1. 計算機網路安全漏洞及防範開題報告
1. 背景和意義
隨著計算機的發展,人們越來越意識到網路的重要性,通過網路,分散在各處的計算機被網路聯系在一起。做為網路的組成部分,把眾多的計算機聯系在一起,組成一個區域網,在這個區域網中,可以在它們之間共享程序、文檔等各種資源;還可以通過網路使多台計算機共享同一硬體,如列印機、數據機等;同時我們也可以通過網路使用計算機發送和接收傳真,方便快捷而且經濟。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網路社會的時候,我國將建立起一套完整的網路安全體系,特別是從政策上和法律上建立起有中國自己特色的網路安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平台。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網路安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網路安全技術的整體提高。
網路安全產品有以下幾大特點:第一,網路安全來源於安全策略與技術的多樣化,如果採用一種統一的技術和策略也就不安全了;第二,網路的安全機制與技術要不斷地變化;第三,隨著網路在社會個方面的延伸,進入網路的手段也越來越多,因此,網路安全技術是一個十分復雜的系統工程。為此建立有中國特色的網路安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對於這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。第二章網路安全現狀
2.網路安全面臨的挑戰
網路安全可能面臨的挑戰
垃圾郵件數量將變本加厲。
根據電子郵件安全服務提供商Message Labs公司最近的一份報告,預計2003年全球垃圾郵件數量的增長率將超過正常電子郵件的增長率,而且就每封垃圾郵件的平均容量來說,也將比正常的電子郵件要大得多。這無疑將會加大成功狙擊垃圾郵件的工作量和難度。目前還沒有安裝任何反垃圾郵件軟體的企業公司恐怕得早做未雨綢繆的工作,否則就得讓自己的員工們在今後每天不停地在鍵盤上按動「刪除鍵」了。另外,反垃圾郵件軟體也得不停升級,因為目前垃圾郵件傳播者已經在實行「打一槍換一個地方」的游擊戰術了。
即時通訊工具照樣難逃垃圾信息之劫。
即時通訊工具以前是不大受垃圾信息所干擾的,但現在情況已經發生了很大的變化。垃圾郵件傳播者會通過種種手段清理搜集到大量的網路地址,然後再給正處於即時通訊狀態的用戶們發去信息,誘導他們去訪問一些非法收費網站。更令人頭疼的是,目前一些推銷合法產品的廠家也在使用這種讓人厭煩的手段來讓網民們上鉤。目前市面上還沒有任何一種反即時通訊干擾信息的軟體,這對軟體公司來說無疑也是一個商機。
內置防護軟體型硬體左右為難。
現在人們對網路安全問題受重視的程度也比以前大為提高。這種意識提高的表現之一就是許多硬體設備在出廠前就內置了防護型的軟體。這種做法雖然前幾年就已經出現,預計在今後的幾年中將會成為一種潮流。但這種具有自護功能的硬體產品卻正遭遇著一種尷尬,即在有人歡迎這種產品的同時,也有人反對這樣的產品。往好處講,這種硬體產品更容易安裝,整體價格也相對低廉一些。但它也有自身的弊端:如果企業用戶需要更為專業化的軟體服務時,這種產品就不會有很大的彈性區間。
企業用戶網路安全維護范圍的重新界定。
目前各大企業公司的員工們在家裡通過寬頻接入而登錄自己公司的網路系統已經是一件很尋常的事情了。這種工作新方式的出現同樣也為網路安全帶來了新問題,即企業用戶網路安全維護范圍需要重新界定。因為他們都是遠程登錄者,並沒有納入傳統的企業網路安全維護的「勢力范圍」之內。另外,由於來自網路的攻擊越來越嚴重,許多企業用戶不得不將自己網路系統內的每一台PC機都裝上防火牆、反侵入系統以及反病毒軟體等一系列的網路安全軟體。這同樣也改變了以往企業用戶網路安全維護范圍的概念。
個人的信用資料。
個人信用資料在公眾的日常生活中占據著重要的地位。以前的網路犯罪者只是通過網路竊取個人用戶的信用卡賬號,但隨著網上竊取個人信用資料的手段的提高,預計2003年這種犯罪現象將會發展到全面竊取美國公眾的個人信用資料的程度。如網路犯罪者可以對你的銀行存款賬號、社會保險賬號以及你最近的行蹤都能做到一覽無余。如果不能有效地遏制這種犯罪趨勢,無疑將會給美國公眾的日常人生活帶來極大的負面影響。
3.病毒現狀
互聯網的日漸普及使得我們的日常生活不斷網路化,但與此同時網路病毒也在繼續肆虐威脅泛濫。在過去的六個月內,互聯網安全飽受威脅,黑客蠕蟲入侵問題越來越嚴重,已成泛濫成災的趨勢。
2003年8月,沖擊波蠕蟲在視窗暴露安全漏洞短短26天之後噴涌而出,8天內導致全球電腦用戶損失高達20億美元之多,無論是企業系統或家庭電腦用戶無一倖免。
據最新出爐的賽門鐵克互聯網安全威脅報告書(Symantec Internet Security Threat Report)顯示,在2003年上半年,有超過994種新的Win32病毒和蠕蟲被發現,這比2002年同時期的445種多出一倍有餘。而目前Win32病毒的總數大約是4千個。在2001年的同期,只有308種新Win32病毒被發現。
這份報告是賽門鐵克在今年1月1日至6月31日之間,針對全球性的網路安全現狀,提出的最為完整全面的威脅趨勢分析。受訪者來自世界各地500名安全保護管理服務用戶,以及2萬個DeepSight威脅管理系統偵察器所探測的數據。
賽門鐵克高級區域董事羅爾威爾申在記者通氣會上表示,微軟雖然擁有龐大的用戶市佔率,但是它的漏洞也非常的多,成為病毒目標是意料中事。
他指出,開放源碼如Linux等之所以沒有受到太多病毒蠕蟲的襲擊,完全是因為使用者太少,以致於病毒製造者根本沒有把它不放在眼裡。他舉例說,劫匪當然知道要把目標鎖定在擁有大量現金的銀行,所以他相信隨著使用Linux平台的用戶數量的增加,慢慢地將會有針對Linux的病毒和蠕蟲出現。
不過,他不同意開放源碼社群的合作精神將能有效地對抗任何威脅的襲擊。他說,只要是將源碼暴露在外,就有可能找出其安全漏洞,而且世上不是全是好人,不懷好意的人多的是。
即時通訊病毒4倍增長
賽門鐵克互聯網安全威脅報告書指出,在2003年上半年使用諸如ICQ之類即時通訊軟體(Instant Messaging,IM)和對等聯網(P2P)來傳播的病毒和蠕蟲比2002年增加了400%,在50大病毒和蠕蟲排行榜中,使用IM和P2P來傳播的惡意代碼共有19個。據了解,IM和P2P是網路安全保護措施不足導致但這並不是主因,主因在於它們的流行廣度和使用者的無知。
該報告顯示,該公司在今年上半年發現了1千432個安全漏洞,比去年同時期的1千276個安全漏洞,增加了12%。其中80%是可以被人遙控的,因此嚴重型的襲擊可以通過網路來進行,所以賽門鐵克將這類可遙控的漏洞列為中度至高度的嚴重危險。另外,今年上半年的新中度嚴重漏洞增加了21%、高度嚴重漏洞則增加了6%,但是低度嚴重漏洞則減少了11%。
至於整數錯誤的漏洞也有增加的趨勢,今年的19例比起去年同期的3例,增加了16例。微軟的互聯網瀏覽器漏洞在今年上半年也有12個,而微軟的互聯網資訊伺服器的漏洞也是非常的多,賽門鐵克相信它將是更多襲擊的目標;以前襲擊它的有尼姆達(Nimda)和紅色代碼(Code Red)。
該報告顯示了64%的襲擊是針對軟體新的安全漏洞(少過1年的發現期),顯示了病毒製造者對漏洞的反應越來越快了。以Blaster沖擊波為例,就是在Windows安全漏洞被發現短短26天後出現的。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少,今年上半年的知名威脅比去年同期增加了20%,有60%的惡意代碼(Malicious Code)是知名病毒。今年1月在短短數小時內造成全球性的癱瘓的Slammer蠕蟲,正是針對2002年7月所發現的安全漏洞。另外,針對機密信息的襲擊也比去年上半年增加了50%,Bugbear.B就是一個專鎖定銀行的蠕蟲。
黑客病毒特徵
賽門鐵克互聯網安全威脅報告書中也顯現了有趣的數據,比如周末的襲擊有比較少的趨向,這與去年同期的情況一樣。
雖然如此,周末兩天加上來也有大約20%,這可能是襲擊者會認為周末沒人上班,會比較疏於防備而有機可乘。賽門鐵克表示這意味著網路安全保護監視並不能因為周末休息而有所放鬆。
該報告書也比較了蠕蟲類和非蠕蟲類襲擊在周末的不同趨勢,非蠕蟲類襲擊在周末會有下降的趨勢,而蠕蟲類襲擊還是保持平時的水平。蠕蟲雖然不管那是星期幾,但是有很多因素也能影響它傳播的率,比如周末少人開機,確對蠕蟲的傳播帶來一些影響。
該報告書也得出了在互聯網中病毒襲擊發生的高峰時間,是格林威治時間下午1點至晚上10點之間。雖然如此,各國之間的時差關系,各國遭到襲擊的高峰時間也會有少許不同。比如說,華盛頓襲擊高峰時間是早上8時和下午5時,而日本則是早上10時和晚上7時。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少,今年上半年的知名威脅比去年同期增加了20%,有60%的惡意代碼(Malicious Code)是知名病毒。今年1月在短短數小時內造成全球性的癱瘓的Slammer蠕蟲,正是針對2002年7月所發現的安全漏洞。另外,針對機密信息的襲擊也比去年上半年增加了50%,Bugbear.B就是一個專鎖定銀行的蠕蟲。管理漏洞---如兩台伺服器同一用戶/密碼,則入侵了A伺服器,B伺服器也不能倖免;軟體漏洞---如Sun系統上常用的Netscape EnterPrise Server服務,只需輸入一個路徑,就可以看到Web目錄下的所有文件清單;又如很多程序只要接受到一些異常或者超長的數據和參數,就會導致緩沖區溢出;結構漏洞---比如在某個重要網段由於交換機、集線器設置不合理,造成黑客可以監聽網路通信流的數據;又如防火牆等安全產品部署不合理,有關安全機制不能發揮作用,麻痹技術管理人員而釀成黑客入侵事故;信任漏洞---比如本系統過分信任某個外來合作夥伴的機器,一旦這台合作夥伴的機器被黑客入侵,則本系統的安全受嚴重威脅;
綜上所述,一個黑客要成功入侵系統,必須分析各種和這個目標系統相關的技術因素、管理因素和人員因素。
因此得出以下結論:
a、世界上沒有絕對安全的系統;b、網路上的威脅和攻擊都是人為的,系統防守和攻擊的較量無非是人的較量;c、特定的系統具備一定安全條件,在特定環境下,在特定人員的維護下是易守難攻的;d、網路系統內部軟硬體是隨著應用的需要不斷發展變化的;網路系統外部的威脅、新的攻擊模式層出不窮,新的漏洞不斷出現,攻擊手段的花樣翻新,網路系統的外部安全條件也是隨著時間的推移而不斷動態變化的。
一言以蔽之,網路安全是相對的,是相對人而言的,是相對系統和應用而言的,是相對時間而言的。 4,安全防禦體系
3.1.2
現代信息系統都是以網路支撐,相互聯接,要使信息系統免受黑客、病毒的攻擊,關鍵要建立起安全防禦體系,從信息的保密性(保證信息不泄漏給未經授權的人),拓展到信息的完整性(防止信息被未經授權的篡改,保證真實的信息從真實的信源無失真地到達真實的信宿)、信息的可用性(保證信息及信息系統確實為授權使用者所用,防止由於計算機病毒或其它人為因素造成的系統拒絕服務,或為敵手可用)、信息的可控性(對信息及信息系統實施安全監控管理)、信息的不可否認性(保證信息行為人不能否認自己的行為)等。
安全防禦體系是一個系統工程,它包括技術、管理和立法等諸多方面。為了方便,我們把它簡化為用三維框架表示的結構。其構成要素是安全特性、系統單元及開放互連參考模型結構層次。
安全特性維描述了計算機信息系統的安全服務和安全機制,包括身份鑒別、訪問控制、數據保密、數據完整、防止否認、審計管理、可用性和可靠性。採取不同的安全政策或處於不同安全保護等級的計算機信息系統可有不同的安全特性要求。系統單元維包括計算機信息系統各組成部分,還包括使用和管理信息系統的物理和行政環境。開放系統互連參考模型結構層次維描述了等級計算機信息系統的層次結構。
該框架是一個立體空間,突破了以往單一功能考慮問題的舊模式,是站在頂層從整體上進行規劃的。它把與安全相關的物理、規章及人員等安全要素都容納其中,涉及系統保安和人員的行政管理等方面的各種法令、法規、條例和制度等均在其考慮之列。
另外,從信息戰出發,消極的防禦是不夠的,應是攻防並重,在防護基礎上檢測漏洞、應急反應和迅速恢復生成是十分必要的。
目前,世界各國都在抓緊加強信息安全防禦體系。美國在2000年1月到2003年5月實行《信息系統保護國家計劃V1.0》,從根本上提高防止信息系統入侵和破壞能力。我國急切需要強化信息安全保障體系,確立我軍的信息安全戰略和防禦體系。這既是時代的需要,也是國家安全戰略和軍隊發展的需要,更是現實斗爭的需要,是擺在人們面前刻不容緩的歷史任務。 5加密技術
密碼理論與技術主要包括兩部分,即基於數學的密碼理論與技術(包括公鑰密碼、分組密碼、序列密碼、認證碼、數字簽名、Hash函數、身份識別、密鑰管理、PKI技術等)和非數學的密碼理論與技術(包括信息隱形,量子密碼,基於生物特徵的識別理論與技術)。
自從1976年公鑰密碼的思想提出以來,國際上已經提出了許多種公鑰密碼體制,但比較流行的主要有兩類:一類是基於大整數因子分解問題的,其中最典型的代表是RSA;另一類是基於離散對數問題的,比如ElGamal公鑰密碼和影響比較大的橢圓曲線公鑰密碼。由於分解大整數的能力日益增強,所以對RSA的安全帶來了一定的威脅。目前768比特模長的RSA已不安全。一般建議使用1024比特模長,預計要保證20年的安全就要選擇1280比特的模長,增大模長帶來了實現上的難度。而基於離散對數問題的公鑰密碼在目前技術下512比特模長就能夠保證其安全性。特別是橢圓曲線上的離散對數的計算要比有限域上的離散對數的計算更困難,目前技術下只需要160比特模長即可,適合於智能卡的實現,因而受到國內外學者的廣泛關注。國際上制定了橢圓曲線公鑰密碼標准IEEEP1363,RSA等一些公司聲稱他們已開發出了符合該標準的橢圓曲線公鑰密碼。我國學者也提出了一些公鑰密碼,另外在公鑰密碼的快速實現方面也做了一定的工作,比如在RSA的快速實現和橢圓曲線公鑰密碼的快速實現方面都有所突破。公鑰密碼的快速實現是當前公鑰密碼研究中的一個熱點,包括演算法優化和程序優化。另一個人們所關注的問題是橢圓曲線公鑰密碼的安全性論證問題。
公鑰密碼主要用於數字簽名和密鑰分配。當然,數字簽名和密鑰分配都有自己的研究體系,形成了各自的理論框架。目前數字簽名的研究內容非常豐富,包括普通簽名和特殊簽名。特殊簽名有盲簽名,代理簽名,群簽名,不可否認簽名,公平盲簽名,門限簽名,具有消息恢復功能的簽名等,它與具體應用環境密切相關。顯然,數字簽名的應用涉及到法律問題,美國聯邦政府基於有限域上的離散對數問題制定了自己的數字簽名標准(DSS),部分州已制定了數字簽名法。法國是第一個制定數字簽名法的國家,其他國家也正在實施之中。在密鑰管理方面,國際上都有一些大的舉動,比如1993年美國提出的密鑰託管理論和技術、國際標准化組織制定的X.509標准(已經發展到第3版本)以及麻省里工學院開發的Kerboros協議(已經發展到第5版本)等,這些工作影響很大。密鑰管理中還有一種很重要的技術就是秘密共享技術,它是一種分割秘密的技術,目的是阻止秘密過於集中,自從1979年Shamir提出這種思想以來,秘密共享理論和技術達到了空前的發展和應用,特別是其應用至今人們仍十分關注。我國學者在這些方面也做了一些跟蹤研究,發表了很多論文,按照X.509標准實現了一些CA。但沒有聽說過哪個部門有制定數字簽名法的意向。目前人們關注的是數字簽名和密鑰分配的具體應用以及潛信道的深入研究。
認證碼是一個理論性比較強的研究課題,自80年代後期以來,在其構造和界的估計等方面已經取得了長足的發展,我國學者在這方面的研究工作也非常出色,影響較大。目前這方面的理論相對比較成熟,很難有所突破。另外,認證碼的應用非常有限,幾乎停留在理論研究上,已不再是密碼學中的研究熱點。
Hash函數主要用於完整性校驗和提高數字簽名的有效性,目前已經提出了很多方案,各有千秋。美國已經制定了Hash標准-SHA-1,與其數字簽名標准匹配使用。由於技術的原因,美國目前正准備更新其Hash標准,另外,歐洲也正在制定Hash標准,這必然導致Hash函數的研究特別是實用技術的研究將成為熱點。
信息交換加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有密鑰未曾泄露,那麼機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那麼他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密後傳送給對方的。如三重DES是DES(數據加密標准)的一種變形,這種方法使用兩個獨立的56為密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
3.RSA演算法
RSA演算法是Rivest、Shamir和Adleman於1977年提出的第一個完善的公鑰密碼體制,其安全性是基於分解大整數的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的演算法來分解兩大素數之積。RSA演算法的描述如下:
公開密鑰:n=pq(p、q分別為兩個互異的大素數,p、q必須保密)
2. 僵屍網路是什麼
僵屍網路
Botnet
僵屍網路是指採用一種或多種傳播手段,將大量主機感染bot程序(僵屍程序),從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。
在Botnet的概念中有這樣幾個關鍵詞。「bot程序」是robot的縮寫,是指實現惡意控制功能的程序代碼;「僵屍計算機」就是被植入bot的計算機;「控制伺服器(Control Server)」是指控制和通信的中心伺服器,在基於IRC(網際網路中繼聊天)協議進行控制的Botnet中,就是指提供IRC聊天服務的伺服器。
Botnet
首先是一個可控制的網路,這個網路並不是指物理意義上具有拓撲結構的網路,它具有一定的分布性,隨著bot程序的不斷傳播而不斷有新位置的僵屍計算機添加到這個網路中來。
其次,這個網路是採用了一定的惡意傳播手段形成的,例如主動漏洞攻擊,郵件病毒等各種病毒與蠕蟲的傳播手段,都可以用來進行Botnet的傳播,從這個意義上講,惡意程序bot也是一種病毒或蠕蟲。
最後一點,也是Botnet的最主要的特點,就是可以一對多地執行相同的惡意行為,比如可以同時對某目標網站進行分布式拒絕服務(DDos)攻擊,同時發送大量的垃圾郵件等,而正是這種一對多的控制關系,使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務,這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候,Botnet充當了一個攻擊平台的角色,這也就使得Botnet不同於簡單的病毒和蠕蟲,也與通常意義的木馬有所不同。
僵屍網路是互聯網上受到黑客集中控制的一群計算機,往往被黑客用來發起大規模的網路攻擊,如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等,同時黑客控制的這些計算機所保存的信息,譬如銀行帳戶的密碼與社會安全號碼等也都可被黑客隨意「取用」。因此,不論是對網路安全運行還是用戶數據安全的保護來說,僵屍網路都是極具威脅的隱患。僵屍網路的威脅也因此成為目前一個國際上十分關注的問題。然而,發現一個僵屍網路是非常困難的,因為黑客通常遠程、隱蔽地控制分散在網路上的「僵屍主機」,這些主機的用戶往往並不知情。因此,僵屍網路是目前互聯網上黑客最青睞的作案工具。
對網友而言,感染上「僵屍病毒」卻十分容易。網路上搔首弄姿的美女、各種各樣有趣的小游戲,都在吸引著網友輕輕一點滑鼠。但事實上,點擊之後毫無動靜,原來一切只是騙局,意在誘惑網友下載有問題的軟體。一旦這種有毒的軟體進入到網友電腦,遠端主機就可以發號施令,對電腦進行操控。
專家表示,每周平均新增數十萬台任人遙控的僵屍電腦,任憑遠端主機指揮,進行各種不法活動。多數時候,僵屍電腦的根本不曉得自己已被選中,任人擺布。
僵屍網路之所以出現,在家高速上網越來越普遍也是原因。高速上網可以處理(或製造)更多的流量,但高速上網家庭習慣將電腦長時間開機,唯有電腦開機,遠端主機才可以對僵屍電腦發號施令。
網路專家稱:「重要的硬體設施雖然非常重視殺毒、防黑客,但網路真正的安全漏洞來自於住家用戶,這些個體戶欠缺自我保護的知識,讓網路充滿地雷,進而對其他用戶構成威脅。」
Botnet的發展過程
Botnet是隨著自動智能程序的應用而逐漸發展起來的。在早期的IRC聊天網路中,有一些服務是重復出現的,如防止頻道被濫用、管理許可權、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。於是在1993 年,在IRC 聊天網路中出現了Bot 工具——Eggdrop,這是第一個bot程序,能夠幫助用戶方便地使用IRC 聊天網路。這種bot的功能是良性的,是出於服務的目的,然而這個設計思路卻為黑客所利用,他們編寫出了帶有惡意的Bot 工具,開始對大量的受害主機進行控制,利用他們的資源以達到惡意目標。
20世紀90年代末,隨著分布式拒絕服務攻擊概念的成熟,出現了大量分布式拒絕服務攻擊工具如TFN、TFN2K和Trinoo,攻擊者利用這些工具控制大量的被感染主機,發動分布式拒絕服務攻擊。而這些被控主機從一定意義上來說已經具有了Botnet的雛形。
1999 年,在第八屆DEFCON 年會上發布的SubSeven 2.1 版開始使用IRC 協議構建攻擊者對僵屍主機的控制信道,也成為第一個真正意義上的bot程序。隨後基於IRC協議的bot程序的大量出現,如GTBot、Sdbot 等,使得基於IRC協議的Botnet成為主流。
2003 年之後,隨著蠕蟲技術的不斷成熟,bot的傳播開始使用蠕蟲的主動傳播技術,從而能夠快速構建大規模的Botnet。著名的有2004年爆發的Agobot/Gaobot 和rBot/Spybot。同年出現的Phatbot 則在Agobot 的基礎上,開始獨立使用P2P 結構構建控制信道。
從良性bot的出現到惡意bot的實現,從被動傳播到利用蠕蟲技術主動傳播,從使用簡單的IRC協議構成控制信道到構建復雜多變P2P結構的控制模式,Botnet逐漸發展成規模龐大、功能多樣、不易檢測的惡意網路,給當前的網路安全帶來了不容忽視的威脅。
Botnet的工作過程
Botnet的工作過程包括傳播、加入和控制三個階段。
一個Botnet首先需要的是具有一定規模的被控計算機,而這個規模是逐漸地隨著採用某種或某幾種傳播手段的bot程序的擴散而形成的,在這個傳播過程中有如下幾種手段:
(1)主動攻擊漏洞。其原理是通過攻擊系統所存在的漏洞獲得訪問權,並在Shellcode 執行bot程序注入代碼,將被攻擊系統感染成為僵屍主機。屬於此類的最基本的感染途徑是攻擊者手動地利用一系列黑客工具和腳本進行攻擊,獲得許可權後下載bot程序執行。攻擊者還會將僵屍程序和蠕蟲技術進行結合,從而使bot程序能夠進行自動傳播,著名的bot樣本AgoBot,就是實現了將bot程序的自動傳播。
(2)郵件病毒。bot程序還會通過發送大量的郵件病毒傳播自身,通常表現為在郵件附件中攜帶僵屍程序以及在郵件內容中包含下載執行bot程序的鏈接,並通過一系列社會工程學的技巧誘使接收者執行附件或點擊鏈接,或是通過利用郵件客戶端的漏洞自動執行,從而使得接收者主機被感染成為僵屍主機。
(3)即時通信軟體。利用即時通信軟體向好友列表發送執行僵屍程序的鏈接,並通過社會工程學技巧誘騙其點擊,從而進行感染,如2005年年初爆發的MSN性感雞(Worm.MSNLoveme)採用的就是這種方式。
(4)惡意網站腳本。攻擊者在提供Web服務的網站中在HTML頁面上綁定惡意的腳本,當訪問者訪問這些網站時就會執行惡意腳本,使得bot程序下載到主機上,並被自動執行。
(5)特洛伊木馬。偽裝成有用的軟體,在網站、FTP 伺服器、P2P 網路中提供,誘騙用戶下載並執行。
通過以上幾種傳播手段可以看出,在Botnet的形成中傳播方式與蠕蟲和病毒以及功能復雜的間諜軟體很相近。
在加入階段,每一個被感染主機都會隨著隱藏在自身上的bot程序的發作而加入到Botnet中去,加入的方式根據控制方式和通信協議的不同而有所不同。在基於IRC協議的Botnet中,感染bot程序的主機會登錄到指定的伺服器和頻道中去,在登錄成功後,在頻道中等待控制者發來的惡意指令。圖2為在實際的Botnet中看到的不斷有新的bot加入到Botnet中的行為。
在控制階段,攻擊者通過中心伺服器發送預先定義好的控制指令,讓被感染主機執行惡意行為,如發起DDos攻擊、竊取主機敏感信息、更新升級惡意程序等。圖3為觀測到的在控制階段向內網傳播惡意程序的Botnet行為。
Botnet的分類
Botnet根據分類標準的不同,可以有許多種分類。
按bot程序的種類分類
(1)Agobot/Phatbot/Forbot/XtremBot。這可能是最出名的僵屍工具。防病毒廠商Spphos 列出了超過500種已知的不同版本的Agobot(Sophos 病毒分析),這個數目也在穩步增長。僵屍工具本身使用跨平台的C++寫成。Agobot 最新可獲得的版本代碼清晰並且有很好的抽象設計,以模塊化的方式組合,添加命令或者其他漏洞的掃描器及攻擊功能非常簡單,並提供像文件和進程隱藏的Rootkit 能力在攻陷主機中隱藏自己。在獲取該樣本後對它進行逆向工程是比較困難的,因為它包含了監測調試器(Softice 和O11Dbg)和虛擬機(VMware 和Virtual PC)的功能。
(2)SDBot/RBot/UrBot/SpyBot/。這個家族的惡意軟體目前是最活躍的bot程序軟體,SDBot 由C語言寫成。它提供了和Agobot 一樣的功能特徵,但是命令集沒那麼大,實現也沒那麼復雜。它是基於IRC協議的一類bot程序。
(3)GT-Bots。GT-Bots是基於當前比較流行的IRC客戶端程序mIRC編寫的,GT是(Global Threat)的縮寫。這類僵屍工具用腳本和其他二進制文件開啟一個mIRC聊天客戶端, 但會隱藏原mIRC窗口。通過執行mIRC 腳本連接到指定的伺服器頻道上,等待惡意命令。這類bot程序由於捆綁了mIRC程序,所以體積會比較大,往往會大於1MB。
按Botnet的控制方式分類
(1)IRC Botnet。是指控制和通信方式為利用IRC協議的Botnet,形成這類Botnet的主要bot程序有spybot、GTbot和SDbot,目前絕大多數Botnet屬於這一類別。
(2)AOL Botnet。與IRC Bot類似,AOL為美國在線提供的一種即時通信服務,這類Botnet是依託這種即時通信服務形成的網路而建立的,被感染主機登錄到固定的伺服器上接收控制命令。AIM-Canbot和Fizzer就採用了AOL Instant Messager實現對Bot的控制。
(3)P2P Botnet。這類Botnet中使用的bot程序本身包含了P2P的客戶端,可以連入採用了Gnutella技術(一種開放源碼的文件共享技術)的伺服器,利用WASTE文件共享協議進行相互通信。由於這種協議分布式地進行連接,就使得每一個僵屍主機可以很方便地找到其他的僵屍主機並進行通信,而當有一些bot被查殺時,並不會影響到Botnet的生存,所以這類的Botnet具有不存在單點失效但實現相對復雜的特點。Agobot和Phatbot採用了P2P的方式。
Botnet的危害
Botnet構成了一個攻擊平台,利用這個平台可以有效地發起各種各樣的攻擊行為,可以導致整個基礎信息網路或者重要應用系統癱瘓,也可以導致大量機密或個人隱私泄漏,還可以用來從事網路欺詐等其他違法犯罪活動。下面是已經發現的利用Botnet發動的攻擊行為。隨著將來出現各種新的攻擊類型,Botnet還可能被用來發起新的未知攻擊。
(1)拒絕服務攻擊。使用Botnet發動DDos攻擊是當前最主要的威脅之一,攻擊者可以向自己控制的所有bots發送指令,讓它們在特定的時間同時開始連續訪問特定的網路目標,從而達到DDos的目的。由於Botnet可以形成龐大規模,而且利用其進行DDos攻擊可以做到更好地同步,所以在發布控制指令時,能夠使得DDos的危害更大,防範更難。
(2)發送垃圾郵件。一些bots會設立sockv4、v5 代理,這樣就可以利用Botnet發送大量的垃圾郵件,而且發送者可以很好地隱藏自身的IP信息。
(3)竊取秘密。Botnet的控制者可以從僵屍主機中竊取用戶的各種敏感信息和其他秘密,例如個人帳號、機密數據等。同時bot程序能夠使用sniffer觀測感興趣的網路數據,從而獲得網路流量中的秘密。
(4)濫用資源。攻擊者利用Botnet從事各種需要耗費網路資源的活動,從而使用戶的網路性能受到影響,甚至帶來經濟損失。例如:種植廣告軟體,點擊指定的網站;利用僵屍主機的資源存儲大型數據和違法數據等,利用僵屍主機搭建假冒的銀行網站從事網路釣魚的非法活動。
可以看出,Botnet無論是對整個網路還是對用戶自身,都造成了比較嚴重的危害,我們要採取有效的方法減少Botnet的危害。
Botnet的研究現狀
對於Botnet的研究是最近幾年才逐漸開始的,從反病毒公司到學術研究機構都做了相關的研究工作。最先研究和應對Botnet的是反病毒廠商。它們從bot程序的惡意性出發,將其視為一種由後門工具、蠕蟲、Spyware 等技術結合的惡意軟體而歸入了病毒的查殺范圍。著名的各大反病毒廠商都將幾個重要的bot程序特徵碼寫入到病毒庫中。賽門鐵克從2004 年開始,在其每半年發布一次的安全趨勢分析報告中,以單獨的章節給出對Botnet活動的觀測結果。卡巴斯基也在惡意軟體趨勢分析報告中指出,僵屍程序的盛行是2004年病毒領域最重大的變化。
學術界在2003年開始關注Botnet的發展。國際上的一些蜜網項目組和蜜網研究聯盟的一些成員使用蜜網分析技術對Botnet的活動進行深入跟蹤和分析,如Azusa Pacific大學的Bill McCarty、法國蜜網項目組的Richard Clarke、華盛頓大學Dave Dittrich和德國蜜網項目組。特別是德國蜜網項目組在2004年11月到2005 年1月通過部署Win32蜜罐機發現並對近100個Botnet進行了跟蹤,並發布了Botnet跟蹤的技術報告。
Botnet的一個主要威脅是作為攻擊平台對指定的目標發起DDos(分布式拒絕服務攻擊)攻擊,所以DDos的研究人員同樣也做了對Botnet的研究工作。由國外DDosVax組織的「Detecting Bots in Internet Relay Chat Systems」項目中,分析了基於IRC協議的bot程序的行為特徵,在網路流量中擇選出對應關系,從而檢測出Botnet的存在。該組織的這個研究方法通過在plantlab中搭建一個Botnet的實驗環境來進行測試,通過對得到的數據進行統計分析,可以有效驗證關於Botnet特徵流量的分析結果,但存在著一定的誤報率。
國內在2005年時開始對Botnet有初步的研究工作。北京大學計算機科學技術研究所在2005年1月開始實施用蜜網跟蹤Botnet的項目,對收集到的惡意軟體樣本,採用了沙箱、蜜網這兩種各有優勢的技術對其進行分析,確認其是否為僵屍程序,並對僵屍程序所要連接的Botnet控制信道的信息進行提取,最終獲得了60,000 多個僵屍程序樣本分析報告,並對其中500多個仍然活躍的Botnet進行跟蹤,統計出所屬國分布、規模分布等信息。
國家應急響應中心通過863-917網路安全監測平台,在2005年共監測到的節點大於1000個的Botnet規模與數量統計如圖4所示。
這些數據和活動情況都說明,我國國內網上的Botnet的威脅比較嚴重,需要引起網路用戶的高度重視。
CCERT惡意代碼研究項目組在2005年7月開始對Botnet的研究工作,通過對大量已經掌握的Botnet的實際跟蹤與深入分析,對基於IRC協議的Botnet的伺服器端的特徵進行了分類提取,形成對於Botnet 伺服器端的判斷規則,從而可以對網路中的IRC Server進行性質辨別。設計並初步實現了Botnet自動識別系統,應用於中國教育和科研計算機網路環境中。
可以看出,從國內到國外,自2004年以來對Botnet的研究越來越多地受到網路安全研究人員的重視,研究工作已經大大加強。但是這些工作還遠遠不夠,在檢測和處置Botnet方面還有許多工作要做。
Botnet的研究方法
對於目前比較流行的基於IRC協議的Botnet的研究方法,主要使用蜜網技術、網路流量研究以及IRC Server識別技術。
(1)使用蜜網技術。蜜網技術是從bot程序出發的,可以深入跟蹤和分析Botnet的性質和特徵。主要的研究過程是,首先通過密罐等手段盡可能多地獲得各種流傳在網上的bot程序樣本;當獲得bot程序樣本後,採用逆向工程等惡意代碼分析手段,獲得隱藏在代碼中的登錄Botnet所需要的屬性,如Botnet伺服器地址、服務埠、指定的惡意頻道名稱及登錄密碼,以及登錄所使用到的用戶名稱,這些信息都為今後有效地跟蹤Botnet和深入分析Botnet的特徵提供了條件。在具備了這些條件之後,使用偽裝的客戶端登錄到Botnet中去,當確認其確實為Botnet後,可以對該Botnet採取相應的措施。
(2)網路流量研究。網路流量的研究思路是通過分析基於IRC協議的Botnet中僵屍主機的行為特徵,將僵屍主機分為兩類:長時間發呆型和快速加入型。具體來說就是僵屍主機在Botnet中存在著三個比較明顯的行為特徵,一是通過蠕蟲傳播的僵屍程序,大量的被其感染計算機會在很短的時間內加入到同一個IRC Server中;二是僵屍計算機一般會長時間在線;三是僵屍計算機作為一個IRC聊天的用戶,在聊天頻道內長時間不發言,保持空閑。將第一種行為特徵歸納為快速加入型,將第二、三種行為特徵歸納為長期發呆型。
研究對應這兩類僵屍計算機行為的網路流量變化,使用離線和在線的兩種分析方法,就可以實現對Botnet的判斷。
(3)IRC Server識別技術的研究。通過登錄大量實際的基於IRC協議的Botnet的伺服器端,可以看到,由於攻擊者為了隱藏自身而在伺服器端刻意隱藏了IRC伺服器的部分屬性。同時,通過對bot源代碼的分析看到,當被感染主機加入到控制伺服器時,在伺服器端能夠表現出許多具有規律性的特徵。通過對這些特徵的歸納總結,就形成了可以用來判斷基於IRC協議的Botnet的伺服器端的規則,這樣就可以直接確定出Botnet的位置及其規模、分布等性質,為下一步採取應對措施提供有力的定位支持。
以上三種研究方法都是針對基於IRC協議的Botnet。對於P2P結構的Botnet的研究較少,原因是由於其實現比較復雜,在網路中並不佔有太大比例,同時也因為其在控制方式上的分布性使得對它的研究比較困難。但隨著Botnet的發展,對於P2P結構的Botnet的研究也將進一步深入。
3. 惡意代碼是什麼
惡意代碼是什專么屬:
http://..com/question/8301291.html
4. 這樣顯示隱藏文件夾(注冊表方法)
以下是我看得一篇文章,你看一下,然後自己做出判斷吧...
全面剖析3721及上網助手
作者:合肥工業大學 imxk 發文時間:2005.06.27
3721真的能夠卸載干凈嗎?
3721真的僅僅是一個中文上網這么簡單嗎?
3721對網路甚至對國家安全的危害僅僅是您目前所認識到的嗎?
3721自稱的「詳細技術情況」真的給您知情權了嗎?
3721上網助手真的是您的什麼「助手」嗎?
全面揭露 觸目驚心!
3721作為一種可自動安裝的、普及率極廣的一種網路程序,近年來對之的爭議頗多。本文試圖從安裝、卸載、服務、系統影響等各個方面列舉系列客觀事實,有關觀點僅代表筆者個人意見,拿出來與大方之家商榷,相信大家見仁見智各有自己的結論,同時也希望以此引起有關部門的注意。
測試環境:VMWare虛擬機,共享主機連接,以獨立的公網IP 地址上網;操作系統為Windows XP Pro SP2,默認安裝,僅以直接復制的方式拷貝了測試所必須的文件管理程序Total Commander、注冊表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點五筆輸入法,未安裝其他任何軟體。另外,部分圖片為節省篇幅採用了以重疊的方式顯示多幅圖片內容。
一、3721安裝剖析
1、安裝推廣由「反復提示」式為主為轉向捆綁為主
自從Windows XP SP2推出加強的安全特性後,以前頻繁出現的3721安裝提示被進行了有效抑制(圖1),因此其推廣安裝方式除傳統的通過瀏覽器植入安裝、直接下載安裝外,又開拓了在某些共享軟體和免費軟體中捆綁的方式進行安裝(圖2)。新的捆綁安裝方式,雖然有安裝選項,但對於習慣了「一路回車法」安裝軟體的用戶,被順手裝入系統的可能性極大!
圖 1 Windows XP SP2的安全機制給3721的安裝帶來不便
圖 2 通過免費或共享軟體的捆綁並默認安裝
2、「一拖三」的安裝方式,偷偷植入另外模塊
如果被安裝上上網助手,則實際上同時被植入系統的並非上網助手一個程序,而是同時另外被靜默地植入了「地址欄搜索」和「搜索助手」這兩套獨立的程序(圖3)。
卸載上網助手時,額外植入的兩套程序不會被卸載;卸載每一套程序時,卸載對話框中都添加保留另外模塊的選項,以實現非刻意卸載情況下的自我交叉修復。
圖 3
3、完善的自我保護機制
從安裝、保護、卸載、修復幾個環節來看,各個環節環環相扣(圖4),任何一環沒有正確處理,則就無法實現表面的干凈卸載(真正徹底卸載除非手工清理,否則無法實現完全卸載,,後文詳述)。
圖 4 各個環節的保護機制環環相扣,清除不易
二、3721及上網助手提供的「貼心」服務提供剖析
號稱提供各種貼心服務,其服務項目所標示的功能也非常的人。我們對其中幾項進行了簡單測試,看看3721到底提供的是一些什麼性質、什麼質量的「服務」。
1、黃毒橫行觸目驚心
安裝3721中上網助手後,瀏覽器瀏覽器地址欄被無告知地植入20多項URL列表,其內容不外乎:性、娛樂、賺錢等幾方面有關(圖5)。
從其強行植入的地址欄URL列表來看,安裝了3721或上網助手的電腦就不折不扣地成了一台「少兒不宜」的電腦!
看看其強行植入的「美女如雲——15億圖片心情體驗」鏈接,隨意點擊幾個鏈接,結果(如圖6),什麼「裸體」、「自拍」、「三級明星電影」、「誘惑放盪的少婦」、「賓館偷房」、「無限激情」……等不堪入目的字眼撲面而來!
如果說具體的內容提供與其他合作方有關系,那麼看看3721推薦的「美女如雲——15億圖片心情體驗」的主頁面,什麼「波霸」、「A片」的類別項目赫然在目(圖7)。
再看看3721推薦提供的「極速寬頻影院」(圖8)。「性的日記」、「姐妹情色」、「村妓」、「偷情家族」等占據了內容目錄的絕大部分,您能夠從中找到哪怕一丁點健康、積極、向上的內容嗎?!
這就是3721和上網助手提供的服務中的內容品味的冰山一角。
圖 5 自動植入的瀏覽器瀏覽器地址欄URL列表
圖 6 自動植入瀏覽器地址歷史中的鏈接內容之一
圖 7 自動植入瀏覽器地址欄歷史鏈接的部分內容之二
圖 8 自動植入瀏覽器地址欄歷史鏈接的部分內容之三
2、「網路釣魚」爐火純青
除了上述明目張膽的色情(公開傳播的內容中那些不是色情還有是色情?)宣傳推廣,其還採用了一種誘惑點擊的網路釣魚方法:以「免費電影」為幌子,播放器上覆蓋廣告,用戶點擊播放器時將觸發對廣告的點擊(圖9)。
此種誘惑點擊的手段僅僅是一種方式。有了這種「先進的」方式,還有什麼事情不能做呢?
圖 9 自動植入瀏覽器地址欄歷史鏈接中打開的免費電影(網路釣魚:以一Flash廣告與播放按鈕重疊的方式,誘惑用戶點擊。這里設置不顯示Flash以暴露其重疊的框架結構)
3、貼心功能不貼心
不少人看中了上網助手的彈出廣告過濾功能。讓我們看看真實情況!
用http://www.kephyr.com/popupkillertest" http://www.kephyr.com/popupkillertest的專業測試頁面進行彈出窗口過濾測試。為避免干擾干擾,先關閉Windows XP SP2本身的彈出窗口過濾功能(沒有人會說上網助手的彈出窗口過濾是依賴Windows XP 的SP2相關功能實現的吧?!)。
測試結果,27項測試中,未能通過的有:第3 項、第6項(1、2)、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項(1、2、3),共計未通過測試的有15項(18種),過濾失敗的項目占整體的55%,失敗的種類占整體的66%(圖10)。即按百分制評判,上網助手的彈出窗口過濾能力連及格分都沒有撈到!
而啟用Windows XP SP2的彈出窗口過濾功能,或者使用Maxthon等具有彈出窗口過濾功能的第三方瀏覽器,同樣的項目測試結果就截然不同!具體情況筆者暫不提供,大家可以自己測試對比一下,以便好好體會這位上網「助手」的能力!
圖 10 彈出窗口過濾測試中慘不忍睹的過濾結果
4、「清理痕跡」清理了誰的痕跡?
圖11是上網助手的「清理痕跡」功能測試。執行清理並得到「當前沒有網址記錄!」的結果,但打開瀏覽器的歷史側邊欄,結果如何?
圖 11 「痕跡清理」清理了誰的痕跡?
5、插件管理專家別有私心
打開上網助手的插件管理專家,其中僅僅「虛心」地把搜索助手列了出來;但打開瀏覽器的載入項對話框,3721和上網助手植入的十幾個載入項卻赫然在目(圖12)!別家的插件算插件,自己偷偷植入的眾多玩藝一律不算插件,這是什麼邏輯?!
圖 12 「插件管理專家」對自己植入的垃圾插件視而不見
6、把自己的「搜一搜」右鍵菜單視為系統默認菜單
再看看「恢復IE外觀」中的「清理IE右鍵菜單」功能。清理後,報告「沒有可清理的菜單!」
但實際上,在瀏覽器中右擊滑鼠,「!搜一搜」的3721附加的菜單項已經如同系統默認菜單項那樣被保存下來(圖13)。令人不解的是,「!搜一搜」這種表達方式不知在中國語言學中算是一種什麼手法?
圖 13 3721自動添加的右鍵菜單不算清理對象
7、自欺欺人的「清理IE工具條」
試試「清理IE工具條」的效果如何。清理後,報告「沒有可清理的工具條!」,但IE工具欄上被3721自動植入的那個帶有掃把圖標的工具條和其他幾個按鈕好好的毫發無損(圖14)。難道它自己的這些就不屬於系統之外的第三方工具條嗎?工具欄按鈕清理也是如此。
圖 14 清理IE工具條結果
8、IE 工具欄「重置」功能不能重置3721植入的工具欄按鈕
既然上網助手拒絕給我幹活,那麼就用IE本身的功能設置來恢復工具欄按鈕吧。
打開自定義工具欄對話框,點擊「重置」,那些被強行植入的按鈕閃動了一下,片刻又立即得到恢復(圖15)。
系統的基本功能在3721的作用下已經部分失效!
圖 15 「重置」工具欄按鈕後的效果
9、對系統穩定性的影響
在虛擬機環境下,直接在瀏覽器地址欄輸入「合工大」進行搜索,前後測試6次,每次都是立即藍屏(圖16)。
雖然虛擬機環境與真實環境可能有一些差異,但虛擬機對內存要求較高,系統資源佔用較大,據此我們不能確定在真實系統環境也是如此,但起碼可以確定,搜索助手對系統資源的分配肯定存在某種負面影響(或者是存在某種BUG),在對資源需求較大時,會對系統產生不利影響。
圖 16 半個工作日的搜索測試中系統藍屏6次
三、3721對系統的寫入情況剖析
根據網路實名網站自稱的「詳細技術原理」,我們看看真實情況是否如網站上所告知的那樣。圖17是其對用戶告知的內容。在隨後的檢測項目中,我們看看它「詳細」到什麼程度,用戶和知情權體現在什麼地方。
圖 17 網路實名的「詳細技術原理」
1、向系統植入的文件
除了有專門的程序文件夾,3721還在Windows\Downloaded Program Files目錄以隱藏的方式保存其文件以便快速修復;在系統驅動程序目錄植入驅動程序文件並保證安全模式(即使你不上網!)也能夠被載入並且不能被直接刪除(圖18、圖19)。
①安裝3721後的文件植入情況:
● Windows\Downloaded Program Files目錄被植入37個文件1個文件夾;
● Windows\System32\Drivers目錄植入CnMinPK.sys驅動程序文件。
● Program Files目錄植入目錄名為3721,共含15個文件和1個文件夾。
共計植入53個文件和2個子文件夾。
②安裝上網助手後的文件植入情況:
● Windows\Downloaded Program Files目錄被植入30個文件1個文件夾;
● Windows\System32\Drivers目錄植入CnMinPK.sys驅動程序文件。
● Program Files目錄植入目錄名為3721,共含79個文件和7個文件夾。
● Program Files目錄植入目錄名為YDT,共含4個文件和1個文件夾。
共計植入114個文件和9個子文件夾。
圖 18 以驅動方式植入系統,安全模式也能生效
圖 19 Windows資源管理器中無法查看的隱藏文件和目錄
2、寫入的注冊表項目
據安裝前後的注冊表導出比較後得出的不完全統計,系統注冊表被寫入的內容大致如下(因瀏覽網頁等操作會導致動態修改,因此可能會有一些誤差):
安裝3721後,注冊表中被寫入122個鍵項、408個鍵值;
安裝上網助手後,注冊表中被寫入251個鍵項、656個鍵值。
遺憾的是,按正確的方法卸載、重啟後注冊表項目仍然無法全部被清除!
3、多種途徑實現的自動載入項
3721聲明以標准系統介面實現自動載入,而且將這些標准介面利用得淋漓盡致!
⑴上網助手在注冊表HLM下面的Run鍵項中添加helper.dll、YDTMain.exe、CnsMin三個自動載入模塊,而且卸載、重啟後仍然存在(圖20);
⑵通過驅動程序模式載入CnMinPK.sys模塊,實現進程隱藏,並且通過系統本身的Msconfig無法檢測;
⑶通過其多個模塊之間的相互修復和守護實現,實現交叉安裝、修復、載入;
⑷通過嵌入瀏覽器幫助對象,實現功能的自動載入;
⑸通過各模塊卸載對話框中的修復選項,誘導用戶在卸載某個模塊的同時,修復和自動載入另一些模塊;
⑹通過捆綁到某些第三方安裝程序,在安裝過程中實現自動安裝和自動載入。
圖 20 卸載後仍然自動重啟的模塊
4、自我守護的進程
如圖21,安裝上網助手後,任務列表中會存在三個進程,其中以Rundll32.exe顯示的兩個進程可以實現自動交叉修復,即一個進程是另外一個進程的守護進程。因此,使用Windows任務管理器是無法順利將它們從內存中關閉的,這點相信多數人深有體會!
圖 21 創建多個進程並且可自我守護
5、植入系統的瀏覽器載入項
圖22是上網助手自動植入系統中的8種瀏覽器載入項。用戶的瀏覽器成為幾大公司發財的財源基地。餘下的就差沒有拿著刀子上門直接搶錢了。
圖 22 一口氣自動植入8種瀏覽器載入項
6、自動植入瀏覽器工具欄的多種無關按鈕
呵呵,安裝後,瀏覽器上什麼Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了,甚至連資源管理器也沒有放過(圖23,夠貼心的吧)。
圖 23 資源管理器中被強行植入的按鈕
7、控制面板添加刪除程序列表中的多餘項目
在未被明確告知的情況下,安裝上網助手後,控制面板的添加刪除程序列表中會額外加入兩個程序項目(圖24)。
圖 24 不知道什麼時候被植入的額外兩個模塊
8、植入系統的系統服務表
使用IceSword這款安全工具檢測系統服務描述表(SSDT),可以發現除Ntoskrnl.exe這個系統內核外,就是3721和上網助手的「CnsMinKP.sys」了。搞編程的人知道這做到了什麼級別,普通網民反正「眼不見為凈」。可見功夫真的下到了家了!
圖 25 通過任務管理器無法查看到的系統服務表
9、自動創建的線程情況
從圖26可以看出,上網助手及其模塊自動創建的線程數之多,在系統總體線程數的比例上是多得令人吃驚的!該圖為未打開任何瀏覽器以及其他相關窗口情況下的線程創建情況(部分需滾動才能查看)。
圖 26 自動創建的線程列表
10、後台運行的消息鉤子
有興趣的人可以看看圖27中的鉤子類型,看看3721利用的大量鉤子函數在幹些什麼。
圖 27 眾多的消息鉤子
11、植入瀏覽器右鍵菜單的「!搜一搜」菜單項
呵呵,瀏覽器右鍵菜單中被植入的「!搜一搜」是不是該倒過來從右向左讀?這個世界的法則是不是也要倒過來解讀(圖28)?
圖 28 瀏覽器右鍵菜單項
12、上網助手Assistse.exe打開本地1028埠
如圖29,上網助手Assistse.exe打開本地UDP 1028埠,作用不明。
圖 29 埠打開情況
13、植入Internet選項設置
圖31是植入到Internet選項的「高級」設置的內容。看看,還有「自動升級」功能呢,有什麼新的手段或主意了,再在您的系統中試試?
圖 31 Internet選項中被植入的內容
四、3721及上網助手卸載情況剖析
有人在網卡撰文說3721現在可以通過其卸載程序干凈地卸載了。事實情況真的是這樣嗎?請看——
1、「完全刪除」和「完全卸載」的卸載承諾
如圖32,無論3721網路實名還是上網助手,在卸載程序中都承諾「把上網助手從電腦中完全刪除」和「完全卸載實名插件並關閉實名功能」。
圖 32 卸載界面的承諾
2、完全卸載不完全
網路實名卸載成功並重啟後,在資源管理器中無法看到Windows\Downloaded Program Files文件夾中有任何文件(即使你將資源管理器設置為顯示所有文件、顯示系統文件)。但使用著名的Total Commander文件管理器,卻發現有一個zsmod.dll的隱藏文件(圖33)!如果是卸載上網助手,卸載成功並重啟後,上述目錄居然隱藏有30個文件1個文件夾(圖34)!
以zsmod.dll為關鍵字在注冊表編輯器中搜索,可以發現這個文件並非是一個被「遺忘」的死文件,而是有相應的注冊表鍵值(圖35)!
卸載上網助手成功並重啟後,檢測BHO(瀏覽器幫助對象),發現系統中仍然保留有YDT.DLL和CnsHook.dll這兩個BHO對象(圖36)!
卸載上網助手成功並重啟後,檢測自動載入項目,發現仍然存在helper.dll、YDTMain.exe、CnsMin三個自動載入的程序項目(圖37)!
再檢測系統已經載入的內核模塊,發現以驅動形式載入的CnsMinKP.sys仍然被成功載入(圖38)!以CnsMinKP.sys在注冊表編輯器中搜索,卸載成功並重啟後注冊表中仍然保留CnsMinKP.sys的3處隱藏服務鍵值(圖39),使得卸載操作完全是一個騙局,其基本功能根本沒有受到影響,至多是那個一般情況下顯示在系統托盤的可以向用戶提供「服務」的小圖標不見了!當然,系統Drivers目錄中的CnsMinKP.sys文件依然完好,沒有受到任何破壞!
看看系統進程如何。如圖40,YDTMain.exe、相互守護的Rundll32.exe共3個進程仍然靜靜地在那兒!
由此可見,上述就是所謂的「把上網助手從電腦中完全刪除」的真相!
真的想把它們徹底清除嗎?可以,手工在添加刪除程序列表中把另外未被告知的兩個3721強行安裝的程序一一卸載(卸載時注意看清楚相關選項!否則可能又相互修復),此時絕大多數文件和注冊表被清除。但Windows\Downloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關的注冊表鍵值卻永遠不會被清除!
圖 33 3721卸載重啟後資源管理器無法看到的隱藏文件
圖 34 上網助手卸載重啟後系統目錄中隱藏的大量文件(Windows資源管理器無法以任何方式查看到,Total Commander可顯示)
圖 35 卸載重啟後注冊表中的保留鍵值
圖 36 卸載重啟後仍然被保留的瀏覽器幫助對象模塊
圖 37 卸載重啟後仍然被保留的自動載入項目
圖 38 卸載重啟後仍然以驅動模式載入的內核模塊
圖 39 卸載重啟後注冊表中仍然保留的3處隱藏服務鍵值
圖 40 上網助手卸載重啟後仍然在運行的後台進程和仍然存在的瀏覽器工具欄按鈕
3、額外安裝的兩個模塊必須另行卸載
圖43就是安裝時未被明確告知就強行安裝的、需要我們手工卸載的垃圾程序。
圖 43 額外安裝的兩個模塊必須手工卸載
4、卸載過程中仍然試圖交叉修復
卸載這些額外程序模塊的過程中,存在默認被選中的以「卸載」二字開頭的一個選項:
「卸載上網助手-地址欄搜索後保留上網助手等按鈕」
如果你操作中只看了前面半句,以為是選擇了「卸載」它們,那你就錯了!
由此可見3721的對用戶的心理和電腦使用習慣研究得非常透徹,能夠利用的都充分利用了!
圖 44 卸載過程中仍然試圖交叉修復
五、3721綜合行為的法律、道德剖析
1、3721及上網助手的道德層面剖析
什麼「裸體」、「自拍」、「三級明星電影」、「誘惑放盪的少婦」、「賓館偷房」、「無限激情」……等褻瀆了廣大網民的情趣品味;對青少年進行了極其不良的誤導引誘;污染了網路環境。
未經明確告知,強行植入其他程序模塊。
通過系統驅動的方式載入,安全模式亦無法避免。就連Windows都將帶網路連接的安全模式作為一個單獨的項目提供給用戶,而3721則是青紅皂白,不管用戶是否使用網路,一律載入沒商量!
2、3721及上網助手的法律層面剖析
額外安裝程序侵犯知情權;
強行植入的少兒不宜的URL鏈接無視青少年許可權保護;
宣傳黃毒;
介紹黃毒;
卸載卸載過程中以欺騙的手段保留未經用戶許可的模塊,而且相互交叉修復;
自動感染、自動繁植、隱藏自身、佔用系統資源、干擾用戶上網活動、直接或間接向系統中帶入不良數據、清除極其困難、通過多種途徑自動載入……已經具有完整的病毒特徵;
提供不良內容下載……
3、3721及上網助手對國家安全及文化導向的影響
由艱苦奮斗勤儉建國轉向靡靡之音聲色犬馬的和平演變,只需藉助3721;
瓦解民眾鬥志,只需3721;
佔領中國的宣傳陣地,只需利用3721;
主導中國的網路安全命脈,只需掌握3721;
轉變中國網民的文化導向,只需藉助3721;
對中國發動網路癱瘓戰,只需通過3721!
…………
所有這些,3721已經在做了,而且做得很好!
參考資料:http://blog.yesky.com/blog/netgc/archive/2005/06/29/170366.html" http://blog.yesky.com/blog/netgc/archive/2005/06/29/170366.html