賀軍忠

(隴南師范高等?？茖W(xué)校信息中心，甘肅 成縣 742500)

基于木馬控制過(guò)程的網(wǎng)絡(luò)用戶數(shù)據(jù)和賬號(hào)密碼安全保護(hù)研究

賀軍忠

(隴南師范高等?？茖W(xué)校信息中心，甘肅 成縣 742500)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)用戶的數(shù)量也急劇上升，用戶對(duì)網(wǎng)絡(luò)的依賴性也越來(lái)越強(qiáng)，同時(shí)由于病毒和木馬程序的泛濫，也給網(wǎng)絡(luò)用戶帶來(lái)了不少的困擾。以波爾遠(yuǎn)程控制為例，在分析木馬的控制過(guò)程和原理的基礎(chǔ)上，探討了如何保護(hù)網(wǎng)絡(luò)用戶數(shù)據(jù)和賬號(hào)密碼的安全。

主控端/客戶端； 被控端/服務(wù)端； 波爾遠(yuǎn)程控制；木馬；數(shù)據(jù)；密碼

經(jīng)濟(jì)利益的驅(qū)使、科學(xué)技術(shù)的發(fā)展以及地下木馬產(chǎn)業(yè)的日趨成熟，形成了包括漏洞挖掘者、木馬制作者、包馬人、流量商等角色在內(nèi)的完整產(chǎn)業(yè)鏈。木馬數(shù)量激增、種類繁多，致使電腦上的數(shù)據(jù)及密碼輕易被竊取，類似“艷照門(mén)”的事件不斷發(fā)生，給互聯(lián)網(wǎng)安全帶來(lái)了嚴(yán)峻的挑戰(zhàn)[1-5]。為此，筆者通過(guò)木馬控制過(guò)程的分析，探討了如何保護(hù)網(wǎng)絡(luò)用戶的數(shù)據(jù)和帳號(hào)密碼安全。

1 木馬控制過(guò)程

遠(yuǎn)程控制是在網(wǎng)絡(luò)上由一臺(tái)電腦(主控端/客戶端)遠(yuǎn)距離去控制另一臺(tái)電腦(被控端/服務(wù)器端)的技術(shù)，這里的遠(yuǎn)程不是字面意思的遠(yuǎn)距離，一般指通過(guò)網(wǎng)絡(luò)控制遠(yuǎn)端電腦。利用木馬進(jìn)行控制的工具較多，如網(wǎng)神遠(yuǎn)程控制軟件、灰鴿子遠(yuǎn)程控制、遠(yuǎn)程控制任我行、波爾遠(yuǎn)程控制、冰河等。下面，筆者以波爾遠(yuǎn)程控制[6]為例來(lái)分析控制過(guò)程。

1.1生成被控端

1)局域網(wǎng)控制或固定IP用戶 點(diǎn)擊“被控端”按鈕彈出菜單，點(diǎn)擊“生成被控端”會(huì)彈出窗口(見(jiàn)圖1)，按照輸入提示輸入IP地址(程序默認(rèn)已取出了本機(jī)IP：192.168.1.12)，點(diǎn)擊“生成”按鈕后選擇一個(gè)位置保存輸出的可執(zhí)行程序文件(見(jiàn)圖2和圖3)。如果要在局域網(wǎng)內(nèi)進(jìn)行控制，這種情況下系統(tǒng)自動(dòng)取出的IP不見(jiàn)得正確，以XP為例，一定要在“本地連接屬性”中查當(dāng)前計(jì)算機(jī)的IP。

圖1 被控端的生成 圖2 輸入服務(wù)端IP地址

2)非固定IP用戶(如ADSL撥號(hào)上網(wǎng)) 由于IP地址每次不同，所以不能直接輸入IP地址生成被控端，否則在下次重新連入網(wǎng)絡(luò)后被控端將無(wú)法根據(jù)上次的IP地址連接到控制端，可以去申請(qǐng)一個(gè)動(dòng)態(tài)域名，此工具能極為方便的隨時(shí)定位當(dāng)前IP到此域名上，申請(qǐng)動(dòng)態(tài)域名的地方很多，通過(guò)搜索引擎搜索一下即可，動(dòng)態(tài)域名一般為免費(fèi)的二級(jí)域名，并且需要下載動(dòng)態(tài)域名服務(wù)提供商的被控端在電腦運(yùn)行。具體申請(qǐng)、配置方法動(dòng)態(tài)域名提供商會(huì)有詳細(xì)介紹。點(diǎn)擊“客戶端”按鈕彈出菜單，點(diǎn)擊“生成被控端”在彈出的窗口內(nèi)輸入所申請(qǐng)到的域名，點(diǎn)擊“生成”按鈕生成被控端(見(jiàn)圖4)。

圖3 輸入被控端名稱 圖4 生成被控端

3)更改被控端圖標(biāo) 把被控端圖標(biāo)改成大家熟悉或有誘惑力的圖標(biāo)。點(diǎn)擊“被控端”，在彈出的菜單中選擇“設(shè)置默認(rèn)被控端圖標(biāo)”彈出圖標(biāo)設(shè)置窗口(見(jiàn)圖5)，在彈出的對(duì)話框中，點(diǎn)擊“…”按鈕選擇系統(tǒng)預(yù)設(shè)的圖標(biāo)，點(diǎn)擊確定按鈕，再次生成被控端即可顯示為所指定的圖標(biāo)(見(jiàn)圖6和圖7)。

圖5 設(shè)置默認(rèn)被控端圖標(biāo) 圖6 選擇圖標(biāo)

1.2被控端連接

圖7 已生成的木馬

被控端的安裝只需要將所生成的文件通過(guò)U盤(pán)、郵件、QQ、網(wǎng)頁(yè)等展現(xiàn)在被控計(jì)算機(jī)上。只要用戶點(diǎn)擊即可運(yùn)行，只要運(yùn)行即可被控。被控端運(yùn)行后有可能會(huì)將自身刪除或隱藏并創(chuàng)建出真正的指令解析執(zhí)行應(yīng)用程序。不過(guò)要順利控制需要滿足下列其一。

1)Internet網(wǎng)用戶控制局域網(wǎng)被控端 Internet網(wǎng)控制局域網(wǎng)不需要特別設(shè)置，只要被控計(jì)算機(jī)能夠訪問(wèn)Internet即可。

2)局域網(wǎng)用戶控制Internet網(wǎng)被控端 局域網(wǎng)要控制外網(wǎng)計(jì)算機(jī)需要進(jìn)行端口映射，這個(gè)步驟需要通過(guò)路由器控制面板來(lái)設(shè)定，可以聯(lián)系內(nèi)網(wǎng)管理員在路由器中將19820端口映射到計(jì)算機(jī)IP，被控端連入后會(huì)通過(guò)路由器直接連向在計(jì)算機(jī)上運(yùn)行的服務(wù)端。

3)局域網(wǎng)用戶控制局域網(wǎng)被控端 在生成被控端時(shí)需要輸入內(nèi)網(wǎng)IP，生成后直接在被控端運(yùn)行即可。

4)Internet網(wǎng)用戶控制Internet網(wǎng)被控端 在生成客戶端時(shí)輸入的固定IP或動(dòng)態(tài)域名，生成后直接在被控端運(yùn)行即可。

如果被控端安裝了防火墻可能阻止被控端與服務(wù)器的連接(軟件可以繞過(guò)絕大部分防火墻)，通常生成客戶端后無(wú)法連接到控制端的原因有IP地址錯(cuò)誤或沒(méi)有運(yùn)行動(dòng)態(tài)域名被控端、殺毒軟件刪除了被控端、被控計(jì)算機(jī)防火墻阻止了被控端連接3種。

1.3遠(yuǎn)程控制

圖8 已控制了2臺(tái)計(jì)算機(jī)

當(dāng)被控端成功運(yùn)行了木馬程序之后，主控端就會(huì)出現(xiàn)對(duì)方的顯示屏、并具有了相當(dāng)高的遠(yuǎn)程權(quán)限(見(jiàn)圖8)。主要權(quán)限都在波爾遠(yuǎn)程控制的菜單中，如：記錄鍵盤(pán)、屏幕抓獲、攝像控制、麥克風(fēng)監(jiān)聽(tīng)、系統(tǒng)服務(wù)管理、注冊(cè)表更改等。

2 數(shù)據(jù)和密碼的保護(hù)

從波爾遠(yuǎn)程控制生成木馬到木馬注入成功，以及遠(yuǎn)程控制服務(wù)端的過(guò)程來(lái)分析，要確保數(shù)據(jù)和密碼的安全，就要杜絕木馬注入成功，或急時(shí)清除木馬。

2.1識(shí)別木馬

1)人工識(shí)別 ①利用netstat-an 命令。當(dāng)被控端成功運(yùn)行了木馬程序之后，就會(huì)與主控端建立連接。netstat-an命令可以查看非法連接(見(jiàn)圖9)。②注冊(cè)表啟動(dòng)項(xiàng)目的檢查。在注冊(cè)表啟動(dòng)項(xiàng)目中檢查有無(wú)不法程序啟動(dòng)，如果有不明啟動(dòng)項(xiàng)目可能中 “木馬”了。注冊(cè)表路徑如下：

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

③利用msconfig查看啟動(dòng)程序。啟動(dòng)組、win.ini、system.ini、啟動(dòng)等都是木馬藏身之地。打開(kāi)系統(tǒng)配置實(shí)用程序，先點(diǎn)system.ini，看看shell=文件名，正確的文件名應(yīng)該是“explorer.exe”，如果explorer.exe后邊還跟有別的程序的話，就要好好檢查這個(gè)程序了，然后點(diǎn)win.ini，“run=”和“l(fā)oad=”是可能加載“木馬”程序的途徑，一般情況下，它們的等號(hào)后面什么都沒(méi)有，如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動(dòng)文件，如果啟動(dòng)選項(xiàng)有不明程序起動(dòng)，此計(jì)算機(jī)就可能中上“木馬”了(見(jiàn)圖10) 。

圖9 非法連接查看 圖10 非法起動(dòng)項(xiàng)查看

2)軟件識(shí)別 利用主流殺毒軟件和木馬專殺軟件。

2.2清除木馬

1)手動(dòng)清除 有的木馬會(huì)把自身偽裝成command.exe文件，如果不注意可能不會(huì)發(fā)現(xiàn)它不是真正的系統(tǒng)啟動(dòng)文件；最后點(diǎn)“啟動(dòng)”，檢查里面的啟動(dòng)項(xiàng)是不是有不熟悉的，如果實(shí)在不清楚的話可以全部取消，然后重新運(yùn)行msconfig，看一下有沒(méi)有取消的啟動(dòng)項(xiàng)重新被選中的，一般木馬都會(huì)存在于內(nèi)存中(就是線程插入，然后隱藏進(jìn)程的木馬，DLL無(wú)進(jìn)程木馬就不會(huì)駐留在內(nèi)存里面)，大部分木馬程序會(huì)自動(dòng)添加到啟動(dòng)項(xiàng)中，所以發(fā)現(xiàn)你取消他的啟動(dòng)項(xiàng)就會(huì)自動(dòng)添加上的，然后可以逐步添上輸入法、音量控制、防火墻等軟件的啟動(dòng)項(xiàng)。還有一類木馬，他是關(guān)聯(lián)注冊(cè)表的文件打開(kāi)方式的，一般木馬經(jīng)常關(guān)聯(lián).exe，打開(kāi)注冊(cè)表HKEY_CLASSES_ROOT，找到exefile，看一下/exefile/shell/open/command里面的默認(rèn)鍵值是不是“%1” %* ，如果是一個(gè)程序路徑的話就一定是中木馬了。

2)軟件清除 ①木馬克星。專業(yè)的個(gè)人版木馬查殺工具，100%查殺各種類型木馬。 ②綠鷹PC萬(wàn)能精靈。專業(yè)的個(gè)人版木馬查殺工具；近100%查殺各種類型木馬。 ③Symantec AntiVirus。這是全球最大的殺毒軟件，可殺除木馬。④天網(wǎng)防火墻。天網(wǎng)防火墻個(gè)人版在網(wǎng)絡(luò)效率與系統(tǒng)安全上完全采用天網(wǎng)防火墻的設(shè)計(jì)思想，采用最底層的網(wǎng)絡(luò)驅(qū)動(dòng)隔絕，其作用層在網(wǎng)絡(luò)硬件與Windows網(wǎng)絡(luò)驅(qū)動(dòng)之間，在黑客攻擊數(shù)據(jù)接觸Windows網(wǎng)絡(luò)驅(qū)動(dòng)之前將所有的攻擊數(shù)據(jù)攔截，保護(hù)脆弱的Windows網(wǎng)絡(luò)驅(qū)動(dòng)不會(huì)崩潰 。

2.3木馬的預(yù)防

①不去不明網(wǎng)站下載軟件；②不隨意瀏覽附件；③不瀏覽不良網(wǎng)站；④安裝并及時(shí)升級(jí)殺毒軟件；⑤安裝并及時(shí)升級(jí)防火墻；⑥盡可能安裝正版殺毒軟件和防火墻；⑦妥善保存機(jī)密文件和資料，經(jīng)常做備份；⑧沒(méi)用必要聯(lián)網(wǎng)的話最好不要聯(lián)網(wǎng)。

3 結(jié) 語(yǔ)

木馬程序和病毒的變種特別多，有的已經(jīng)發(fā)展到通過(guò)內(nèi)存提取數(shù)據(jù)來(lái)獲得用戶的帳號(hào)和密碼，再加上操作系統(tǒng)本身的漏洞和個(gè)人不良的使用習(xí)慣，不可能做到萬(wàn)無(wú)一失。但只要養(yǎng)成良好的使用習(xí)慣，被控制的可能性會(huì)大大降低。

[1]王達(dá).網(wǎng)管員必讀——網(wǎng)絡(luò)安全[M].第2版.北京:電子工業(yè)出版社，2008: 58-65.

[2]神成工作室.新手學(xué)黑客攻[M].北京:人民郵電出版社，2009:138-140.

[3]黑客防線編輯部.木馬技術(shù)揭秘與防御[M].北京:電子工業(yè)出版社，2011: 92-95.

[4]秦志光，張鳳荔.計(jì)算機(jī)病毒原理與防范[M].北京:人民郵電出版社，2007:138-140.

[5]車生兵.典型計(jì)算機(jī)病毒與系統(tǒng)研究[M].北京：冶金工業(yè)出版社，2007.

[6]波爾軟件[EB/OL].http://www.boersoft.com/，2012-09-13.

[編輯] 洪云飛

10.3969/j.issn.1673-1409(N).2012.12.037

TP309

A

1673-1409(2012)12-N113-04