远控、木马
木马的7种分类
木马的7种分类
木马(Trojan horse)是一种具有破坏性的恶意软件,其主要目标是通过伪装成合法
程序来欺骗用户,从而获取用户的机密信息或控制用户的计算机。木马有多种不同的分类
方式,按照不同的特征和功能可以将其分为以下7种类型:
1. 远程控制木马(Remote Access Trojan,简称RAT):这种木马主要用于远程控制感染者的计算机。攻击者可以通过远程的方式获取被感染计算机的控制权,从而进行各种
恶意活动,比如窃取文件、监控用户的网络活动或者发起分布式拒绝服务攻击(DDoS)。
远程控制木马通常会通过网络传播,用户常常会在点击恶意链接或下载感染文件后感染上
这种木马。
2. 数据窃取木马(Data Stealing Trojan):这种木马的主要目标是窃取用户的敏感信息,比如用户名、密码、信用卡信息等。数据窃取木马通常通过键盘记录或者截屏的方
式来获取用户的输入信息,并将这些信息发送给攻击者。这种木马往往隐藏在合法程序中,用户在运行感染文件时会被悄悄安装。
3. 金融木马(Banking Trojan):这种木马专门用于攻击在线银行、支付系统等金融机构。金融木马通常会通过窃取用户的登录凭证、劫持网银页面等方式来获取用户的账号
信息并进行盗取资金的操作。这些木马通常会通过网络钓鱼、恶意广告等方式传播,用户
点击了木马所在网站或广告后,木马会自动下载并感染用户的计算机。
4. 反向连接木马(Reverse Connection Trojan):这种木马与远程控制木马类似,
不同之处在于反向连接木马会主动连接攻击者的控制服务器。一旦连接成功,攻击者就可
木马的7种分类
木马的7种分类
木马(trojan horse)是一种潜藏在正常程序中的恶意程序,其目的是获取非法利益或对计算机进行破坏。木马程序可分为多种类型,根据其攻击方式、功能和传播方式进行分类。下面将介绍木马的7种分类。
1. 远程控制型木马(remote access Trojans,简称RAT)
远程控制型木马是最常见的一种木马类型。它通过向受害者计算机植入恶意代码,使攻击者能够远程控制受害者计算机。攻击者可以通过远程控制命令执行各种操作,如窃取用户敏感信息、监控用户活动、搭建僵尸网络等。
2. 数据窃取木马(data stealing Trojans)
数据窃取木马专门设计用于窃取用户敏感数据。它通过各种手段,如键盘记录、屏幕捕获、截取剪贴板内容等,秘密收集用户的账户信息、密码、信用卡信息等。这些窃取到的信息可以被用于非法获利、身份盗窃等活动。
3. 下载器木马(downloader Trojans)
下载器木马是一种专门用于下载其他恶意软件的木马。它通常会首先潜藏在正常程序中,一旦被执行,它会自动下载并安装其他恶意软件,如病毒、间谍软件等。下载器木马可以将受害者计算机变成一个感染其他恶意软件的中转站。
4. 木马拦截型木马(Trojan proxy)
木马拦截型木马是一种通过截取网络流量并篡改数据的木马。它会在受害者计算机上设置一个代理服务器,将所有的网络请求都经过这个代理服务器进行中转。攻击者可以在中转过程中修改、删除、添加数据,从而对网络通信进行干扰、监控,甚至进行钓鱼攻击。
5. 锁定型木马(ransomware)
远控、木马
远控、木马?神马都是浮云!
供稿:VIRUSFREE
年初,中央电视台的《焦点访谈》专门介绍了黑客如何危害大众的事,给人的感觉是黑客软件在利益的趋势下,有愈演愈烈的趋势,而普通用户的电脑沦为黑客们的“肉鸡”,只有被人任意宰割的份了。
为什么会这样?这还得从黑客软件的原理说起。
黑客软件,也称远控软件,是一种特殊的软件,合法的用途是用于远程维护电脑,能增加工作效率、降低劳动成本,但在黑客手里,就演变成为控制用户电脑,盗窃用户电脑资源的后门,用户电脑一旦被植入这种东东,什么游戏装备、QQ密码、银行支付帐号、股票账户、机密文档,都会成为黑客的囊中之物,除此之外,若干台被控电脑还可以组成“僵尸”网络,成为犯罪分子攻击别人电脑网络或者运行系统的帮凶,所以,电脑被黑客控制是非常危险的事情。
有人要说了,我的电脑安装了杀毒软件,还有防火墙,难道就防不住这些黑客软件?!
是的,基于杀毒软件的工作原理,黑客们使用各种“免杀”技术,就能逃避杀软的查杀,达到入驻用户电脑的目的。他们为了达到长期霸占用户电脑的目的,还使用了随时更新远控端程序的技术,目的只有一个,让杀软永远发现不了它们。
无毒空间的诞生,基本是敲响了这类黑客软件的丧钟,其原因是,那些在杀软面前非常牛的“免杀”技术,在无毒空间面前无疑于自投罗网,无毒空间的工作原理跟黑客软件的“免杀”技术是完全相克的,所以,只要用户电脑的无毒空间还在正常工作,抓黑客软件、后门程序就如同“瓮中捉鳖”一样非常容易。
以下案例就显示无毒空间抓住各类黑客软件的样子。
首先试试灰鸽子这个经典的远控,我们将灰鸽子的最新版找来测试了一下,老版本就不一一试验了,从原理上看,都应该不在话下。
木马的7种分类
木马的7种分类
木马是一种恶意软件,通常被用来窃取用户的个人信息,损害用户计算机系统,或者用来进行网络攻击。木马的种类繁多,不同的木马有着不同的功能和危害性。下面我们来了解一下木马的七种分类。
一、远程控制木马
远程控制木马是最常见的一种木马,它可以让黑客远程控制被感染的计算机,从而窃取用户的个人信息、监视用户的网络活动等。远程控制木马通常会隐藏在正常的软件中,用户在下载安装这些软件时很容易被感染。远程控制木马一旦感染了计算机,用户就很难发现它的存在,因此对于远程控制木马的防范和清除是非常困难的。
二、密码窃取木马
密码窃取木马主要用来窃取用户的账号和密码信息,从而进行非法操作。这种木马通常会监视用户的输入,当用户输入账号密码时就会记录下来,并且发送给木马的控制者。密码窃取木马在金融诈骗、网络盗窃等方面扮演着重要角色,对用户的财产安全构成了严重威胁。
三、广告木马
广告木马是一种用来投放广告的恶意软件,它会在用户计算机上弹出大量的广告,甚至会修改用户的浏览器设置,轻则影响用户的上网体验,重则导致计算机系统崩溃。广告木马通常会伪装成正常的软件,用户在下载安装时很容易受到感染。广告木马会给用户的生活和工作带来极大的困扰,因此用户需要警惕这种木马的威胁。
四、蠕虫木马
蠕虫木马是一种可以自我复制和传播的木马,它通常会利用系统漏洞和网络共享来感染其他计算机。蠕虫木马可以快速传播,对网络安全造成巨大威胁。蠕虫木马具有传播速度快、破坏性大的特点,因此用户需要及时更新系统补丁,使用防火墙等手段来防范蠕虫木马的危害。
木马的7种分类
木马的7种分类
木马(Trojan Horse)是指通过一些看似合法的软件、文件、邮件等手段传播的恶意
软件。它可以像拿着一把万能钥匙,随意打开用户电脑中的各个大门,窃取各种敏感信息,控制系统功能,甚至破坏硬件设备。下面我们将从不同的角度来介绍木马的7种分类。
一、按功能分:
1.远程控制型木马:可以远程监控、控制用户电脑,随意执行命令。
2.窃密型木马:可以从用户电脑中窃取各类敏感信息,如账号、密码、银行卡号等。
3.病毒型木马:可以破坏用户电脑中的硬件或软件系统,造成一定的损失。
二、按传播途径分:
1.网络传播型木马:通过网络渠道进行传播,如邮件、聊天工具等。
2.U盘插播型木马:诱使用户在电脑中插入感染病毒的U盘。
3.欺诈型木马:通过欺骗等手段让用户自己安装木马软件,如“看片软件”、“电脑
清理工具”等。
三、按攻击方式分:
1.远控攻击型木马:通过远程控制完成攻击,如后门木马等。
2.利用漏洞型木马:利用系统中的漏洞进行攻击,如Petya病毒等。
3.伪装欺骗型木马:通过伪装、欺骗等手段,使用户误以为是合法的软件。
四、按系统类型分:
1.手机木马:主要攻击手机系统,侵害用户个人信息安全等。
2.PC木马:主要攻击PC系统,通过控制计算机实现攻击目的。
3.嵌入式木马:攻击嵌入式系统,如工控系统。
五、按木马特点分:
1.加壳木马:通过在木马文件中加壳,改变二进制代码,增加木马的下发成功率。
2.虚拟机逃逸木马:由于虚拟机的隔离性,攻击者通过这种木马可以逃脱虚拟机的隔离,对真实系统进行攻击。
3.钓鱼木马:通过伪造合法的网站,欺诈用户输入个人信息,完成攻击。
木马的7种分类
木马的7种分类
木马是一种恶意软件,通常指像木马一样隐藏在合法程序中,以迷惑用户并偷窃或破坏用户的数据和系统的程序。木马的种类繁多,可以根据不同的特征进行分类。下面是木马的7种分类:
1. 远控木马
远程控制木马是一种可以在远程控制的木马程序。通过远程控制木马,黑客可以远程控制感染电脑,窃取用户的文件、账户信息、密码等。远控木马通常会进行隐匿性处理,尽量减少对受害者电脑系统的影响,以达到长期或持续控制的效果。
2. 数据窃取木马
数据窃取木马是一种专门用于窃取用户的敏感数据的木马程序。这种类型的木马通常会窃取用户的账户信息、信用卡信息、密码等,然后通过网络传输到黑客的服务器上。数据窃取木马对用户的隐私和安全造成了严重威胁,并且往往会导致财产损失。
3. 网络蠕虫木马
网络蠕虫木马是一种具有自我复制和传播能力的木马程序。它可以自动在网络上寻找漏洞并感染其他主机,从而扩大感染范围。网络蠕虫木马的传播速度非常快,对网络安全造成了严重威胁,可能导致整个网络瘫痪。
4. 金融木马
金融木马是一种专门用于窃取用户银行账户信息和密码的木马程序。它通常会伪装成银行网站或在线支付平台,诱使用户输入账户信息和密码,然后将这些信息发送给黑客。金融木马对用户的银行账户和资金造成了重大威胁,可能导致财产损失。
5. 后门木马
后门木马是一种可以在系统中留下后门,使黑客可以随时再次进入感染的电脑的木马程序。后门木马通常会隐藏在系统的某个安全漏洞中,可以在系统重新启动后自动运行,从而对系统的安全造成了严重威胁。
6. 特洛伊木马
特洛伊木马是一种通过伪装成合法和实用的软件,骗取用户下载和安装的木马程序。特洛伊木马通常会隐藏在某个看似有用的软件中,一旦用户下载并安装,木马就会感染用户的电脑,窃取用户的数据。
木马的7种分类
木马的7种分类
木马是一种恶意软件,往往隐藏在看似正常的程序中,通过潜在的方式侵入目标系统,窃取信息、破坏系统、甚至用于攻击其他系统。根据其特点和功能,木马可以被分类为不
同的类型,本文将介绍木马的七种分类。
1. 后门木马
后门木马是指一种可以在目标系统中建立隐藏入口,允许攻击者以后门的方式远程控
制系统的木马。通过后门木马,攻击者可以窃取目标系统中的敏感信息,篡改系统设置,
远程控制系统。这种类型的木马常常被用于对目标系统进行长期监视和控制,对目标系统
的安全和稳定性构成威胁。
2. 数据采集木马
数据采集木马是一种专门用于窃取用户个人信息和敏感数据的木马,可以获取浏览器
中的密码、银行账号、信用卡信息等敏感信息。数据采集木马还可以监控用户的在线行为,窃取个人隐私。这种类型的木马常常伴随着钓鱼网站和诱导用户点击恶意链接等手段进行
传播。
3. 木马病毒
木马病毒是一种将木马特性和病毒特性相结合的恶意软件,具有木马程序的远程控制
功能,同时还具有病毒的自我复制和传播能力。木马病毒可以通过感染正常的文件或系统
程序来隐藏自身,避免被杀毒软件发现。这种类型的木马对系统安全性构成严重威胁,可
能导致系统崩溃或数据丢失。
4. 间谍木马
间谍木马是一种专门用于监视用户行为和窃取敏感信息的木马,可以截取用户的屏幕
截图、记录键盘输入、窃取浏览器中的历史记录和密码等信息。间谍木马往往以隐秘的方
式运行在目标系统中,用户难以察觉。这种类型的木马对个人隐私和企业机密构成严重威胁。
5. 拨号木马
拨号木马是一种专门用于通过调制解调器拨号方式传播的木马,可以通过感染用户的
远程控制软件和木马的区别
远控软件和木马的区别
很多人听到远程控制,就想到木马——通过发送一个图片或文档,或者让对方打开一个网址,对方观看后,就可以远程控制对方了。真有这样的软件吗答案是肯定的,灰鸽子就是其中最杰出的代表(灰鸽子2003年是已经倒闭了的)。
现在就将灰鸽子这类木马软件和网络人远程控制软件之间的区别,以及黑客非法控制他人的手段和正常实现远程控制的方法。
1.首先,无论是用木马还是用正规的远程控制软件,要实现远程操控对方电脑,都需要在被控的电脑上安装一个被控端,如果不安装那么不可能实现控制。灰鸽子、黑洞等木马软件,会将被控端设计成全自动后台运行,点击一下后,被控端可能就消失掉了,其实它已经在后台悄悄的安装了。正规的远程控制软件,比如网络人、PCanyWhere 等被控端的安装符合常规软件的安装流程,有安装界面供客户选择和退出。被控端如果隐藏安装,那么杀毒软件会认为你是木马,如果有安装界面正常安装,并且可以退出、卸载,那么可以认为是正规的远程控制软件。
2.网络人和灰鸽子等木马软件在功能上基本完全相同,都具有文件管理,屏幕监控、视频监控,远程重启、键盘记录、屏幕录像等功能,实施监控的时候,都不会被对方发现。但灰鸽子是木马,会被杀毒软件当作病毒查杀,而网络人是正规的远程控制软件,获得了360、毒霸、瑞星等杀毒软件的安全认证,不会被当作病毒查杀。
3. 灰鸽子之类的木马软件,使用起来较麻烦,首先需要用户自己购买FTP 空间或申请域名,费用约250元/一年,并且还很不稳定。然后要在路由器上做端口映射,完成这些前期工作后,还要进行服务端配置,上线设置,技术性很强,一般用户无法轻易学会使用。
了解木马病预防计算机被远程控制的风险
了解木马病预防计算机被远程控制的风险
随着计算机网络的迅速发展,木马病作为一种常见的网络威胁已经
严重威胁到了我们的计算机和个人信息安全。木马病是一种类似于传
统的木马软件,通过欺骗用户和远程控制的手段,来拦截传输的信息、盗取个人隐私和破坏系统等。为了确保计算机安全,我们有必要了解
木马病预防计算机被远程控制的风险。
一、了解木马病的工作原理和入侵方式
木马病通常通过电子邮件、网络下载和可疑的网站等方式传播,一
旦进入计算机系统,它会实现远程控制,并且在用户不知情的情况下
窃取敏感信息。了解木马病的工作原理和入侵方式,可以帮助我们提
前预防和防御。
二、加强网络安全意识和建立良好的网络习惯
网络安全意识是预防木马病的首要步骤。我们应该时刻保持警惕,
不随意打开未知的邮件附件或下载来路不明的文件。此外,还应定期
更新操作系统和安全软件,以及建立强密码,避免使用相同的密码进
行多个账户的登录。
三、使用安全、可靠的网络软件和防火墙
安全可靠的网络软件和防火墙是保护计算机免受木马病入侵的有效
措施。通过安装防火墙,我们可以限制外部网络对计算机的访问,并
且及时发现和阻止潜在的木马入侵。此外,合理配置和使用杀毒软件
也是保护计算机安全的必要手段。
四、定期更新和备份系统和文件
定期更新操作系统和软件补丁是保护计算机免受木马病入侵的重要措施之一。厂商会不断修复系统和软件的漏洞,而我们需要及时下载并安装这些更新。另外,定期备份重要的文件也是防止木马病带来数据损失的有效手段。
五、避免访问可疑的网站和下载未知来源的软件
避免访问可疑的网站和下载未知来源的软件是预防木马病的常用方法。通过谨慎选择访问的网站和下载的软件,我们可以降低感染木马病的风险。此外,不点击不明链接和不打开可疑邮件是有效防范木马病的关键步骤。
木马的7种分类
木马的7种分类
随着计算机技术的不断发展,木马病毒也不断地演化和发展,出现了各种不同类型的木马病毒,本文将介绍木马病毒的七种基本分类。
1.远程控制木马
远程控制木马可以通过网络,远程控制受感染电脑的操作系统。黑客可以远程操作受害者的计算机,以获取其个人信息、机密资料和密码等。这种木马病毒非常隐蔽,很难被发现,因此危害性相对较大。
2.间谍木马
间谍木马主要用于监控用户的行动,例如记录用户的浏览历史记录、键盘输入等。这种木马病毒通常会将窃取到的数据发送给黑客来实现监控。
3.下载木马
下载木马病毒具有下代码、过滤HTML代码等功能,可以从远程服务器下载感染电脑所需的程序或文件。当这种木马病毒感染到用户的计算机后,可以在后台下载恶意程序或软件。
4.钓鱼木马
钓鱼木马通常通过电子邮件、社交网络等方式来欺骗受害者,使其下载木马病毒。这种木马病毒的危害性非常高,因为它可以窃取受害者的个人信息,例如社交网络的用户账户和密码、银行账户信息等。
5.后门木马
后门木马是指在计算机上预留出的一些未经授权的入口,可以让黑客在未经授权的情况下远程访问受害者的计算机系统。这种木马病毒可以在用户不知情的情况下进行远程控制,非常隐蔽,难以发现。
6.窃密木马
窃密木马可以获取用户的账户和密码等个人信息,并将这些信息上传到黑客服务器。这种木马病毒通常隐藏在诱骗受害者下载的文件、恶意链接等背后。
7.多功能木马
多功能木马是一种综合了多种木马病毒功能的复合木马病毒。它可以通过网络来获取用户的个人信息、远程访问受害者计算机、窃取银行账号密码等敏感信息。这种木马病毒的危害性非常高,可以严重威胁用户的安全和隐私。
木马的7种分类
木马的7种分类
木马是计算机中的一种恶意软件,它可以隐藏在一个看似合法的程序中,一旦被用户
执行,就会在计算机中做出一些危害性的行为。
根据木马的不同特性和使用目的,可以将其分为以下七种:
1.远程控制木马
这种木马可以让攻击者完全控制被感染计算机的所有操作,实现对计算机的远程控制。攻击者可以随意访问用户的私人数据、密码和敏感信息等,还可以通过该计算机进行攻击
其他网络。
2.数据盗窃木马
这种木马专门用于窃取用户的个人和机密信息,如银行账户、密码、信用卡号码等等。攻击者可以通过这些信息获取受害者的经济利益,而受害者可能感觉不到任何异常。
3.捆绑木马
这种木马可以躲藏在其他程序中传播,当其他程序被用户执行时,捆绑在其中的木马
也就开始进行非法行为。
4.流氓软件木马
流氓软件木马从表面上看起来是一个合法而且有用的程序,但实际上它会在用户的计
算机上安装一些广告软件、弹窗软件等,甚至会捆绑其他恶意软件。这种木马常常被用于
非法盈利。
5.键盘记录木马
这种木马可以记录用户敲击的所有按键记录,包括键盘上敲的每个字母和数字、密码
和敏感信息等等。这种木马通常用于监控人员或对某些特定目标进行针对性攻击。
6.后门木马
后门木马是指攻击者在某些合法程序或操作系统中设置隐藏的入口或密码,以便随时
再次进入该系统或软件。这种木马比较难以发现,因为它不会对计算机进行任何不寻常的
活动,但是它会为攻击者提供系统进入的途径,从而给安全带来潜在风险。
7.病毒木马
病毒木马是经过病毒修改过的木马。类似于一些常见的电子邮件爆炸病毒,是通过邮件系统并自己植入恶意代码来传播的,而传播过程往往和劝导接收者提供详细的私人信息和机密资料有关。
木马的7种分类
木马的7种分类
木马病毒是一种常见的计算机病毒,它们隐藏在其他看似正常的程序中,通过潜伏在
计算机系统中,窃取用户敏感信息、破坏系统功能等行为。根据木马的特点和用途,可以
将木马病毒分为以下七种分类。
1. 后门木马:后门木马病毒通过在受感染的计算机上创建一个“后门”,使攻击者
可以在未经授权的情况下远程访问计算机系统。攻击者可以利用这个后门进行各种恶意活动,如窃取敏感数据、破坏系统等。
2. 数据采集木马:这种木马病毒会自动收集用户的个人信息、登录账号密码、银行
卡信息等,并将这些信息传输给攻击者。攻击者可以利用这些敏感信息进行非法活动,如
盗取用户财产。
3. 远控木马:远控木马病毒可以远程监控和控制感染的计算机,攻击者可以通过远
程控制窃取信息、操纵文件、破坏系统等。这种木马病毒通常通过电子邮件、网络下载等
方式传播。
4. 下载器木马:下载器木马病毒会在计算机上下载和安装其他恶意软件。这种木马
通常通过网络下载程序传播,一旦感染,会默默地在计算机上安装其他恶意软件,如间谍
软件、恶意广告软件等。
6. 文件删除木马:文件删除木马病毒会在计算机上删除或损坏文件,破坏系统功能。这种木马常常伴随着其他恶意软件的传播,一旦感染,会导致严重的数据丢失和系统损
坏。
7. DOS攻击木马:DOS攻击木马病毒会通过创建大量的网络请求,占用计算机系统的
资源,导致计算机无法正常工作。攻击者可以利用这种木马病毒对网站、服务器进行拒绝
服务攻击,造成经济损失和系统瘫痪。
木马病毒种类繁多,其目的各不相同,但它们的存在都对计算机和用户的安全造成了
木马——本质就是cssocket远程控制,反弹木马是作为c端向外发起网络请求
⽊马——本质就是cssocket远程控制,反弹⽊马是作为c端向外
发起⽹络请求
摘⾃:/upload/20150504165623705.pdf ⾥⾯对于⽊马的实验过程写得⾮常清楚,值得⼀看。
⽊马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和
修改⽂件、发送密码、记录键盘、实施
DOS
攻击甚⾄完全控制计算机等特殊功
能的后门程序。它隐藏在⽬标的计算机⾥,可以随计算机⾃动启动并在某⼀端⼝
监听来⾃控制端的控制信息。
1
、⽊马的特性
⽊马程序为了实现某特殊功能,⼀般应该具有以下性质:
(
1
)伪装性
:
程序把⾃⼰的服务器端伪装成合法程序,并且诱惑被攻击者执
⾏,使⽊马代码会在未经授权的情况下装载到系统中并开始运⾏。
(
2
)隐藏性:⽊马程序同病毒⼀样,不会暴露在系统进程管理器内,也不会让
使⽤者察觉到⽊马的存在,它的所有动作都是伴随其它程序进⾏的,因此
在⼀般情况下使⽤者很难发现系统中有⽊马的存在。
(
3
)破坏性:通过远程控制,攻击者可以通过⽊马程序对系统中的⽂件进⾏删
除、编辑操作,还可以进⾏诸如格式化硬盘、改变系统启动参数等个性破
坏操作。
(
4
)窃密性:⽊马程序最⼤的特点就是可以窥视被⼊侵计算机上的所有资料,
这不仅包括硬盘上的⽂件,还包括显⽰器画⾯、使⽤者在操作电脑过程中
在硬盘上输⼊的所有命令等。
2
、⽊马的⼊侵途径
⽊马⼊侵的主要途径是通过⼀定的欺骗⽅
法,如更改图标、把⽊马⽂件与普
通⽂件合并,欺骗被攻击者下载并执⾏做
了⼿脚的⽊马程序,就会把⽊马安
装到被攻击者的计算机中。
3
、⽊马的种类
(
1
)按照⽊马的发展历程,
木马与远程控制课件
木马的隐藏技术
01
进程隐藏
木马程序会将自己的进程隐藏 起来,避免被用户发现。
02
注册表隐藏
木马程序会将自己的注册表项 隐藏起来,避免被用户发现。
03
文件隐藏
木马程序会将自身的文件隐藏 起来,避免被用户发现。
木马的传播方式
通过社交工程传播
01
攻击者通过欺骗用户下载木马程序,例如通过钓鱼邮
件、恶意网站等。
国家级别的网络间谍活动
VS
详细描述
美国国家安全局(NSA)利用各种手段对 全球范围内的电脑进行远程控制,包括键 盘记录、屏幕监控、文件窃取等。这些行 动被认为是为了进行网络间谍活动和网络 攻击。该案例暴露了国家级别的网络间谍 活动的存在和危害。
THANKS
远程控制的工具
常用的远程控制工具
01
如TeamViewer、向日葵、Chrome Remote Desktop等。
远程控制工具的选择
02
根据实际需求和场景选择合适的远程控制工具。
远程控制工具的安全性
03
需要注意安全性问题,如加密传输、权限管理等。
04
木马与远程控制的防御
防御木马的技术
定期更新系统
通过漏洞传播
02 攻击者利用系统或应用程序的漏洞,将木马程序植入
目标系统。
通过感染文件传播
木马种类
1.远程控制木马
远程控制木马是数量最多,危害最大,同时知名度也最高的一种木马,它可以让攻击者完全控制被感染的计算机,攻击者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作,其危害之大实在不容小觑。由于要达到远程控制的目的,所以,该种类的木马往往集成了其他种类木马的功能。使其在被感染的机器上为所欲为,可以任意访问文件,得到机主的私人信息甚至包括信用卡,银行账号等至关重要的信息。
大名鼎鼎的木马冰河就是一个远程访问型特洛伊木马。这类木马用起来是非常简单的。只需有人运行服务端并且得到了受害人的IP。就会访问到他/她的电脑。他们能在你的机器上干任何事。远程访问型木马的普遍特征是:键盘记录,上传和下载功能,注册表操作,限制系统功能……等。远程访问型特洛伊木马会在你的电脑上打开一个端口以保持连接。
2.密码发送木马
在信息安全日益重要的今天。密码无疑是通向重要信息的一把极其有用的钥匙,只要掌握了对方的密码,从很大程度上说。就可以无所顾忌地得到对方的很多信息。而密码发送型的木马正是专门为了盗取被感染计算机上的密码而编写的,木马一旦被执行,就会自动搜索内存,Cache,临时文件夹以及各种敏感密码文件,一旦搜索到有用的密码,木马就会利用免费的电子邮件服务将密码发送到指定的邮箱。从而达到获取密码的目的,所以这类木马大多使用25号端口发送E-mail。大多数这类的特洛伊木马不会在每次Windows重启时重启。这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱,如果体育隐藏密码,这些特洛伊木马是危险的。
木马的7种分类
木马的7种分类
1. 后门木马
后门木马是一种隐藏在系统中的恶意程序,它可以创建一个后门,允许攻击者在未被察觉的情况下远程访问受感染的计算机。这种类型的木马通常会修改系统配置、篡改系统文件或者利用系统漏洞,以达到控制和监视目标计算机的目的。
2. 下载器木马
下载器木马主要用来下载其他恶意软件,例如病毒、蠕虫、间谍软件等,到受感染的计算机上。这种类型的木马通常会隐藏在一个看似无害的程序中,等待用户运行后自动下载其他恶意软件。
3. 间谍木马
间谍木马是一种用来窃取个人信息和敏感数据的木马,例如登录密码、信用卡信息、个人通讯录等。这种类型的木马通常会记录用户的输入、截取屏幕截图、监视网络流量等方式来获取用户的隐私信息。
4. RAT木马
远程控制木马(RAT)是一种允许攻击者远程控制目标计算机的木马,例如监视目标用户的操作、执行恶意命令、上传下载文件等。这种类型的木马通常会隐藏在一个正常的程序中,等待攻击者远程控制。
5. 蠕虫木马
蠕虫木马是一种通过网络进行传播的木马,它可以自我复制并传播到其他计算机上。这种类型的木马通常利用系统漏洞、弱密码等方式来传播并感染其他计算机。
6. 伪装木马
伪装木马是一种隐藏在合法程序或文件中的木马,例如游戏、浏览器插件、媒体文件等。这种类型的木马通常会混淆用户,并通过社会工程学手段进行传播。
7. 持久化木马
持久化木马是一种利用系统漏洞或者文件自启动功能等方式,在受感染的计算机上持续存在的木马。这种类型的木马通常会在系统启动时自动运行,并集成到系统中,使其难以清除。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
远控、木马?神马都是浮云!
供稿:VIRUSFREE
年初,中央电视台的《焦点访谈》专门介绍了黑客如何危害大众的事,给人的感觉是黑客软件在利益的趋势下,有愈演愈烈的趋势,而普通用户的电脑沦为黑客们的“肉鸡”,只有被人任意宰割的份了。
为什么会这样?这还得从黑客软件的原理说起。
黑客软件,也称远控软件,是一种特殊的软件,合法的用途是用于远程维护电脑,能增加工作效率、降低劳动成本,但在黑客手里,就演变成为控制用户电脑,盗窃用户电脑资源的后门,用户电脑一旦被植入这种东东,什么游戏装备、QQ密码、银行支付帐号、股票账户、机密文档,都会成为黑客的囊中之物,除此之外,若干台被控电脑还可以组成“僵尸”网络,成为犯罪分子攻击别人电脑网络或者运行系统的帮凶,所以,电脑被黑客控制是非常危险的事情。
有人要说了,我的电脑安装了杀毒软件,还有防火墙,难道就防不住这些黑客软件?!
是的,基于杀毒软件的工作原理,黑客们使用各种“免杀”技术,就能逃避杀软的查杀,达到入驻用户电脑的目的。他们为了达到长期霸占用户电脑的目的,还使用了随时更新远控端程序的技术,目的只有一个,让杀软永远发现不了它们。
无毒空间的诞生,基本是敲响了这类黑客软件的丧钟,其原因是,那些在杀软面前非常牛的“免杀”技术,在无毒空间面前无疑于自投罗网,无毒空间的工作原理跟黑客软件的“免杀”技术是完全相克的,所以,只要用户电脑的无毒空间还在正常工作,抓黑客软件、后门程序就如同“瓮中捉鳖”一样非常容易。
以下案例就显示无毒空间抓住各类黑客软件的样子。
首先试试灰鸽子这个经典的远控,我们将灰鸽子的最新版找来测试了一下,老版本就不一一试验了,从原理上看,都应该不在话下。
这个截图显示的是灰鸽子进入用户电脑的情形,我们为了测试这个木马,故意没有搭理它,如果第一时间就禁止这些可疑程序,我们也就看不到后面的精彩镜头了。
图1
重启电脑,当作不知道木马已经进入我们电脑的样子。
按照无毒空间捕捉未知木马的套路,点击一下“分析”按钮,看见的就是以下截图。
图2
一个名为3的可疑程序,浮现在用户的眼前,这个程序的可疑之处简述如下:
1、文件的扩展名不是常规的执行文件,但它执行了;
2、文件加载路径为非正常路径,使用超长复杂路径,由于黑客不想让用户太容易找到其后门程序,这样安排就显得比较“合乎常理”了;
3、文件尺寸超大,25兆,逃避云查杀的招数;
4、厂商信息及版本信息异常,黑客们好像都不太勤快,这种无厂商无版本的情况比较常见。另一种比较常见的情况是信息完整,但都是冒充知名厂商的程序,微软、卡巴、QQ、360都是冒充的对象。
懂行的用户根据上述情况,基本就能断定这是木马无疑。
发现了、找到了木马后门程序,就好比知道家里藏了贼,怎么处理应该就不是难事了。
抓个灰鸽子不算什么本事,因为这个木马已经臭了大街了,各类安全软件首要的任务就是发现并搞定这个知名木马,无毒空间并不是为某个版本的木马设计的,所以,即使木马有无穷的变种,其结果和下场都是一样的。
这不,我们再找一个免杀全球97.7%杀毒软件的最新木马试试(本来是100%免杀的,因为这个版本诞生有段时间了,有的杀软可能已经得到样本,也认识了这个远控软件)。
图3
PS:木马使用巨型文件对付云查杀使得上传扫描成为一个问题,解决这个问题的办法是将样本用rar或者zip压缩后上传,就能克服这个障碍。
还是老套路运行这个木马程序,当作正常程序对待。但木马就是木马,执行后总是显示出不正常的地方,这不,下面的执行记录里,有两个程序执行后失踪了,还有一个后半部分带4d1f的随机文件名特征的程序,这都有异于正常程序的蛛丝马迹。
图4
本着要看看这个木马到底怎么偷偷控制我们电脑的目的,我们故意不加干涉,重启一下电脑看看。
启动电脑后,我们打开木马的远程控制台管理程序,发现这个木马上线了,用户的电脑各种信息显示在木马操作者的手里。这时黑客的权限比用户的权限还要大,因为用户在明处,黑客们在暗处,对比之下黑客神不知鬼不觉的,更加危险,也更加有不可预知性。
图5
在无毒空间里,分析一下,就直接看见了黑客最想隐藏的客户端后门程序。以下几个疑点也是非常明显的:
1、10兆超大尺寸;
2、加载路径不寻常;
3、无厂商、无版本;
4、随机文件名。
图6
在无毒空间里禁止这个异常程序,关闭主界面,重启电脑。
我们发现木马的后门程序不能正常运行了,虽然无毒空间没有删除任何程序,但黑客的后门程序也照样不能启动工作了,这表明我们已经实现了夺回了对电脑的控制权。
图7
重新打开黑客使用的远程控制台管理程序,发现原来可以远程控制的用户电脑掉线了,显然黑客已经失去了任意鱼肉用户的权限。
图8
实际上,查杀黑客的隐藏程序还有一些高级工具软件可以选用,比如:
SRENG2,ICESWORD,WSYSCHECK,XUETR,POWERTOOL,GMER,UNH OOKER等等,这些工具软件都非常高级,捕捉未知木马的能力也都非常强,唯一遗憾的是,这些工具都非常专业,普通人用起来有些难度。
一旦用户捕捉未知病毒木马的经验丰富了,还是需要学会使用这些工具的,这样,也可以避免单独使用一种工具可能造成的遗漏