木马检测
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇木马检测范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
木马检测范文第1篇
中图分类号:TP309.5文献标识码:A文章编号:16727800(2012)009015202
0引言
随着互联网的飞速发展以及网络中病毒木马程序的日益泛滥,防火墙已经成为保护局域网络中主机免受恶意程序侵害的一道屏障。随着防火墙技术的日益成熟,很多传统远控型木马程序已经失去了其发展空间,然而一种新型的利用HTTP协议隧道的木马又出现了。本文将主要介绍该类木马的运行原理以及目前针对该类木马的主流检测方法。
1HTTP协议隧道
HTTP协议隧道位于应用层,是将需要传输的数据封装在HTTP协议格式数据包中,通过HTTP协议在网络中进行传输,当HTTP数据包抵达目的地后对HTTP数据包进行解包,得到真实的数据。HTTP协议隧道分为直接型和中转型两种模式。
1.1直接型模式
此模式中每台主机都既作客户端又作服务器,可以相互通信。在客户端中,数据经过HTTP隧道软件使用HTTP协议进行封装,然后通过80端口或者8080端口发送到对方主机。服务器端收到数据后对HTTP包进行解包操作得到实际传输的数据。
1.2中转型模式
此模式中有一个专门的HTTP隧道服务器,负责接收客户机的请求,然后与目标主机通信,将客户端传过来的数据交付给目标主机。在客户端与目标主机之间仍使用HTTP协议对数据进行封装后传输。
2HTTP隧道木马原理
HTTP隧道木马与传统木马程序在功能上基本一致,主要差别在于通信方式上。传统木马,不论是正向连接型还是反向连接型,基本都是通过高于1024端口进行通信,然而现在的很多杀毒软件以及防火墙对于这些端口的检测会较为严格,从而使得木马程序容易暴露身份。而随着B/S模式的广泛应用,越来越多的网上流量都是通过HTTP协议进行传输,因此绝大多数防火墙对于HTTP协议都采取进行简单协议结果判定后直接允许其通过的策略,而这样的策略就给了木马程序以可乘之机。
HTTP隧道木马利用HTTP协议隧道,将自己需要传输的数据利用HTTP协议进行封装,然后经由HTTP协议专用端口80端口或者8080端口与外部服务器进行连接,服务器在得到数据以后进行简单的HTTP协议解包就可以得到实际的数据。
一般此类木马选择的HTTP协议隧道类型均为上一节中介绍的中转型模式。在木马实际运行过程中,客户端(即控制端)首先将待执行的命令以文件的形式存放在HTTP隧道服务器中,而对于服务端(及被控端),每次上线后会主动请求连接HTTP隧道服务器,然后用GET或者POST命令请求服务器中的特定文件(预先设定好的存放命令的文件)。如果文件中有需要执行的命令,则在被控端主机上执行相应操作,然后将数据封装成HTTP数据包回送给HTTP隧道服务器,如果文件中没有命令需要执行,则服务端断开连接,一段时间后再次以相同方式询问是否有命令,如此往复。通过此流程,HTTP隧道木马就可以借用HTTP协议躲避防火墙的阻拦与控制端进行通信。
3主流检测方法
针对HTTP隧道木马的检测方法目前主要存在下面的三大类:基于签名的检测、基于协议的检测以及基于操作行为的检测。下面分别对3种检测方法进行介绍。
3.1基于签名的检测(SIGNATUREBASED DETECTION)
该方法主要通过检测HTTP协议数据包定的数据式样来判断是否是可疑的HTTP数据包。这里所谓的特定的数据式样,指的是比如“cat c:”、“cat d:”、“del c:”、“PWD”、“RETR ”、“cmdc:”、“cmd net start”等字串。这些字串一般为计算机的一些操作指令,如果HTTP数据包中含有这些数据式样则将其判定为使用HTTP隧道进行传输。
然而这种方法也存在一些问题,比如很难准确找到有哪些数据样式只存在于HTTP隧道木马传递的数据包中而不可能或很少出现在正常网页里,因为HTTP协议是基于对象的协议,可以传输任何类型的文件,我们不能保证这些文件中不会出现所定义的“数据式样”,因此此方法在实际运用中可行性较低。
3.2基于协议的检测
由于很多HTTP隧道木马在进行HTTP隧道传输时都只是进行了一个简单的HTTP协议封装,即在数据外加上了一个HTTP头部,然而这种简单的协议封装往往在很多时候不符合实际的HTTP协议正常的格式。并且在数据交互的过程中,HTTP隧道木马一般只是简单发送单个HTTP数据包,而不会完整执行整个HTTP协议中规定的一整套交互流程。根据这些协议上的特点可以对HTTP隧道木马进行检测。
然而在有些情况下这种方式仍不能正确地对该类木马进行准确识别。比如木马程序为了伪装而进行一系列虚假的HTTP协议交互过程,从协议层面上看该过程完全无法分辨出是否为木马程序。
3.3基于操作行为的检测
该方法主要提取了HTTP隧道木马程序在网络会话上的一系列特征,如:数据包大小、数量、会话时长、会话上传数据量、会话上传数据量和下载数据量之比以及会话平局上传速率等。然后基于这些特征采取数据挖掘技术,对HTTP隧道木马进行分类,对其建立相应木马网络会话特征模型,根据此模型对其进行检测。
资料显示,此种检测方法在HTTP隧道木马程序检测方面的效果较好。此方向研究者较多,各研究者之间差别在于采取的特征选取有细微不同,以及采取的分类算法存在一定差异。
3.4分析比较
分析了3种当前主流HTTP隧道木马检测技术以后,我们可以看到,第一种技术基本无法单独运用于真实环境下的木马检测,在某些情况下可以作为辅助条件进行木马判定;基于协议的检测方法存在一定的适用性,但是也很容易被木马绕过,因此会导致实际使用的效果不佳;而第三种方式则相对显得效果更好,有很好的实用性。
4结语
本文主要就HTTP隧道木马的运行原理进行了介绍,然后对目前主流的HTTP隧道木马检测方法进行了分析比较。通过分析几种当前提出较多的HTTP隧道木马检测方法,得到当前检测该类木马程序最有效的方法在于对木马网络回话中的一些特征进行分类处理,建立该类木马特征模型,然后进行检测。
参考文献:
[1]许治坤,王伟,郭添森,等.网络渗透技术[M].北京:电子工业出版社,2005.
[2]李俊林.通用性HTTP隧道检测技术研究[D].成都:电子科技大学,2006.
木马检测范文第2篇
简二 家承(丞)一人。
按,“家”后一字原形作 ,字形下部无“手”,就是丞字,释文当作“家丞一人”。
二
简五 宦者九人,其四人服牛车。
简六 牛车,宦者四人服。
上二简“牛”原形作 ,此是羊字,非牛字。马王堆简帛牛字皆作二横,无作三横者,而羊字多作三横,少数作四横,无作二横者。羊车是一种装饰精美的车,用人拉,而非羊拉,正符合上二简所言。汉刘熙《释名·释车》:“羊车。羊,祥也;祥,善也。善饰之车。”清王先谦《释名疏证补》:“汉时以人牵之。”
三
简九 建鼓一,羽栓 卑二,鼓者二人操抢。
按,“栓”原形作 ,此是 字。羽 疑即羽翿, ,书母鱼韵,翿,定母幽韵,声类同为舌音,韵部旁转。《经籍籑诂·号韵》:“《礼记·杂记》‘匠人执羽葆御柩’,《周礼·乡师注》作‘匠人执翿以御柩’。”南朝梁王筠《昭明太子哀册文》:“羽翿前驱,云旂北御。”据汉代画像石,建鼓鼓上一般装饰有羽葆,如河南方城东关画像石所刻大型建鼓,鼓顶饰一羽葆,沂南画像石的建鼓,鼓顶有羽葆和旒苏。
“卑二”,指建鼓上装的两面小鼓,据汉代画像石,建鼓上常设小鼓,如南阳汉画像石的建鼓,两侧鼓面下各设一小鼓。“卑”假为“鞞”,《诗经·周颂·有瞽》:“应朄县鼓。”郑玄注:“朄,小鼓,在大鼓旁,应、鞞之属也。”《文选·丘迟〈旦发鱼浦潭〉》:“鸣鞞响沓障。”李善注引《字林》:“鞞,小鼓也。”简一四“大鼓一,卑二”,“卑”所指同。
“抢”原形作 ,此是抱字,其右旁“包”的写法,与简七五、八0的“鲍”和简二三五的“炮”的右旁写法相同。“抱”假为“枹”,《说文·木部》:“枹,击鼓杖也。”
如此则简九应标点为“建鼓一,羽 (翿) ,卑(鞞)二,鼓者二人操抱(枹)。”
四
简三六 孝(绢?)繻椽(缘)。
按,“孝”原形作 ,此是李字。“李”通“理”,段玉裁《说文解字注》:“古李、理同音通用”理即“纹理”,《广韵·止韵》:“理,文也。” 《荀子·正名》:“形体、色理以目异。”杨倞注:“理,文理也。”
“椽”原形作 ,从“手”,是掾字,马王堆一号汉墓竹简遣策同,三号墓遣策原释文作“椽”者,皆当改为“掾”。
五
简四九 郑竽瑟各一,炊(吹)鼓者二。
按,“二”后当补“人”,原图版“人”虽不清晰,但犹有痕迹。
六
简五三 琴一,青绮 ,素裏菜(彩)缋掾(缘)
简五五 瑟一,绣 ,素裏缋掾(缘)
简五三 竽一,锦 ,素裏缋掾(缘)
按, 疑是橐字异体,从糸,秃声。简三八一作“青绮琴囊一,素裏蔡(彩)缋掾(缘)”。
七
简六八 胡人一人,操弓矢、赎观,率附马一匹。
按,“率”原形作 ,下从“牛”,是牵字。
八
简一0三 榆菜。
按,“菜”原形作 ,是華字。
九
简一0四 右方羹凡卅物,物一鼎。瓦维(瓮)、 各一、蜀鼎六、瓦贵(缋)六。不足十六买瓦鼎锡涂。
按,依原牍格式,释文“瓦维(瓮)、 各一”当移到“不足”一句前。“涂”原形从土从余,不从“氵”。
十
简一二一 肋酒二。
按,“肋”原形作 ,此是“助”字。
十一
简二二四 鰿 孰一器。
原注: 孰,不可解。
按,“孰”前一字为“縣”,縣孰,是肉与粮食合蒸的一种食物,后作“悬熟”,《北堂书抄》卷一四五引谢讽《食经》:“作悬熟,以猪肉和米三升,豉五升,调味而蒸之。”
十二
简二二五 丞(蒸)秋(鳅)一器。
简二二六 丞(蒸)鱥(鱖)一器。
按,上二简“丞”原形作 ,下从“火”,此是烝字。“烝”即“蒸”的本字。
十三
简二六一 画检,径尺,食鹽成(盛)五斗二合。
按,“食”原形作 ,是高字,“高”字简二七四作 ,本批简字形构件“曰”常以“儿”代替,如简一三的“楮”字、简二七一的“曾”字、简三五五的“绪”字等,此形即为以“儿”代“曰”的“高”字。
“成”前一字为“藍”字。释文“斗”,原形是“寸”。
十四
简三三四 盭机巾一,素裏缋掾(缘),素 。
简三八九 椁中绣帷一,褚缋掾(缘),素 。
按, 简三八九与马王堆一号墓遣策简二五一基本相同, 素 ,一号墓遣策作“素旅”(原释文作“素校”,误。),指周缘外又续的素帛缘。“ ”当是“旅”字异体,“旅”为从 从从的会意字,“ ”为从 来声的形声字。来、旅同为来母字,来,之韵,旅,鱼韵,之、鱼旁转。 是“来”的上一横与“ ”重合的借笔形体。
十五
简三四三 单一绣平 皃(貌)百。
按,释文“ 皃(貌)”乃“ 完”误释。“ 完”疑即“黊纩”,指黄锦制的小球,悬于冠冕之上。
十六
简四0八 二人。十 囗囗囗。
原注:此为残简。“十”字下三字难以确认。
按,细审图片,“十”下第二、第三字犹可识别,乃“到此”二字,其“到”字与简一“到”字写法相同。此简似应列为最后一简。
其他
1、简一释文“先选”,从图版看,无疑是“光 ”二字,“光”与“先”的重要区别一是前者上下不连,后者相反,二是后者中为直横,前者相反。
2、简一一、简四二“铎”前一字就是“铙”字,只是“堯”写作两“土”在上、一“土”在下。
3、简五十“鼓者”后虽残缺,但与简四九对照,“鼓者”下定是“二人”二字。
4、简一二二、简一二三“一”前一字从自从旨,当是脂字异体。
5、简一七六释文“熟”,当作“孰”。
6、简一八0“一”前一字就是“橘”字。
7、简二0三释文“五斗”前脱“穜(種)”。
8、简二0四“三石”后就是“ ”字。
9、简二五九与相邻简相比,“食般”前缺字为“ 畫”二字,图版尚留“畫”字最后一笔。
10、简二六0“大”后一字为“移”。
11、简二七九“白”后为“辟”字。
12、简三0二“大”后一字为“叔”字。
木马检测范文第3篇
准备工作
首先,准备自己需要免杀的木马,这里我们选择了查杀率最高的木马之一――上兴木马。上兴木马是除灰鸽子外最为流行的木马之一,各大杀毒软件都针对这类木马准备了多套查杀特征码及手段,因此免杀上兴木马是比较困难的,这也正好用以检测我们所使用的免杀方法效果到底怎么样。
另外,以前要制作免杀木马时,往往必须在系统中安装多款杀毒软件以进行免杀效果检测,反复安装卸载杀毒软件非常的麻烦。这里我们准备了一个在线查毒的网站“VlrSCANorg”。这是一个用于检测文件是否有病毒的多病毒引擎查毒站点,上传文件后可调用数十款杀毒软件引擎进行病毒检测,其中包括国内常用的各大杀毒软件,如金山、瑞星、江民、卡巴斯基、趋势、诺顿、Macefee等。
用VirSCAN网站检测刚制作好的上兴木马,检测结果显示,大部分杀毒软件都报警有病毒。下面就看看我们如何让检测结果中的红色报警全部变成正常通过吧!
修政PE文件头
下载“MaskPE 2.0”工具,这个工具可修改PE文件,用于生成免杀的木马或病毒。不过现在MaskPE已经不能实现免杀的效果了,我们只是用它来修改一下上兴木马的PE文件头,用于增加杀毒软件查杀的难度。至于一些普通不常用的木马,也可以省略这个步骤。
运行MaskPE,点击“LoadFile”按钮,浏览指定刚才生成的上兴木马文件。然后在下方最右边的下拉列表中选择加密类型为“Type2”或“Type3”,对于Tvpel加密的程序在运行时会还原,所以可能无法通过内存检测。最后点击“Make File”按钮。就可完成木马文件的PE修改了。
修改后的PE文件上传到VirSCAN网站上检测,发现经过修改后。仅免杀了其中一款不常见的杀毒软件。不过我们的目的仅仅是为后面的免杀作准备而已。另外,需要备份并运行PE修改后的木马文件,看看木马是否能够正常上线。
核心――加密壳
现在到了今天我们免杀技术的核心――加密壳。加壳是一种常见的免杀方法,但是以前我们介绍的都只是加上Aspack、UPX之类的普通壳,这些壳只属于压缩壳。虽然可以对木马起到加密的作用,但是现在各款杀毒软件早就能轻松的脱壳反查出木马了。今天要使用的是“加密壳”,这类壳与普通壳不同,是由一些厂商为保护软件而开发的特殊壳,可对程序的所有资源进行特殊的加密,根本无法进行反编译脱壳和还原破解。用加密壳加密过后的木马。杀毒软件无法进行脱壳查杀,因此可以突破杀毒软件实现免杀!
Themida加壳
Themida一款优秀的商业保护壳,强度非常高。直接下载运行“Themida 18.5.5正式版”会提示缺少文件,需要再下载“ThemidaFiles”,解压后将所有文件复制到“Themida1.8.5.5正式版”目录中,即可正常运行。
运行Themida后,点击窗口中“lnput Filename”后的浏览按钮,浏览指定刚才修改过PE的木马文件,在“OutputFilename”处浏览指定木马加密保护后的文件路径。然后点击工具栏“Protect”按钮,即可打开加密保护对话框,点击“Protect”按钮即可开始进行加密保护了。
加密保护完成后,将生成文件上传到VirSCAN网站上检测,发现加密后的木马文件。已经躲过了大部分杀毒软件的查杀。国内的三大杀毒软件及卡巴斯基等,已经对木马视而不见了!
ASProtct SKE加密壳
ASProtect SKE是一款非常著名的加宿壳,用它来对木马加密免杀的效果也非常好!
运行“ASP rotect SKE 2.3 build 05.14 beta”,在“Options”选项页中,点击“File to Protect”处浏览按钮。指定修改过PE的文件,在“Output To Filename”处指定生成加密文件路径。在加密选项“Protections Options”处勾选“Resou rces Protetion”以加密资源,其它保护项可根据需要设置。在“CompressiORS Options”处设置压缩率为最高“Good Compression”。
再切换到“Mode”选项页。点击“Add Mode”按钮,添加一个加密模式“1”。在列表中选择压缩模式1,勾选下方的“IsThis Mode Active?”,将该模式激活。点击工具栏上的“Start Protection”按钮,即可开始进行加密压缩了。
用VirSCAN在线扫描ASProtect SKE$11密后的木马,结果显示国内常见的杀毒软件全部检测无毒,仅有几款来自国外的少见杀毒软件能够查杀!
补充――过主动防御
现在的杀毒软件不只用被动的查杀方式防御病毒木马,还采用了主动防御的方案,过主动防御也是病毒免杀的一个重要步骤。在国内的杀毒软件中,金山没有提供主动防御功能,可以不必考虑,瑞星的主动防御很脆弱,用Byshefl、evllotus之类生成的木马就可以轻松突破;而卡巴斯基的主动防御功能,一般是通过修改系统时间来突破的,在上兴之类的木马中都提供了修改系统时间功能:而对于江民杀毒软件的主动防御突破是比较困难的。可以使用一个叫作“过主动免杀壳1.0”的工具来实现。
运行过主动免杀壳工具,将刚才生成的免杀木马拖到程序窗口中,点击“加壳”按钮即可直接加壳完成。生成的文件可过常见杀毒软件的主动防御。效果不错。
MaskPE 2.0 http://www.3800hk.com/Soft/lmhb/12113htmI
Themida 1.8.5.5正式版http://www.pediy.com/tools/PACK/Protectors/Themida/Themida 1.8.5.5.rar
ThemidaF_les http://WWW.pediy.com/tools/PACK,Protectors/Themida/ThemidaFiles,rar
木马检测范文第4篇
随着计算机网络技术的迅速发展,网络安全问题已变得越来越受到人们的重视,网络攻击形式多种多样,很多蠕虫病毒、木马病毒等植入到某些网页中,给网络用户带来了很大的安全隐患,网页木马通过利用浏览器或插件的一些漏洞,在客户端下载并执行一些恶意程序进行网络攻击,它已经成为了目前恶意程序传播的一种重要方式,本文主要阐述了网页木马的机理和特点,重点分析了木马的检测以及木马的特征,并针对这些特点进行了一些相应防范对策的探讨。
【关键词】网页木马 木马机理 攻击 防范
由于网页木马制作简单、传播速度快、破坏力强。挂马形式多等原因,已经成为恶意程序传播中最常见的形式之一,给互联网用户造成严重的安全威胁。
目前国内外很多研究人员围绕网页木马的防御进行了深入的探讨与研究,同时攻击者也在采用一些更先进的手段来提高木马的攻击隐蔽性,用以提高木马的攻击成功率,因此,网页木马的机理与防范对策研究已成为了当前计算机工作者的一个重要课题。
1 网页木马工作机理与特征
(1)网页木马定义。网页木马是在宏病毒、木马等恶意代码基础上发展出来的一种新形态的恶意代码。类似于宏病毒通过Word 等文档中的恶意宏命令实现攻击。网页木马一般通过 HTML 页面中的一段恶意脚本达到在客户端下载、执行恶意可执行文件的目的,而整个攻击流程是一个“特洛伊木马式”的隐蔽的、用户无察觉的过程,因此,国内研究者通常称该种攻击方式为“网页木马”。
(2)网页木马典型攻击流程。网页木马采用的是一种被动的攻击模式,攻击者将网页木马部署在服务器端,被动的等待客户端发起访问请求,一旦有客户端访问攻击页面,服务器就将页面内容反馈给客户端,页面通过浏览器及插件漏洞将客户端攻破,进而下载、安装、执行恶意程序。其攻击流程图如图1。
(3)网页木马的漏洞利用机理。网页木马的漏洞利用机理主要是通过利用客户端浏览器以及插件的漏洞来获取攻击权限,一旦获取攻击权限后就会进行恶意程序的下载和执行。这些漏洞的脚本语言主要是JavaScript等,一方面在于浏览器提供了脚本语言与插件间进行交互的 API,攻击脚本通过畸形调用不安全的 API 便可触发插件中的漏洞;另一方面,攻击者也可以利用脚本的灵活特性对攻击脚本进行一定的混淆处理来对抗反病毒引擎的安全检查。网页木马利用的漏洞主要有两类,一类是任意下载 API 类漏洞,另一类是内存破坏类漏洞。
(4)网页木马涉及的关键手段。网页木马采用基于Web的客户端攻击方式,它作为一种新型的恶意代码,在结构和组成上与普通的病毒恶意代码有很大区别,在木马程序中,攻击者通常采用一些灵活多变的攻击技术和手段来提高网页木马的成功率和隐蔽性。攻击者通常采用“环境探测+动态加载”的模式来应对客户端环境的复杂多样性,采用一种all-in-one 的方式将针对不同漏洞的攻击代码全部包含进单个攻击页面中。但这种方式能使得浏览器反应迟缓,容易引起用户的察觉,为了提高攻击的隐蔽性和成功率,攻击者采用“一个探测页面+多个攻击脚本/攻击页面”的“环境探测+动态加载”模式,这种模式在提升攻击成功率的同时,也增加了攻击的隐蔽性和攻击效率。此外,网页木马还具有增强自身隐蔽性的手段,攻击者往往采用混淆免杀、人机识别、动态域名解析等一些技术手段来提升攻击的隐蔽性。
2 网页木马防范对策研究
根据网页木马的防范位置,可以从三个方面入手,它们分别是基于网站服务器端的网页挂马防范、基于的网页木马防范以及基于客户端网页木马防范。
(1)基于网站服务器端网页挂马防范。网站服务器端网页挂马防范是网页木马防范中的第一个环节,网站挂马的主要途径有:利用网站服务器系统漏洞、利用内容注入等应用程序漏洞、通过广告位和流量统计等第三方内容挂马等。利用网站服务器系统漏洞来进行攻击是一种常见的网页挂马途径,攻击者利用服务器的漏洞获取权限后,可以对页面进行篡改。因此,网站服务器应打好系统漏洞补丁,或按照一些入侵检测系统来防范这些木马程序的攻击。
3用网站服务器系统漏洞
(1)基于的网页木马防范。基于的网页木马防范是在页面被客户端浏览器加载之前,在一个 shadow 环境(即)中对页面进行一定的检测或处理。主要可以从几个方面着手:一是“检测-阻断”式的网页木马防范方法,这种方法是在处进行网页木马检测;二是基于脚本重写的网页木马防范方法;三是基于浏览器不安全功能隔离的网页木马防范方法。这种方法主要由来解析页面并执行脚本,它需要大量的时间,在实际应用中难以适应。(2)基于客户端网页木马防范。基于客户端网页木马防范主要应用在客户端,比较常见的方法有URL 黑名单过滤、浏览器安全加固、操作系统安全扩展等。通过Google来检测索引库中的页面,生成一个URL黑名单,然后Google的搜索引擎会将URL黑名单中的搜索结果进行标记。浏览器安全加固是通过在浏览器中增加一些检测功能来对浏览器进行安全加固,操作系统安全扩展主要用来阻断网页木马攻击流程中未经用户授权的恶意可执行文件下载、安装/执行环节。
4 总结
网络木马是恶意程序在网络中传播的一种常见方式,它主要是通过网络客户端对服务器的访问,利用系统安全漏洞隐蔽的将网页木马恶意程序植入到客户端,客户端通过浏览网页,执行恶意程序后感染木马病毒,给计算机用户带来严重危害,基于Web的被动攻击模式能将网页木马感染到大量的客户端,它具有隐蔽性高、传染快等特点,因此,安全研究人员必须对网页木马高度重视,应针对网页木马的机理、特征进行多方面的研究,才能针对其结果做出相应的防范措施,避免网页木马的扩散与传播,对于网络安全人员来说,网页木马的防范工作将是一项任重而道远的工作。
木马检测范文第5篇
【关键词】扫描 权限后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配
找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。
2.统计分析
预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析
若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法
由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查
对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查
对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术
通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法
检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法
文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
3.系统资源监测法
系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
4.协议分析法
协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
参考文献
