亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        同UDP木馬較量

        2015-03-18 11:47:22
        網(wǎng)絡(luò)安全和信息化 2015年3期
        關(guān)鍵詞:木馬程序木馬進(jìn)程

        IE為何自動(dòng)連接網(wǎng)絡(luò)

        某次筆者撥號(hào)上網(wǎng)后,當(dāng)正在使用世界之窗瀏覽器上網(wǎng)時(shí),安裝的某款防火墻彈出提示信息,顯示Internet Explorer試圖連接網(wǎng)絡(luò),詢問是否對(duì)其放行。因?yàn)楣P者并沒有啟動(dòng)IE,而是使用別的瀏覽器訪問網(wǎng)絡(luò),考慮到可能是系統(tǒng)自身的原因,筆者重啟系統(tǒng)。但是當(dāng)撥號(hào)上網(wǎng)之后,過了一段時(shí)間IE又試圖訪問Internet。這就很奇怪了,筆者斷網(wǎng)后使用某免費(fèi)殺毒軟件對(duì)系統(tǒng)進(jìn)行了細(xì)致的掃描,奇怪的是并沒有發(fā)現(xiàn)什么異常。雖然殺毒軟件沒有發(fā)現(xiàn)問題,不過筆者憑經(jīng)驗(yàn)判斷可能有不法程序在后臺(tái)作祟。

        看來單純依靠殺毒軟件未必絕對(duì)可靠,筆者運(yùn)行XueTR這款強(qiáng)悍的安全工具,來查找潛伏的木馬。在其主界面中打開“網(wǎng)絡(luò)”面板,在其中的“端口”面板中執(zhí)行刷新操作,可以看到當(dāng)前活動(dòng)的所有網(wǎng)絡(luò)程序,包括其打開的端口、連接的遠(yuǎn)程地址、連接狀態(tài)、進(jìn)程路徑等信息。經(jīng)過仔細(xì)觀察,發(fā)現(xiàn)與IE進(jìn)程對(duì)應(yīng)的協(xié)議類型是UDP。也就是說潛藏的木馬居然開啟了UDP端口。在通常情況下,不管是正常的網(wǎng)絡(luò)程序,還是木馬程序采用的都是TCP協(xié)議??紤]到木馬啟動(dòng)往往會(huì)通過非法添加服務(wù)的形式加載,筆者決定先對(duì)系統(tǒng)服務(wù)進(jìn)行檢查。在“我的電腦”圖標(biāo)的右鍵菜單上點(diǎn)擊“管理”項(xiàng),在計(jì)算機(jī)管理窗口左側(cè)選擇“服務(wù)和應(yīng)用程序”-“服務(wù)”項(xiàng),在右側(cè)窗口中顯示所有的系統(tǒng)服務(wù)。經(jīng)過查找,在其中發(fā)現(xiàn)了名為“PrtSQx”的可疑服務(wù),雙擊該服務(wù),在其屬性窗口中發(fā)現(xiàn)與其關(guān)聯(lián)的程序?yàn)椤癈:Windowssystem32sapoolsv.exe”??磥?,必須將該不法服務(wù)清除才行。

        在CMD窗口中執(zhí)行“sc stop prtsqx” 和“sc delete prtsqx”命令,就可以將該服務(wù)停止并刪除了。雖然將可疑服務(wù)清除,不過上述情況并沒有消除。由此推斷,木馬一定是注入到了IE進(jìn)程中。在XueTR主界面中的“進(jìn)程”面板中選擇“iexplorer.exe”進(jìn)程,在其右鍵菜單單上點(diǎn)擊“查看進(jìn)程模塊”項(xiàng),在彈出窗口中顯示IE中加載的所有DLL模塊,果然在其中發(fā)現(xiàn)了“sol.dll”文件十分可疑,其路徑為“C:Program FileInternet Explorer”。在該DLL文件右鍵菜單上點(diǎn)擊“卸載模塊”項(xiàng),將其卸載掉。之后在XueTR的“文件”面板中分別找到上述“sapoolsv.exe”和“sol.dll”文件并將其徹底刪除,之后重啟系統(tǒng),問題消失。經(jīng)過分析,該UDP木馬可能經(jīng)過了免殺處理,因此可以逃避殺毒軟件的檢測,因其采用UDP協(xié)議,所有隱蔽性很強(qiáng)。

        識(shí)別真假撥號(hào)程序

        筆者的好友使用的是電信寬帶,使用電信提供的撥號(hào)軟件上網(wǎng)。某次當(dāng)筆者和朋友邊上網(wǎng)邊聊天時(shí),偶然打開任務(wù)管理器發(fā)現(xiàn)同時(shí)存在兩個(gè)相同的撥號(hào)程序“ghcadailui.exe”。筆者覺得有些奇怪,就隨手啟動(dòng)Wsyschk這款小工具,對(duì)其進(jìn)行了一番檢測,卻意外地發(fā)現(xiàn)了其中的貓膩。在“進(jìn)程管理”面板中選中一個(gè)撥號(hào)程序,在窗口底部列表中顯示其加載的所有模塊信息,其中的“avicap32.dll”看起來很熟悉。該文件實(shí)際上是用于捕捉視頻信息的,一般安裝攝像頭的話,就需要該文件來捕捉視頻數(shù)據(jù)。不過,這對(duì)于正常的撥號(hào)程序來說,并沒有什么實(shí)際用途。

        因?yàn)槭菗芴?hào)軟件,只需要一個(gè)撥號(hào)程序即可,這個(gè)多余的撥號(hào)進(jìn)程肯定存在問題。進(jìn)入撥號(hào)軟件安裝路徑,發(fā)現(xiàn)其主 文 件 為“ghcadailui.exe”,大小為4M左右。在其中仔細(xì)查看,發(fā)現(xiàn)還有一個(gè)名為“ghcadailui”的文件很奇怪,其大小為1.2MB左右。據(jù)此不難推斷出該可疑程序的活動(dòng)特點(diǎn),一定是先將原撥號(hào)程序“ghcadailui.exe”更 名 為“ghcadailui”,然后將自身更名為“ghcadailui.exe”,運(yùn) 行 自身后然后再啟動(dòng)原撥號(hào)程序。對(duì)比這兩個(gè)同名但擴(kuò)展名不同的文件,發(fā)現(xiàn)兩者的圖標(biāo)完全一樣,看來該“ghcadailui.exe”文件其實(shí)是一個(gè)木馬程序,并且經(jīng)過了巧妙的偽裝,冒充正常程序在用戶眼皮下活動(dòng)。筆者關(guān)閉了這兩個(gè)撥號(hào)進(jìn)程,之后將虛假的“ghcadailui.exe”文件備份后刪除。將“ghcadailui” 文 件 還 原 為“ghcadailui.exe”,經(jīng)過運(yùn)行可以正常撥號(hào)上網(wǎng),這就證實(shí)了筆者的猜測。這個(gè)“ghcadailui”文件才是真正的撥號(hào)程序。

        雖然將假冒的撥號(hào)軟件清除,不過筆者決定這個(gè)冒牌貨進(jìn)行一番研究,了解其特點(diǎn)。運(yùn)行PE explorer這款資源編輯軟件,分別打開真假“ghcadailui.exe”文件,來觀察其內(nèi)部結(jié)構(gòu),從中不難看到,真實(shí)的“ghcadailui.exe”文件內(nèi)部結(jié)構(gòu)完整,包括菜單、位圖、對(duì)話框、字符串、圖標(biāo)、版本、界面等等資源項(xiàng)目,而假冒的“ghcadailui”文件內(nèi)部則顯得很簡陋,只包括位圖、圖標(biāo)等很少的資源。該機(jī)上安裝有360安全衛(wèi)士,打開其流量監(jiān)控程序,發(fā)現(xiàn)假冒的“ghcadailui”程序開啟了UDP端口,啟動(dòng)WsockExpert程序,對(duì)其進(jìn)行抓包分析,發(fā)現(xiàn)其每隔一段時(shí)間就向外界某個(gè)地址發(fā)送一次UDP數(shù)據(jù)包,但是攔截的數(shù)據(jù)包明顯經(jīng)過加密處理,無法洞悉其具體內(nèi)容,經(jīng)過連續(xù)的檢測,發(fā)現(xiàn)該UDP木馬開啟的UDP端口并不是固定的,而是隨機(jī)變化的。該木馬似乎很智能,會(huì)針對(duì)常用的軟件對(duì)自身進(jìn)行偽裝,通過對(duì)進(jìn)程信息進(jìn)行分析判斷,來決定是否啟動(dòng)木馬程序。該木馬程序“ghcadailui.exe”看起來體積有4.2MB,不過使用WinHex等工具將其打開后,發(fā)現(xiàn)其中存在大片的空白區(qū)域,真實(shí)的體積實(shí)際上很小??磥?,該木馬采用增大自身體積的方法,來逃避殺毒軟件的追捕。

        根據(jù)以上分析可以看出,該UDP木馬使用了UDP協(xié)議,得以避開殺毒軟件的監(jiān)控,因?yàn)槌S玫陌踩浖急容^重視TCP端口,對(duì)隱蔽開啟的UDP端口警惕度不足。該木馬通過將自身偽裝成正常軟件(例如撥號(hào)程序等),并和其綁定在一起,起到讓人真假難辨的目的,而沒有采取修改注冊表,添加服務(wù)等常規(guī)手段,讓人難以發(fā)現(xiàn)其行蹤。該木馬通過對(duì)自身名稱和圖標(biāo)進(jìn)行偽裝,來冒充正常的文件。并且對(duì)正常文件進(jìn)行修改,實(shí)現(xiàn)先啟動(dòng)木馬程序再啟動(dòng)正常軟件的目的,其活動(dòng)并不影響正常軟件的運(yùn)行,這是其顯著特點(diǎn)。不過這一特點(diǎn)也恰恰是其最薄弱的環(huán)節(jié),有經(jīng)驗(yàn)的用戶會(huì)通過檢測文件信息的方法,來發(fā)現(xiàn)其存在。從中可以看出,木馬為了逃避檢測,入侵的手段日益隱蔽和狡詐。所以同這類木馬進(jìn)行斗爭。需要采取相應(yīng)的對(duì)象。

        例如,查看相關(guān)進(jìn)程加載的DLL模塊,看是否存在可疑模塊(例如非視頻程序卻加 載“avicap32.dll”等),由此可以發(fā)現(xiàn)木馬蹤跡。使用Restorator、PE explorer等資源編輯工具打開可疑文件,查看其內(nèi)部資源結(jié)構(gòu),如果體積較大的文件內(nèi)部資源很少,就說明其存在很大的疑點(diǎn)。相反,如果程序內(nèi)部資源豐富細(xì)致,表明其不太可能是木馬。

        深入分析揪出潛伏者

        當(dāng)筆者在單位維護(hù)網(wǎng)絡(luò)時(shí),當(dāng)?shù)卿浤撑_(tái)服務(wù)器時(shí),在該機(jī)安裝的防火墻軟件提示某個(gè)陌生的程序試圖連接外網(wǎng)某個(gè)地址的29838端口,同時(shí)試圖掃描局域網(wǎng)其它主機(jī)的445等端口,同時(shí)該開啟了UDP 4910端口。因?yàn)樵摍C(jī)之前處于等待登錄狀態(tài),雖然沒有登錄系統(tǒng),但是從網(wǎng)絡(luò)上已經(jīng)可以訪問。而且在該狀態(tài)下,系統(tǒng)的安全狀態(tài)實(shí)際上處于最低的水平。運(yùn)行IceSword這款安全工具,在其進(jìn)程列表中搜索一番,發(fā)現(xiàn)名為“taskdll.exe”的進(jìn)程頗為可疑。其路 徑 位 于“C:WindowsSystem32”。但是在資源管理器中進(jìn)入該路徑,卻沒有發(fā)現(xiàn)該文件??磥?,該可疑程序已經(jīng)采用了RootKit等技術(shù),對(duì)自身進(jìn)行了隱藏。不過,使用該機(jī)上安裝的SpeedCommander這款強(qiáng)悍的文件管理工具,卻讓該可疑程序露了原形。在SpeedCommand采用雙頁面文件管理方式,查找文件很輕松。進(jìn)入上述路徑,果然發(fā)現(xiàn)了這個(gè)可疑文件。筆者將其復(fù)制了出來。到了這一步,只需將該可疑進(jìn)程關(guān)閉,同時(shí)將其刪除,并掃除對(duì)應(yīng)的啟動(dòng)項(xiàng),就可以將其驅(qū)逐出去,

        不過,為了了解該可疑文件的具體功能,筆者決定對(duì)其進(jìn)行一番測試研究。實(shí)際上,該可疑程序是一款UDP木馬。因?yàn)槠鋾?huì)連接Internet上某個(gè)地址,筆者直接對(duì)該地址進(jìn)行了在線檢測,發(fā)現(xiàn)其位于外省某個(gè)城市。在CMD窗口中執(zhí)行“telnet xxx.xxx.xxx.xxx 29838”,居然出現(xiàn)“StnyFTPD”等字樣,看來該地址上開啟了小型的FTP服務(wù),看來該木馬內(nèi)部隱藏有對(duì)應(yīng)的賬戶名和密碼,可以遠(yuǎn)程登錄到該FTP服務(wù)器上,之后可以將被控機(jī)的敏感數(shù)據(jù)遠(yuǎn)程發(fā)送給黑客。運(yùn)行PEiD這款分析工具,在其主界面中的“文件”欄中點(diǎn)擊瀏覽,選擇該可疑文件,發(fā)現(xiàn)其是由VC6.0開發(fā)的。在窗口底部顯示“FSG”等字樣,這表明其使用了FSG壓縮技術(shù),真正的木馬程序其實(shí)包含在FSG構(gòu)建的外殼中。因?yàn)镻EiD已經(jīng)自帶了針對(duì)該外殼的處理插件,因此毫不費(fèi)力的去掉了其外殼,得到了真實(shí)的木馬文件。

        使用WinHex這款編輯工具打開該木馬文件,在窗口左側(cè)顯示其十六進(jìn)制代碼,在右側(cè)顯示對(duì)應(yīng)的真實(shí)編碼。經(jīng)過仔細(xì)分析,從中看出該木馬擁有的“本領(lǐng)”還不少。例如,在其中看到 了“Msxxxx”“TFTP”、“XP_cmdshell”、“IPC$”、“Admin$system32” 等 字樣,表示其利用某些系統(tǒng)漏洞,SQL漏洞、IPC$連接等手段,對(duì)局域網(wǎng)中的其它主機(jī)進(jìn)行破壞和滲透,完成病毒的掃描、復(fù)制以及傳播動(dòng)作。在可以識(shí)別的編碼中,還可以看到該木馬附帶了很多文件參數(shù)。因?yàn)閃inHex反編譯的功能有限。于是筆者運(yùn)行C32ASM這款反編輯軟件,在其主界面中點(diǎn)擊“Ctrl+O”鍵,選擇該木馬文件,對(duì)其進(jìn)行反編譯處理。這樣,木馬的代碼就更容易分析了。

        在其中從上到下仔細(xì)查看,陸續(xù)發(fā)現(xiàn)了“RPC_D C O M ”、“e x p l o i t”、“ms11046”等字樣,這表明其使用了一些溢出工具對(duì)系統(tǒng)盡心破壞,來獲得更高運(yùn)行權(quán)限,這表明該木馬采用TFP工具來傳輸數(shù)據(jù),同時(shí)試圖使用SQL 注入技術(shù)進(jìn)行滲透。在對(duì)應(yīng)的模塊中還可以看到有關(guān)的掃描信息。筆者注意到其中包括“syn”、“ack”等字眼,表示該木馬自帶有DDOS拒絕攻擊模塊,并且擁有攻擊統(tǒng)計(jì)功能。此外,C32ASM還顯示該木馬中自帶了大量的掃描參數(shù)。經(jīng)過深入分析,發(fā)現(xiàn)該木馬對(duì)各種可能的異常情況處理得很完善,可以看到詳細(xì)的關(guān)于木馬運(yùn)行情況的判斷語句。該木馬不僅具有傳播功能,還具有升級(jí)功能,可以從指定的地址下載升級(jí)數(shù)據(jù),對(duì)自身進(jìn)行完善,在木馬的文件管理模塊中,發(fā)現(xiàn)其可以查看驅(qū)動(dòng)器容量。

        不過筆者感興趣的是其遠(yuǎn)程FTP登錄的賬戶和密碼究竟是什么,于是繼續(xù)查看其代碼,在“220 stnyFtpd owns j0x0A”顯示登錄信息,之后執(zhí)行登錄驗(yàn)證模塊,在其后跟隨一個(gè)跳轉(zhuǎn)指令,可能是賬戶名認(rèn)證失敗則跳轉(zhuǎn)到預(yù)設(shè)地址。在其附近顯示“ftpuser0”字樣,有可能是FTP賬戶名。之后跟隨的代碼是驗(yàn)證密碼的,如果驗(yàn)證失敗,就跳轉(zhuǎn)到別的位置。根據(jù)提示信息,密碼是“pass0”。如果認(rèn)證完全通過,就可以執(zhí)行數(shù)據(jù)傳輸操作了。并對(duì)磁盤盤符進(jìn)行了列舉操作,可以探測從A到Z所有盤符,其支持的PASV模式。在文件結(jié)尾處顯示“[LOGS]:Cleared”字 樣,顯示了清除相關(guān)日志文件操作。在文件最后顯示可能是有關(guān)作者的名稱代碼和問候語等。綜合以上分析,該木馬的功能很“全面”,采用多種入侵技術(shù),可以對(duì)局域網(wǎng)其它主機(jī)進(jìn)行滲透,使其得以傳播到所有主機(jī)上。而且該病毒體積只有幾百KB,運(yùn)行很穩(wěn)定,占用系統(tǒng)資源極低,具有很強(qiáng)的隱蔽性。該木馬潛伏在系統(tǒng)中,可以悄無聲息地執(zhí)行盜取數(shù)據(jù)、刺探信息等操作。如果不仔細(xì)檢測,恐怕很難發(fā)現(xiàn)其行蹤。因?yàn)榫钟蚓W(wǎng)其它主機(jī)都安裝有防火墻等安全軟件,雖然該木馬并沒有對(duì)局域網(wǎng)造成大的危害,但是其滲透和破壞力卻不可小覷。及時(shí)發(fā)現(xiàn)和清除該類潛伏能力強(qiáng)而且功力較強(qiáng)的UDP木馬,可以最大限度地保護(hù)系統(tǒng)安全。

        猜你喜歡
        木馬程序木馬進(jìn)程
        小木馬
        騎木馬
        債券市場對(duì)外開放的進(jìn)程與展望
        中國外匯(2019年20期)2019-11-25 09:54:58
        殺滅木馬程序,幸福就會(huì)來臨
        至愛(2019年10期)2019-11-13 03:41:16
        小木馬
        旋轉(zhuǎn)木馬
        惡意木馬程序——Trojan_Generic
        木馬更加專業(yè)化網(wǎng)絡(luò)攻擊成主角
        社會(huì)進(jìn)程中的新聞學(xué)探尋
        我國高等教育改革進(jìn)程與反思
        风流熟女一区二区三区| 久久亚洲精品无码va白人极品| 伊人久久无码中文字幕| 久久青青热| 一个人免费观看在线视频播放| 国产一区二区av在线观看| 日韩精品综合一本久道在线视频 | 国产精品免费观看久久 | 中国凸偷窥xxxx自由视频| 狠狠久久久久综合网| 日本一区二区啪啪视频| 亚洲av成人无网码天堂| 第一次处破女18分钟高清| 国产成+人欧美+综合在线观看| 成人看片黄a免费看那个网址| 亚洲国模一区二区三区视频| 最新国产av网址大全| 国产精品一区二区三区在线观看 | 亚洲av成人一区二区| 亚洲精品久久久久成人2007 | 亚洲av无码之日韩精品| 日本韩国三级aⅴ在线观看| 一区二区三区四区亚洲免费| 国产一精品一av一免费| 午夜一级韩国欧美日本国产| 熟女丝袜美腿亚洲一区二区三区| 国产熟女盗摄一区二区警花91| 激情伊人五月天久久综合| 色妺妺视频网| 国内精品人人妻少妇视频| 亚洲天堂精品成人影院| 天堂aⅴ无码一区二区三区 | 国产视频嗯啊啊啊| 午夜免费观看日韩一级片| 成人性生交大片免费看96| 另类一区二区三区| 成年人视频在线播放视频| 蜜臀av在线一区二区尤物| 亚洲小说区图片区色综合网| 丰满岳乱妇久久久| 精品一区二区三区四区少妇|