前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇木馬檢測(cè)范文，相信會(huì)為您的寫作帶來(lái)幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

木馬檢測(cè)范文第1篇

關(guān)鍵詞：HTTP隧道木馬；原理；檢測(cè)方法

中圖分類號(hào)：TP309.5文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：16727800（2012）009015202

0引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展以及網(wǎng)絡(luò)中病毒木馬程序的日益泛濫，防火墻已經(jīng)成為保護(hù)局域網(wǎng)絡(luò)中主機(jī)免受惡意程序侵害的一道屏障。隨著防火墻技術(shù)的日益成熟，很多傳統(tǒng)遠(yuǎn)控型木馬程序已經(jīng)失去了其發(fā)展空間，然而一種新型的利用HTTP協(xié)議隧道的木馬又出現(xiàn)了。本文將主要介紹該類木馬的運(yùn)行原理以及目前針對(duì)該類木馬的主流檢測(cè)方法。

1HTTP協(xié)議隧道

HTTP協(xié)議隧道位于應(yīng)用層，是將需要傳輸?shù)臄?shù)據(jù)封裝在HTTP協(xié)議格式數(shù)據(jù)包中，通過(guò)HTTP協(xié)議在網(wǎng)絡(luò)中進(jìn)行傳輸，當(dāng)HTTP數(shù)據(jù)包抵達(dá)目的地后對(duì)HTTP數(shù)據(jù)包進(jìn)行解包，得到真實(shí)的數(shù)據(jù)。HTTP協(xié)議隧道分為直接型和中轉(zhuǎn)型兩種模式。

1.1直接型模式

此模式中每臺(tái)主機(jī)都既作客戶端又作服務(wù)器，可以相互通信。在客戶端中，數(shù)據(jù)經(jīng)過(guò)HTTP隧道軟件使用HTTP協(xié)議進(jìn)行封裝，然后通過(guò)80端口或者8080端口發(fā)送到對(duì)方主機(jī)。服務(wù)器端收到數(shù)據(jù)后對(duì)HTTP包進(jìn)行解包操作得到實(shí)際傳輸?shù)臄?shù)據(jù)。

1.2中轉(zhuǎn)型模式

此模式中有一個(gè)專門的HTTP隧道服務(wù)器，負(fù)責(zé)接收客戶機(jī)的請(qǐng)求，然后與目標(biāo)主機(jī)通信，將客戶端傳過(guò)來(lái)的數(shù)據(jù)交付給目標(biāo)主機(jī)。在客戶端與目標(biāo)主機(jī)之間仍使用HTTP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝后傳輸。

2HTTP隧道木馬原理

HTTP隧道木馬與傳統(tǒng)木馬程序在功能上基本一致，主要差別在于通信方式上。傳統(tǒng)木馬，不論是正向連接型還是反向連接型，基本都是通過(guò)高于1024端口進(jìn)行通信，然而現(xiàn)在的很多殺毒軟件以及防火墻對(duì)于這些端口的檢測(cè)會(huì)較為嚴(yán)格，從而使得木馬程序容易暴露身份。而隨著B(niǎo)/S模式的廣泛應(yīng)用，越來(lái)越多的網(wǎng)上流量都是通過(guò)HTTP協(xié)議進(jìn)行傳輸，因此絕大多數(shù)防火墻對(duì)于HTTP協(xié)議都采取進(jìn)行簡(jiǎn)單協(xié)議結(jié)果判定后直接允許其通過(guò)的策略，而這樣的策略就給了木馬程序以可乘之機(jī)。

HTTP隧道木馬利用HTTP協(xié)議隧道，將自己需要傳輸?shù)臄?shù)據(jù)利用HTTP協(xié)議進(jìn)行封裝，然后經(jīng)由HTTP協(xié)議專用端口80端口或者8080端口與外部服務(wù)器進(jìn)行連接，服務(wù)器在得到數(shù)據(jù)以后進(jìn)行簡(jiǎn)單的HTTP協(xié)議解包就可以得到實(shí)際的數(shù)據(jù)。

一般此類木馬選擇的HTTP協(xié)議隧道類型均為上一節(jié)中介紹的中轉(zhuǎn)型模式。在木馬實(shí)際運(yùn)行過(guò)程中，客戶端（即控制端）首先將待執(zhí)行的命令以文件的形式存放在HTTP隧道服務(wù)器中，而對(duì)于服務(wù)端（及被控端），每次上線后會(huì)主動(dòng)請(qǐng)求連接HTTP隧道服務(wù)器，然后用GET或者POST命令請(qǐng)求服務(wù)器中的特定文件（預(yù)先設(shè)定好的存放命令的文件）。如果文件中有需要執(zhí)行的命令，則在被控端主機(jī)上執(zhí)行相應(yīng)操作，然后將數(shù)據(jù)封裝成HTTP數(shù)據(jù)包回送給HTTP隧道服務(wù)器，如果文件中沒(méi)有命令需要執(zhí)行，則服務(wù)端斷開(kāi)連接，一段時(shí)間后再次以相同方式詢問(wèn)是否有命令，如此往復(fù)。通過(guò)此流程，HTTP隧道木馬就可以借用HTTP協(xié)議躲避防火墻的阻攔與控制端進(jìn)行通信。

3主流檢測(cè)方法

針對(duì)HTTP隧道木馬的檢測(cè)方法目前主要存在下面的三大類：基于簽名的檢測(cè)、基于協(xié)議的檢測(cè)以及基于操作行為的檢測(cè)。下面分別對(duì)3種檢測(cè)方法進(jìn)行介紹。

3.1基于簽名的檢測(cè)（SIGNATUREBASED DETECTION）

該方法主要通過(guò)檢測(cè)HTTP協(xié)議數(shù)據(jù)包定的數(shù)據(jù)式樣來(lái)判斷是否是可疑的HTTP數(shù)據(jù)包。這里所謂的特定的數(shù)據(jù)式樣，指的是比如“cat c：”、“cat d：”、“del c：”、“PWD”、“RETR ”、“cmdc：”、“cmd net start”等字串。這些字串一般為計(jì)算機(jī)的一些操作指令，如果HTTP數(shù)據(jù)包中含有這些數(shù)據(jù)式樣則將其判定為使用HTTP隧道進(jìn)行傳輸。

然而這種方法也存在一些問(wèn)題，比如很難準(zhǔn)確找到有哪些數(shù)據(jù)樣式只存在于HTTP隧道木馬傳遞的數(shù)據(jù)包中而不可能或很少出現(xiàn)在正常網(wǎng)頁(yè)里，因?yàn)镠TTP協(xié)議是基于對(duì)象的協(xié)議，可以傳輸任何類型的文件，我們不能保證這些文件中不會(huì)出現(xiàn)所定義的“數(shù)據(jù)式樣”，因此此方法在實(shí)際運(yùn)用中可行性較低。

3.2基于協(xié)議的檢測(cè)

由于很多HTTP隧道木馬在進(jìn)行HTTP隧道傳輸時(shí)都只是進(jìn)行了一個(gè)簡(jiǎn)單的HTTP協(xié)議封裝，即在數(shù)據(jù)外加上了一個(gè)HTTP頭部，然而這種簡(jiǎn)單的協(xié)議封裝往往在很多時(shí)候不符合實(shí)際的HTTP協(xié)議正常的格式。并且在數(shù)據(jù)交互的過(guò)程中，HTTP隧道木馬一般只是簡(jiǎn)單發(fā)送單個(gè)HTTP數(shù)據(jù)包，而不會(huì)完整執(zhí)行整個(gè)HTTP協(xié)議中規(guī)定的一整套交互流程。根據(jù)這些協(xié)議上的特點(diǎn)可以對(duì)HTTP隧道木馬進(jìn)行檢測(cè)。

然而在有些情況下這種方式仍不能正確地對(duì)該類木馬進(jìn)行準(zhǔn)確識(shí)別。比如木馬程序?yàn)榱藗窝b而進(jìn)行一系列虛假的HTTP協(xié)議交互過(guò)程，從協(xié)議層面上看該過(guò)程完全無(wú)法分辨出是否為木馬程序。

3.3基于操作行為的檢測(cè)

該方法主要提取了HTTP隧道木馬程序在網(wǎng)絡(luò)會(huì)話上的一系列特征，如：數(shù)據(jù)包大小、數(shù)量、會(huì)話時(shí)長(zhǎng)、會(huì)話上傳數(shù)據(jù)量、會(huì)話上傳數(shù)據(jù)量和下載數(shù)據(jù)量之比以及會(huì)話平局上傳速率等。然后基于這些特征采取數(shù)據(jù)挖掘技術(shù)，對(duì)HTTP隧道木馬進(jìn)行分類，對(duì)其建立相應(yīng)木馬網(wǎng)絡(luò)會(huì)話特征模型，根據(jù)此模型對(duì)其進(jìn)行檢測(cè)。

資料顯示，此種檢測(cè)方法在HTTP隧道木馬程序檢測(cè)方面的效果較好。此方向研究者較多，各研究者之間差別在于采取的特征選取有細(xì)微不同，以及采取的分類算法存在一定差異。

3.4分析比較

分析了3種當(dāng)前主流HTTP隧道木馬檢測(cè)技術(shù)以后，我們可以看到，第一種技術(shù)基本無(wú)法單獨(dú)運(yùn)用于真實(shí)環(huán)境下的木馬檢測(cè)，在某些情況下可以作為輔助條件進(jìn)行木馬判定；基于協(xié)議的檢測(cè)方法存在一定的適用性，但是也很容易被木馬繞過(guò)，因此會(huì)導(dǎo)致實(shí)際使用的效果不佳；而第三種方式則相對(duì)顯得效果更好，有很好的實(shí)用性。

4結(jié)語(yǔ)

本文主要就HTTP隧道木馬的運(yùn)行原理進(jìn)行了介紹，然后對(duì)目前主流的HTTP隧道木馬檢測(cè)方法進(jìn)行了分析比較。通過(guò)分析幾種當(dāng)前提出較多的HTTP隧道木馬檢測(cè)方法，得到當(dāng)前檢測(cè)該類木馬程序最有效的方法在于對(duì)木馬網(wǎng)絡(luò)回話中的一些特征進(jìn)行分類處理，建立該類木馬特征模型，然后進(jìn)行檢測(cè)。

參考文獻(xiàn)：

[1]許治坤，王偉，郭添森，等.網(wǎng)絡(luò)滲透技術(shù)[M].北京：電子工業(yè)出版社，2005.

[2]李俊林.通用性HTTP隧道檢測(cè)技術(shù)研究[D].成都：電子科技大學(xué)，2006.

木馬檢測(cè)范文第2篇

簡(jiǎn)二 家承(丞)一人。

按，“家”后一字原形作 ，字形下部無(wú)“手”，就是丞字，釋文當(dāng)作“家丞一人”。

二

簡(jiǎn)五 宦者九人，其四人服牛車。

簡(jiǎn)六 牛車，宦者四人服。

上二簡(jiǎn)“?！痹巫?，此是羊字，非牛字。馬王堆簡(jiǎn)帛牛字皆作二橫，無(wú)作三橫者，而羊字多作三橫，少數(shù)作四橫，無(wú)作二橫者。羊車是一種裝飾精美的車，用人拉，而非羊拉，正符合上二簡(jiǎn)所言。漢劉熙《釋名·釋車》：“羊車。羊，祥也；祥，善也。善飾之車?！鼻逋跸戎t《釋名疏證補(bǔ)》：“漢時(shí)以人牽之?！?/p>

三

簡(jiǎn)九 建鼓一，羽栓 卑二，鼓者二人操搶。

按，“栓”原形作 ，此是 字。羽 疑即羽翿， ，書母魚韻，翿，定母幽韻，聲類同為舌音，韻部旁轉(zhuǎn)。《經(jīng)籍籑詁?號(hào)韻》：“《禮記?雜記》‘匠人執(zhí)羽葆御柩’，《周禮?鄉(xiāng)師注》作‘匠人執(zhí)翿以御柩’?！蹦铣和躞蕖墩衙魈影?cè)文》：“羽翿前驅(qū)，云旂北御。”據(jù)漢代畫像石，建鼓鼓上一般裝飾有羽葆，如河南方城東關(guān)畫像石所刻大型建鼓，鼓頂飾一羽葆，沂南畫像石的建鼓，鼓頂有羽葆和旒蘇。

“卑二”，指建鼓上裝的兩面小鼓，據(jù)漢代畫像石，建鼓上常設(shè)小鼓，如南陽(yáng)漢畫像石的建鼓，兩側(cè)鼓面下各設(shè)一小鼓?！氨啊奔贋椤绊@”，《詩(shī)經(jīng)?周頌?有瞽》：“應(yīng)朄縣鼓。”鄭玄注：“朄，小鼓，在大鼓旁，應(yīng)、鞞之屬也?！薄段倪x?丘遲〈旦發(fā)魚浦潭〉》：“鳴鞞響沓障?！崩钌谱⒁蹲至帧罚骸绊@，小鼓也?！焙?jiǎn)一四“大鼓一，卑二”，“卑”所指同。

“搶”原形作 ，此是抱字，其右旁“包”的寫法，與簡(jiǎn)七五、八0的“鮑”和簡(jiǎn)二三五的“炮”的右旁寫法相同。“抱”假為“枹”，《說(shuō)文?木部》：“枹，擊鼓杖也?！?/p>

如此則簡(jiǎn)九應(yīng)標(biāo)點(diǎn)為“建鼓一，羽 （翿） ，卑（鞞）二，鼓者二人操抱（枹）?！?/p>

四

簡(jiǎn)三六 孝（絹？）繻椽（緣）。

按，“孝”原形作 ，此是李字?！袄睢蓖ā袄怼?，段玉裁《說(shuō)文解字注》：“古李、理同音通用”理即“紋理”，《廣韻?止韻》：“理，文也?！?《荀子?正名》：“形體、色理以目異?！睏顐娮ⅲ骸袄?，文理也?！?/p>

“椽”原形作 ，從“手”，是掾字，馬王堆一號(hào)漢墓竹簡(jiǎn)遣策同，三號(hào)墓遣策原釋文作“椽”者，皆當(dāng)改為“掾”。

五

簡(jiǎn)四九 鄭竽瑟各一，炊（吹）鼓者二。

按，“二”后當(dāng)補(bǔ)“人”，原圖版“人”雖不清晰，但猶有痕跡。

六

簡(jiǎn)五三 琴一，青綺 ，素裏菜（彩）繢掾（緣）

簡(jiǎn)五五 瑟一，繡 ，素裏繢掾（緣）

簡(jiǎn)五三 竽一，錦 ，素裏繢掾（緣）

按， 疑是橐字異體，從糸，禿聲。簡(jiǎn)三八一作“青綺琴囊一，素裏蔡（彩）繢掾（緣）”。

七

簡(jiǎn)六八 胡人一人，操弓矢、贖觀，率附馬一匹。

按，“率”原形作 ，下從“?！?，是牽字。

八

簡(jiǎn)一0三 榆菜。

按，“菜”原形作 ，是華字。

九

簡(jiǎn)一0四 右方羹凡卅物，物一鼎。瓦維（甕）、 各一、蜀鼎六、瓦貴（繢）六。不足十六買瓦鼎錫涂。

按，依原牘格式，釋文“瓦維（甕）、 各一”當(dāng)移到“不足”一句前?！巴俊痹螐耐翉挠啵粡摹般摺?。

十

簡(jiǎn)一二一 肋酒二。

按，“肋”原形作 ，此是“助”字。

十一

簡(jiǎn)二二四 鰿 孰一器。

原注： 孰，不可解。

按，“孰”前一字為“縣”，縣孰，是肉與糧食合蒸的一種食物，后作“懸熟”，《北堂書抄》卷一四五引謝諷《食經(jīng)》：“作懸熟，以豬肉和米三升，豉五升，調(diào)味而蒸之?！?/p>

十二

簡(jiǎn)二二五 丞（蒸）秋（鰍）一器。

簡(jiǎn)二二六 丞（蒸）鱥（鱖）一器。

按，上二簡(jiǎn)“丞”原形作 ，下從“火”，此是烝字。“烝”即“蒸”的本字。

十三

簡(jiǎn)二六一 畫檢，徑尺，食鹽成（盛）五斗二合。

按，“食”原形作 ，是高字，“高”字簡(jiǎn)二七四作 ，本批簡(jiǎn)字形構(gòu)件“曰”常以“兒”代替，如簡(jiǎn)一三的“楮”字、簡(jiǎn)二七一的“曾”字、簡(jiǎn)三五五的“緒”字等，此形即為以“兒”代“曰”的“高”字。

“成”前一字為“藍(lán)”字。釋文“斗”，原形是“寸”。

十四

簡(jiǎn)三三四 盭機(jī)巾一，素裏繢掾（緣），素 。

簡(jiǎn)三八九 槨中繡帷一，褚繢掾（緣），素 。

按， 簡(jiǎn)三八九與馬王堆一號(hào)墓遣策簡(jiǎn)二五一基本相同， 素 ，一號(hào)墓遣策作“素旅”（原釋文作“素?！?，誤。），指周緣外又續(xù)的素帛緣?！?”當(dāng)是“旅”字異體，“旅”為從 從從的會(huì)意字，“ ”為從 來(lái)聲的形聲字。來(lái)、旅同為來(lái)母字，來(lái)，之韻，旅，魚韻，之、魚旁轉(zhuǎn)。 是“來(lái)”的上一橫與“ ”重合的借筆形體。

十五

簡(jiǎn)三四三 單一繡平 皃（貌）百。

按，釋文“ 皃（貌）”乃“ 完”誤釋?！?完”疑即“黊纊”，指黃錦制的小球，懸于冠冕之上。

十六

簡(jiǎn)四0八 二人。十 囗囗囗。

原注：此為殘簡(jiǎn)?！笆弊窒氯蛛y以確認(rèn)。

按，細(xì)審圖片，“十”下第二、第三字猶可識(shí)別，乃“到此”二字，其“到”字與簡(jiǎn)一“到”字寫法相同。此簡(jiǎn)似應(yīng)列為最后一簡(jiǎn)。

其他

1、簡(jiǎn)一釋文“先選”，從圖版看，無(wú)疑是“光 ”二字，“光”與“先”的重要區(qū)別一是前者上下不連，后者相反，二是后者中為直橫，前者相反。

2、簡(jiǎn)一一、簡(jiǎn)四二“鐸”前一字就是“鐃”字，只是“堯”寫作兩“土”在上、一“土”在下。

3、簡(jiǎn)五十“鼓者”后雖殘缺，但與簡(jiǎn)四九對(duì)照，“鼓者”下定是“二人”二字。

4、簡(jiǎn)一二二、簡(jiǎn)一二三“一”前一字從自從旨，當(dāng)是脂字異體。

5、簡(jiǎn)一七六釋文“熟”，當(dāng)作“孰”。

6、簡(jiǎn)一八0“一”前一字就是“橘”字。

7、簡(jiǎn)二0三釋文“五斗”前脫“穜（種）”。

8、簡(jiǎn)二0四“三石”后就是“ ”字。

9、簡(jiǎn)二五九與相鄰簡(jiǎn)相比，“食般”前缺字為“ 畫”二字，圖版尚留“畫”字最后一筆。

10、簡(jiǎn)二六0“大”后一字為“移”。

11、簡(jiǎn)二七九“白”后為“辟”字。

12、簡(jiǎn)三0二“大”后一字為“叔”字。

木馬檢測(cè)范文第3篇

準(zhǔn)備工作

首先，準(zhǔn)備自己需要免殺的木馬，這里我們選擇了查殺率最高的木馬之一――上興木馬。上興木馬是除灰鴿子外最為流行的木馬之一，各大殺毒軟件都針對(duì)這類木馬準(zhǔn)備了多套查殺特征碼及手段，因此免殺上興木馬是比較困難的，這也正好用以檢測(cè)我們所使用的免殺方法效果到底怎么樣。

另外，以前要制作免殺木馬時(shí)，往往必須在系統(tǒng)中安裝多款殺毒軟件以進(jìn)行免殺效果檢測(cè)，反復(fù)安裝卸載殺毒軟件非常的麻煩。這里我們準(zhǔn)備了一個(gè)在線查毒的網(wǎng)站“VlrSCANorg”。這是一個(gè)用于檢測(cè)文件是否有病毒的多病毒引擎查毒站點(diǎn)，上傳文件后可調(diào)用數(shù)十款殺毒軟件引擎進(jìn)行病毒檢測(cè)，其中包括國(guó)內(nèi)常用的各大殺毒軟件，如金山、瑞星、江民、卡巴斯基、趨勢(shì)、諾頓、Macefee等。

用VirSCAN網(wǎng)站檢測(cè)剛制作好的上興木馬，檢測(cè)結(jié)果顯示，大部分殺毒軟件都報(bào)警有病毒。下面就看看我們?nèi)绾巫寵z測(cè)結(jié)果中的紅色報(bào)警全部變成正常通過(guò)吧!

修政PE文件頭

下載“MaskPE 2.0”工具，這個(gè)工具可修改PE文件，用于生成免殺的木馬或病毒。不過(guò)現(xiàn)在MaskPE已經(jīng)不能實(shí)現(xiàn)免殺的效果了，我們只是用它來(lái)修改一下上興木馬的PE文件頭，用于增加殺毒軟件查殺的難度。至于一些普通不常用的木馬，也可以省略這個(gè)步驟。

運(yùn)行MaskPE，點(diǎn)擊“LoadFile”按鈕，瀏覽指定剛才生成的上興木馬文件。然后在下方最右邊的下拉列表中選擇加密類型為“Type2”或“Type3”，對(duì)于Tvpel加密的程序在運(yùn)行時(shí)會(huì)還原，所以可能無(wú)法通過(guò)內(nèi)存檢測(cè)。最后點(diǎn)擊“Make File”按鈕。就可完成木馬文件的PE修改了。

修改后的PE文件上傳到VirSCAN網(wǎng)站上檢測(cè)，發(fā)現(xiàn)經(jīng)過(guò)修改后。僅免殺了其中一款不常見(jiàn)的殺毒軟件。不過(guò)我們的目的僅僅是為后面的免殺作準(zhǔn)備而已。另外，需要備份并運(yùn)行PE修改后的木馬文件，看看木馬是否能夠正常上線。

核心――加密殼

現(xiàn)在到了今天我們免殺技術(shù)的核心――加密殼。加殼是一種常見(jiàn)的免殺方法，但是以前我們介紹的都只是加上Aspack、UPX之類的普通殼，這些殼只屬于壓縮殼。雖然可以對(duì)木馬起到加密的作用，但是現(xiàn)在各款殺毒軟件早就能輕松的脫殼反查出木馬了。今天要使用的是“加密殼”，這類殼與普通殼不同，是由一些廠商為保護(hù)軟件而開(kāi)發(fā)的特殊殼，可對(duì)程序的所有資源進(jìn)行特殊的加密，根本無(wú)法進(jìn)行反編譯脫殼和還原破解。用加密殼加密過(guò)后的木馬。殺毒軟件無(wú)法進(jìn)行脫殼查殺，因此可以突破殺毒軟件實(shí)現(xiàn)免殺!

Themida加殼

Themida一款優(yōu)秀的商業(yè)保護(hù)殼，強(qiáng)度非常高。直接下載運(yùn)行“Themida 18.5.5正式版”會(huì)提示缺少文件，需要再下載“ThemidaFiles”，解壓后將所有文件復(fù)制到“Themida1.8.5.5正式版”目錄中，即可正常運(yùn)行。

運(yùn)行Themida后，點(diǎn)擊窗口中“l(fā)nput Filename”后的瀏覽按鈕，瀏覽指定剛才修改過(guò)PE的木馬文件，在“OutputFilename”處瀏覽指定木馬加密保護(hù)后的文件路徑。然后點(diǎn)擊工具欄“Protect”按鈕，即可打開(kāi)加密保護(hù)對(duì)話框，點(diǎn)擊“Protect”按鈕即可開(kāi)始進(jìn)行加密保護(hù)了。

加密保護(hù)完成后，將生成文件上傳到VirSCAN網(wǎng)站上檢測(cè)，發(fā)現(xiàn)加密后的木馬文件。已經(jīng)躲過(guò)了大部分殺毒軟件的查殺。國(guó)內(nèi)的三大殺毒軟件及卡巴斯基等，已經(jīng)對(duì)木馬視而不見(jiàn)了!

ASProtct　SKE加密殼

ASProtect SKE是一款非常著名的加宿殼，用它來(lái)對(duì)木馬加密免殺的效果也非常好!

運(yùn)行“ASP rotect SKE 2.3 build 05.14 beta”，在“Options”選項(xiàng)頁(yè)中，點(diǎn)擊“File to Protect”處瀏覽按鈕。指定修改過(guò)PE的文件，在“Output To Filename”處指定生成加密文件路徑。在加密選項(xiàng)“Protections Options”處勾選“Resou rces Protetion”以加密資源，其它保護(hù)項(xiàng)可根據(jù)需要設(shè)置。在“CompressiORS Options”處設(shè)置壓縮率為最高“Good Compression”。

再切換到“Mode”選項(xiàng)頁(yè)。點(diǎn)擊“Add Mode”按鈕，添加一個(gè)加密模式“1”。在列表中選擇壓縮模式1，勾選下方的“IsThis Mode Active?”，將該模式激活。點(diǎn)擊工具欄上的“Start Protection”按鈕，即可開(kāi)始進(jìn)行加密壓縮了。

用VirSCAN在線掃描ASProtect SKE$11密后的木馬，結(jié)果顯示國(guó)內(nèi)常見(jiàn)的殺毒軟件全部檢測(cè)無(wú)毒，僅有幾款來(lái)自國(guó)外的少見(jiàn)殺毒軟件能夠查殺!

補(bǔ)充――過(guò)主動(dòng)防御

現(xiàn)在的殺毒軟件不只用被動(dòng)的查殺方式防御病毒木馬，還采用了主動(dòng)防御的方案，過(guò)主動(dòng)防御也是病毒免殺的一個(gè)重要步驟。在國(guó)內(nèi)的殺毒軟件中，金山?jīng)]有提供主動(dòng)防御功能，可以不必考慮，瑞星的主動(dòng)防御很脆弱，用Byshefl、evllotus之類生成的木馬就可以輕松突破；而卡巴斯基的主動(dòng)防御功能，一般是通過(guò)修改系統(tǒng)時(shí)間來(lái)突破的，在上興之類的木馬中都提供了修改系統(tǒng)時(shí)間功能：而對(duì)于江民殺毒軟件的主動(dòng)防御突破是比較困難的?？梢允褂靡粋€(gè)叫作“過(guò)主動(dòng)免殺殼1.0”的工具來(lái)實(shí)現(xiàn)。

運(yùn)行過(guò)主動(dòng)免殺殼工具，將剛才生成的免殺木馬拖到程序窗口中，點(diǎn)擊“加殼”按鈕即可直接加殼完成。生成的文件可過(guò)常見(jiàn)殺毒軟件的主動(dòng)防御。效果不錯(cuò)。

MaskPE 2.0 http：//www．3800hk．com/Soft/lmhb/12113htmI

Themida 1.8.5.5正式版http：//www．pediy．com/tools/PACK/Protectors/Themida/Themida 1.8.5.5.rar

ThemidaF_les http：//WWW．pediy．com/tools/PACK，Protectors/Themida/ThemidaFiles，rar

木馬檢測(cè)范文第4篇

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題已變得越來(lái)越受到人們的重視，網(wǎng)絡(luò)攻擊形式多種多樣，很多蠕蟲(chóng)病毒、木馬病毒等植入到某些網(wǎng)頁(yè)中，給網(wǎng)絡(luò)用戶帶來(lái)了很大的安全隱患，網(wǎng)頁(yè)木馬通過(guò)利用瀏覽器或插件的一些漏洞，在客戶端下載并執(zhí)行一些惡意程序進(jìn)行網(wǎng)絡(luò)攻擊，它已經(jīng)成為了目前惡意程序傳播的一種重要方式，本文主要闡述了網(wǎng)頁(yè)木馬的機(jī)理和特點(diǎn)，重點(diǎn)分析了木馬的檢測(cè)以及木馬的特征，并針對(duì)這些特點(diǎn)進(jìn)行了一些相應(yīng)防范對(duì)策的探討。

【關(guān)鍵詞】網(wǎng)頁(yè)木馬 木馬機(jī)理 攻擊 防范

由于網(wǎng)頁(yè)木馬制作簡(jiǎn)單、傳播速度快、破壞力強(qiáng)。掛馬形式多等原因，已經(jīng)成為惡意程序傳播中最常見(jiàn)的形式之一，給互聯(lián)網(wǎng)用戶造成嚴(yán)重的安全威脅。

目前國(guó)內(nèi)外很多研究人員圍繞網(wǎng)頁(yè)木馬的防御進(jìn)行了深入的探討與研究，同時(shí)攻擊者也在采用一些更先進(jìn)的手段來(lái)提高木馬的攻擊隱蔽性，用以提高木馬的攻擊成功率，因此，網(wǎng)頁(yè)木馬的機(jī)理與防范對(duì)策研究已成為了當(dāng)前計(jì)算機(jī)工作者的一個(gè)重要課題。

1 網(wǎng)頁(yè)木馬工作機(jī)理與特征

（1）網(wǎng)頁(yè)木馬定義。網(wǎng)頁(yè)木馬是在宏病毒、木馬等惡意代碼基礎(chǔ)上發(fā)展出來(lái)的一種新形態(tài)的惡意代碼。類似于宏病毒通過(guò)Word 等文檔中的惡意宏命令實(shí)現(xiàn)攻擊。網(wǎng)頁(yè)木馬一般通過(guò) HTML 頁(yè)面中的一段惡意腳本達(dá)到在客戶端下載、執(zhí)行惡意可執(zhí)行文件的目的，而整個(gè)攻擊流程是一個(gè)“特洛伊木馬式”的隱蔽的、用戶無(wú)察覺(jué)的過(guò)程，因此，國(guó)內(nèi)研究者通常稱該種攻擊方式為“網(wǎng)頁(yè)木馬”。

（2）網(wǎng)頁(yè)木馬典型攻擊流程。網(wǎng)頁(yè)木馬采用的是一種被動(dòng)的攻擊模式，攻擊者將網(wǎng)頁(yè)木馬部署在服務(wù)器端，被動(dòng)的等待客戶端發(fā)起訪問(wèn)請(qǐng)求，一旦有客戶端訪問(wèn)攻擊頁(yè)面，服務(wù)器就將頁(yè)面內(nèi)容反饋給客戶端，頁(yè)面通過(guò)瀏覽器及插件漏洞將客戶端攻破，進(jìn)而下載、安裝、執(zhí)行惡意程序。其攻擊流程圖如圖1。

（3）網(wǎng)頁(yè)木馬的漏洞利用機(jī)理。網(wǎng)頁(yè)木馬的漏洞利用機(jī)理主要是通過(guò)利用客戶端瀏覽器以及插件的漏洞來(lái)獲取攻擊權(quán)限，一旦獲取攻擊權(quán)限后就會(huì)進(jìn)行惡意程序的下載和執(zhí)行。這些漏洞的腳本語(yǔ)言主要是JavaScript等，一方面在于瀏覽器提供了腳本語(yǔ)言與插件間進(jìn)行交互的 API，攻擊腳本通過(guò)畸形調(diào)用不安全的 API 便可觸發(fā)插件中的漏洞；另一方面，攻擊者也可以利用腳本的靈活特性對(duì)攻擊腳本進(jìn)行一定的混淆處理來(lái)對(duì)抗反病毒引擎的安全檢查。網(wǎng)頁(yè)木馬利用的漏洞主要有兩類，一類是任意下載 API 類漏洞，另一類是內(nèi)存破壞類漏洞。

（4）網(wǎng)頁(yè)木馬涉及的關(guān)鍵手段。網(wǎng)頁(yè)木馬采用基于Web的客戶端攻擊方式，它作為一種新型的惡意代碼，在結(jié)構(gòu)和組成上與普通的病毒惡意代碼有很大區(qū)別，在木馬程序中，攻擊者通常采用一些靈活多變的攻擊技術(shù)和手段來(lái)提高網(wǎng)頁(yè)木馬的成功率和隱蔽性。攻擊者通常采用“環(huán)境探測(cè)+動(dòng)態(tài)加載”的模式來(lái)應(yīng)對(duì)客戶端環(huán)境的復(fù)雜多樣性，采用一種all-in-one 的方式將針對(duì)不同漏洞的攻擊代碼全部包含進(jìn)單個(gè)攻擊頁(yè)面中。但這種方式能使得瀏覽器反應(yīng)遲緩，容易引起用戶的察覺(jué)，為了提高攻擊的隱蔽性和成功率，攻擊者采用“一個(gè)探測(cè)頁(yè)面+多個(gè)攻擊腳本/攻擊頁(yè)面”的“環(huán)境探測(cè)+動(dòng)態(tài)加載”模式，這種模式在提升攻擊成功率的同時(shí)，也增加了攻擊的隱蔽性和攻擊效率。此外，網(wǎng)頁(yè)木馬還具有增強(qiáng)自身隱蔽性的手段，攻擊者往往采用混淆免殺、人機(jī)識(shí)別、動(dòng)態(tài)域名解析等一些技術(shù)手段來(lái)提升攻擊的隱蔽性。

2 網(wǎng)頁(yè)木馬防范對(duì)策研究

根據(jù)網(wǎng)頁(yè)木馬的防范位置，可以從三個(gè)方面入手，它們分別是基于網(wǎng)站服務(wù)器端的網(wǎng)頁(yè)掛馬防范、基于的網(wǎng)頁(yè)木馬防范以及基于客戶端網(wǎng)頁(yè)木馬防范。

（1）基于網(wǎng)站服務(wù)器端網(wǎng)頁(yè)掛馬防范。網(wǎng)站服務(wù)器端網(wǎng)頁(yè)掛馬防范是網(wǎng)頁(yè)木馬防范中的第一個(gè)環(huán)節(jié)，網(wǎng)站掛馬的主要途徑有：利用網(wǎng)站服務(wù)器系統(tǒng)漏洞、利用內(nèi)容注入等應(yīng)用程序漏洞、通過(guò)廣告位和流量統(tǒng)計(jì)等第三方內(nèi)容掛馬等。利用網(wǎng)站服務(wù)器系統(tǒng)漏洞來(lái)進(jìn)行攻擊是一種常見(jiàn)的網(wǎng)頁(yè)掛馬途徑，攻擊者利用服務(wù)器的漏洞獲取權(quán)限后，可以對(duì)頁(yè)面進(jìn)行篡改。因此，網(wǎng)站服務(wù)器應(yīng)打好系統(tǒng)漏洞補(bǔ)丁，或按照一些入侵檢測(cè)系統(tǒng)來(lái)防范這些木馬程序的攻擊。

3用網(wǎng)站服務(wù)器系統(tǒng)漏洞

（1）基于的網(wǎng)頁(yè)木馬防范。基于的網(wǎng)頁(yè)木馬防范是在頁(yè)面被客戶端瀏覽器加載之前，在一個(gè) shadow 環(huán)境（即）中對(duì)頁(yè)面進(jìn)行一定的檢測(cè)或處理。主要可以從幾個(gè)方面著手：一是“檢測(cè)-阻斷”式的網(wǎng)頁(yè)木馬防范方法，這種方法是在處進(jìn)行網(wǎng)頁(yè)木馬檢測(cè)；二是基于腳本重寫的網(wǎng)頁(yè)木馬防范方法；三是基于瀏覽器不安全功能隔離的網(wǎng)頁(yè)木馬防范方法。這種方法主要由來(lái)解析頁(yè)面并執(zhí)行腳本，它需要大量的時(shí)間，在實(shí)際應(yīng)用中難以適應(yīng)。（2）基于客戶端網(wǎng)頁(yè)木馬防范?；诳蛻舳司W(wǎng)頁(yè)木馬防范主要應(yīng)用在客戶端，比較常見(jiàn)的方法有URL 黑名單過(guò)濾、瀏覽器安全加固、操作系統(tǒng)安全擴(kuò)展等。通過(guò)Google來(lái)檢測(cè)索引庫(kù)中的頁(yè)面，生成一個(gè)URL黑名單，然后Google的搜索引擎會(huì)將URL黑名單中的搜索結(jié)果進(jìn)行標(biāo)記。瀏覽器安全加固是通過(guò)在瀏覽器中增加一些檢測(cè)功能來(lái)對(duì)瀏覽器進(jìn)行安全加固，操作系統(tǒng)安全擴(kuò)展主要用來(lái)阻斷網(wǎng)頁(yè)木馬攻擊流程中未經(jīng)用戶授權(quán)的惡意可執(zhí)行文件下載、安裝/執(zhí)行環(huán)節(jié)。

4 總結(jié)

網(wǎng)絡(luò)木馬是惡意程序在網(wǎng)絡(luò)中傳播的一種常見(jiàn)方式，它主要是通過(guò)網(wǎng)絡(luò)客戶端對(duì)服務(wù)器的訪問(wèn)，利用系統(tǒng)安全漏洞隱蔽的將網(wǎng)頁(yè)木馬惡意程序植入到客戶端，客戶端通過(guò)瀏覽網(wǎng)頁(yè)，執(zhí)行惡意程序后感染木馬病毒，給計(jì)算機(jī)用戶帶來(lái)嚴(yán)重危害，基于Web的被動(dòng)攻擊模式能將網(wǎng)頁(yè)木馬感染到大量的客戶端，它具有隱蔽性高、傳染快等特點(diǎn)，因此，安全研究人員必須對(duì)網(wǎng)頁(yè)木馬高度重視，應(yīng)針對(duì)網(wǎng)頁(yè)木馬的機(jī)理、特征進(jìn)行多方面的研究，才能針對(duì)其結(jié)果做出相應(yīng)的防范措施，避免網(wǎng)頁(yè)木馬的擴(kuò)散與傳播，對(duì)于網(wǎng)絡(luò)安全人員來(lái)說(shuō)，網(wǎng)頁(yè)木馬的防范工作將是一項(xiàng)任重而道遠(yuǎn)的工作。

木馬檢測(cè)范文第5篇

    【關(guān)鍵詞】掃描 權(quán)限后門

    信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是,隨著信息化應(yīng)用的深入、認(rèn)識(shí)的提高和技術(shù)的發(fā)展,現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

    入侵攻擊有關(guān)方法,主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等,下面僅就包括筆者根據(jù)近年來(lái)在網(wǎng)絡(luò)管理中有關(guān)知識(shí)和經(jīng)驗(yàn),就入侵攻擊的對(duì)策及檢測(cè)情況做一闡述。

    對(duì)入侵攻擊來(lái)說(shuō),掃描是信息收集的主要手段,所以通過(guò)對(duì)各種掃描原理進(jìn)行分析后,我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征。

    一、利用數(shù)據(jù)流特征來(lái)檢測(cè)攻擊的思路

    掃描時(shí),攻擊者首先需要自己構(gòu)造用來(lái)掃描的IP數(shù)據(jù)包,通過(guò)發(fā)送正常的和不正常的數(shù)據(jù)包達(dá)到計(jì)算機(jī)端口,再等待端口對(duì)其響應(yīng),通過(guò)響應(yīng)的結(jié)果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準(zhǔn)確地檢測(cè)到系統(tǒng)遭受了網(wǎng)絡(luò)掃描?？紤]下面幾種思路:

    1.特征匹配

    找到掃描攻擊時(shí)數(shù)據(jù)包中含有的數(shù)據(jù)特征,可以通過(guò)分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù),來(lái)檢測(cè)端口掃描的存在。如UDP端口掃描嘗試:content:“sUDP”等等。

    2.統(tǒng)計(jì)分析

    預(yù)先定義一個(gè)時(shí)間段,在這個(gè)時(shí)間段內(nèi)如發(fā)現(xiàn)了超過(guò)某一預(yù)定值的連接次數(shù),認(rèn)為是端口掃描。

    3.系統(tǒng)分析

    若攻擊者對(duì)同一主機(jī)使用緩慢的分布式掃描方法,間隔時(shí)間足夠讓入侵檢測(cè)系統(tǒng)忽略,不按順序掃描整個(gè)網(wǎng)段,將探測(cè)步驟分散在幾個(gè)會(huì)話中,不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常,不導(dǎo)致日志系統(tǒng)快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過(guò)上面的簡(jiǎn)單的統(tǒng)計(jì)分析方法不能檢測(cè)到它們的存在,但是從理論上來(lái)說(shuō),掃描是無(wú)法絕對(duì)隱秘的,若能對(duì)收集到的長(zhǎng)期數(shù)據(jù)進(jìn)行系統(tǒng)分析,可以檢測(cè)出緩慢和分布式的掃描。

    二、檢測(cè)本地權(quán)限攻擊的思路

    行為監(jiān)測(cè)法、文件完備性檢查、系統(tǒng)快照對(duì)比檢查是常用的檢測(cè)技術(shù)。虛擬機(jī)技術(shù)是下一步我們要研究的重點(diǎn)方向。

    1.行為監(jiān)測(cè)法

    由于溢出程序有些行為在正常程序中比較罕見(jiàn),因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件,如果符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序。行為監(jiān)測(cè)法可以檢測(cè)未知溢出程序,但實(shí)現(xiàn)起來(lái)有一定難度,不容易考慮周全。行為監(jiān)測(cè)法從以下方面進(jìn)行有效地監(jiān)測(cè):一是監(jiān)控內(nèi)存活動(dòng),跟蹤內(nèi)存容量的異常變化,對(duì)中斷向量進(jìn)行監(jiān)控、檢測(cè)。二是跟蹤程序進(jìn)程的堆棧變化,維護(hù)程序運(yùn)行期的堆棧合法性。以防御本地溢出攻擊和競(jìng)爭(zhēng)條件攻擊。

    監(jiān)測(cè)敏感目錄和敏感類型的文件。對(duì)來(lái)自www服務(wù)的腳本執(zhí)行目錄、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運(yùn)行,進(jìn)行攔截、仲裁。對(duì)這些目錄的文件寫入操作進(jìn)行審計(jì),阻止非法程序的上傳和寫入。監(jiān)測(cè)來(lái)自系統(tǒng)服務(wù)程序的命令的執(zhí)行。對(duì)數(shù)據(jù)庫(kù)服務(wù)程序的有關(guān)接口進(jìn)行控制,防止通過(guò)系統(tǒng)服務(wù)程序進(jìn)行的權(quán)限提升。監(jiān)測(cè)注冊(cè)表的訪問(wèn),采用特征碼檢測(cè)的方法,阻止木馬和攻擊程序的運(yùn)行。

    2.文件完備性檢查

    對(duì)系統(tǒng)文件和常用庫(kù)文件做定期的完備性檢查?？梢圆捎胏hecksum的方式,對(duì)重要文件做先驗(yàn)快照,檢測(cè)對(duì)這些文件的訪問(wèn),對(duì)這些文件的完備性作檢查,結(jié)合行為檢測(cè)的方法,防止文件覆蓋攻擊和欺騙攻擊。

    3.系統(tǒng)快照對(duì)比檢查

    對(duì)系統(tǒng)中的公共信息,如系統(tǒng)的配置參數(shù),環(huán)境變量做先驗(yàn)快照,檢測(cè)對(duì)這些系統(tǒng)變量的訪問(wèn),防止篡改導(dǎo)向攻擊。

    4.虛擬機(jī)技術(shù)

    通過(guò)構(gòu)造虛擬x86計(jì)算機(jī)的寄存器表、指令對(duì)照表和虛擬內(nèi)存,能夠讓具有溢出敏感特征的程序在虛擬機(jī)中運(yùn)行一段時(shí)間。這一過(guò)程可以提取與有可能被懷疑是溢出程序或與溢出程序相似的行為,比如可疑的跳轉(zhuǎn)等和正常計(jì)算機(jī)程序不一樣的地方,再結(jié)合特征碼掃描法,將已知溢出程序代碼特征庫(kù)的先驗(yàn)知識(shí)應(yīng)用到虛擬機(jī)的運(yùn)行結(jié)果中,完成對(duì)一個(gè)特定攻擊行為的判定。

    虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合,并沒(méi)有拋棄已知的特征知識(shí)庫(kù)。虛擬機(jī)的引入使得防御軟件從單純的靜態(tài)分析進(jìn)入了動(dòng)態(tài)和靜態(tài)分析相結(jié)合的境界,在一個(gè)階段里面,極大地提高了已知攻擊和未知攻擊的檢測(cè)水平,以相對(duì)比較少的代價(jià)獲得了可觀的突破。在今后相當(dāng)長(zhǎng)的一段時(shí)間內(nèi),虛擬機(jī)在合理的完整性、技術(shù)技巧等方面都會(huì)有相當(dāng)?shù)倪M(jìn)展。目前國(guó)際上公認(rèn)的、并已經(jīng)實(shí)現(xiàn)的虛擬機(jī)技術(shù)在未知攻擊的判定上可達(dá)到80%左右的準(zhǔn)確率。

    三、后門留置檢測(cè)的常用技術(shù)

    1.對(duì)比檢測(cè)法

    檢測(cè)后門時(shí),重要的是要檢測(cè)木馬的可疑蹤跡和異常行為。因?yàn)槟抉R程序在目標(biāo)網(wǎng)絡(luò)的主機(jī)上駐留時(shí),為了不被用戶輕易發(fā)現(xiàn),往往會(huì)采取各種各樣的隱藏措施,因此檢測(cè)木馬程序時(shí)必須考慮到木馬可能采取的隱藏技術(shù)并進(jìn)行有效地規(guī)避,才能發(fā)現(xiàn)木馬引起的異?，F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測(cè)木馬可疑蹤跡和異常行為的方法包括對(duì)比檢測(cè)法、文件防篡改法、系統(tǒng)資源監(jiān)測(cè)法和協(xié)議分析法等。

    2.文件防篡改法

    文件防篡改法是指用戶在打開(kāi)新文件前,首先對(duì)該文件的身份信息進(jìn)行檢驗(yàn)以確保沒(méi)有被第三方修改。文件的身份信息是用于惟一標(biāo)識(shí)文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗(yàn)和的方式進(jìn)行生成。

    3.系統(tǒng)資源監(jiān)測(cè)法

    系統(tǒng)資源監(jiān)測(cè)法是指采用監(jiān)控主機(jī)系統(tǒng)資源的方式來(lái)檢測(cè)木馬程序異常行為的技術(shù)。由于黑客需要利用木馬程序進(jìn)行信息搜集,以及滲透攻擊,木馬程序必然會(huì)使用主機(jī)的一部分資源,因此通過(guò)對(duì)主機(jī)資源(例如網(wǎng)絡(luò)、CPU、內(nèi)存、磁盤、USB存儲(chǔ)設(shè)備和注冊(cè)表等資源)進(jìn)行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

    4.協(xié)議分析法

    協(xié)議分析法是指參照某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議對(duì)所監(jiān)聽(tīng)的網(wǎng)絡(luò)會(huì)話進(jìn)行對(duì)比分析,從而判斷該網(wǎng)絡(luò)會(huì)話是否為非法木馬會(huì)話的技術(shù)。利用協(xié)議分析法能夠檢測(cè)出采取了端口復(fù)用技術(shù)進(jìn)行端口隱藏的木馬。

    參考文獻(xiàn):