一、 谶曰——来自希腊的礼物
特洛伊木马(图片来源:百度百科)
小白:东哥平时玩游戏么?
大东:怎么说呢,你东哥可是氪金玩家。(骄傲脸)
小白:啊?那你可要注意了,听说最近不少游戏账号被盗,所到之处可谓是哀鸿遍野啊。
大东:emmm……愚兄掐指一算,莫非是着了 Trojan 的道?
小白:特洛伊?怎么还聊到了古希腊文学了?难道是最新出的游戏?
大东:……来来来贤弟且坐,听为兄我慢慢道来。
二、 木马的自我修养
通过木马窃取用户账号密码(图片来源:百度图片)
小白:东哥,你给我说说这盗号怎么就和木马有关系了呢?这个木马怎么就神不知鬼不觉地溜进我们的电脑里了呢?
大东:这个问题问得好,木马到底是怎么进入我们的计算机中的呢?今天我就讲一个比较有影响力的木马事件给你听吧——1988年日本特洛伊木马事件。
小白:洗耳恭听,愿闻其详~
大东:1988年8月中旬,日本最大的个人计算机通讯网络——PC-VAN的网络成员都可在屏幕上看到意义不明的文章,为了弄清其含义,许多用户选择输入自己的密码,寻求系统的帮助。通过此类文章做伪装,从而实现窃取对方密码,爆发了大规模的密码失窃事件。这就是典型的特洛伊木马术。经过跟踪调查,可以确认这一意义不明的文章是一种暗号,是“罪犯”用以盗窃其他成员口令,也就是常说的密码的一个手段。
小白:诶?文章也能窃取密码?
大东:“罪犯”通过电子邮件把带有“机关”的程序从网络中发给用户,网络成员只要一启动个人计算机,这一“机关”便立即潜入该机的操作系统,并在屏幕上出现意义不明的文章。这样,“罪犯”便能通过木马程序窃取到对方的密码了。
小白:哦,我明白了,隐藏在其中的木马程序就是导致账号失窃的元凶!那木马具体是怎样实现它的功能呢?原理是什么啊?
大东:小白你这个问题可算是切中了要点啊,问的非常有技术含量,我就给你讲讲这木马程序的前世今生。
三、大话始末
二进制代码中的特洛伊木马程序(图片来源:www.tukuchina.cn)
Round 1
木马入侵原理:
大东:“特洛伊木马”通常分为两个程序:服务器程序和控制器程序。黑客们为了让目标计算机安装上服务器程序,往往都会对这一程序进行伪装,比如在文件名上加一些后缀,如美女热图 jpg.exe,让它看起来就像是 .jpg 文件,这主要是依赖于 windows 操作系统默认地隐藏文件名后缀的原因所致。
小白:这么无耻!?
大东:这还不算完,还有一种,就是利用 windows 操作系统的特性——即使你输入执行病毒 .exe,windows 仍然会去自动寻找,如果找到了,就会直接执行病毒 .com 来替代。这种木马一旦侵入了计算机,就会主动寻找硬盘上所有的 .exe 文件,然后创建一个同名的文件,并且后缀是 .com。如此便很容易让计算机的使用者误认为这是一种程序。
难以删除的特洛伊木马(图片来源:百度图库)
Round 2
木马的发展:
大东:木马程序技术发展可以说是非常迅速了,主要是有些年轻人出于好奇,或是急于显示自己实力,对木马程序进行不断的改进编写。至今为止,木马程序已经经历了六代改进。
小白:我知道,比如窃取密码,通过电子邮件发送信息。
大东:你说的没错,这是典型的第一代木马,也是最基本的木马。相比第一代,第二代在技术上有很大进步,冰河是中国木马的典型代表。第三代嘛,主要是改进数据传递技术方面,出现了 ICMP 等类型的木马,增加了杀毒软件的识别难度。第四代在进程隐藏方面有很大革新,采用内核插入式的嵌入方法,利用远程插入线程技术,嵌入 DLL 线程;或是挂接 PSAPI,实现木马程序隐藏……
小白:怎么没有我经常听到的驱动木马?
大东:别急啊,你说的驱动级木马是第五代。它的特点是使用大量的 Rootkit 技术达到深入隐藏效果,这种程序可以深入内核,感染后正对杀毒软件和网络防火墙进行攻击……
小白:如果是这样,查杀起来几乎是很难了。
大东:是的,想想看,一个人的免疫系统崩溃会是怎样的场面。
小白:那么,这些木马程序这会造成什么后果呢?
Round 3
木马的严重危害:
大东:木马对计算机内的文件有着高强度的感染与复制,一旦执行了上述操作,木马会将信息发送回指定的接收站。还有一种就是得用 windows 寻找目标文件的方式,比如你打开一个 calc.exe 敲一下回车键,当你想执行这一程序时,事先隐藏在计算机内的木马就已经隐藏在这个目录之后,一旦你执行这一程序,系统就会优先执行安装那个木马程序。
小白:还有这种操作?怪不得叫它特洛伊木马,还真是里应外合。
大东:是啊,除了计算机,手机也成为某些人高度倚重的一种窃取信息的载体。尤其是智能手机遍及全球的时代,使用者只要稍微不注意,比如上网看一个视频,或是用QQ等聊天工具聊聊天,甚至是你仅仅在某个公共场所打了个电话或是用手机上了下网,这些看似普通的举动都有可能使一部手机成为情报搜集的工具。无意之中,手机完成了一个优秀间谍所能完成的情报搜集工作。
小白:(震惊ing)天呐,手机电脑居然会这么大程度地泄露隐私!!!
大东:何止啊,打印机、有摄录功能的电视机也会泄露资料,何况说是走在科技最前端的电脑和手机?凡事有利有弊,辩证来看。
小白:(思考……)东哥刚才说的木马程序安装途径真的那么广么?
大东:可不是嘛。总之,黑客们让用户将木马的服务器程序主动安装到电脑中的方法很多,只要人们低估并安装了一个服务器程序,那么接下来拥有控制这个程序的黑客就可以通过网络任意控制这台目标电脑。值得一提的是,用户感染代理类木马后,会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。
小白:跳板攻击?
大东:聪明!看来小白马上就能出师了。
小白:嘿嘿,还不是东哥指导有方——对了,东哥,照你刚才说的,那木马是不是也能盗取网银啊、支付宝什么的账号密码?
大东:是啊,比较常用的像QQ、微信、支付宝,还有刚才说的游戏账号,理论上都可能因为木马程序的植入而被盗取密码。刚才没说完的第六代木马,就是盗取和篡改用户信息,甚至可以攻击动态口令和硬证书……哎,小白你去哪啊?
小白:东哥,再聊吧,我得去银行把我卡里的钱都取出来,不怕一万就怕万一啊。
大东:你这卡里就剩三十块多能取出来么……你这是草木皆兵啊!(捂脸) 唉,看来网安知识普及的任务还是任重而道远啊……
四、防范措施
小白:听哥一席话,真叫人头大。这木马真是无孔不入啊,就没有啥防范措施么?
大东:你也不要太紧张,刚才的话还没说完呢。计算机木马不是无法防范的,为计算机安装杀毒软件,定期扫描系统、查杀病毒,及时更新病毒库、更新系统补丁;程序不是十全十美的,所以软件难免会有 BUG。定期进行补丁升级,可以有效防止非法入侵。下载官方软件,不安装、不打开来历不明的软件或文件。不明链接也不要随意打开。
小白:我知道的,打开移动存储器之前先用杀毒软件进行检查。
大东:计算机系统各个账号要设置口令,及时删除或禁用过期账号也很必要。除此之外,手机木马也需要防范。手机安全软件也必不可少,来历不明的链接也不能打开。短信验证码不能轻易透露,转账前要电话确认,做到这几条几乎就可以不用担心你的网银安全了。
小白:哈哈,怪我草木皆兵啦。
原文发布时间为:2018-10-20
本文作者:大东
