木馬檢測
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇木馬檢測范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
木馬檢測范文第1篇
中圖分類號:TP309.5文獻標識碼:A文章編號:16727800(2012)009015202
0引言
隨著互聯網的飛速發展以及網絡中病毒木馬程序的日益泛濫,防火墻已經成為保護局域網絡中主機免受惡意程序侵害的一道屏障。隨著防火墻技術的日益成熟,很多傳統遠控型木馬程序已經失去了其發展空間,然而一種新型的利用HTTP協議隧道的木馬又出現了。本文將主要介紹該類木馬的運行原理以及目前針對該類木馬的主流檢測方法。
1HTTP協議隧道
HTTP協議隧道位于應用層,是將需要傳輸的數據封裝在HTTP協議格式數據包中,通過HTTP協議在網絡中進行傳輸,當HTTP數據包抵達目的地后對HTTP數據包進行解包,得到真實的數據。HTTP協議隧道分為直接型和中轉型兩種模式。
1.1直接型模式
此模式中每臺主機都既作客戶端又作服務器,可以相互通信。在客戶端中,數據經過HTTP隧道軟件使用HTTP協議進行封裝,然后通過80端口或者8080端口發送到對方主機。服務器端收到數據后對HTTP包進行解包操作得到實際傳輸的數據。
1.2中轉型模式
此模式中有一個專門的HTTP隧道服務器,負責接收客戶機的請求,然后與目標主機通信,將客戶端傳過來的數據交付給目標主機。在客戶端與目標主機之間仍使用HTTP協議對數據進行封裝后傳輸。
2HTTP隧道木馬原理
HTTP隧道木馬與傳統木馬程序在功能上基本一致,主要差別在于通信方式上。傳統木馬,不論是正向連接型還是反向連接型,基本都是通過高于1024端口進行通信,然而現在的很多殺毒軟件以及防火墻對于這些端口的檢測會較為嚴格,從而使得木馬程序容易暴露身份。而隨著B/S模式的廣泛應用,越來越多的網上流量都是通過HTTP協議進行傳輸,因此絕大多數防火墻對于HTTP協議都采取進行簡單協議結果判定后直接允許其通過的策略,而這樣的策略就給了木馬程序以可乘之機。
HTTP隧道木馬利用HTTP協議隧道,將自己需要傳輸的數據利用HTTP協議進行封裝,然后經由HTTP協議專用端口80端口或者8080端口與外部服務器進行連接,服務器在得到數據以后進行簡單的HTTP協議解包就可以得到實際的數據。
一般此類木馬選擇的HTTP協議隧道類型均為上一節中介紹的中轉型模式。在木馬實際運行過程中,客戶端(即控制端)首先將待執行的命令以文件的形式存放在HTTP隧道服務器中,而對于服務端(及被控端),每次上線后會主動請求連接HTTP隧道服務器,然后用GET或者POST命令請求服務器中的特定文件(預先設定好的存放命令的文件)。如果文件中有需要執行的命令,則在被控端主機上執行相應操作,然后將數據封裝成HTTP數據包回送給HTTP隧道服務器,如果文件中沒有命令需要執行,則服務端斷開連接,一段時間后再次以相同方式詢問是否有命令,如此往復。通過此流程,HTTP隧道木馬就可以借用HTTP協議躲避防火墻的阻攔與控制端進行通信。
3主流檢測方法
針對HTTP隧道木馬的檢測方法目前主要存在下面的三大類:基于簽名的檢測、基于協議的檢測以及基于操作行為的檢測。下面分別對3種檢測方法進行介紹。
3.1基于簽名的檢測(SIGNATUREBASED DETECTION)
該方法主要通過檢測HTTP協議數據包定的數據式樣來判斷是否是可疑的HTTP數據包。這里所謂的特定的數據式樣,指的是比如“cat c:”、“cat d:”、“del c:”、“PWD”、“RETR ”、“cmdc:”、“cmd net start”等字串。這些字串一般為計算機的一些操作指令,如果HTTP數據包中含有這些數據式樣則將其判定為使用HTTP隧道進行傳輸。
然而這種方法也存在一些問題,比如很難準確找到有哪些數據樣式只存在于HTTP隧道木馬傳遞的數據包中而不可能或很少出現在正常網頁里,因為HTTP協議是基于對象的協議,可以傳輸任何類型的文件,我們不能保證這些文件中不會出現所定義的“數據式樣”,因此此方法在實際運用中可行性較低。
3.2基于協議的檢測
由于很多HTTP隧道木馬在進行HTTP隧道傳輸時都只是進行了一個簡單的HTTP協議封裝,即在數據外加上了一個HTTP頭部,然而這種簡單的協議封裝往往在很多時候不符合實際的HTTP協議正常的格式。并且在數據交互的過程中,HTTP隧道木馬一般只是簡單發送單個HTTP數據包,而不會完整執行整個HTTP協議中規定的一整套交互流程。根據這些協議上的特點可以對HTTP隧道木馬進行檢測。
然而在有些情況下這種方式仍不能正確地對該類木馬進行準確識別。比如木馬程序為了偽裝而進行一系列虛假的HTTP協議交互過程,從協議層面上看該過程完全無法分辨出是否為木馬程序。
3.3基于操作行為的檢測
該方法主要提取了HTTP隧道木馬程序在網絡會話上的一系列特征,如:數據包大小、數量、會話時長、會話上傳數據量、會話上傳數據量和下載數據量之比以及會話平局上傳速率等。然后基于這些特征采取數據挖掘技術,對HTTP隧道木馬進行分類,對其建立相應木馬網絡會話特征模型,根據此模型對其進行檢測。
資料顯示,此種檢測方法在HTTP隧道木馬程序檢測方面的效果較好。此方向研究者較多,各研究者之間差別在于采取的特征選取有細微不同,以及采取的分類算法存在一定差異。
3.4分析比較
分析了3種當前主流HTTP隧道木馬檢測技術以后,我們可以看到,第一種技術基本無法單獨運用于真實環境下的木馬檢測,在某些情況下可以作為輔助條件進行木馬判定;基于協議的檢測方法存在一定的適用性,但是也很容易被木馬繞過,因此會導致實際使用的效果不佳;而第三種方式則相對顯得效果更好,有很好的實用性。
4結語
本文主要就HTTP隧道木馬的運行原理進行了介紹,然后對目前主流的HTTP隧道木馬檢測方法進行了分析比較。通過分析幾種當前提出較多的HTTP隧道木馬檢測方法,得到當前檢測該類木馬程序最有效的方法在于對木馬網絡回話中的一些特征進行分類處理,建立該類木馬特征模型,然后進行檢測。
參考文獻:
[1]許治坤,王偉,郭添森,等.網絡滲透技術[M].北京:電子工業出版社,2005.
[2]李俊林.通用性HTTP隧道檢測技術研究[D].成都:電子科技大學,2006.
木馬檢測范文第2篇
簡二 家承(丞)一人。
按,“家”后一字原形作 ,字形下部無“手”,就是丞字,釋文當作“家丞一人”。
二
簡五 宦者九人,其四人服牛車。
簡六 牛車,宦者四人服。
上二簡“牛”原形作 ,此是羊字,非牛字。馬王堆簡帛牛字皆作二橫,無作三橫者,而羊字多作三橫,少數作四橫,無作二橫者。羊車是一種裝飾精美的車,用人拉,而非羊拉,正符合上二簡所言。漢劉熙《釋名·釋車》:“羊車。羊,祥也;祥,善也。善飾之車。”清王先謙《釋名疏證補》:“漢時以人牽之。”
三
簡九 建鼓一,羽栓 卑二,鼓者二人操搶。
按,“栓”原形作 ,此是 字。羽 疑即羽翿, ,書母魚韻,翿,定母幽韻,聲類同為舌音,韻部旁轉。《經籍籑詁?號韻》:“《禮記?雜記》‘匠人執羽葆御柩’,《周禮?鄉師注》作‘匠人執翿以御柩’。”南朝梁王筠《昭明太子哀冊文》:“羽翿前驅,云旂北御。”據漢代畫像石,建鼓鼓上一般裝飾有羽葆,如河南方城東關畫像石所刻大型建鼓,鼓頂飾一羽葆,沂南畫像石的建鼓,鼓頂有羽葆和旒蘇。
“卑二”,指建鼓上裝的兩面小鼓,據漢代畫像石,建鼓上常設小鼓,如南陽漢畫像石的建鼓,兩側鼓面下各設一小鼓。“卑”假為“鞞”,《詩經?周頌?有瞽》:“應朄縣鼓。”鄭玄注:“朄,小鼓,在大鼓旁,應、鞞之屬也。”《文選?丘遲〈旦發魚浦潭〉》:“鳴鞞響沓障。”李善注引《字林》:“鞞,小鼓也。”簡一四“大鼓一,卑二”,“卑”所指同。
“搶”原形作 ,此是抱字,其右旁“包”的寫法,與簡七五、八0的“鮑”和簡二三五的“炮”的右旁寫法相同。“抱”假為“枹”,《說文?木部》:“枹,擊鼓杖也。”
如此則簡九應標點為“建鼓一,羽 (翿) ,卑(鞞)二,鼓者二人操抱(枹)。”
四
簡三六 孝(絹?)繻椽(緣)。
按,“孝”原形作 ,此是李字。“李”通“理”,段玉裁《說文解字注》:“古李、理同音通用”理即“紋理”,《廣韻?止韻》:“理,文也。” 《荀子?正名》:“形體、色理以目異。”楊倞注:“理,文理也。”
“椽”原形作 ,從“手”,是掾字,馬王堆一號漢墓竹簡遣策同,三號墓遣策原釋文作“椽”者,皆當改為“掾”。
五
簡四九 鄭竽瑟各一,炊(吹)鼓者二。
按,“二”后當補“人”,原圖版“人”雖不清晰,但猶有痕跡。
六
簡五三 琴一,青綺 ,素裏菜(彩)繢掾(緣)
簡五五 瑟一,繡 ,素裏繢掾(緣)
簡五三 竽一,錦 ,素裏繢掾(緣)
按, 疑是橐字異體,從糸,禿聲。簡三八一作“青綺琴囊一,素裏蔡(彩)繢掾(緣)”。
七
簡六八 胡人一人,操弓矢、贖觀,率附馬一匹。
按,“率”原形作 ,下從“牛”,是牽字。
八
簡一0三 榆菜。
按,“菜”原形作 ,是華字。
九
簡一0四 右方羹凡卅物,物一鼎。瓦維(甕)、 各一、蜀鼎六、瓦貴(繢)六。不足十六買瓦鼎錫涂。
按,依原牘格式,釋文“瓦維(甕)、 各一”當移到“不足”一句前。“涂”原形從土從余,不從“氵”。
十
簡一二一 肋酒二。
按,“肋”原形作 ,此是“助”字。
十一
簡二二四 鰿 孰一器。
原注: 孰,不可解。
按,“孰”前一字為“縣”,縣孰,是肉與糧食合蒸的一種食物,后作“懸熟”,《北堂書抄》卷一四五引謝諷《食經》:“作懸熟,以豬肉和米三升,豉五升,調味而蒸之。”
十二
簡二二五 丞(蒸)秋(鰍)一器。
簡二二六 丞(蒸)鱥(鱖)一器。
按,上二簡“丞”原形作 ,下從“火”,此是烝字。“烝”即“蒸”的本字。
十三
簡二六一 畫檢,徑尺,食鹽成(盛)五斗二合。
按,“食”原形作 ,是高字,“高”字簡二七四作 ,本批簡字形構件“曰”常以“兒”代替,如簡一三的“楮”字、簡二七一的“曾”字、簡三五五的“緒”字等,此形即為以“兒”代“曰”的“高”字。
“成”前一字為“藍”字。釋文“斗”,原形是“寸”。
十四
簡三三四 盭機巾一,素裏繢掾(緣),素 。
簡三八九 槨中繡帷一,褚繢掾(緣),素 。
按, 簡三八九與馬王堆一號墓遣策簡二五一基本相同, 素 ,一號墓遣策作“素旅”(原釋文作“素校”,誤。),指周緣外又續的素帛緣。“ ”當是“旅”字異體,“旅”為從 從從的會意字,“ ”為從 來聲的形聲字。來、旅同為來母字,來,之韻,旅,魚韻,之、魚旁轉。 是“來”的上一橫與“ ”重合的借筆形體。
十五
簡三四三 單一繡平 皃(貌)百。
按,釋文“ 皃(貌)”乃“ 完”誤釋。“ 完”疑即“黊纊”,指黃錦制的小球,懸于冠冕之上。
十六
簡四0八 二人。十 囗囗囗。
原注:此為殘簡。“十”字下三字難以確認。
按,細審圖片,“十”下第二、第三字猶可識別,乃“到此”二字,其“到”字與簡一“到”字寫法相同。此簡似應列為最后一簡。
其他
1、簡一釋文“先選”,從圖版看,無疑是“光 ”二字,“光”與“先”的重要區別一是前者上下不連,后者相反,二是后者中為直橫,前者相反。
2、簡一一、簡四二“鐸”前一字就是“鐃”字,只是“堯”寫作兩“土”在上、一“土”在下。
3、簡五十“鼓者”后雖殘缺,但與簡四九對照,“鼓者”下定是“二人”二字。
4、簡一二二、簡一二三“一”前一字從自從旨,當是脂字異體。
5、簡一七六釋文“熟”,當作“孰”。
6、簡一八0“一”前一字就是“橘”字。
7、簡二0三釋文“五斗”前脫“穜(種)”。
8、簡二0四“三石”后就是“ ”字。
9、簡二五九與相鄰簡相比,“食般”前缺字為“ 畫”二字,圖版尚留“畫”字最后一筆。
10、簡二六0“大”后一字為“移”。
11、簡二七九“白”后為“辟”字。
12、簡三0二“大”后一字為“叔”字。
木馬檢測范文第3篇
準備工作
首先,準備自己需要免殺的木馬,這里我們選擇了查殺率最高的木馬之一――上興木馬。上興木馬是除灰鴿子外最為流行的木馬之一,各大殺毒軟件都針對這類木馬準備了多套查殺特征碼及手段,因此免殺上興木馬是比較困難的,這也正好用以檢測我們所使用的免殺方法效果到底怎么樣。
另外,以前要制作免殺木馬時,往往必須在系統中安裝多款殺毒軟件以進行免殺效果檢測,反復安裝卸載殺毒軟件非常的麻煩。這里我們準備了一個在線查毒的網站“VlrSCANorg”。這是一個用于檢測文件是否有病毒的多病毒引擎查毒站點,上傳文件后可調用數十款殺毒軟件引擎進行病毒檢測,其中包括國內常用的各大殺毒軟件,如金山、瑞星、江民、卡巴斯基、趨勢、諾頓、Macefee等。
用VirSCAN網站檢測剛制作好的上興木馬,檢測結果顯示,大部分殺毒軟件都報警有病毒。下面就看看我們如何讓檢測結果中的紅色報警全部變成正常通過吧!
修政PE文件頭
下載“MaskPE 2.0”工具,這個工具可修改PE文件,用于生成免殺的木馬或病毒。不過現在MaskPE已經不能實現免殺的效果了,我們只是用它來修改一下上興木馬的PE文件頭,用于增加殺毒軟件查殺的難度。至于一些普通不常用的木馬,也可以省略這個步驟。
運行MaskPE,點擊“LoadFile”按鈕,瀏覽指定剛才生成的上興木馬文件。然后在下方最右邊的下拉列表中選擇加密類型為“Type2”或“Type3”,對于Tvpel加密的程序在運行時會還原,所以可能無法通過內存檢測。最后點擊“Make File”按鈕。就可完成木馬文件的PE修改了。
修改后的PE文件上傳到VirSCAN網站上檢測,發現經過修改后。僅免殺了其中一款不常見的殺毒軟件。不過我們的目的僅僅是為后面的免殺作準備而已。另外,需要備份并運行PE修改后的木馬文件,看看木馬是否能夠正常上線。
核心――加密殼
現在到了今天我們免殺技術的核心――加密殼。加殼是一種常見的免殺方法,但是以前我們介紹的都只是加上Aspack、UPX之類的普通殼,這些殼只屬于壓縮殼。雖然可以對木馬起到加密的作用,但是現在各款殺毒軟件早就能輕松的脫殼反查出木馬了。今天要使用的是“加密殼”,這類殼與普通殼不同,是由一些廠商為保護軟件而開發的特殊殼,可對程序的所有資源進行特殊的加密,根本無法進行反編譯脫殼和還原破解。用加密殼加密過后的木馬。殺毒軟件無法進行脫殼查殺,因此可以突破殺毒軟件實現免殺!
Themida加殼
Themida一款優秀的商業保護殼,強度非常高。直接下載運行“Themida 18.5.5正式版”會提示缺少文件,需要再下載“ThemidaFiles”,解壓后將所有文件復制到“Themida1.8.5.5正式版”目錄中,即可正常運行。
運行Themida后,點擊窗口中“lnput Filename”后的瀏覽按鈕,瀏覽指定剛才修改過PE的木馬文件,在“OutputFilename”處瀏覽指定木馬加密保護后的文件路徑。然后點擊工具欄“Protect”按鈕,即可打開加密保護對話框,點擊“Protect”按鈕即可開始進行加密保護了。
加密保護完成后,將生成文件上傳到VirSCAN網站上檢測,發現加密后的木馬文件。已經躲過了大部分殺毒軟件的查殺。國內的三大殺毒軟件及卡巴斯基等,已經對木馬視而不見了!
ASProtct SKE加密殼
ASProtect SKE是一款非常著名的加宿殼,用它來對木馬加密免殺的效果也非常好!
運行“ASP rotect SKE 2.3 build 05.14 beta”,在“Options”選項頁中,點擊“File to Protect”處瀏覽按鈕。指定修改過PE的文件,在“Output To Filename”處指定生成加密文件路徑。在加密選項“Protections Options”處勾選“Resou rces Protetion”以加密資源,其它保護項可根據需要設置。在“CompressiORS Options”處設置壓縮率為最高“Good Compression”。
再切換到“Mode”選項頁。點擊“Add Mode”按鈕,添加一個加密模式“1”。在列表中選擇壓縮模式1,勾選下方的“IsThis Mode Active?”,將該模式激活。點擊工具欄上的“Start Protection”按鈕,即可開始進行加密壓縮了。
用VirSCAN在線掃描ASProtect SKE$11密后的木馬,結果顯示國內常見的殺毒軟件全部檢測無毒,僅有幾款來自國外的少見殺毒軟件能夠查殺!
補充――過主動防御
現在的殺毒軟件不只用被動的查殺方式防御病毒木馬,還采用了主動防御的方案,過主動防御也是病毒免殺的一個重要步驟。在國內的殺毒軟件中,金山沒有提供主動防御功能,可以不必考慮,瑞星的主動防御很脆弱,用Byshefl、evllotus之類生成的木馬就可以輕松突破;而卡巴斯基的主動防御功能,一般是通過修改系統時間來突破的,在上興之類的木馬中都提供了修改系統時間功能:而對于江民殺毒軟件的主動防御突破是比較困難的。可以使用一個叫作“過主動免殺殼1.0”的工具來實現。
運行過主動免殺殼工具,將剛才生成的免殺木馬拖到程序窗口中,點擊“加殼”按鈕即可直接加殼完成。生成的文件可過常見殺毒軟件的主動防御。效果不錯。
MaskPE 2.0 http://www.3800hk.com/Soft/lmhb/12113htmI
Themida 1.8.5.5正式版http://www.pediy.com/tools/PACK/Protectors/Themida/Themida 1.8.5.5.rar
ThemidaF_les http://WWW.pediy.com/tools/PACK,Protectors/Themida/ThemidaFiles,rar
木馬檢測范文第4篇
隨著計算機網絡技術的迅速發展,網絡安全問題已變得越來越受到人們的重視,網絡攻擊形式多種多樣,很多蠕蟲病毒、木馬病毒等植入到某些網頁中,給網絡用戶帶來了很大的安全隱患,網頁木馬通過利用瀏覽器或插件的一些漏洞,在客戶端下載并執行一些惡意程序進行網絡攻擊,它已經成為了目前惡意程序傳播的一種重要方式,本文主要闡述了網頁木馬的機理和特點,重點分析了木馬的檢測以及木馬的特征,并針對這些特點進行了一些相應防范對策的探討。
【關鍵詞】網頁木馬 木馬機理 攻擊 防范
由于網頁木馬制作簡單、傳播速度快、破壞力強。掛馬形式多等原因,已經成為惡意程序傳播中最常見的形式之一,給互聯網用戶造成嚴重的安全威脅。
目前國內外很多研究人員圍繞網頁木馬的防御進行了深入的探討與研究,同時攻擊者也在采用一些更先進的手段來提高木馬的攻擊隱蔽性,用以提高木馬的攻擊成功率,因此,網頁木馬的機理與防范對策研究已成為了當前計算機工作者的一個重要課題。
1 網頁木馬工作機理與特征
(1)網頁木馬定義。網頁木馬是在宏病毒、木馬等惡意代碼基礎上發展出來的一種新形態的惡意代碼。類似于宏病毒通過Word 等文檔中的惡意宏命令實現攻擊。網頁木馬一般通過 HTML 頁面中的一段惡意腳本達到在客戶端下載、執行惡意可執行文件的目的,而整個攻擊流程是一個“特洛伊木馬式”的隱蔽的、用戶無察覺的過程,因此,國內研究者通常稱該種攻擊方式為“網頁木馬”。
(2)網頁木馬典型攻擊流程。網頁木馬采用的是一種被動的攻擊模式,攻擊者將網頁木馬部署在服務器端,被動的等待客戶端發起訪問請求,一旦有客戶端訪問攻擊頁面,服務器就將頁面內容反饋給客戶端,頁面通過瀏覽器及插件漏洞將客戶端攻破,進而下載、安裝、執行惡意程序。其攻擊流程圖如圖1。
(3)網頁木馬的漏洞利用機理。網頁木馬的漏洞利用機理主要是通過利用客戶端瀏覽器以及插件的漏洞來獲取攻擊權限,一旦獲取攻擊權限后就會進行惡意程序的下載和執行。這些漏洞的腳本語言主要是JavaScript等,一方面在于瀏覽器提供了腳本語言與插件間進行交互的 API,攻擊腳本通過畸形調用不安全的 API 便可觸發插件中的漏洞;另一方面,攻擊者也可以利用腳本的靈活特性對攻擊腳本進行一定的混淆處理來對抗反病毒引擎的安全檢查。網頁木馬利用的漏洞主要有兩類,一類是任意下載 API 類漏洞,另一類是內存破壞類漏洞。
(4)網頁木馬涉及的關鍵手段。網頁木馬采用基于Web的客戶端攻擊方式,它作為一種新型的惡意代碼,在結構和組成上與普通的病毒惡意代碼有很大區別,在木馬程序中,攻擊者通常采用一些靈活多變的攻擊技術和手段來提高網頁木馬的成功率和隱蔽性。攻擊者通常采用“環境探測+動態加載”的模式來應對客戶端環境的復雜多樣性,采用一種all-in-one 的方式將針對不同漏洞的攻擊代碼全部包含進單個攻擊頁面中。但這種方式能使得瀏覽器反應遲緩,容易引起用戶的察覺,為了提高攻擊的隱蔽性和成功率,攻擊者采用“一個探測頁面+多個攻擊腳本/攻擊頁面”的“環境探測+動態加載”模式,這種模式在提升攻擊成功率的同時,也增加了攻擊的隱蔽性和攻擊效率。此外,網頁木馬還具有增強自身隱蔽性的手段,攻擊者往往采用混淆免殺、人機識別、動態域名解析等一些技術手段來提升攻擊的隱蔽性。
2 網頁木馬防范對策研究
根據網頁木馬的防范位置,可以從三個方面入手,它們分別是基于網站服務器端的網頁掛馬防范、基于的網頁木馬防范以及基于客戶端網頁木馬防范。
(1)基于網站服務器端網頁掛馬防范。網站服務器端網頁掛馬防范是網頁木馬防范中的第一個環節,網站掛馬的主要途徑有:利用網站服務器系統漏洞、利用內容注入等應用程序漏洞、通過廣告位和流量統計等第三方內容掛馬等。利用網站服務器系統漏洞來進行攻擊是一種常見的網頁掛馬途徑,攻擊者利用服務器的漏洞獲取權限后,可以對頁面進行篡改。因此,網站服務器應打好系統漏洞補丁,或按照一些入侵檢測系統來防范這些木馬程序的攻擊。
3用網站服務器系統漏洞
(1)基于的網頁木馬防范。基于的網頁木馬防范是在頁面被客戶端瀏覽器加載之前,在一個 shadow 環境(即)中對頁面進行一定的檢測或處理。主要可以從幾個方面著手:一是“檢測-阻斷”式的網頁木馬防范方法,這種方法是在處進行網頁木馬檢測;二是基于腳本重寫的網頁木馬防范方法;三是基于瀏覽器不安全功能隔離的網頁木馬防范方法。這種方法主要由來解析頁面并執行腳本,它需要大量的時間,在實際應用中難以適應。(2)基于客戶端網頁木馬防范。基于客戶端網頁木馬防范主要應用在客戶端,比較常見的方法有URL 黑名單過濾、瀏覽器安全加固、操作系統安全擴展等。通過Google來檢測索引庫中的頁面,生成一個URL黑名單,然后Google的搜索引擎會將URL黑名單中的搜索結果進行標記。瀏覽器安全加固是通過在瀏覽器中增加一些檢測功能來對瀏覽器進行安全加固,操作系統安全擴展主要用來阻斷網頁木馬攻擊流程中未經用戶授權的惡意可執行文件下載、安裝/執行環節。
4 總結
網絡木馬是惡意程序在網絡中傳播的一種常見方式,它主要是通過網絡客戶端對服務器的訪問,利用系統安全漏洞隱蔽的將網頁木馬惡意程序植入到客戶端,客戶端通過瀏覽網頁,執行惡意程序后感染木馬病毒,給計算機用戶帶來嚴重危害,基于Web的被動攻擊模式能將網頁木馬感染到大量的客戶端,它具有隱蔽性高、傳染快等特點,因此,安全研究人員必須對網頁木馬高度重視,應針對網頁木馬的機理、特征進行多方面的研究,才能針對其結果做出相應的防范措施,避免網頁木馬的擴散與傳播,對于網絡安全人員來說,網頁木馬的防范工作將是一項任重而道遠的工作。
木馬檢測范文第5篇
【關鍵詞】掃描 權限后門
信息網絡和安全體系是信息化健康發展的基礎和保障。但是,隨著信息化應用的深入、認識的提高和技術的發展,現有信息網絡系統的安全性建設已提上工作日程。
入侵攻擊有關方法,主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等,下面僅就包括筆者根據近年來在網絡管理中有關知識和經驗,就入侵攻擊的對策及檢測情況做一闡述。
對入侵攻擊來說,掃描是信息收集的主要手段,所以通過對各種掃描原理進行分析后,我們可以找到在攻擊發生時數據流所具有的特征。
一、利用數據流特征來檢測攻擊的思路
掃描時,攻擊者首先需要自己構造用來掃描的IP數據包,通過發送正常的和不正常的數據包達到計算機端口,再等待端口對其響應,通過響應的結果作為鑒別。我們要做的是讓IDS系統能夠比較準確地檢測到系統遭受了網絡掃描。考慮下面幾種思路:
1.特征匹配
找到掃描攻擊時數據包中含有的數據特征,可以通過分析網絡信息包中是否含有端口掃描特征的數據,來檢測端口掃描的存在。如UDP端口掃描嘗試:content:“sUDP”等等。
2.統計分析
預先定義一個時間段,在這個時間段內如發現了超過某一預定值的連接次數,認為是端口掃描。
3.系統分析
若攻擊者對同一主機使用緩慢的分布式掃描方法,間隔時間足夠讓入侵檢測系統忽略,不按順序掃描整個網段,將探測步驟分散在幾個會話中,不導致系統或網絡出現明顯異常,不導致日志系統快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過上面的簡單的統計分析方法不能檢測到它們的存在,但是從理論上來說,掃描是無法絕對隱秘的,若能對收集到的長期數據進行系統分析,可以檢測出緩慢和分布式的掃描。
二、檢測本地權限攻擊的思路
行為監測法、文件完備性檢查、系統快照對比檢查是常用的檢測技術。虛擬機技術是下一步我們要研究的重點方向。
1.行為監測法
由于溢出程序有些行為在正常程序中比較罕見,因此可以根據溢出程序的共同行為制定規則條件,如果符合現有的條件規則就認為是溢出程序。行為監測法可以檢測未知溢出程序,但實現起來有一定難度,不容易考慮周全。行為監測法從以下方面進行有效地監測:一是監控內存活動,跟蹤內存容量的異常變化,對中斷向量進行監控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。
監測敏感目錄和敏感類型的文件。對來自www服務的腳本執行目錄、ftp服務目錄等敏感目錄的可執行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和寫入。監測來自系統服務程序的命令的執行。對數據庫服務程序的有關接口進行控制,防止通過系統服務程序進行的權限提升。監測注冊表的訪問,采用特征碼檢測的方法,阻止木馬和攻擊程序的運行。
2.文件完備性檢查
對系統文件和常用庫文件做定期的完備性檢查。可以采用checksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。
3.系統快照對比檢查
對系統中的公共信息,如系統的配置參數,環境變量做先驗快照,檢測對這些系統變量的訪問,防止篡改導向攻擊。
4.虛擬機技術
通過構造虛擬x86計算機的寄存器表、指令對照表和虛擬內存,能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序相似的行為,比如可疑的跳轉等和正常計算機程序不一樣的地方,再結合特征碼掃描法,將已知溢出程序代碼特征庫的先驗知識應用到虛擬機的運行結果中,完成對一個特定攻擊行為的判定。
虛擬機技術仍然與傳統技術相結合,并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態分析進入了動態和靜態分析相結合的境界,在一個階段里面,極大地提高了已知攻擊和未知攻擊的檢測水平,以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內,虛擬機在合理的完整性、技術技巧等方面都會有相當的進展。目前國際上公認的、并已經實現的虛擬機技術在未知攻擊的判定上可達到80%左右的準確率。
三、后門留置檢測的常用技術
1.對比檢測法
檢測后門時,重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網絡的主機上駐留時,為了不被用戶輕易發現,往往會采取各種各樣的隱藏措施,因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術并進行有效地規避,才能發現木馬引起的異常現象從而使隱身的木馬“現形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統資源監測法和協議分析法等。
2.文件防篡改法
文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標識文件的指紋信息,可以采用數字簽名或者md5檢驗和的方式進行生成。
3.系統資源監測法
系統資源監測法是指采用監控主機系統資源的方式來檢測木馬程序異常行為的技術。由于黑客需要利用木馬程序進行信息搜集,以及滲透攻擊,木馬程序必然會使用主機的一部分資源,因此通過對主機資源(例如網絡、CPU、內存、磁盤、USB存儲設備和注冊表等資源)進行監控將能夠發現和攔截可疑的木馬行為。
4.協議分析法
協議分析法是指參照某種標準的網絡協議對所監聽的網絡會話進行對比分析,從而判斷該網絡會話是否為非法木馬會話的技術。利用協議分析法能夠檢測出采取了端口復用技術進行端口隱藏的木馬。
參考文獻:
