資源描述:
《vc345基于進程和通信隱藏的木馬設(shè)計》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、VC345基于進程和通信隱藏的木馬設(shè)計
3.2 通信隱藏
通信隱藏是指利用授權(quán)的通信手段和載體進行在系統(tǒng)安全策略允許之外的非授權(quán)的通信活動。通信隱藏主要包括通信內(nèi)容、流量、信道和端口的隱藏。木馬常用的通信隱藏方法是對傳輸內(nèi)容加密,這可以采用常見/自定義的加密、解密算法實現(xiàn),但這只能隱藏通信內(nèi)容,無法隱藏通信信道。
采用網(wǎng)絡(luò)隱蔽通道技術(shù)不僅可以成功地隱藏通信信道,還可以隱藏通信內(nèi)容。TCP/IP協(xié)議族中,有許多信息冗余可用于建立網(wǎng)絡(luò)隱蔽通道。木馬可以利用這些網(wǎng)絡(luò)隱蔽通道突破網(wǎng)絡(luò)安全機制,比較常見的有:ICMP畸形報文傳遞、HTTP隧道技術(shù),自定義TCP/
2、UDP報文等。采用網(wǎng)絡(luò)隱蔽通道技術(shù),如果選用一般安全策略都允許的端口通信,如80端口,則可輕易穿透防火墻和避過入侵檢測系統(tǒng)等安全機制的檢測,從而具有很強的隱蔽性。
通信隱藏常見的辦法有以下幾種:
(1)使用TCP協(xié)議通信
客戶端偵聽,服務(wù)端連接。這就是所謂的反向連接技術(shù)了。為了克服服務(wù)端在某一端口上偵聽易被發(fā)現(xiàn)這一缺點,現(xiàn)在服務(wù)端不再偵聽端口,而是去連接客戶端在偵聽的某一端口。這樣用一般的portscanner或者fport就發(fā)現(xiàn)不了服務(wù)端了。而為了更好的麻痹宿主機,客戶端偵聽的端口一般是21,80,23這種任何人都要訪問的端口。雖然在安裝了防火墻的機器上,服
3、務(wù)端去連接客戶端還是要引起防火墻報警,但是一個粗心的用戶很可能會忽略“應(yīng)用程序xxxxx試圖訪問xxx.xxx.xxx.xxx通過端口80”這樣的警告。
這種反向連接技術(shù)要解決的一個問題是,服務(wù)端如何找到客戶端。由于一般客戶端都是撥號上網(wǎng)的,沒有一個固定的IP,所以客戶端IP不可能硬編碼在服務(wù)端程序中。當(dāng)然由于撥號上網(wǎng)用戶的IP一般都是處于一個固定的IP地址范圍內(nèi),服務(wù)端也可以掃描這個范圍,然后根據(jù)被掃描主機的反饋來確定是否是自己的客戶端,但是服務(wù)端掃描一個IP地址范圍也太煩瑣。
其實客戶端可以通過一個有固定IP或者固定域名的第三方發(fā)布自己的IP,比如通過一個公共的
4、郵箱,通過一個個人主頁,或者我們截獲其他進程收到的TCP數(shù)據(jù)或者UDP包,然后分析截獲的數(shù)據(jù),從中確定是否客戶端發(fā)來了一個報告其IP的數(shù)據(jù)片斷。對于普通用戶來說,由于要上網(wǎng)瀏覽,這樣的ICMP包是很少過濾掉的。所以還有一種方法是使用RAWsocket來收聽ECHOREPLY類型的ICMP包,在ICMP數(shù)據(jù)包的數(shù)據(jù)去就包含了客戶端IP。
(2)使用UDP協(xié)議通信
服務(wù)端偵聽,客戶端連接;客戶端偵聽,服務(wù)端連接。方法和安全性與使用TCP協(xié)議差不多。需要注意的是UDP不是一個可靠的協(xié)議,所以,必須在UDP協(xié)議的基礎(chǔ)上設(shè)計一個自己的可靠的報文傳遞協(xié)議。
(3)用ICM
5、P來通信
既然客戶端可以通過發(fā)一個ICMP(ECHOREPLY)來告訴服務(wù)端它的IP,那為什么不把所有服務(wù)端和客戶端的通訊都建立在ICMP基礎(chǔ)上呢?服務(wù)端向客戶端發(fā)ICMP(ECHOREQUEST),客戶端向服務(wù)端發(fā)ICMP(ECHOREPLY),然后可以在ICMP基礎(chǔ)上建立一個自己的可靠數(shù)據(jù)報通訊協(xié)議。如果不怕麻煩的話,還可以建立一個TCPoverICMP。由于一般的用戶這兩類ICMP包都是設(shè)為無警告放行的,這種方法的隱秘性還是很強的。
(4)用自定義的協(xié)議來通信
我們知道IP頭的協(xié)議字段指定了這個IP包承載得數(shù)據(jù)的協(xié)議,比如TCP,UDP,ICMP等等。我
6、們完全可以把這個字段設(shè)為我們自己定義的值(>80),定義自己的通訊協(xié)議。不過估計這種IP包將會被所有的防火墻過濾掉。
(5)基于嗅探原理的通信
服務(wù)器端是一個sniffer和發(fā)包器,它將捕獲指定特征的數(shù)據(jù)包??蛻舳耸且粋€發(fā)包器和嗅探器,用來發(fā)送指定特征的數(shù)據(jù)包并包括定義的命令以及接收服務(wù)器端的數(shù)據(jù)。當(dāng)服務(wù)器端捕獲到該指定特征的數(shù)據(jù)包時,變成激活狀態(tài),通過分析該數(shù)據(jù)包,獲得客戶端發(fā)送的命令和客戶端的IP地址,然后實現(xiàn)相應(yīng)的命令,并將執(zhí)行后的結(jié)果發(fā)送回客戶端,客戶端的嗅探部分則接收相應(yīng)的數(shù)據(jù)。所有的數(shù)據(jù)發(fā)送都是通過原始套接字進行。
其他隱藏通信的辦法,如變換
7、數(shù)據(jù)包順序也可以實現(xiàn)通信隱藏。對于傳輸n個對象的通信,可以有n!種傳輸順序,總共可以表示log2(n!)比特位的信息。但是該方法對網(wǎng)絡(luò)傳輸質(zhì)量要求較高,接收方應(yīng)能按照數(shù)據(jù)包發(fā)送的順序接收。這
基于進程和通信隱藏的木馬設(shè)計與實現(xiàn)
摘 要
近年來,特洛伊木馬等惡意代碼己經(jīng)成為網(wǎng)絡(luò)安全的重要威脅。很多國家都采取積極的網(wǎng)絡(luò)安全防御措施,投入大量的人力和物力研究網(wǎng)絡(luò)信息安全技術(shù)。文章首先分析了傳統(tǒng)木馬的一般工作原理及其植入、加載、隱藏等關(guān)鍵技術(shù)。隨著網(wǎng)絡(luò)技術(shù)的不斷更新