信息对抗大作业

信息对抗大作业

专业： 班级： 学号： 姓名：

木马攻击与隐蔽技术的研究

随着计算机网络的迅速普及，人类社会已经越来越离不开网络，网络使人类社会淡化了国家的。各国社会的经济、政治、文化等各个方面都开始倚重于网络方便迅速的信息传递方式。网络有着巨大的资源与强大的计算能力，这些也属于一种能量，其威力无法估量。信息已成为人类宝贵的资源。

网络战争必将成为未来信息战场重要的作战样式。在信息时代里，网络正在成为联结个人和社会，现在和未来的纽带，各种各样的计算机网络都将成为一个国家的战略资源和战略命脉，一旦重要的网络陷入瘫痪，整个就面临着崩溃的危险，使“制网络权”的争夺与对抗不可避免。同时，随着网络技术在军事领域的快速发展，对计算机网络的依赖越来越大，网络与作战的联系也愈来愈紧密，网络成为新的战场空阔。其次，网络的特殊战略作用，促使网络对抗与争夺向网络战方向发展。

木马技术就是一种军民两用的网络攻击技术，利用木马技术渗透到敌方系统内部，建立一个稳固的内部攻击点，为以后的攻击提供一个畅通无阻的安全通道，往往可以收到很好的攻击效果。木马设计的一大难点就是隐蔽性，木马在植入目标系统后，必然会以各种技术隐藏行踪，避免被发现，尽可能延长生存木马的隐藏技术主要分为两类：主机隐藏和通信隐藏。

网络攻击是指攻击者利用可以控制的计算机系统通过计算机网络对远端目标主机系统发动的攻击行为，其目的是获取对方系统的有

用信息，取得对目标系统的控制权限，甚至是破坏对方系统，其手段是发现并利用计算机系统的安全漏洞。目前，计算机网络中的主机上运行着多种操作系统和网络服务进程，它们都遵循着一定的网络协议与规范，所以对于这些系统的攻击行为也同样围绕着这些协议进行。 目前，实现入侵的方法众多，比较常见的一种类型是用户密码猜测，攻击者攻击目标时常常把破译管理员或用户的口令作为攻击的开始。另一种入侵攻击是通过搜索整个系统，发现软、硬件的漏洞或配置错误，以获得系统的权限。每种操作系统都有自己的一些漏洞，有些是已知的，而有些则需要仔细的研究才能发现。而系统管理员不可能不停的阅读每个系统平台的安全漏洞报告，此极有可能对某个系统的安全性了解不够，所以计算机网络中很可能给攻击者提供了各种各样的安全漏洞。可以把面向网络的攻击技术概括为3类：外部攻击、渗透攻击和内部攻击。这些攻击技术主要是利用了网络漏洞。网络漏洞主要有3大类：协议漏洞、系统漏洞和使用漏洞。外部攻击是指从网络外部对目标系统发起攻击，以摧毁目标系统为目的。典型的是分布式拒绝服务(DDOS)攻击，它是利用TCP协议漏洞实现的。 渗透攻击是指从网络外部渗透到目标系统内部，获取系统控制权，安装和执行恶意程序，以获取信息和破坏系统为目的。典型的是木马／病毒程序，它们是利用系统漏洞和使用漏洞实现的。内部攻击是指从网络内部对目标系统发起攻击，获取系统控制权，以获取信息和破坏系统为目的，它是渗透攻击的特例，在形式上更加隐蔽。攻击者采取与窃听报文类似的手段，但不是简单地复制报文，而是截获报

文，而后不仅可以从这些报文数据中获得一些敏感信息，而且可以任意更改报文中的数据并继续发送给原目的地，这样就能造成比窃听报文类型攻击更大的危害。

为了提高自身的生存能力，木马会采用各种手段伪装隐藏以使被感染的系统表现正常。Fred Cohen等人对病毒进行了深入研究，他们将木马作为病毒的一种特例，并给出了病毒和木马的数学模型。木马的隐藏技术主要分为两类：主机隐藏和通信隐藏。主机隐藏的方式很多，主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、原始分发隐藏等。通信隐藏主要包括通信内容隐藏和传输通道隐藏。 主机隐藏是指木马为了防止被本地用户发现而采取的隐藏手段。隐藏手段包括：

(1)将木马隐藏(附着、捆绑或替换)在合法程序中；

(2)修改或替换相应的检测程序，对有关木马的输出信息进行隐蔽处理：

(3)利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。 木马常用的通信隐藏方法是对传输内容加密，但这只能隐藏通信内容，无法隐藏通信信道。采用网络隐蔽通道技术不仅可以成功地隐藏通信内容，还可以隐藏通信信道。传统的隐蔽通道是定义在操作系统进程之间的，研究表明隐蔽通道也适用于网络

在TCP／IP协议族中有许多信息冗余可用于建立网络隐蔽通道。木马可以利用这些网络隐蔽通道突破网络安全机制。特洛伊木马程序的服务器端，为了避免被发现，多数都要进行隐藏处理和自我销毁。

特洛伊木马分为两种类型，一种是随系统自动启动的，另一种附加或捆绑在Windows系统或其它应用程序上，或干脆替代成它们。所以特洛伊木马程序也可以分为伪隐藏和真隐藏。伪隐藏，就是指程序的进程仍然存在，只不过是让他消失在进程列表里。真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作. 要做到真隐藏，可以使用DLL技术。使用Windows系统的另一种文件DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL木马的实现原理是编程者在DLL中包含木马程序代码，随后在目标主机中选择特定目标进程，以某种方式强行指定该进程调用包含木马程序的DLL，最终达到侵袭目标系统的目的。

在Windows系统下，可执行文件主要是Exe和Corn文件，这两种文件在运行时都会生成一个的进程，寻找特定进程是发现木马的方法之一。随着入侵检软件的不断发展，检测关联进程和SOCKET已经成为流行的技术，例如著名的FPort就能够检测出任何进程打开的TCP／UDP端口，假设一个木马在运行时被检测软件查出端口或者进程，那么这个木马的隐藏就失败了。

网络战引起很多国家的普遍重视,网络攻击技术也相应的得到了充足的发展, 采用各种手段伪装隐藏以使被感染的系统表现正常。研究开发先进的木马攻击技术使得在将来的网络战中抢占先机，立于不败之地具有重要的意义.