网络挂马入侵流程线索调查方法

简介:适合木马论文范文论文写作的大学硕士及相关本科毕业论文，相关木马论文范文开题报告范文和学术职称论文参考文献下载。

目录

1. 1.网页挂马案件入侵流程及相关网络安全技术分析
2. 1.1入侵网站
3. 1.2为网站主页挂马
4. 1.3植入并运行木马
5. 2.利用网络监听技术在受害者主机上调查“盗号木马”线索
6. 2.1论文范文的运行环境
7. 2.2.1从H论文范文P数据中提取放马者使用的Web服务器的lP地址
8. 2.2.3从ICMP数据中提取放马者使用的计算机的lP地址
9. 3.利用网络命令在受害者主机上调查“远程控制木马”线索
10. 4.总结
11. 论文范文木马论坛:农民论文范文用木马 30秒攻破网银窃30万

随着信息科学技术的快速发展,计算机网络已经深入到人们日常生活的每个角落.人们每天都会登陆不同的网站浏览信息.网络技术在给我们的生活带给极大便利的同时,也存在很多安全隐患.论文范文人侵网站并实施挂马,受害者只要浏览了这些被挂马的网站,木马就会自动下载到受害者主机上运行.这些木马可以窃取用户在登陆窗口内输入的敏感信息,例如：用户名、论文范文,甚至完全控制受害者主机.可以说网页挂马对网络用户构成了严重的威胁.分析网页挂马案件的入侵流程,进而通过技术手段查找出论文范文的线索（如lP地址、电子邮箱帐号、等等）对论文范文机关的侦查、取证工作有着重要的意义.

1.网页挂马案件入侵流程及相关网络安全技术分析

网页挂马案件的入侵流程如图1所示.首先,论文范文会利用网络攻击技术入侵某些存在安全漏洞的网站,从而获得这些网站的控制权.接下来,论文范文会在被入侵网站的主页文件中植入_句挂马代码,从而实现网站挂马.最后,当网络中的用户浏览“被挂马”的网站时,如果用户使用的IE浏览器存在相应的安全漏洞,则木*被植入用户主机并运行,用户主机成为受论文范文控制的“肉鸡”.论文范文可以*“肉鸡”上的敏感信息（如网银帐号）,也可以控制“肉鸡”向其他主机发起论文范文.

1.1入侵网站

由于大型的门户网站如“新浪”、“搜狐”等,通常具备比较严密的网络安全防御措施、难于攻破,因此论文范文通常不会选择此类网站作为攻击对象.一些日访问量在3000—5000人次的中等规模网站成为论文范文入侵的首选目标,例如游戏网站、政府机关、高校、公司机构的网站,等等.在入侵网站时,目前最流行的攻击技术是“SQL注入攻击”和“缓冲区溢出攻击”.

“SQL注入攻击”是由于开发网站的技术人员缺乏足够的网络安全意识,未对用户提交的参数进行严格的检查,就将参数直接提交给后台的数据库运行,这些参数里面可能包含论文范文提交的恶意指令,通过在被入侵网站上执行这些指令,论文范文可以达到完全控制网站的目的.例如,在lP地址为192.168.0.1的服务器上安装了一台电子商务网站,该网站的网页文件lookpro.asp存在“SQL注入漏洞”,论文范文使用下面这条URL链接访问lookpro.asp,即可在目标服务器上建立一个名为aaa、论文范文为bbb的用户.http：//192.168.O.l/shop-s/lookpro.aspid等于48,exec master．.xp_cmdshell”net user aaa bbb /add”.论文范文就是通过这样一系列的指令达到完全控制一台服务器的目的.

“缓冲区溢出攻击”是由于应用程序未对通过网络接收到的参数的长度进行检查,就将接收到的参数直接存放到自己的缓冲区中.如果接收到的参数长度超过预留缓冲区的大小,就会导致“缓冲区溢出”.论文范文通过精心构造溢出代码,可以实现完全控制一台主机的目的.

目前,很多中等规模的网站选择“SQL Server 2000+ ASP”的网站架构.SQL Server 2000数据库通过1433端口提供远程访问服务,如果SQL Server2000数据库未及时安装补丁&,acute,则1433端口存在“缓冲区溢出”漏洞.论文范文可以“1433端口溢出攻击”完全控制一台Weh服务器.

1.2为网站主页挂马

用户在访问网站时,通常是先进入网站的主页,然后再通过主贞上的链接进入到自己感兴趣的页面.因此,主页是访问频率最高的页面,论文范文为了达到快速传播木马的目的,通常选择主页作为挂马的对象.

下面给If-个典型的挂马代码,将这句代码加入到被挂马网站的主页文件(例如lndex．asp)的任何一处位置,即可实现网站挂马.<,iframe src等于”http://包含木马程序的服务器lP地址／l.html”, width等于“0”height等于”O”frarneborder等于”O”>,<,／iframe>,.这是一种框架挂马方式,用户访问index．asp之后,会自动到包含木马程序的服务器上下载并浏览1．html,这个1．html会利用IE浏览器漏洞自动下载并运行木马程序（例如l.exe）,由于这里将框架的高度、宽度和边框粗细均设置为O,因此受害者在浏览index.asp时不会察觉到任何变化.通过以上分析我们发现,论文范文不需要将l.html和l.exe上传到被挂马网站,只须修改被挂马网站的主页文件( index.asp),即可实现网站挂马,因而具备很强的隐蔽性.

1.3植入并运行木马

当网络中的用户浏览“被挂马”网站时,如果用户使用的IE浏览器存在相应的安全漏洞,则木*被植入用户主机并运行,用户主机成为受论文范文控制的‘肉鸡”.论文范文可以*‘肉鸡”上的敏感信息（如网银帐号）,也可以控制“肉鸡”向其他主机发起论文范文.目前被论文范文广泛采用的木马有“盗号木马”和“远程控制木马”.

“盗号木马”可以窃取用户在登陆窗口内输入的敏感信息,例如：用户名、论文范文.这类木马可以造成网络用户的论文范文论文范文丢失、网上银行帐号信息丢失、等等.例如“红蜘蛛论文范文记录木马”记录到敏感信息（如电子邮箱帐户信息）之后,会将这些信息通过电子邮件发送到论文范文指定的邮箱里.

2.利用网络监听技术在受害者主机上调查“盗号木马”线索

在追查木马线索时办案人员通常使用网络数据论文范文（例如sniffer-pro）来捕获、分析网络数据报,进而从中发现论文范文的线索.

2.1论文范文的运行环境

论文范文的运行环境如图2所示.受害者主机上运行的木马程序向外界发送的通信数据会被论文范文截获,办案人员可以以监听到的网络数据报中提取出线索（如l P地址、邮箱帐号、等等）,我们可以从这些数据找到小马线索2.2分析包含木马线索的网络数据报

“盗号木马”在受害者主机上悄悄地运行,论文范文等敏感信息之后,木*将这些信息使用某种TCP/IP议封装起来、通过因特网发送给远程的论文范文.只要截获这些通信数据,就可以从中分析出放马者的信息.论文范文记录木马在发送敏感信息的时候通常使用的是论文范文TP、H论文范文P、ICMP协议下面通过几个实例来说明如何从截获的网络数据中提取木马的线索.

2.2.1从H论文范文P数据中提取放马者使用的Web服务器的lP地址

一些木马如“论文范文金狐大盗”在记录到敏感信息之后,会将这些信息通过H论文范文P协议发送给放马者指定的Weh服务器,这台服务器上的某个ASP或JSP脚本文件会将这些敏感信息保存在一个文本文件中,放马者从这个文本文件中就可以获得记录到的敏感信息.图3是使用Sniffer-pro捕捉到的“论文范文金狐大盗”发送敏感信息的通信报文.

这是一个H论文范文P协议的CET请求报文,请求的是Web服务器上的log．asp这个脚本文件同时这个请求报文带有两个参数,第一个参数459536384是“论文范文金狐大盗”记录到的受害者的论文范文号码,第二个参数12345678是受害者的论文范文论文范文.这组16进制报文的第31至34字节为放马者Weh服务器的lP地址,这四个16进制字节为c0、a8、27、02转换为10进制之后,得到Web服务器的lP地址为192.168.39.2.2.2,2从论文范文TP数据中提取放马者的电子邮箱帐号

一些木马如“红蜘蛛”在记录到敏感信息之后,会将这些信息通过电子邮件发送到放马者的邮箱里.在发送邮件的时候通常使用的是论文范文TP协议.图4是使用Sniffer-pro捕捉到的“红蜘蛛”发送敏感信息的通信报文.

论文范文木马论坛:农民论文范文用木马 30秒攻破网银窃30万

通过分析这个报文可以得知发信邮箱为xu_guo_tian888@163.com、收信邮箱为redspider119@163.com、邮件主题为红蜘蛛的礼物、木马监控的窗口是网易163邮箱的登陆窗口、记录到的163邮箱帐号是xu_guo_tian05、论文范文是86982481.放马者会定期到redspider119@163.com这个邮箱内查看木马记录到的敏感信息,应将邮箱帐号redspider119@163.com交给网监部门做进一步调查.

2.2.3从ICMP数据中提取放马者使用的计算机的lP地址

ICMP木*将记录到的敏感信息通过ICMP协议发送到木马控制端所在的计算机上,木马控制端会将这些敏感信息搜集起来保存在一个文本文件中,放马者从这个文本文件中就可以获得木马记录到的敏感信息.图5是使用Sniffer-pro捕捉到的论文范文记录木马发送敏感信息的通信报文.

这是一个ICMP-ECHOREPLY报文,在32字节的附加数据字段中封装了受害者的论文范文号码和论文范文.论文范文号码是459536384、论文范文是xugt.这组16进制报文的第31至34字节是木马控制端计算机的IP地址,这四个16进制字节为d2、2f、82、17转换为10进制之后,得到放马者计算机的lP地址为210.47.130.23.

3.利用网络命令在受害者主机上调查“远程控制木马”线索

“远程控制木马”通过网页挂马方式传播到受害者主机上后会自动与远程的论文范文主机进行联系,接受论文范文的控制.论文范文可以完全控制受害者主机,例如监视屏幕、监听通话、甚至直接控制主机.当论文范文进行远程控制时,在受害者主机上使用netstat -an命令可以查看到论文范文主机的一些线索.图6是使用netstat -an命令查看到的远程控制木马“PcShare”的网络连接痕迹.用红色边框标识的就是“PcShare”的控制连接,可以得知远程控制主机的IP地址是192.168.111.1．端口是8000（PcShare的默认端口）.办案人员可对这个IP地址对应的主机做进一步调查.

4.总结

本文详细介绍了网页挂马案件的入侵流程和每一入侵步骤涉及到的相关网络安全技术.深入分析了利用网络监听技术在受害者主机上调查“盗号木马”线索的方法,同时对利用网络命令在受害者主机上调查“远程控制木马”线索的方法进行了阐述.（责编程斌）

参考文献：

Behrouz A．Forouzan．数据通信与网络[M],北京：机械工业出版社．2005．

寺田真敏．TCP/IP网络安全篇[M],北京：科学出版社．2003.

总结：此文是一篇木马论文范文论文范文,为你的毕业论文写作提供有价值的参考。

论文范文木马论坛引用文献:

[1] 旋转木马论文范文数据库 关于旋转木马方面大学毕业论文范文2万字

[2] 全国高校辅导员工作创新论坛论文选题范文 全国高校辅导员工作创新论坛论文题目选什么比较好

[3] 论坛营销论文提纲范文模板 论坛营销论文框架怎么写