《IIS6.0建立的网站的安全性设计以及网站被挂马的处理毕业论文.doc》由会员分享,可在线阅读,更多相关《IIS6.0建立的网站的安全性设计以及网站被挂马的处理毕业论文.doc(29页珍藏版)》请在三一办公上搜索。
1、毕业论文(设计) IIS6.0建立的网站的安全性设计以及网站被挂马的处理方案 论文指导教师 信息工程系 学生所在系部 信息工程系 专业名称 计算机网络技术 论文提交日期 年 月 日 论文答辩日期 年 月 日 20 年 月 日22论文题目:IIS6.0建立的网站的安全性设计及网站被挂马的处理方案专 业:计算机网络技术硕 士 生: 签名: 指导教师: 签名: 摘 要由于Web服务器被越来越多的骇客和蠕虫制造者作为首要攻击目标,IIS便也成为了Microsoft可信赖计算计划中首要关注的内容。因此,IIS 6.0被完全的重新设计,以实现默认安全和设计安全,已经愈发重要。本文主要讲述IIS 6.0在默
2、认设置和设计上安全性的改变是如何使其成为关键web应用的平台。以及网站被挂马以后如何有效处理的几种方案。过去,包括像微软这样的企业,都在他们的web服务器上安装一系列的默认示例脚本,文件处理和最小文件授权,以提高管理员管理的灵活性和可用性。但是,这些默认设置都增加了IIS的被攻击面,或者成为了攻击IIS的基础。因此,IIS 6.0被设计成了一个比早期产品更安全的平台。最显而易见的变化是IIS 6.0并没有被Windows Server 2003默认安装,而是需要管理员显式的安装这个组件。IIS 6.0设计中安全性的根本改变表现在:改善的数据有效性、增强的日志功能、快速失败保护、应用程序隔离和最
3、小权限原则。管理员和Web应用程序开发者要求一个快速、可靠的Web平台,并且是安全和可扩展的。Internet 信息服务(IIS)6.0和Windows Server 2003 为网络应用程序服务器管理引入了许多新的特征;更强的性能和扩展性;高效性,高可靠性和安全性。进行了许多重大的结构改进以满足客户需求。IIS 6.0 提供广泛的新特性和技术和使它更为可靠、可扩展和安全、可管理,加强了对开发提供的技术特性支持。IIS6.0增强了安全性,为了尽量减少系统被攻击的危险,在默认情况下IIS6.0是不会被安装在Windows Server 2003中的,管理员需要手动进行安装,IIS6.0在被锁定状
4、态中只为静态内容(.htm,.jpg.bmp等等)提供服务,通过网络服务扩展节点,网站管理员可根据企业的需求起用或禁止IIS功能。网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。 您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。那么本文中将会进一步阐述该如何解决网站被挂马的解决办法。【关键字】: Web 网站 挂马 【论文类型】:应用Title:Security design and website IIS6.0 website set
5、up by processing scheme of the horseMajor:Computer network technologyName:Zhang Qiangqiang Signature: Supervisor:Wang Chuang Signature: AbstractBecause the Web server by hackers and worms manufacturers more and more as the first target, IIS became Microsoft trusted computing the primary concern in t
6、he plan content. Therefore, IIS 6 was completely redesigned, in order to achieve the default security and safety design, has been more and more important. This paper mainly tells the story of IIS 6 in the default settings and design safety change is how to make it become the key of the application o
7、f web platform. And the web site was hung horse later how to effectively deal with the several schemes.过去,包括像微软这样的企业,都在他们的web服务器上安装一系列的默认示例脚本,文件处理和最小文件授权,以提高管理员管理的灵活性和可用性。但是,这些默认设置都增加了IIS的被攻击面,或者成为了攻击IIS的基础。因此,IIS 6.0被设计成了一个比早期产品更安全的平台。最显而易见的变化是IIS 6.0并没有被Windows Server 2003默认安装,而是需要管理员显式的安装这个组件。In
8、the past, including a company like Microsoft, are installed in the default sample scripts in a series of their web server, file processing and minimum file authorization, in order to improve the flexibility and usability of the administrator management. However, these default settings are increased
9、IIS attack surface, or become a basic attack IIS. Therefore, IIS 6 is designed as a more secure than the earlier product platform. The most obvious change is the IIS 6 and Windows Server 2003 is not installed by default, but requires the administrator to install this component significantly.IIS 6.0设
10、计中安全性的根本改变表现在:改善的数据有效性、增强的日志功能、快速失败保护、应用程序隔离和最小权限原则。A fundamental change in the design of security of IIS 6 displays in: improved data availability, enhanced the log function, fast failure protection, application isolation and the principle of least privilege.管理员和Web应用程序开发者要求一个快速、可靠的Web平台,并且是安全和可扩展的
11、。Internet 信息服务(IIS)6.0和Windows Server 2003 为网络应用程序服务器管理引入了许多新的特征;更强的性能和扩展性;高效性,高可靠性和安全性。进行了许多重大的结构改进以满足客户需求。The administrator and Web application developers require a fast and reliable Web platform, and is safe and extensible. Internet information services (IIS) 6 and Windows Server 2003 as the netw
12、ork application server management has introduced many new characteristics; performance and better expansibility; high efficiency, high reliability and safety. Many of the major structure is improved to meet the needs of the customers.IIS 6.0 提供广泛的新特性和技术和使它更为可靠、可扩展和安全、可管理,加强了对开发提供的技术特性支持。IIS 6 provid
13、es new features and technologies widely and make it more reliable, scalable and safety, management, strengthen the support and technical characteristics on the development of offer.IIS6.0增强了安全性,为了尽量减少系统被攻击的危险,在默认情况下IIS6.0是不会被安装在Windows Server 2003中的,管理员需要手动进行安装,IIS6.0在被锁定状态中只为静态内容(.htm,.jpg.bmp等等)提供
14、服务,通过网络服务扩展节点,网站管理员可根据企业的需求起用或禁止IIS功能。Enhances the security of IIS6.0, in order to minimize the risk of the system to be attacked, by default IIS6.0 will not be installed on Windows Server 2003, the administrator needs to manually install, IIS6.0 was locked in a state only static content (.Htm,.Jpg.
15、bmp and so on) to provide services, network services through extension node, the site administrator can according to the needs of enterprises use or forbidden IIS function.The site was linked to horse is a ubiquitous phenomenon but every web site operators a disease in our very vitals.Does your webs
16、ite and server every day to be invaded hang horse and other issues also had to give up the idea of it, you also dont know website because technical problems delayed the operation of the website, but also because of careful operation site repeatedly by some boring hacker intrusion horse feel like and
17、 was no resistance if you like. So this article will elaborate further on how to solve the site was linked to horse solution.【Key Words】Web Website The Horse【Type of Thesis】Application目 录1 使用IIS6(7)1.1IIS6.0的基础知识(7)1.2IIS6.0功能作用(7)1.3 IIS6.0的特点(8)2 使用IIS6.0配置配置动态Web网站(9)2.1 使用IIS6.0配置动态Web网站(9)3 优化i
18、is web服务器(14)3.1禁止多余的Web服务扩展(14)3.2删除不必要的IIS扩展名映射(14)3.3取消访问记录(15)3.4对访问流量进行限制(16)3.5让Web负载自由伸缩(17)3.6配置应用呈现池(18)4 木马病毒的危害(19)41木马是什么(19)4.2.木马的工作原理(20)4.2.1木马一般藏在什么地方(20)4.2.2木马的发展过程(21)4.3木马一般常见的的伪装方式(23)5 网站被挂马后怎么处理(23)5.1挂马预防措施(23)5.2挂马恢复措施(26)参考文献(28)第1章 概述1.1IIS6.0概述iis6.0是什么?它是微软公司主推的服务器,全称是I
19、nternet信息服务(Internet Information Service,IIS)。是微软提供的一个Web服务程序,在开发中称之为Web容器。IIS是Internet Information Services的缩写,是一个World Wide Web server。Gopher server和FTP server全部包容在里面。 IIS意味着你能发布网页,并且有ASP(Active Server Pages)、JAVA、VBscript产生页面,有着一些扩展功能。IIS支持一些有趣的东西,像有编辑环境的界面(FRONTPAGE)、有全文检索功能的(INDEX SERVER)、有多媒体功
20、能的(NET SHOW) 其次,IIS是随Windows NT Server 4.0一起提供的文件和应用程序服务器,是在Windows NT Server上建立Internet服务器的基本组件。它与Windows NT Server完全集成,允许使用Windows NT Server内置的安全性以及NTFS文件系统建立强大灵活的Internet/Intranet站点。IIS(Internet Information Server,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面
21、,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。1.2IIS6.0功能作用更加轻松的服务器管理借助IIS 6.0,Web基础结构的管理工作变得比以往更加轻松和灵活,从而为企业节约IT管理成本带来了新的机遇。功能特性 描述 基于XML的配置文件 IIS 6.0中XML格式的纯文本元数据库(metabase)为发生故障的服务器带来了经过改进的备份和恢复功能。此外,它还提供了得到改进的故障处理和元数据库损坏恢复。使用常见的文本编辑工具对其进行直接编辑提供了更为出色的可管理性。 运行程序的同时对其进行编辑 在服务器保持运行的同时,IIS 6.0允许管理员对服务器配置做出各种修改。例如
22、,管理员可以使用该特性添加一个新的站点,创建虚拟目录,或者修改应用程序池和工作进程的配置所有这些都是在IIS 6.0继续处理请求的同时发生的,并且无需进行重新编译或者重新启动服务器。 基于命令行和脚本的管理 IIS 6.0的管理员可以使用Windows Server 2003的命令行工具完成很多常见的管理工作。利用一个简单的命令,管理员即可管理多个本地或远程计算机。IIS 6.0还提供了一个完整的脚本环境,以在不使用图形用户界面的情况下,从命令行自动完成多种常见的管理任务。 对WMI的支持 IIS 6.0全面支持Windows Management Instrumentation(Window
23、s管理规范,WMI), Web管理员可以通过它获取重要的企业管理数据,例如性能计数器和配置文件。WMI的接口从本质上说类似于继续享受支持的Microsoft Active Directory Service Interfaces(ADSI),可以在管理脚本中使用,并且可以用来修改基于XML的配置元数据库。1.3 IIS6.0的特点可靠性与可伸缩性IIS 6.0提供了更智能的、更可靠的Web服务器环境,新的环境包括应用程序健康监测、应用程序自动地循环利用。其可靠的性能提高了网络服务的可用 性并且节省了管理员用于重新启动网络服务所花费的时间,IIS 6.0将提供最佳的扩展性和强大的性能从而充分发挥
24、每一台Web服务器的最大功效。更安全、易于管理 IIS 6.0在安全与管理方面做出了重大的改进。安全性能的增强包括技术与需求处理变化两方面。另外,增强了在安全方面的认证和授权。IIS 6.0的默认安装是被全面锁定的,这意味着默认系统的安全系数就被设为最大,它提供的增强的管理性能改善了XML metabase的管理及新的命令行工具。服务器合并 IIS 6.0是一个具有高伸缩性的Web服务器,它为Web服务器的合并提供了新的机遇。通过将可靠的体系结构和内核模式驱动程序完美结合在一起,IIS 6.0允许您在单台服务器上托管更多的应用程序。服务器合并还可以降低企业与人工、硬件以及站点管理相关的成本。增
25、强的开发与国际化支持 通过Windows Server 2003 与IIS 6.0支持的先进功能如内核模式缓存,应用程序开发人员将从Windows Server 2003 与IIS 6.0 单一的、完整的应用平台环境中受益。基于IIS 6.0,Windows Server 2003为开发者提供高标准的附加功能,包括快速应用程序开发以及广泛的语言选择,同时也提供了国际化支持和支持最新的Web标准。更高的安全性 IIS 6.0显著改进了Web服务器的安全性。IIS 6.0在默认情况下处于锁定状态,从而减少了暴露在攻击者面前的攻击表面积。此外,IIS 6.0的身份验证和授权功能也得到了改进。IIS
26、6.0还提供了更多更强大的管理功能,改善了对XML元数据库(metabase)的管理,并且提供了新的命令行工具。IIS 6.0在降低系统管理成本的同时,大大提高了信息系统的安全性。第二章 优化iis Web服务器在Windows Server 2003系统中,用户可以借助IIS 6.0配置基于ASP、PHP、asp.NET等语言的动态Web网站。动态Web网站基于数据库技术,能够实现较为全面的功能。动态网站具有交互性强、自动发布信息等特点,更适合公司、企业使用。在IIS 6.0中配置ASP动态Web站点的步骤如下所述: 2.1使用IIS6.0配置配置动态Web网站使用IIS6.0配置配置动态W
27、eb网站第1步,在“Internet信息服务(IIS)管理器”窗口中右键单击“网站”目录,依次选择“新建”“网站”命令,如图1所示。图1 选择“网站”命令第2步,打开“网站创建向导”对话框,在欢迎对话框中单击“下一步”按钮。打开“网站描述”对话框,在“描述”编辑框中输入一段描述网站内容的文字信息,并单击“下一步”按钮,如图2所示。图2 “网站描述”对话框第3步,在打开的“IP地址和端口设置”对话框中可以设置新网站的IP地址和端口号。单击“网站IP地址”编辑框右侧的下拉三角按钮,在下拉菜单中选择一个未被其他Web站点占用的IP地址。“网站TCP端口”编辑框中保持默认值80不变,并单击“下一步”按
28、钮,如图3所示。图3 “IP地址和端口设置”对话框第4步,打开“网站主目录”对话框,单击“浏览”按钮选择动态网站所在的主目录。依次单击“确定”“下一步”按钮,如图4所示。图4 “网站主目录”对话框小提示:如果该Web站点是公开发布的网站,则可以保持“允许匿名访问网站”复选框的选中状态,这样可以使任何用户都能连接到该Web站点。如果希望该站点是一个需要验证用户访问权限的特殊网站,则需要取消该复选框禁止用户匿名访问。第5步,在打开的“网站访问权限”对话框中,保持默认权限设置,单击“下一步”按钮。打开完成网站创建向导对话框,单击“完成”按钮,如图5所示。图5 “网站访问权限”对话框小提示:用户可以根
29、据实际需要设置网站的访问权限,每种权限所允许进行的操作如下所述:【读取】允许用户从该Web站点读取文件;【运行脚本(如ASP)】允许在Web站点中运行活动服务器页面(Active Server Pages,ASP)脚本;【执行(如ISAPI应用程序或CGI)】允许在网站上执行ISAPI或者CGI应用程序,且启用该权限后将自动启用“运行脚本”的权限;【写入】允许用户通过客户端浏览器向Web站点中写入数据(如填写注册表格等);【浏览】当用户没有向Web站点发出针对某个具体文件的请求,并且Web站点中也没有定义默认的文档时,则IIS会返回该站点根目录下各文件和子目录的HTML表示形式。第6步,基于安
30、全方面的考虑,IISS 6.0默认禁用了ASP程序支持属性,需要用户手动开启此功能。在“Internet信息服务(IIS)管理器”窗口中依次展开服务器“Web服务器扩展”目录,然后在右窗格中选中Active Server Pages选项,并单击“允许”按钮,如图6所示。图6 单击“允许”按钮第7步,在“Internet信息服务(IIS)管理器”窗口中右键单击ASP动态网站名称(如),选择“属性”命令。在打开的“的属性”对话框中切换到“文档”选项卡,单击“添加”按钮。打开“添加内容页”对话框,在“默认内容页”编辑框中输入ASP网站默认的首页文件名称(一般为index.asp)。依次单击“确定”“
31、确定”按钮,如图7所示。图7 添加默认内容文档至此,ASP动态网站的服务器端设置成功完成。用户需要将开发的ASP网站源程序复制到网站主目录中,从而实现ASP动态网站的发布。在同一时间内允许打开的网站页面数,打开一个页面占一个iis,打开一个站内框架页面占2到3个iis;若图片等被盗链,在其它网站打开本站图片同样占一个iis。假若设置参数为50个iis,则这个站允许同时有50个页面被打开。但要在同一时间(极短的时间)有50个页面被打开,需要50个人同时操作,这个概率还是比较低的。所以,100个iis支持日ip1000(同时访问网站人数必定远低于1000人)以上都不是很大问题,除非网站被盗链或框架
32、引发其它消耗。第三章 优化iis建立 web服务器的设计步骤3.1禁止多余的Web服务扩展IIS6.0支持多种服务扩展,有些管理员偷懒或者不求甚解,担心Web运行中出现解析错误,索性在建站时开启了所有的Web服务扩展。殊不知,这其中的有些扩展比如“所有未知CGI扩展”、“在服务器端的包含文件”等是Web运行中根本用不到的,况且还占用IIS资源影响性能拖垮Web,甚至某些扩展存在漏洞容易被攻击者利用。因此,科学的原则是,用到什么扩展就启用什么扩展。如果企业站点是静态页面,那什么扩展都不要开启。不过现在的企业站点都是交互的动态页面比如asp、php、jsp等。如果是asp页面,那只需开启“Acti
33、ve Server Pages”即可。对于php、jsp等动态页面IIS6.0默认是不支持的需要进行安装相应组件实现对这些扩展的支持。不过,此时用不到的扩展完全可以禁用。禁止Web服务扩展的操作非常简单,打开“IIS管理器”,在左窗格中点击“Web服务扩展”,在右侧选择相应的扩展,然后点击“禁用”即可。3.2删除不必要的IIS扩展名映射IIS默认支持.asp、.cdx等8种扩展名的映射,这其中除了.asp之外其他的扩展几乎用不到。这些用不着的扩展会加重web服务器的负担,而且带来一定的安全隐患。比如.asa,.cer等扩展名,就可以被攻击者利用来获得webshell。因为一般的asp系统都会限
34、制asp文件的上传,但如果没有限制.asa或者.cer等扩展名,攻击者就可以更改文件后缀突破上传限制,运行.asa或者.cer的文件获得webshell。删除IIS扩展名的操作是:打开IIS管理器,右键单击“默认Web站点”选择“属性”,点击“主目录”选项卡,然后点击“配置”打开应用程序窗口,最后根据自己的需要选择不必要的应用程序映射比如.shtml, .shtm, .stm等,然后点击“删除”即可。3.3取消访问记录 IIS6.0默认开启对于web的访问记录。当开启记录功能后,IIS会事无巨细地忠实记录所有的web访问记录。这些记录文件的内容是非常庞杂的,比如访问时间、客户端IP、从哪个链接
35、访问、 Cookies等,另外还包括 Method(方法), UserAgent(用户代理)等。这些记录不但占用大量的磁盘空间还大大地影响了web服务器的性能。有人做过评测,停止访问记录可以提升5%到8%的web性能。而且这些记录对于一般用户,特别是中小型的Web站点没有什么用途,简直太耗费系统性能了,因此建议关闭它。取消访问记录的操作是:打开IIS管理器,定位到具体的web站点,右键点击选择“属性”,在“主目录”选项卡下取消对“记录访问”的勾选即可。3.4对访问流量进行限制默认情况下IIS 6.0对于访问量是没有限制的,如果并发连接过大超过了Web的负载轻则发生网络拥塞,重则导致服务器宕机。
36、因此需要对用户的访问进行限制,控制Web访问的流量。打开“Internet信息服务”管理器,在其窗口右侧点击主机名前面的“+”号,依次定位到某个Web站点上。选中该Web站点右键单击选择“属性”,在打开的属性设置窗口中选中“性能”标签,将“启用带宽限制”复选框选中,在随后被激活的“最大网络使用”设置框中,指定你的网络站点带宽的具体数值。大家可以根据服务器的性能及其访问量综合考虑继续设置。对于一般的企业站点将带宽流量设置为1500kb/s就差不多了。同时在“网站连接”下可以进行连接限制的设置,大家可以根据情况设置一个数值。完成以上设置后,IIS就只能使用其被授予的资源进行Web服务,杜绝了异常情
37、况造成的服务器过载,为Web减负。3.5让Web负载自由伸缩 默认情况下IIS是全负荷地为Web提供服务的,这在一定程度上加重了Web负担。如何能够自动地根据负载变化自动调节工作进程呢?利用IIS 6.0的Web园,我们只需指定用于某个应用程序池的工作进程的数量就可以了实现各个Web站点之间的隔离。具体的配置步骤是:在“Internet信息服务”管理器中打开应用程序池的“属性”对话框,转到“性能”页,在“Web园”下面的“最大工作进程数”输入框中输入进程数量。当服务器的负载较小,不需要额外的工作进程时,IIS 6.0在一定的时间后(默认20分钟,可配置)自动缩减实际的工作进程数量;如果负载变大
38、,需要额外的工作进程,IIS 6.0再次增加工作进程数量。另外,还可以“启用CUP监视”,设置“最大CPU使用率”,“刷新CUP使用率值”以及“CPU使用率超过最大使用率是执行的操作”,这些设置可以根据需要进行设置。当一切设置完成后这一切就交给IIS自动进行,不需要管理员干预。3.6配置应用呈现池IIS可以支持多个Web服务,特别是虚拟主机一台服务器上有非常多的Web站点。如何才能做到各个站点之间相互独立,不因某些Web站点出现故障而影响其他站点呢?为不同工作进程指定应用程序池是个很好的解决办法。(1)、创建打开“IIS 管理器”中,展开本地计算机,右键单击“应用程序池”,选择“新建应用程序池
39、”。在“应用程序池名称”框中,输入新的应用程序池名称。如果点选选“将现有应用程序池作为模板”,可以在“应用程序池名称”下来列表中选择相应的应用程序池,最后单击“确定”即可。 (2)、指派在“IIS 管理器中”,右键单击你要为其指派应用程序池的站点然后单击“属性”。在该站点的属性面板中“主目录”选项卡,在“应用程序池”下拉列表中选择刚才创建的应用程序池即可。如果所有的选项为灰色,单击“创建”按钮就可以输入“应用程序名”,然后在“应用程序池”列表框中,选择并指派网站的应用程序池了。(3)、回收利用“回收”功能,可是设置如何恢复系统资源进行IIS资源使用的灵活定制。打开“IIS 管理控制台”,单击“
40、+”号依次“展开本地计算机应用程序池”。选择你要回收的应用程序池右键单击选择“属性”,出现应用程序池的属性对话框,单击“回收”选项卡在其下可以设置“进程回收”、“内存回收”等,所有这些设置大家根据实际需要进行设置。第四章4.1木马是什么?木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“
41、刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。详细含义:“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有 两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而
42、所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。4.2木马的工作原理一个完整的特洛伊木马套装程序含了两
43、部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序的, 它可能看起来是有用或者有趣的计划(或者至少无害)对一不怀疑的用户来说,但是实际上有害当它被运行。特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特
44、洛伊木马才会运行,信息或文档才会被破坏和遗失。特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。特洛伊木马有两种,universal的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。4.2.1 木马程序技术发展木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了六代的改进:第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。第二代,在技术上有了很大的进步,冰河是中国
45、木马的典型代表之一。第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。第四代, 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。第五代,驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。第六代,随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。4.2.2木马一般藏在什么地方木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招。1、集成到程序中其实木马也是一个服务器客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程
