資源描述:
《3-5-2木馬的植入、自啟動(dòng)和隱藏.ppt》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、計(jì)算機(jī)病毒與防治重慶電子工程職業(yè)學(xué)院計(jì)算機(jī)病毒與防治課程小組教學(xué)單元3-5木馬病毒防治木馬自啟動(dòng)原理木馬的植入技術(shù)木馬自啟動(dòng)實(shí)現(xiàn)第二講木馬的植入、自啟動(dòng)和隱藏計(jì)算機(jī)病毒與防治課程小組木馬隱藏手段木馬隱藏實(shí)現(xiàn)木馬入侵木馬的傳播途徑有很多種,其中最簡單的是直接將木馬的服務(wù)器端程序拷貝到U盤上。通過電子郵件傳播是一種最簡單有效的方法,黑客通常給用戶發(fā)電子郵件,而這個(gè)加在附件中的軟件就是木馬的服務(wù)器端程序。緩沖區(qū)溢出攻擊是植入木馬最常用的手段。據(jù)統(tǒng)計(jì),通過緩沖區(qū)溢出進(jìn)行的攻擊占所有系統(tǒng)攻擊總數(shù)的80%以上。計(jì)算機(jī)病毒與防治課程小組木馬植入技術(shù)計(jì)算機(jī)病毒與防治課程小組木馬入侵緩沖區(qū)溢出((Buffe
2、rOverflow)指的是一種系統(tǒng)攻擊的手段,通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容,造成緩沖區(qū)的溢出,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其它指令,以達(dá)到攻擊的目的。造成緩沖區(qū)溢出的原因是程序中沒有仔細(xì)檢查用戶輸入的參數(shù)。例如下面程序:voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}通過緩沖區(qū)溢出植入木馬木馬入侵計(jì)算機(jī)病毒與防治課程小組上面的strcpy()將直接吧str中的內(nèi)容copy到buffer中。這樣只要str的長度大于16就會造成buffer的溢出,使程序運(yùn)行出錯(cuò)。存在象strcpy這樣的問題的標(biāo)準(zhǔn)函數(shù)還有strc
3、at(),sprintf(),vsprintt(),gets(),scanf(),以及在循環(huán)內(nèi)的getc(),fgetc(),getchar()等。當(dāng)然,隨便往緩沖區(qū)中填東西造成它溢出一般只會出現(xiàn)Segmentationfault錯(cuò)誤,而不能達(dá)到攻擊的目的。如果在溢出的緩沖區(qū)中寫入我們想執(zhí)行的代碼,再覆蓋函數(shù)返回地址的內(nèi)容,使它指向緩沖區(qū)的開頭,就可以達(dá)到運(yùn)行其它指令的目的。通過緩沖區(qū)溢出植入木馬木馬自啟動(dòng)途徑計(jì)算機(jī)病毒與防治課程小組1.利用INI文件實(shí)現(xiàn)相關(guān)程序的自動(dòng)啟動(dòng)win.ini是系統(tǒng)保存在[Windir]目錄下的一個(gè)系統(tǒng)初始化文件。系統(tǒng)在起動(dòng)時(shí)會檢索該文件中的相關(guān)項(xiàng),以便對系統(tǒng)環(huán)
4、境的初始設(shè)置。在該文件中的“[windows]”數(shù)據(jù)段中,有兩個(gè)數(shù)據(jù)項(xiàng)“l(fā)oad=”和“run=”。它們的作用就是在系統(tǒng)起動(dòng)之后自動(dòng)地裝入和運(yùn)行相關(guān)的程序。Win.ini:System.ini:[windows][boot]Shell=Explorer.exeload=file.exeShell=Explorer.exerun=file.exe程序自動(dòng)啟動(dòng)的原理計(jì)算機(jī)病毒與防治課程小組木馬自啟動(dòng)途徑2.利用注冊表實(shí)現(xiàn)相關(guān)程序的自動(dòng)啟動(dòng)系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其他與系統(tǒng)配置有關(guān)的重要信息,注冊表中的[HKEY_LOCAL_MACHINESoftwareMicrosoftWind
5、owsCurrentVersion]項(xiàng)會影響系統(tǒng)起動(dòng)過程執(zhí)行程序,可以向該項(xiàng)添加一個(gè)子項(xiàng),自動(dòng)啟動(dòng)程序的設(shè)置具體可以通過更改以下鍵值來實(shí)現(xiàn):[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun][HKEY_LOC
6、AL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]木馬自啟動(dòng)途徑計(jì)算機(jī)病毒與防治課程小組3加入系統(tǒng)啟動(dòng)組在啟動(dòng)
7、文件夾[Windir]startmenuprogramsstartup中添加程序或快捷方式,也可修改冊表的位置:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersStartup]="windowsstartmenuprogramsstartup"木馬自啟動(dòng)途徑計(jì)算機(jī)病毒與防治課程小組4利用系統(tǒng)啟