论文部分内容阅读
近期很多朋友反映自己的电脑网速变得很慢,但是不管是杀毒软件还是网络防火墙都在歌颂太平盛世似的,没有发出任何情报,这是什么原因呢?不知道听到这样的消息,你会不会害怕,一种所谓会隐身的潜行木马正在你的电脑中在防火墙的阴影下悄悄地盗取你的资料和各种信息。它们是确实存在的,而且制作它们也相当的简单,现在就让我们拆穿它们的真面目,把它们曝光在日光之下,并且给你武器,让你亲手把它们消灭掉!
不被查杀的潜行木马是如何制造出来的
说到逃过杀毒软件的监视,一般常见的保护手段不外乎加密源代码、程序加壳、捆绑等技术,针对个人用户计算机的木马一般都喜欢用捆绑到病毒升级库或者微软的补丁中。一般用于捆绑的黑客程序大多是被杀毒软件发现并进行监视的,为了成功躲开杀毒软件,木马把WINDOWS的自家兄弟派上场—IExpress,这款Windows2000/XP系统内自带的工具是用于为Microsoft IE各个版本、Windows版本以及其他微软系统集成程序创建软件更新程序包,现在却变成了捆绑木马的帮凶。由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性,它可以制造不被杀毒软件查杀的自解压包,而且还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。
针对免杀木马的防范手段
既然该木马能躲过杀毒软件的监视我们是否就无法对其防范了呢?不,既然有内奸跑出来了当然解决方案也就有(木马的制作者总不能让自己的计算机也种了木马无法清理吧!),下面让我们来看看这只小马的招供。
如果在非官方网站下载的IE/Windows更新包的话应先检查可疑的程序包是否采用了IExpress技术,右键单击该程序包,然后单击“属性”,在“常规”选项卡中,查看“描述”,如果程序使用了IExpress技术,软件更新程序包中会包含“Win32CabinetSelf-Extractor”字样。当发现上述内容,那么请小心,这种情况很有可能是捆绑了木马的程序,用户可以进入cmd命令行(在运行栏内输入cmd开启)下使用“IExpress /c”命令来解压缩文件(不进行安装)以检查程序包中是否有木马,同时还可加上参数“/t:path”指定解压路径。命令格式为:“文件所在目录下:\要检测的文件名称.exe IExpress /c” 如:“D:\>mtscs.exe IExpress /c”
由于木马程序已经不能被杀毒软件查杀,所以当木马已经在植入计算机内运行的时候,用户可以通过Microsoft的管理控制台(MMC)对木马进行封杀,这里以操作Win XP系统来做演示。
在Windows开始菜单的“运行”框中输入“mmc”后回车,会弹出“控制台1”的窗口。然后选择“文件→添加/删除管理单元→在独立标签栏中点击‘添加’→IP安全策略管理”,最后按提示完成操作。我们把“IP安全策略,在本地计算机”(以下简称“IP安全策略”)添加到“控制台根节点”下(见图1、2)。
现在双击“IP安全策略”就可以新建一个管理规则了。右击“IP安全策略”,在弹出的快捷菜单中选择“创建IP安全策略”,打开IP安全策略向导,点击“下一步→名称默认为‘新IP安全策略’→下一步→不必选择‘激活默认响应规则’”(注意:在点击“下一步”的同时,需要确认此时“编辑属性”被选中),然后选择“完成→在“新IP安全策略属性→添加→不必选择‘使用添加向导’”(见图3)。
点击管理IP筛选列表按钮如图4选择添加IP筛选器并不要选择“使用添加向导”,在列表源地址应选择“任何IP地址”,目标地址选择“我的IP地址”(不必选择镜像)。在协议标签栏中,注意类型应为TCP,并设置IP协议端口从任意端口到此端口23,最后点击“确定”即可。
这时在“IP筛选器列表”中会出现一个“新IP筛选器”,选中它,切换到“筛选器操作”标签栏,依次点击“添加→名称默认为‘新筛选器操作’→添加→阻止→完成”。
新策略需要被激活才能起作用,具体方法是:在“新IP安全策略”上点右键,“指派”刚才制定的策略。
现在,当我们从另一台电脑Telnet到设防的这一台时,系统会报告登录失败;但用扫描工具扫描这台机子,会发现23端口仍然在提供服务。以同样的方法,大家可以把其他任何可疑的端口都封杀掉,让木马失效。
不被查杀的潜行木马是如何制造出来的
说到逃过杀毒软件的监视,一般常见的保护手段不外乎加密源代码、程序加壳、捆绑等技术,针对个人用户计算机的木马一般都喜欢用捆绑到病毒升级库或者微软的补丁中。一般用于捆绑的黑客程序大多是被杀毒软件发现并进行监视的,为了成功躲开杀毒软件,木马把WINDOWS的自家兄弟派上场—IExpress,这款Windows2000/XP系统内自带的工具是用于为Microsoft IE各个版本、Windows版本以及其他微软系统集成程序创建软件更新程序包,现在却变成了捆绑木马的帮凶。由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性,它可以制造不被杀毒软件查杀的自解压包,而且还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。
针对免杀木马的防范手段
既然该木马能躲过杀毒软件的监视我们是否就无法对其防范了呢?不,既然有内奸跑出来了当然解决方案也就有(木马的制作者总不能让自己的计算机也种了木马无法清理吧!),下面让我们来看看这只小马的招供。
如果在非官方网站下载的IE/Windows更新包的话应先检查可疑的程序包是否采用了IExpress技术,右键单击该程序包,然后单击“属性”,在“常规”选项卡中,查看“描述”,如果程序使用了IExpress技术,软件更新程序包中会包含“Win32CabinetSelf-Extractor”字样。当发现上述内容,那么请小心,这种情况很有可能是捆绑了木马的程序,用户可以进入cmd命令行(在运行栏内输入cmd开启)下使用“IExpress /c”命令来解压缩文件(不进行安装)以检查程序包中是否有木马,同时还可加上参数“/t:path”指定解压路径。命令格式为:“文件所在目录下:\要检测的文件名称.exe IExpress /c” 如:“D:\>mtscs.exe IExpress /c”
由于木马程序已经不能被杀毒软件查杀,所以当木马已经在植入计算机内运行的时候,用户可以通过Microsoft的管理控制台(MMC)对木马进行封杀,这里以操作Win XP系统来做演示。
在Windows开始菜单的“运行”框中输入“mmc”后回车,会弹出“控制台1”的窗口。然后选择“文件→添加/删除管理单元→在独立标签栏中点击‘添加’→IP安全策略管理”,最后按提示完成操作。我们把“IP安全策略,在本地计算机”(以下简称“IP安全策略”)添加到“控制台根节点”下(见图1、2)。
现在双击“IP安全策略”就可以新建一个管理规则了。右击“IP安全策略”,在弹出的快捷菜单中选择“创建IP安全策略”,打开IP安全策略向导,点击“下一步→名称默认为‘新IP安全策略’→下一步→不必选择‘激活默认响应规则’”(注意:在点击“下一步”的同时,需要确认此时“编辑属性”被选中),然后选择“完成→在“新IP安全策略属性→添加→不必选择‘使用添加向导’”(见图3)。
点击管理IP筛选列表按钮如图4选择添加IP筛选器并不要选择“使用添加向导”,在列表源地址应选择“任何IP地址”,目标地址选择“我的IP地址”(不必选择镜像)。在协议标签栏中,注意类型应为TCP,并设置IP协议端口从任意端口到此端口23,最后点击“确定”即可。
这时在“IP筛选器列表”中会出现一个“新IP筛选器”,选中它,切换到“筛选器操作”标签栏,依次点击“添加→名称默认为‘新筛选器操作’→添加→阻止→完成”。
新策略需要被激活才能起作用,具体方法是:在“新IP安全策略”上点右键,“指派”刚才制定的策略。
现在,当我们从另一台电脑Telnet到设防的这一台时,系统会报告登录失败;但用扫描工具扫描这台机子,会发现23端口仍然在提供服务。以同样的方法,大家可以把其他任何可疑的端口都封杀掉,让木马失效。