前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇木馬檢測范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

木馬檢測范文第1篇

關(guān)鍵詞：HTTP隧道木馬；原理；檢測方法

中圖分類號：TP309.5文獻標識碼：A文章編號：16727800（2012）009015202

0引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展以及網(wǎng)絡(luò)中病毒木馬程序的日益泛濫，防火墻已經(jīng)成為保護局域網(wǎng)絡(luò)中主機免受惡意程序侵害的一道屏障。隨著防火墻技術(shù)的日益成熟，很多傳統(tǒng)遠控型木馬程序已經(jīng)失去了其發(fā)展空間，然而一種新型的利用HTTP協(xié)議隧道的木馬又出現(xiàn)了。本文將主要介紹該類木馬的運行原理以及目前針對該類木馬的主流檢測方法。

1HTTP協(xié)議隧道

HTTP協(xié)議隧道位于應(yīng)用層，是將需要傳輸?shù)臄?shù)據(jù)封裝在HTTP協(xié)議格式數(shù)據(jù)包中，通過HTTP協(xié)議在網(wǎng)絡(luò)中進行傳輸，當HTTP數(shù)據(jù)包抵達目的地后對HTTP數(shù)據(jù)包進行解包，得到真實的數(shù)據(jù)。HTTP協(xié)議隧道分為直接型和中轉(zhuǎn)型兩種模式。

1.1直接型模式

此模式中每臺主機都既作客戶端又作服務(wù)器，可以相互通信。在客戶端中，數(shù)據(jù)經(jīng)過HTTP隧道軟件使用HTTP協(xié)議進行封裝，然后通過80端口或者8080端口發(fā)送到對方主機。服務(wù)器端收到數(shù)據(jù)后對HTTP包進行解包操作得到實際傳輸?shù)臄?shù)據(jù)。

1.2中轉(zhuǎn)型模式

此模式中有一個專門的HTTP隧道服務(wù)器，負責接收客戶機的請求，然后與目標主機通信，將客戶端傳過來的數(shù)據(jù)交付給目標主機。在客戶端與目標主機之間仍使用HTTP協(xié)議對數(shù)據(jù)進行封裝后傳輸。

2HTTP隧道木馬原理

HTTP隧道木馬與傳統(tǒng)木馬程序在功能上基本一致，主要差別在于通信方式上。傳統(tǒng)木馬，不論是正向連接型還是反向連接型，基本都是通過高于1024端口進行通信，然而現(xiàn)在的很多殺毒軟件以及防火墻對于這些端口的檢測會較為嚴格，從而使得木馬程序容易暴露身份。而隨著B/S模式的廣泛應(yīng)用，越來越多的網(wǎng)上流量都是通過HTTP協(xié)議進行傳輸，因此絕大多數(shù)防火墻對于HTTP協(xié)議都采取進行簡單協(xié)議結(jié)果判定后直接允許其通過的策略，而這樣的策略就給了木馬程序以可乘之機。

HTTP隧道木馬利用HTTP協(xié)議隧道，將自己需要傳輸?shù)臄?shù)據(jù)利用HTTP協(xié)議進行封裝，然后經(jīng)由HTTP協(xié)議專用端口80端口或者8080端口與外部服務(wù)器進行連接，服務(wù)器在得到數(shù)據(jù)以后進行簡單的HTTP協(xié)議解包就可以得到實際的數(shù)據(jù)。

一般此類木馬選擇的HTTP協(xié)議隧道類型均為上一節(jié)中介紹的中轉(zhuǎn)型模式。在木馬實際運行過程中，客戶端（即控制端）首先將待執(zhí)行的命令以文件的形式存放在HTTP隧道服務(wù)器中，而對于服務(wù)端（及被控端），每次上線后會主動請求連接HTTP隧道服務(wù)器，然后用GET或者POST命令請求服務(wù)器中的特定文件（預(yù)先設(shè)定好的存放命令的文件）。如果文件中有需要執(zhí)行的命令，則在被控端主機上執(zhí)行相應(yīng)操作，然后將數(shù)據(jù)封裝成HTTP數(shù)據(jù)包回送給HTTP隧道服務(wù)器，如果文件中沒有命令需要執(zhí)行，則服務(wù)端斷開連接，一段時間后再次以相同方式詢問是否有命令，如此往復。通過此流程，HTTP隧道木馬就可以借用HTTP協(xié)議躲避防火墻的阻攔與控制端進行通信。

3主流檢測方法

針對HTTP隧道木馬的檢測方法目前主要存在下面的三大類：基于簽名的檢測、基于協(xié)議的檢測以及基于操作行為的檢測。下面分別對3種檢測方法進行介紹。

3.1基于簽名的檢測（SIGNATUREBASED DETECTION）

該方法主要通過檢測HTTP協(xié)議數(shù)據(jù)包定的數(shù)據(jù)式樣來判斷是否是可疑的HTTP數(shù)據(jù)包。這里所謂的特定的數(shù)據(jù)式樣，指的是比如“cat c：”、“cat d：”、“del c：”、“PWD”、“RETR ”、“cmdc：”、“cmd net start”等字串。這些字串一般為計算機的一些操作指令，如果HTTP數(shù)據(jù)包中含有這些數(shù)據(jù)式樣則將其判定為使用HTTP隧道進行傳輸。

然而這種方法也存在一些問題，比如很難準確找到有哪些數(shù)據(jù)樣式只存在于HTTP隧道木馬傳遞的數(shù)據(jù)包中而不可能或很少出現(xiàn)在正常網(wǎng)頁里，因為HTTP協(xié)議是基于對象的協(xié)議，可以傳輸任何類型的文件，我們不能保證這些文件中不會出現(xiàn)所定義的“數(shù)據(jù)式樣”，因此此方法在實際運用中可行性較低。

3.2基于協(xié)議的檢測

由于很多HTTP隧道木馬在進行HTTP隧道傳輸時都只是進行了一個簡單的HTTP協(xié)議封裝，即在數(shù)據(jù)外加上了一個HTTP頭部，然而這種簡單的協(xié)議封裝往往在很多時候不符合實際的HTTP協(xié)議正常的格式。并且在數(shù)據(jù)交互的過程中，HTTP隧道木馬一般只是簡單發(fā)送單個HTTP數(shù)據(jù)包，而不會完整執(zhí)行整個HTTP協(xié)議中規(guī)定的一整套交互流程。根據(jù)這些協(xié)議上的特點可以對HTTP隧道木馬進行檢測。

然而在有些情況下這種方式仍不能正確地對該類木馬進行準確識別。比如木馬程序為了偽裝而進行一系列虛假的HTTP協(xié)議交互過程，從協(xié)議層面上看該過程完全無法分辨出是否為木馬程序。

3.3基于操作行為的檢測

該方法主要提取了HTTP隧道木馬程序在網(wǎng)絡(luò)會話上的一系列特征，如：數(shù)據(jù)包大小、數(shù)量、會話時長、會話上傳數(shù)據(jù)量、會話上傳數(shù)據(jù)量和下載數(shù)據(jù)量之比以及會話平局上傳速率等。然后基于這些特征采取數(shù)據(jù)挖掘技術(shù)，對HTTP隧道木馬進行分類，對其建立相應(yīng)木馬網(wǎng)絡(luò)會話特征模型，根據(jù)此模型對其進行檢測。

資料顯示，此種檢測方法在HTTP隧道木馬程序檢測方面的效果較好。此方向研究者較多，各研究者之間差別在于采取的特征選取有細微不同，以及采取的分類算法存在一定差異。

3.4分析比較

分析了3種當前主流HTTP隧道木馬檢測技術(shù)以后，我們可以看到，第一種技術(shù)基本無法單獨運用于真實環(huán)境下的木馬檢測，在某些情況下可以作為輔助條件進行木馬判定；基于協(xié)議的檢測方法存在一定的適用性，但是也很容易被木馬繞過，因此會導致實際使用的效果不佳；而第三種方式則相對顯得效果更好，有很好的實用性。

4結(jié)語

本文主要就HTTP隧道木馬的運行原理進行了介紹，然后對目前主流的HTTP隧道木馬檢測方法進行了分析比較。通過分析幾種當前提出較多的HTTP隧道木馬檢測方法，得到當前檢測該類木馬程序最有效的方法在于對木馬網(wǎng)絡(luò)回話中的一些特征進行分類處理，建立該類木馬特征模型，然后進行檢測。

參考文獻：

[1]許治坤，王偉，郭添森，等.網(wǎng)絡(luò)滲透技術(shù)[M].北京：電子工業(yè)出版社，2005.

[2]李俊林.通用性HTTP隧道檢測技術(shù)研究[D].成都：電子科技大學，2006.

木馬檢測范文第2篇

簡二 家承(丞)一人。

按，“家”后一字原形作 ，字形下部無“手”，就是丞字，釋文當作“家丞一人”。

二

簡五 宦者九人，其四人服牛車。

簡六 牛車，宦者四人服。

上二簡“?！痹巫?，此是羊字，非牛字。馬王堆簡帛牛字皆作二橫，無作三橫者，而羊字多作三橫，少數(shù)作四橫，無作二橫者。羊車是一種裝飾精美的車，用人拉，而非羊拉，正符合上二簡所言。漢劉熙《釋名·釋車》：“羊車。羊，祥也；祥，善也。善飾之車?！鼻逋跸戎t《釋名疏證補》：“漢時以人牽之?！?/p>

三

簡九 建鼓一，羽栓 卑二，鼓者二人操搶。

按，“栓”原形作 ，此是 字。羽 疑即羽翿， ，書母魚韻，翿，定母幽韻，聲類同為舌音，韻部旁轉(zhuǎn)。《經(jīng)籍籑詁?號韻》：“《禮記?雜記》‘匠人執(zhí)羽葆御柩’，《周禮?鄉(xiāng)師注》作‘匠人執(zhí)翿以御柩’?！蹦铣和躞蕖墩衙魈影晕摹罚骸坝鹇R前驅(qū)，云旂北御?！睋?jù)漢代畫像石，建鼓鼓上一般裝飾有羽葆，如河南方城東關(guān)畫像石所刻大型建鼓，鼓頂飾一羽葆，沂南畫像石的建鼓，鼓頂有羽葆和旒蘇。

“卑二”，指建鼓上裝的兩面小鼓，據(jù)漢代畫像石，建鼓上常設(shè)小鼓，如南陽漢畫像石的建鼓，兩側(cè)鼓面下各設(shè)一小鼓?！氨啊奔贋椤绊@”，《詩經(jīng)?周頌?有瞽》：“應(yīng)朄縣鼓?！编嵭ⅲ骸皷@，小鼓，在大鼓旁，應(yīng)、鞞之屬也?！薄段倪x?丘遲〈旦發(fā)魚浦潭〉》：“鳴鞞響沓障?！崩钌谱⒁蹲至帧罚骸绊@，小鼓也?！焙喴凰摹按蠊囊唬岸?，“卑”所指同。

“搶”原形作 ，此是抱字，其右旁“包”的寫法，與簡七五、八0的“鮑”和簡二三五的“炮”的右旁寫法相同。“抱”假為“枹”，《說文?木部》：“枹，擊鼓杖也。”

如此則簡九應(yīng)標點為“建鼓一，羽 （翿） ，卑（鞞）二，鼓者二人操抱（枹）。”

四

簡三六 孝（絹？）繻椽（緣）。

按，“孝”原形作 ，此是李字。“李”通“理”，段玉裁《說文解字注》：“古李、理同音通用”理即“紋理”，《廣韻?止韻》：“理，文也。” 《荀子?正名》：“形體、色理以目異。”楊倞注：“理，文理也?！?/p>

“椽”原形作 ，從“手”，是掾字，馬王堆一號漢墓竹簡遣策同，三號墓遣策原釋文作“椽”者，皆當改為“掾”。

五

簡四九 鄭竽瑟各一，炊（吹）鼓者二。

按，“二”后當補“人”，原圖版“人”雖不清晰，但猶有痕跡。

六

簡五三 琴一，青綺 ，素裏菜（彩）繢掾（緣）

簡五五 瑟一，繡 ，素裏繢掾（緣）

簡五三 竽一，錦 ，素裏繢掾（緣）

按， 疑是橐字異體，從糸，禿聲。簡三八一作“青綺琴囊一，素裏蔡（彩）繢掾（緣）”。

七

簡六八 胡人一人，操弓矢、贖觀，率附馬一匹。

按，“率”原形作 ，下從“牛”，是牽字。

八

簡一0三 榆菜。

按，“菜”原形作 ，是華字。

九

簡一0四 右方羹凡卅物，物一鼎。瓦維（甕）、 各一、蜀鼎六、瓦貴（繢）六。不足十六買瓦鼎錫涂。

按，依原牘格式，釋文“瓦維（甕）、 各一”當移到“不足”一句前?！巴俊痹螐耐翉挠?，不從“氵”。

十

簡一二一 肋酒二。

按，“肋”原形作 ，此是“助”字。

十一

簡二二四 鰿 孰一器。

原注： 孰，不可解。

按，“孰”前一字為“縣”，縣孰，是肉與糧食合蒸的一種食物，后作“懸熟”，《北堂書抄》卷一四五引謝諷《食經(jīng)》：“作懸熟，以豬肉和米三升，豉五升，調(diào)味而蒸之?！?/p>

十二

簡二二五 丞（蒸）秋（鰍）一器。

簡二二六 丞（蒸）鱥（鱖）一器。

按，上二簡“丞”原形作 ，下從“火”，此是烝字?！盁A”即“蒸”的本字。

十三

簡二六一 畫檢，徑尺，食鹽成（盛）五斗二合。

按，“食”原形作 ，是高字，“高”字簡二七四作 ，本批簡字形構(gòu)件“曰”常以“兒”代替，如簡一三的“楮”字、簡二七一的“曾”字、簡三五五的“緒”字等，此形即為以“兒”代“曰”的“高”字。

“成”前一字為“藍”字。釋文“斗”，原形是“寸”。

十四

簡三三四 盭機巾一，素裏繢掾（緣），素 。

簡三八九 槨中繡帷一，褚繢掾（緣），素 。

按， 簡三八九與馬王堆一號墓遣策簡二五一基本相同， 素 ，一號墓遣策作“素旅”（原釋文作“素?！?，誤。），指周緣外又續(xù)的素帛緣。“ ”當是“旅”字異體，“旅”為從 從從的會意字，“ ”為從 來聲的形聲字。來、旅同為來母字，來，之韻，旅，魚韻，之、魚旁轉(zhuǎn)。 是“來”的上一橫與“ ”重合的借筆形體。

十五

簡三四三 單一繡平 皃（貌）百。

按，釋文“ 皃（貌）”乃“ 完”誤釋?！?完”疑即“黊纊”，指黃錦制的小球，懸于冠冕之上。

十六

簡四0八 二人。十 囗囗囗。

原注：此為殘簡?！笆弊窒氯蛛y以確認。

按，細審圖片，“十”下第二、第三字猶可識別，乃“到此”二字，其“到”字與簡一“到”字寫法相同。此簡似應(yīng)列為最后一簡。

其他

1、簡一釋文“先選”，從圖版看，無疑是“光 ”二字，“光”與“先”的重要區(qū)別一是前者上下不連，后者相反，二是后者中為直橫，前者相反。

2、簡一一、簡四二“鐸”前一字就是“鐃”字，只是“堯”寫作兩“土”在上、一“土”在下。

3、簡五十“鼓者”后雖殘缺，但與簡四九對照，“鼓者”下定是“二人”二字。

4、簡一二二、簡一二三“一”前一字從自從旨，當是脂字異體。

5、簡一七六釋文“熟”，當作“孰”。

6、簡一八0“一”前一字就是“橘”字。

7、簡二0三釋文“五斗”前脫“穜（種）”。

8、簡二0四“三石”后就是“ ”字。

9、簡二五九與相鄰簡相比，“食般”前缺字為“ 畫”二字，圖版尚留“畫”字最后一筆。

10、簡二六0“大”后一字為“移”。

11、簡二七九“白”后為“辟”字。

12、簡三0二“大”后一字為“叔”字。

木馬檢測范文第3篇

準備工作

首先，準備自己需要免殺的木馬，這里我們選擇了查殺率最高的木馬之一――上興木馬。上興木馬是除灰鴿子外最為流行的木馬之一，各大殺毒軟件都針對這類木馬準備了多套查殺特征碼及手段，因此免殺上興木馬是比較困難的，這也正好用以檢測我們所使用的免殺方法效果到底怎么樣。

另外，以前要制作免殺木馬時，往往必須在系統(tǒng)中安裝多款殺毒軟件以進行免殺效果檢測，反復安裝卸載殺毒軟件非常的麻煩。這里我們準備了一個在線查毒的網(wǎng)站“VlrSCANorg”。這是一個用于檢測文件是否有病毒的多病毒引擎查毒站點，上傳文件后可調(diào)用數(shù)十款殺毒軟件引擎進行病毒檢測，其中包括國內(nèi)常用的各大殺毒軟件，如金山、瑞星、江民、卡巴斯基、趨勢、諾頓、Macefee等。

用VirSCAN網(wǎng)站檢測剛制作好的上興木馬，檢測結(jié)果顯示，大部分殺毒軟件都報警有病毒。下面就看看我們?nèi)绾巫寵z測結(jié)果中的紅色報警全部變成正常通過吧!

修政PE文件頭

下載“MaskPE 2.0”工具，這個工具可修改PE文件，用于生成免殺的木馬或病毒。不過現(xiàn)在MaskPE已經(jīng)不能實現(xiàn)免殺的效果了，我們只是用它來修改一下上興木馬的PE文件頭，用于增加殺毒軟件查殺的難度。至于一些普通不常用的木馬，也可以省略這個步驟。

運行MaskPE，點擊“LoadFile”按鈕，瀏覽指定剛才生成的上興木馬文件。然后在下方最右邊的下拉列表中選擇加密類型為“Type2”或“Type3”，對于Tvpel加密的程序在運行時會還原，所以可能無法通過內(nèi)存檢測。最后點擊“Make File”按鈕。就可完成木馬文件的PE修改了。

修改后的PE文件上傳到VirSCAN網(wǎng)站上檢測，發(fā)現(xiàn)經(jīng)過修改后。僅免殺了其中一款不常見的殺毒軟件。不過我們的目的僅僅是為后面的免殺作準備而已。另外，需要備份并運行PE修改后的木馬文件，看看木馬是否能夠正常上線。

核心――加密殼

現(xiàn)在到了今天我們免殺技術(shù)的核心――加密殼。加殼是一種常見的免殺方法，但是以前我們介紹的都只是加上Aspack、UPX之類的普通殼，這些殼只屬于壓縮殼。雖然可以對木馬起到加密的作用，但是現(xiàn)在各款殺毒軟件早就能輕松的脫殼反查出木馬了。今天要使用的是“加密殼”，這類殼與普通殼不同，是由一些廠商為保護軟件而開發(fā)的特殊殼，可對程序的所有資源進行特殊的加密，根本無法進行反編譯脫殼和還原破解。用加密殼加密過后的木馬。殺毒軟件無法進行脫殼查殺，因此可以突破殺毒軟件實現(xiàn)免殺!

Themida加殼

Themida一款優(yōu)秀的商業(yè)保護殼，強度非常高。直接下載運行“Themida 18.5.5正式版”會提示缺少文件，需要再下載“ThemidaFiles”，解壓后將所有文件復制到“Themida1.8.5.5正式版”目錄中，即可正常運行。

運行Themida后，點擊窗口中“l(fā)nput Filename”后的瀏覽按鈕，瀏覽指定剛才修改過PE的木馬文件，在“OutputFilename”處瀏覽指定木馬加密保護后的文件路徑。然后點擊工具欄“Protect”按鈕，即可打開加密保護對話框，點擊“Protect”按鈕即可開始進行加密保護了。

加密保護完成后，將生成文件上傳到VirSCAN網(wǎng)站上檢測，發(fā)現(xiàn)加密后的木馬文件。已經(jīng)躲過了大部分殺毒軟件的查殺。國內(nèi)的三大殺毒軟件及卡巴斯基等，已經(jīng)對木馬視而不見了!

ASProtct　SKE加密殼

ASProtect SKE是一款非常著名的加宿殼，用它來對木馬加密免殺的效果也非常好!

運行“ASP rotect SKE 2.3 build 05.14 beta”，在“Options”選項頁中，點擊“File to Protect”處瀏覽按鈕。指定修改過PE的文件，在“Output To Filename”處指定生成加密文件路徑。在加密選項“Protections Options”處勾選“Resou rces Protetion”以加密資源，其它保護項可根據(jù)需要設(shè)置。在“CompressiORS Options”處設(shè)置壓縮率為最高“Good Compression”。

再切換到“Mode”選項頁。點擊“Add Mode”按鈕，添加一個加密模式“1”。在列表中選擇壓縮模式1，勾選下方的“IsThis Mode Active?”，將該模式激活。點擊工具欄上的“Start Protection”按鈕，即可開始進行加密壓縮了。

用VirSCAN在線掃描ASProtect SKE$11密后的木馬，結(jié)果顯示國內(nèi)常見的殺毒軟件全部檢測無毒，僅有幾款來自國外的少見殺毒軟件能夠查殺!

補充――過主動防御

現(xiàn)在的殺毒軟件不只用被動的查殺方式防御病毒木馬，還采用了主動防御的方案，過主動防御也是病毒免殺的一個重要步驟。在國內(nèi)的殺毒軟件中，金山?jīng)]有提供主動防御功能，可以不必考慮，瑞星的主動防御很脆弱，用Byshefl、evllotus之類生成的木馬就可以輕松突破；而卡巴斯基的主動防御功能，一般是通過修改系統(tǒng)時間來突破的，在上興之類的木馬中都提供了修改系統(tǒng)時間功能：而對于江民殺毒軟件的主動防御突破是比較困難的?？梢允褂靡粋€叫作“過主動免殺殼1.0”的工具來實現(xiàn)。

運行過主動免殺殼工具，將剛才生成的免殺木馬拖到程序窗口中，點擊“加殼”按鈕即可直接加殼完成。生成的文件可過常見殺毒軟件的主動防御。效果不錯。

MaskPE 2.0 http：//www．3800hk．com/Soft/lmhb/12113htmI

Themida 1.8.5.5正式版http：//www．pediy．com/tools/PACK/Protectors/Themida/Themida 1.8.5.5.rar

ThemidaF_les http：//WWW．pediy．com/tools/PACK，Protectors/Themida/ThemidaFiles，rar

木馬檢測范文第4篇

隨著計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全問題已變得越來越受到人們的重視，網(wǎng)絡(luò)攻擊形式多種多樣，很多蠕蟲病毒、木馬病毒等植入到某些網(wǎng)頁中，給網(wǎng)絡(luò)用戶帶來了很大的安全隱患，網(wǎng)頁木馬通過利用瀏覽器或插件的一些漏洞，在客戶端下載并執(zhí)行一些惡意程序進行網(wǎng)絡(luò)攻擊，它已經(jīng)成為了目前惡意程序傳播的一種重要方式，本文主要闡述了網(wǎng)頁木馬的機理和特點，重點分析了木馬的檢測以及木馬的特征，并針對這些特點進行了一些相應(yīng)防范對策的探討。

【關(guān)鍵詞】網(wǎng)頁木馬 木馬機理 攻擊 防范

由于網(wǎng)頁木馬制作簡單、傳播速度快、破壞力強。掛馬形式多等原因，已經(jīng)成為惡意程序傳播中最常見的形式之一，給互聯(lián)網(wǎng)用戶造成嚴重的安全威脅。

目前國內(nèi)外很多研究人員圍繞網(wǎng)頁木馬的防御進行了深入的探討與研究，同時攻擊者也在采用一些更先進的手段來提高木馬的攻擊隱蔽性，用以提高木馬的攻擊成功率，因此，網(wǎng)頁木馬的機理與防范對策研究已成為了當前計算機工作者的一個重要課題。

1 網(wǎng)頁木馬工作機理與特征

（1）網(wǎng)頁木馬定義。網(wǎng)頁木馬是在宏病毒、木馬等惡意代碼基礎(chǔ)上發(fā)展出來的一種新形態(tài)的惡意代碼。類似于宏病毒通過Word 等文檔中的惡意宏命令實現(xiàn)攻擊。網(wǎng)頁木馬一般通過 HTML 頁面中的一段惡意腳本達到在客戶端下載、執(zhí)行惡意可執(zhí)行文件的目的，而整個攻擊流程是一個“特洛伊木馬式”的隱蔽的、用戶無察覺的過程，因此，國內(nèi)研究者通常稱該種攻擊方式為“網(wǎng)頁木馬”。

（2）網(wǎng)頁木馬典型攻擊流程。網(wǎng)頁木馬采用的是一種被動的攻擊模式，攻擊者將網(wǎng)頁木馬部署在服務(wù)器端，被動的等待客戶端發(fā)起訪問請求，一旦有客戶端訪問攻擊頁面，服務(wù)器就將頁面內(nèi)容反饋給客戶端，頁面通過瀏覽器及插件漏洞將客戶端攻破，進而下載、安裝、執(zhí)行惡意程序。其攻擊流程圖如圖1。

（3）網(wǎng)頁木馬的漏洞利用機理。網(wǎng)頁木馬的漏洞利用機理主要是通過利用客戶端瀏覽器以及插件的漏洞來獲取攻擊權(quán)限，一旦獲取攻擊權(quán)限后就會進行惡意程序的下載和執(zhí)行。這些漏洞的腳本語言主要是JavaScript等，一方面在于瀏覽器提供了腳本語言與插件間進行交互的 API，攻擊腳本通過畸形調(diào)用不安全的 API 便可觸發(fā)插件中的漏洞；另一方面，攻擊者也可以利用腳本的靈活特性對攻擊腳本進行一定的混淆處理來對抗反病毒引擎的安全檢查。網(wǎng)頁木馬利用的漏洞主要有兩類，一類是任意下載 API 類漏洞，另一類是內(nèi)存破壞類漏洞。

（4）網(wǎng)頁木馬涉及的關(guān)鍵手段。網(wǎng)頁木馬采用基于Web的客戶端攻擊方式，它作為一種新型的惡意代碼，在結(jié)構(gòu)和組成上與普通的病毒惡意代碼有很大區(qū)別，在木馬程序中，攻擊者通常采用一些靈活多變的攻擊技術(shù)和手段來提高網(wǎng)頁木馬的成功率和隱蔽性。攻擊者通常采用“環(huán)境探測+動態(tài)加載”的模式來應(yīng)對客戶端環(huán)境的復雜多樣性，采用一種all-in-one 的方式將針對不同漏洞的攻擊代碼全部包含進單個攻擊頁面中。但這種方式能使得瀏覽器反應(yīng)遲緩，容易引起用戶的察覺，為了提高攻擊的隱蔽性和成功率，攻擊者采用“一個探測頁面+多個攻擊腳本/攻擊頁面”的“環(huán)境探測+動態(tài)加載”模式，這種模式在提升攻擊成功率的同時，也增加了攻擊的隱蔽性和攻擊效率。此外，網(wǎng)頁木馬還具有增強自身隱蔽性的手段，攻擊者往往采用混淆免殺、人機識別、動態(tài)域名解析等一些技術(shù)手段來提升攻擊的隱蔽性。

2 網(wǎng)頁木馬防范對策研究

根據(jù)網(wǎng)頁木馬的防范位置，可以從三個方面入手，它們分別是基于網(wǎng)站服務(wù)器端的網(wǎng)頁掛馬防范、基于的網(wǎng)頁木馬防范以及基于客戶端網(wǎng)頁木馬防范。

（1）基于網(wǎng)站服務(wù)器端網(wǎng)頁掛馬防范。網(wǎng)站服務(wù)器端網(wǎng)頁掛馬防范是網(wǎng)頁木馬防范中的第一個環(huán)節(jié)，網(wǎng)站掛馬的主要途徑有：利用網(wǎng)站服務(wù)器系統(tǒng)漏洞、利用內(nèi)容注入等應(yīng)用程序漏洞、通過廣告位和流量統(tǒng)計等第三方內(nèi)容掛馬等。利用網(wǎng)站服務(wù)器系統(tǒng)漏洞來進行攻擊是一種常見的網(wǎng)頁掛馬途徑，攻擊者利用服務(wù)器的漏洞獲取權(quán)限后，可以對頁面進行篡改。因此，網(wǎng)站服務(wù)器應(yīng)打好系統(tǒng)漏洞補丁，或按照一些入侵檢測系統(tǒng)來防范這些木馬程序的攻擊。

3用網(wǎng)站服務(wù)器系統(tǒng)漏洞

（1）基于的網(wǎng)頁木馬防范?；诘木W(wǎng)頁木馬防范是在頁面被客戶端瀏覽器加載之前，在一個 shadow 環(huán)境（即）中對頁面進行一定的檢測或處理。主要可以從幾個方面著手：一是“檢測-阻斷”式的網(wǎng)頁木馬防范方法，這種方法是在處進行網(wǎng)頁木馬檢測；二是基于腳本重寫的網(wǎng)頁木馬防范方法；三是基于瀏覽器不安全功能隔離的網(wǎng)頁木馬防范方法。這種方法主要由來解析頁面并執(zhí)行腳本，它需要大量的時間，在實際應(yīng)用中難以適應(yīng)。（2）基于客戶端網(wǎng)頁木馬防范。基于客戶端網(wǎng)頁木馬防范主要應(yīng)用在客戶端，比較常見的方法有URL 黑名單過濾、瀏覽器安全加固、操作系統(tǒng)安全擴展等。通過Google來檢測索引庫中的頁面，生成一個URL黑名單，然后Google的搜索引擎會將URL黑名單中的搜索結(jié)果進行標記。瀏覽器安全加固是通過在瀏覽器中增加一些檢測功能來對瀏覽器進行安全加固，操作系統(tǒng)安全擴展主要用來阻斷網(wǎng)頁木馬攻擊流程中未經(jīng)用戶授權(quán)的惡意可執(zhí)行文件下載、安裝/執(zhí)行環(huán)節(jié)。

4 總結(jié)

網(wǎng)絡(luò)木馬是惡意程序在網(wǎng)絡(luò)中傳播的一種常見方式，它主要是通過網(wǎng)絡(luò)客戶端對服務(wù)器的訪問，利用系統(tǒng)安全漏洞隱蔽的將網(wǎng)頁木馬惡意程序植入到客戶端，客戶端通過瀏覽網(wǎng)頁，執(zhí)行惡意程序后感染木馬病毒，給計算機用戶帶來嚴重危害，基于Web的被動攻擊模式能將網(wǎng)頁木馬感染到大量的客戶端，它具有隱蔽性高、傳染快等特點，因此，安全研究人員必須對網(wǎng)頁木馬高度重視，應(yīng)針對網(wǎng)頁木馬的機理、特征進行多方面的研究，才能針對其結(jié)果做出相應(yīng)的防范措施，避免網(wǎng)頁木馬的擴散與傳播，對于網(wǎng)絡(luò)安全人員來說，網(wǎng)頁木馬的防范工作將是一項任重而道遠的工作。

木馬檢測范文第5篇

    【關(guān)鍵詞】掃描 權(quán)限后門

    信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是,隨著信息化應(yīng)用的深入、認識的提高和技術(shù)的發(fā)展,現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

    入侵攻擊有關(guān)方法,主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等,下面僅就包括筆者根據(jù)近年來在網(wǎng)絡(luò)管理中有關(guān)知識和經(jīng)驗,就入侵攻擊的對策及檢測情況做一闡述。

    對入侵攻擊來說,掃描是信息收集的主要手段,所以通過對各種掃描原理進行分析后,我們可以找到在攻擊發(fā)生時數(shù)據(jù)流所具有的特征。

    一、利用數(shù)據(jù)流特征來檢測攻擊的思路

    掃描時,攻擊者首先需要自己構(gòu)造用來掃描的IP數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達到計算機端口,再等待端口對其響應(yīng),通過響應(yīng)的結(jié)果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準確地檢測到系統(tǒng)遭受了網(wǎng)絡(luò)掃描。考慮下面幾種思路:

    1.特征匹配

    找到掃描攻擊時數(shù)據(jù)包中含有的數(shù)據(jù)特征,可以通過分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù),來檢測端口掃描的存在。如UDP端口掃描嘗試:content:“sUDP”等等。

    2.統(tǒng)計分析

    預(yù)先定義一個時間段,在這個時間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)定值的連接次數(shù),認為是端口掃描。

    3.系統(tǒng)分析

    若攻擊者對同一主機使用緩慢的分布式掃描方法,間隔時間足夠讓入侵檢測系統(tǒng)忽略,不按順序掃描整個網(wǎng)段,將探測步驟分散在幾個會話中,不導致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常,不導致日志系統(tǒng)快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過上面的簡單的統(tǒng)計分析方法不能檢測到它們的存在,但是從理論上來說,掃描是無法絕對隱秘的,若能對收集到的長期數(shù)據(jù)進行系統(tǒng)分析,可以檢測出緩慢和分布式的掃描。

    二、檢測本地權(quán)限攻擊的思路

    行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術(shù)。虛擬機技術(shù)是下一步我們要研究的重點方向。

    1.行為監(jiān)測法

    由于溢出程序有些行為在正常程序中比較罕見,因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件,如果符合現(xiàn)有的條件規(guī)則就認為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實現(xiàn)起來有一定難度,不容易考慮周全。行為監(jiān)測法從以下方面進行有效地監(jiān)測:一是監(jiān)控內(nèi)存活動,跟蹤內(nèi)存容量的異常變化,對中斷向量進行監(jiān)控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。

    監(jiān)測敏感目錄和敏感類型的文件。對來自www服務(wù)的腳本執(zhí)行目錄、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和寫入。監(jiān)測來自系統(tǒng)服務(wù)程序的命令的執(zhí)行。對數(shù)據(jù)庫服務(wù)程序的有關(guān)接口進行控制,防止通過系統(tǒng)服務(wù)程序進行的權(quán)限提升。監(jiān)測注冊表的訪問,采用特征碼檢測的方法,阻止木馬和攻擊程序的運行。

    2.文件完備性檢查

    對系統(tǒng)文件和常用庫文件做定期的完備性檢查?？梢圆捎胏hecksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結(jié)合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。

    3.系統(tǒng)快照對比檢查

    對系統(tǒng)中的公共信息,如系統(tǒng)的配置參數(shù),環(huán)境變量做先驗快照,檢測對這些系統(tǒng)變量的訪問,防止篡改導向攻擊。

    4.虛擬機技術(shù)

    通過構(gòu)造虛擬x86計算機的寄存器表、指令對照表和虛擬內(nèi)存,能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序相似的行為,比如可疑的跳轉(zhuǎn)等和正常計算機程序不一樣的地方,再結(jié)合特征碼掃描法,將已知溢出程序代碼特征庫的先驗知識應(yīng)用到虛擬機的運行結(jié)果中,完成對一個特定攻擊行為的判定。

    虛擬機技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合,并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態(tài)分析進入了動態(tài)和靜態(tài)分析相結(jié)合的境界,在一個階段里面,極大地提高了已知攻擊和未知攻擊的檢測水平,以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內(nèi),虛擬機在合理的完整性、技術(shù)技巧等方面都會有相當?shù)倪M展。目前國際上公認的、并已經(jīng)實現(xiàn)的虛擬機技術(shù)在未知攻擊的判定上可達到80%左右的準確率。

    三、后門留置檢測的常用技術(shù)

    1.對比檢測法

    檢測后門時,重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網(wǎng)絡(luò)的主機上駐留時,為了不被用戶輕易發(fā)現(xiàn),往往會采取各種各樣的隱藏措施,因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術(shù)并進行有效地規(guī)避,才能發(fā)現(xiàn)木馬引起的異?，F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。

    2.文件防篡改法

    文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標識文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗和的方式進行生成。

    3.系統(tǒng)資源監(jiān)測法

    系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機系統(tǒng)資源的方式來檢測木馬程序異常行為的技術(shù)。由于黑客需要利用木馬程序進行信息搜集,以及滲透攻擊,木馬程序必然會使用主機的一部分資源,因此通過對主機資源(例如網(wǎng)絡(luò)、CPU、內(nèi)存、磁盤、USB存儲設(shè)備和注冊表等資源)進行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

    4.協(xié)議分析法

    協(xié)議分析法是指參照某種標準的網(wǎng)絡(luò)協(xié)議對所監(jiān)聽的網(wǎng)絡(luò)會話進行對比分析,從而判斷該網(wǎng)絡(luò)會話是否為非法木馬會話的技術(shù)。利用協(xié)議分析法能夠檢測出采取了端口復用技術(shù)進行端口隱藏的木馬。

    參考文獻: