已经被黑客控制的用户手机。
(2)破坏型木马:其主要用途就是破坏已经成功控制手机的系统文件,以造成系统崩溃或者数据丢失故障。破坏型木马的这一特点类似病毒。两者的不同点在于破坏型木马的激活不是受用户控制,而是受攻击者控制,传播和感染能力低于病毒。
(3)键盘记录木马:这类木马主要的就是记录用户的输入,随着用户手机一起启动。键盘记录密码就会记录用户在键盘上输入的内容和顺序,然后将键盘记录发送到攻击者的主机上。
(4)代理木马:代理木马就是攻击者入侵远程用户手机时的一个跳板。攻击者通过使用代理木马可以隐藏攻击的痕迹,以便不易被发现。通过代理木马,攻击者还可以在匿名的情况下使用Telnet、IRC等程序,从而隐藏自己的足迹。
(5)程序禁用木马:这是一类禁用用户手机程序的木马。它会关闭用户手机中的杀毒防护软件,如360手机助手、百度卫士等软件。手机中的防护软件一旦被禁止,其他类型的木马就能够更好地发挥作用。这就要求用户最好定期使用安全软件对系统进行木马查杀,清除系统中潜藏的程序禁用木马。
(6)DoS攻击木马:当黑客入侵一台用户手机在并植入DOS攻击木马之后,这部手机就成了黑客最有利的助手,黑客控制的手机数量越多发动DOS攻击成功的概率也就越大。
(7)邮件炸弹木马:手机一旦感染上这种木马,随机生成各种各样主题的邮件,对黑客指引的邮件不停地发送邮件,一直到对方邮件瘫痪而不能接收邮件为止。
木马攻击的过程大体可以分为三个部分:配置木马、传播木马、运行木马。
(1)配置木马
攻击者在设计好木马程序后可以通过木马配置程序对木马程序进行配置,并根据不同的需要配置不同的功能,从具体的配置内容上来看,主要是为了实现以下两种方面功能。
①木马伪装:伪装是木马程序的一大特点,木马配置程序为了在服务端尽可能好地隐藏木马程序,会采用多种伪装手段,如修改图标、捆绑软件、定制端口、自我销毁等。
②信息反馈:木马程序在入侵用户手机后会向攻击者反馈用户的信息,木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址、QQ号等。
(2)传播木马
木马传播过程中需要进行两项工作,一项是确定木马的传播方式,另一项是确定木马的伪装方式。既要让木马能成功顺利地传播到目标手机上,还要能够将自己隐藏起来。
①传播方式:传播方式主要有两种:一种是通过E-mail传播,控制端将木马程序以附件的形式夹在邮件中发送出去用户只要在手机上打开邮件中的附件系统就会感染木马;另一方面是通过软件下载的方式传播,一些非正规的网站提供软件看似正常,但很可能已经被捆绑了木马程序。用户在不知道的情况下下载软件后,只要开始运行这些软件,木马程序就会自动启动安装。
②伪装方式:木马常见的伪装方式有以下几种:修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名。其中前三种方式在前面已经进行了详细的阐述,在这里就不予以详细介绍。
定制端口:因为客户端与服务器区通信的时候都是通过端口号识别固定服务,我们可以通过某一服务对应的端口号来识别正在进行的是何种服务。以前的木马程序都是采用固定的端口号来通信,用户就可以通过查看手机中的正在提供的服务的端口号来判断是否感染了木马,并且只要查一下特定的端口就知道感染了什么木马。为了克服这个缺陷,现在攻击者在设计木马程序的时候都加入了定制端口的功能。攻击者可以识别在控制端选用1024-65535之间的任何端口为木马端口,通过这种方式用户就很难识别哪一个端口为木马程序使用的端口。
自我销毁:木马的自我销毁功能就是为了不让用户发现原木马文件,因为用户在找到原木马文件后就可以根据原木马文件在自己的手机中找到正在运行的木马文件,这样木马就会很容易暴露,将源木马程序销毁,服务端用户就很难找到木马来源,在没有查杀木马工具的帮助下,就很难删除木马了。
木马更名:现在的攻击者在设计木马时大都允许控制端用户自由定义安装后的木马文件名,这样就很难判断所感染的木马种类了。
(3)运行木马
服务端用户运行用户或捆绑木马的程序后,木马就会自动安装,安装后就可以启动木马了。
手机病毒就没有手机木马那么“温柔”了,它主要就是破坏用户的手机,接下来我们来了解一下常见的几种手机病毒。
“安卓短信卧底”是首款出现在Android手机中的病毒,它的主要功能就是窃取手机中的短信内容,造成用户隐私严重泄漏。“安卓短信卧底”出现后不久,手机安全机构又截获了他的变种,这个变种不但能够窃取短信,还能监控用户的通话记录。“安卓短信卧底”给用户带来的危害有以下两种。
(1)窃取隐私
攻击者在制造“安卓短信卧底”时,会对该病毒进行设置,用户手机一旦中毒,病读程序就会按照攻击者设定的方式来发送用户的短信和通信记录等隐私信息。
(2)自动联网
中毒后的手机会在用户不知情的情况下打开手机的联网功能,用户手机连接到网络后就可以利用邮件的形式向攻击者发送用户的隐私信息,造成用户隐私的泄露。
手机病毒中出现过一种叫做InSpirit.A的“钓鱼王”手机病毒,这种病毒通过欺骗的方式使用钓鱼网站非法获取用户的账号和密码信息。因此提醒广大用户要谨慎打开不明短信中的链接,如果收到了银行发来的类似短信该立即通过电话或到营业厅确认信息的真伪。除此之外,用户还可以安装正规的手机杀毒软件,借以识别钓鱼网站,防止自己受骗。
手机骷髅病毒叫做LanPackage.A,又被称为彩信骷髅病毒、彩信炸弹、XXX彩信门。手机骷髅病毒通过网络下载传播,主要针对Symbian S603系列版本操作系统的智能手机,包括大部分诺基亚手机和部分三星手机。
手机骷髅病毒具有以下几个特点:
①手机骷髅病毒命名为“系统中文语言包”,容易迷惑用户。用户下载安装成功后系统会启动浏览器进入kai_xin***.com网站,这是一个正常的网站。
②手机中病毒后一般会表现为不停地自动联网、发送彩信,同时会向号码15810***754、137536***78等随机号码发送短信。
③手机骷髅病毒还会在后台下载、安装另一程序“设置向导”,该程序也会联网以消耗流量。
④手机病毒会使Activefile、TaskSpy等常用的文件浏览软件失效,并且会开机自启,使用户无法手动停止病毒进程。
⑤手机骷髅病毒还会终止程序管理进程,使用户无法卸载软件。
360手机中心的检测显示,感染手机骷髅木马后手机会出现以下几种情况。
①私自群发短信和彩信
②强制开机自启动
③无法正常卸载
④下载安装恶意插件:恶意扣费,恶意扣费软件通过控制用户手机私自发送大量短信、彩信,消耗用户的话费,同时还会强制连接网络,继续扩大自己的感染范围,消耗用户流量;隐私泄露,中毒后病毒会控制用户的手机将手机中的手机号码簿、短信、照片、视频等个人文件传给攻击者。除了上述两种常见的危害之外,如果下载安装的是一个卧底软件,完全有可能监听用户的通话、监控用户所有的操作,甚至通过GPS定位用户的行踪。
同花顺手机炒股软件是目前国内使用量最高、性能最稳定、支持券商最多并支持手机在线交易的随身免费炒股软件。
在同花顺软甲得到广大用户认可的同时,出现了一款名为“同花顺大盗”的恶性盗号木马病毒。这个病毒主要针对手机炒股软件“同花顺”,用户一旦感染了这种病毒,盗号木马病毒程序便开始监听键盘;等用户登录成功后木马病毒程序将铺货的账号和密码通过短信发送到一个固定的手机号码中,造成用户重要隐私信息的严重泄露。
针对上述木马病毒,用户可以从以下几点进行防范:
①手机用户首先要提高自身防范意识,规范网络行为,及时更新手机防护软件。
②下载应用程序和软件、图片等文件要到正规的网站。
③不要轻易点击不知名的网页和链接。
④安装并定期更新手机杀毒软件,借助于杀毒软件防止病毒的入侵。
⑤用户使用的账户和密码要经常更换,防止被盗。
在十年前用户手机出现过一个名为“卡比尔”的手机病毒,它是2004年6月中旬被制造出来的“概念型”病毒。感染“卡比尔”病毒最明显的特征是手机屏幕出现“Caribe-VZ/29a”字样。它能够运行在Symbian OS Series 60的机型上,并可以通过蓝牙设备传播。
手机中了卡比尔病毒会有以下几种现象。
①手机耗电速度非常快,用户在使用手机的时候可以反向手机电池电量急剧下降。
②手机自动控制蓝牙功能,并通过蓝牙功能搜索附近的蓝牙,然后又把病毒送过去。
③感染病毒后手机蓝牙功能不再受用户控制,手机用户将失去对自己手机蓝牙功能的控制权。
未感染该病毒的s60手机用户应注意以下几点,避免受到该病毒的危害。
①在不需要的情况下,保持蓝牙功能处于关闭状态。
②使用蓝牙设备时将其属性设置为“隐藏”,这样就无法被其他蓝牙设备搜索到了。
③尽量避免使用“配对”功能,如果必须使用,务必保证所有配对设备都设置为“未验证”,这样的连接请求将需要用户验证后才能够被接受。
④到官方网站下载所需要的软件,不要随意运行来源不明的软件。
5.4 手机病毒与木马的危害和防范
(1)破坏SIM卡
(2)窃取手机及SIM卡信息
(3)窃取个人信息
(4)窃取照片或文件资料
(5)窃取用户通话及短信内容
(6)收发恶意短信
(7)交易资料外泄
(8)恶意扣费
(9)破坏手机软硬件:手机中毒后出现频繁死机、频繁开关机等现象,这都是因为手机中的病毒或木马对手机的软硬件实施破坏。
①手机死机:攻击者可以通过手机操作系统平台存在漏洞攻击用户手机,导致用户手机死机。
②手机自动关机:手机频繁地开关机不仅会影响用户的正常使用,还会缩短手机的使用寿命。
③导致手机安全软件无法使用:手机病毒可能会成为伪装成防毒厂商的更新包,诱骗用户下载安装后使手机安全软件无法正常使用。
(10)手机按键功能丧失:用户手机感染了SYMBOS_LOCKNUT木马就会导致按键功能丧失。
(11)格式化手机内存:一些手机病毒或木马会针对手机内存进行破坏,用户的手机被格式化后,之前存储的数据将会全部丢失。如果用户没有对这些数据进行备份,将会有很大的麻烦。
(12)攻击者取得手机系统权限攻击者在入侵用户的手机后,可以取得系统的部分权限甚至是全部权限。用户拥有的权限越高,对用户手机的控制能力就越强,例如,专攻WinCE手机的Brador后门程式,中毒后的手机会被黑客远端下载文件,或者执行特定指令。
随着计算机技术的不断发展没病毒的攻击技术也越来越强大,仅凭普通软件是无法对这些病毒进行有效防御的。为了保障自己手机的安全,在手机上安装专业的杀毒软件是一个不错的选择,推荐可以使用腾讯手机管家和百度手机卫士等。另外,现在不良的WAP网站中有一部分会携带木马病毒,最好不要上这些网站。
在如今的互联网大潮中,无论是专业人士还是普通大众都需要有网络安全意识。除了以上介绍的几种网络安全需要用户加强用户的防范意识,还有WiFi安全攻防、网络账号密码攻防、网络代理与追踪技术、局域网攻防、网站脚本攻防、远程控制技术以及密码攻防等。
在网络技术迅猛发展的过程中,随着技术的广泛应用,网络安全问题越来越突出,加强黑客攻击网络的防护技术应用就显得更为重要,加强计算机网络黑客防护技术的科学应用,就要从多方面进行考虑,保障防护技术的作用充分发挥。通过此次对计算机网络攻防技术的分析以及研究,确实在很大程度上加强了自身的网络安全意识。在未来的学习和工作中也会继续深入了解更多有关网络安全方面的知识,希望能够帮助解决实际的网络安全问题。
【1】孙光懿 《基于HSRP和RIP协议实现校园网出口多组负载均衡》天津音乐学院 图书信息中心 2017(12)
【2】梁斌《网络攻击网站常用的技术及方法》中国高新技术企业 2016(08)
【3】赵玉萍《黑客攻防从入门到精通》(应用大全篇 全新升级版)北京大学出版社 2017(02)