传统特洛伊木马的工作原理共17页word资料
特洛伊木马的工作原理
特洛伊木马的工作原理
特洛伊木马是一种常见的恶意软件,它通过伪装成正常的程序或文件来欺骗用户,使其被安装和运行在受感染的系统中。
特洛伊木马的工作原理包括以下几个步骤:
1. 伪装: 特洛伊木马会伪装成一个吸引人的程序、文件或链接,以引起用户的兴趣和点击。
这个伪装可以是一个看似合法的软件安装包、电子邮件附件、社交媒体链接等等。
2. 欺骗: 当用户执行了特洛伊木马的安装或打开操作时,它会
欺骗用户认为它是一个正常的程序或文件,并且可能对用户做出各种误导性的提示或界面交互,让用户相信这是一个可信的应用。
3. 潜伏: 一旦特洛伊木马成功地安装在系统中,它会开始在后
台运行,并潜伏于系统的各个角落,隐藏自己的存在,使用户难以察觉。
4. 攻击: 特洛伊木马会利用系统漏洞或用户权限不足的安全弱点,通过自身的程序代码或网络通信进行攻击。
这可能包括窃取用户的个人信息、密码、银行账号等敏感信息,操控受感染系统进行恶意活动,或者打开后门,为黑客提供远程访问受感染系统的权限。
5. 传播: 一旦特洛伊木马成功感染了一个系统,它还可能通过
网络传播到其他主机,利用电子邮件、即时通信软件、共享文件等方式,将自身复制到其他电脑上,进一步传播。
总之,特洛伊木马通过伪装成正常的程序或文件,欺骗用户安装并潜伏于系统中,然后利用系统漏洞进行攻击和传播。
用户需要提高警惕,并采取安全措施来预防和检测特洛伊木马的存在。
特洛伊木马原理分析
特洛伊木马原理分析特洛伊木马是如何工作的一般的木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序他所做的第一步是要把木马的服务器端。
攻击者要通过木马攻击你的系统,程序植入到你的电脑里面。
目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,利用的途径有邮件附件、下载软件中等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个木马执行文件,是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。
一般的木马执行文件非常小,大部分都是几K到几十K,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。
木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入,由于微软的浏览器在执行Senipt脚本存在一些漏洞。
攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。
前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。
如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马目录。
此外,木马还可以利用系统的一些漏洞进行植人,如微软著名的US服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并且同时攻击服务器,执行远程木马执行文件。
当服务端程序在被感染的机器上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。
在客户端和服务端通信协议的选择上,绝大多数木马使用的是TCP/IP协议,但是也有一些木马由于特殊的原因,使用UDP协议进行通讯。
当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;同时监听某个特定的端口,等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。
4.1特洛伊木马
第三部分 木马查杀技巧
如果存在隐藏进程,会以红色进程显示。
第三部分 木马查杀技巧
删除木马文件
结束掉木马进程后,就可以删除文件了,如果使用系统的资源 管理器删除木马文件,需要先设置显示隐藏文件,因为大多数木马或 病毒都会将自己设置为隐藏属性。 学习使用IceSword工具删除木马文件。
第三部分 木马查杀技巧
方法1:通过设置NTFS格式的权限来清除 1)选中dll木马文件,右键属性—安全 2) 点击高级,取消“允许父项的继承 权限传播到该对象和所有子对象” 3) 删除所有帐户
第四部分 特殊木马的处理
重启后,没有任何帐户有权限对文件进行调用,直接删除dll文件即 可。
第四部分 特殊木马的处理
DLL木马的清除技巧
被入侵后主动感染木马 网络上任何一台计算机都有被入侵成功的可能,当成功入侵一台 主机后,黑客可以放上一个功能强大的后门——木马,然后进行远程 控制。
第二部分 木马入侵
木马是如何进入系统的
利用社会工程学 “社会工程学”是指利用人性的弱点,结合心理学的知识来猜摸 对方心思,并利用得到的结果来获取想要的敏感信息。通俗来说社会 工程学就是一种非常高明的“骗术”。
第三部分 木马查杀技巧
学习使用IceSword修复注册表
解决了系统注册表编辑器无法打开的问题
第三部分 木马查杀技巧
这部分我们主要介绍了手动处理木马的常 规步骤,迄今为止,木马的种类非常多,技术 发展很快,越来越难彻底清除,除了熟悉工具 的使用方法外,还要多了解木马和病毒资讯, 丰富处理木马的经验。当然安装杀毒软件是有 简单有效的方法,打开实时监控,及时更新病 毒库。
IceSword可以直接显示隐藏文件,并可强制删除顽固文件。
chp7 特洛伊木马
除了普通文件操作外,还有搜索cache中的口令、设置口令、扫 描目标计算机的IP地址、进行键盘记录、远程注册表操作以及锁 定鼠标等功能
15
木马的功能
窃取数据
以窃取数据为目的,本身不破坏计算机的文件和数据, 不妨碍系统的正常工作, 它以系统使用者难以察觉的方式向外传送数据
接受非法授权操作的指令
木马被激活后,进入内存,开启并监听预先定义的木马端口,准备 与控制端建立连接
28
7.5 特洛伊木马的基本原理
信息反馈
木马成功安装后会收集一些服务器的软硬件信息,并通过E-mail、 QQ等方式告知控制端攻击者 必须满足两个条件
• •
建立连接
服务器端已安装了木马程序 控制端、服务端都在线
14
易植入性
7.3 特洛伊木马的特性
主动性
能自动打开某些端口 根据TCP/IP协议,每台PC机可以有256*256个端口,但常用的只 有少数几个,木马经常利用不常用的这些端口进行连接 当用户联网时能与远程客户端进行通信,利用服务器客户端的通 信手段把信息告诉攻击者
功能的特殊性
32
所必须的一条元素
9
7.2 特洛伊木马的结构
木马系统软件一般由三部分组成
木马程序
• •
服务器程序 驻留在受害者的系统中,非法获取其操作权限,负责接收控制 指令,并根据指令或配置发送数据给控制端
木马配置程序
•
设置木马程序的端口号、触发条件、木马名称等
控制远程木马服务器,有些控制程序集成了木马的配置功能, 统称为控制端(客户端)程序
特洛伊木马原理介绍
1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。
古希臘有大軍圍攻特洛伊城,逾年無法攻下。
有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。
城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。
到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。
後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。
特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。
而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。
原因是如果有人不當的使用,破壞力可以比病毒更強。
iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。
木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
e2/基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。
作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。
對於特洛伊木馬,被控制端就成為一台伺服器。
网络攻防原理与技术第6章 特洛伊木马
也就是说你按过什么按键,种植木马的人都知道,从 这些按键中他很容易就会得到你的密码等有用信息!
当然,对于这种类型的木马,邮件发送功能也是必不 可少的。
(5) DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击 的木马也越来越流行起来。
木马规模
木马规模
木马规模
二、分类
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
第一代木马是伪装型病毒,将病毒伪装成一个合法的 程序让用户运行,例如1986年的PC-Write木马;
第二代木马在隐藏、自启动和操纵服务器等技术上有 了很大的发展,可以进行密码窃取、远程控制,例如 BO2000和冰河木马;
木马的分类
从木马技术发展的历程考虑,大致可以分为六代:
随着身份认证USBKey和杀毒软件主动防御的兴起,使 用黏虫技术和特殊反显技术的第六代木马逐渐系统化, 前者主要以盗取和篡改用户敏感信息为主,后者以动 态口令和硬证书攻击为主,PassCopy和暗黑蜘蛛侠是 这类木马的代表。
木马的分类
(3) 远程访问型
使用这类木马,只需有人运行了服务端 程序,如果客户知道了服务端的IP地址, 就可以实现远程控制。
这类程序可以实现观察"受害者"正在干什么, 当然这个程序完全可以用在正道上的,比如 监视学生机的操作。
(4) 键盘记录木马
记录受害者的(硬/软)键盘敲击并且在日志文 件里查找可能的密码。
第 六 章 特洛伊木马
内容提纲
1 木马的基本概念 2 实现原理与攻击技术 3 木马实例 4 木马防御
第五章 特洛伊木马
33
课后作业: 课后作业:
认识木马 学会使用冰河、 学会使用冰河、灰鸽子 学会清除常见木马
34
客户端程序是安装在攻击者(黑客)方的控制台,它 负责远程遥控指挥。 服务器端程序即是木马程序,它被隐藏安装在被攻击 (受害)方的电脑上。
11
木马攻击的第一步:把木马服务程序植入攻击对象 木马攻击的第一步: 攻击者需要通过木马对他人电脑系统进行攻击,第 一步就是把木马的服务程序植入到被攻击的电脑里面。 如果电脑没有联网,那么是不会受到木马的侵扰的, 因为木马程序不会主动攻击和传染到这样的电脑中。
22
使用冰河
配置冰河服务器 种植木马 远程控制
23
24
清除冰河
25
26
任务三、 任务三、
27
冰河木马的清除
1、打开注册表编辑器,展开 、打开注册表编辑器, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run和 和 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentV ersion\RunServices,若其中存在 键值, ,若其中存在kerne132.exe键值,则将其删除。 键值 则将其删除。 2、打开资源管理器,执行“工具” “文件夹选项”,选择“文件类型” 、打开资源管理器,执行“工具” 文件夹选项” 选择“文件类型” 选项卡,在已注册的文件类型列表中找到“TXT文本文档 文本文档” 详细信息” 选项卡,在已注册的文件类型列表中找到“TXT文本文档”,从“详细信息” 中查看其“打开方式”有无变化(一般为记事本文件)。如果不是, )。如果不是 中查看其“打开方式”有无变化(一般为记事本文件)。如果不是,则单 高级” 删除“操作”列表中的open选项。 选项。 击“高级”,删除“操作”列表中的 选项 3、重启电脑进入DOS,删除 、重启电脑进入 下的kerne132.exe ,删除c:\windows\system32下的 下的 文件。 和sysxplr.exe文
第4章 特洛伊木马及其防治
3.被感染后的紧急措施
(1)所有的账号和密码都要马上更改,例 如拨号连接,ICQ、mIRC、FTP,个人站 点,免费邮箱等等,凡是需要密码的地方, 都要把密码尽快改过来。 (2)删掉所有硬盘上原来没有的东西。 (3)检查硬盘上是否有病毒存在 。
4.3 特洛伊木马病毒的防御 4.3.1 用DOS命令检查特洛伊木马 4.3.2 用反黑精英(Trojan Ender)清 除木马
1.强大的木马查杀功能 2.网络状态监控功能 3.IE修复功能 4.查看敏感注册表值 5.进程管理 6.系统优化功能
2.特洛伊木马病毒的危害性
窃取内容; 远程控制。
4.1.2 特洛伊木马病毒的分析
4.1.3 检测和清除特洛伊木马
1.检测和消除 2.处理遗留问题
4.2 特洛伊木马原理
4.2.1 特洛伊木马的植入与隐藏
1.特洛伊木马的植入方式
(1)捆绑在文件上 (2)捆绑在网页中
2.特洛伊木马的隐藏方式
4.2.3 特洛伊木马的启动
1.中木马后出现的状况 2.木马的启动
4.2.4 特洛伊木马的类型与伪装方 法
1.木马的种类
(1)破坏型 (2)密码发送型 (3)远程访问型 (4)键盘记录木马 (5)DoS攻)反弹端口型木马
2.木马采用的伪装方法
第4章 特洛伊木马及其防治
4.1
特洛伊木马病毒基础
4.2
特洛伊木马原理 特洛伊木马病毒的防御
4.3
4.1 特洛伊木马病毒基础
4.1.1 特洛伊木马病毒的危害性
1.什么是特洛伊木马病毒
“特洛伊木马”(trojan horse)简称“木马”,据说 这个名称来源于希腊神话《木马屠城记》。
特洛伊病毒
特洛伊病毒引言在当今数字化世界中,计算机病毒已经成为网络安全的重要问题之一。
特洛伊病毒是一种恶意软件,它伪装成有害或有用的程序,在用户不知情的情况下进入系统,并窃取、损坏或破坏敏感信息。
特洛伊病毒得名于希腊神话中的特洛伊木马,其目的是通过欺骗用户进入其系统并对其进行攻击。
本文将探讨特洛伊病毒的工作原理、影响和预防措施。
一、特洛伊病毒的工作原理1.伪装成合法程序特洛伊病毒通常会伪装成合法的程序或文件,例如游戏、影音软件等。
用户下载、安装并运行这些程序时,特洛伊病毒就会开始在系统中活动。
2.隐藏恶意代码特洛伊病毒通常会隐藏自己的恶意代码,使其难以被发现。
它可以在系统的注册表、启动项、系统文件等关键位置嵌入自己的代码,以便能够在系统启动时自动运行。
3.远程控制特洛伊病毒一旦进入系统,攻击者就可以远程控制受感染的计算机。
攻击者可以通过特洛伊软件远程访问文件、操控系统、监视用户活动等,而用户则完全不知情。
二、特洛伊病毒的影响1.数据窃取特洛伊病毒可以窃取用户的个人信息,如账户名、密码、信用卡信息等。
这些信息可能被用来进行金融欺诈、身份盗用等非法活动。
2.文件损坏或删除特洛伊病毒还可以损坏或删除用户的文件和数据。
它可以破坏硬盘驱动器、操作系统文件和应用程序,导致系统不稳定或无法正常工作。
3.操控系统特洛伊病毒给攻击者提供了远程操控计算机的能力。
攻击者可以在用户不知情的情况下操纵计算机执行不法行为,例如发起DDoS攻击、散布垃圾邮件等。
三、特洛伊病毒的预防措施1.安装可信的安全软件为了避免特洛伊病毒的感染,用户应该安装一个可信的安全软件,如杀毒软件和防火墙。
这些软件可以帮助检测和阻止病毒、恶意软件的入侵。
2.谨慎下载和安装软件用户在下载和安装软件时应格外谨慎。
应只从官方网站或可信的下载平台下载软件,并确保软件的完整性和正当性。
3.定期更新操作系统和软件及时更新操作系统和软件是防止特洛伊病毒侵入的重要步骤。
更新可以修复安全漏洞,并添加新的防御机制来阻止病毒的入侵。
第六章特洛伊木马
• registry->SetValue(SystemPath+"\\Tapi32.exe", "crossbow" );
第16页,共82页。
Server端功能——命令接收
• 接下来就是启动Server端的Socket来接收客户端的命令。
• Port 777
• 核心代码:
– pSocket->Receive( lpBuf, 1000); – //接收客户端数据
•
if ( finder.IsDots() || finder.IsDirectory() ){
•
strResult = "Dire: ";来自•}else{
•
strResult = "File: ";
•
}
•
strResult += finder.GetFileName();
•
strResult += "\n";
–
lpRegisterServiceProcess =(LPREGISTERSERVICEPROCESS)GetProcAddress(
– hDLL,"RegisterServiceProcess");
–
//得到RegisterServiceProcess()函数的地址
–
lpRegisterServiceProcess(GetCurrentProcessId(),1);
• 发送命令的代码如下: • m_ptrComSocket->Send((void *)m_msg,
m_msg.GetLength() );
• 从服务器端获取反馈信息
木马病毒原理及特征分析
23:25:33
1
特洛伊木马的定义
特洛伊木马(Trojan Horse),简称木马,是一 种恶意程序,是一种基于远程控制的黑客工具, 一旦侵入用户的计算机,就悄悄地在宿主计算 机上运行,在用户毫无察觉的情况下,让攻击 者获得远程访问和控制系统的权限,进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘,或窃取用户信息
古希腊特洛伊之战中利用木马攻陷特洛伊城; 现代网络攻击者利用木马,采用伪装、欺骗 (哄骗,Spoofing)等手段进入被攻击的计算机 系统中,窃取信息,实施远程监控
23:25:33
2
特洛伊木马是一种秘密潜伏的能够通过远 程网络进行控制的恶意程序。
控制者可以控制被秘密植入木马的计算
机的一切动作和资源,是恶意攻击者进行窃取
23:25:33
15
特洛伊木马的基本原理
木马控制端与服务端连接的建立
23:25:33
16
特洛伊木马的基本原理
木马通道与远程控制
木马连接建立后,控制端端口和服务端木马端口之 间将会出现一条通道
控制端上的控制端程序可藉这条通道与服务端上的 木马程序取得联系,并通过木马程序对服务端进行 远程控制,实现的远程控制就如同本地操作
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览 文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小 化和隐藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操 作功能;
23:25:33
10
这时的目标计算机就是大家常听到的“肉鸡” 了!
第12章 特洛伊木马
特洛伊木马病毒概念
特洛伊木马(Trojan)病毒: 是指隐藏在正常程序中的一段具有特殊功能的恶意代码 是具备破坏和删除文件、发送密码、记录键盘和攻击Dos 等特殊功能的后门程序
特洛伊木马程序往往表面上看起来 无害,但是会执行一些未预料或未 经授权,通常是恶意的操作。
6
木马的组成
• 一个完整的木马程序由两部分组成
2、网络传播型木马的特征有很多,请问哪个描述是正确的 _______ A.利用现实生活中的邮件进行散播, 不会破坏数据,但是他将硬 盘加密锁死 B.兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥,同 时他还添加了“后门”和击键记录等功能 C.通过伪装成一个合法性程序诱骗用户上当 D.通过消耗内存而引起注意
• 隐藏加载方式
– – – – – – – – – 在Win.ini中启动 在System.ini中启动 利用注册表加载运行 在Autoexec.bat和Config.sys中加载运行 在Winstart.bat中启动 启动组 *.INI 修改文件关联 捆绑文件
23
隐藏技术(三)
• 最新隐身技术
– 修改虚拟设备驱动程序(VXD) – 修改动态链接库 (DLL) – 将修改后的DLL替换系统已知的DLL,并对所有的函数调 用进行过滤
服务器端
• 中木马的计算机,即被控制端
控制器端
• 通过网络控制您的计算机
7
特洛伊木马的演变
• 第一代木马 :伪装型病毒
– 通过伪装成一个合法性程序诱骗用户上当
• 第二代木马 :AIDS型木马
– 利用现实生活中的邮件进行散播:给其他人寄去一封封含有木马 程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS 和HIV疾病的药品,价格,预防措施等相关信息。软盘中的木马 程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然 后提示受感染用户花钱消灾
《特洛伊木马概述》PPT课件
3、重启电脑进入DOS,删除c:\windows\system32下的kerne132.exe 和sysxplr.exe文件。
潜伏性
木马程序一般不会在已经被感染的电脑上作什么破坏的操作,而是尽量地将自己隐 藏起来,不让用户觉察到木马的存在,从而得以偷偷地做一些用户不希望的事情。
再生性
木马被发现后,表面上是被删除了,但后备的木马会在一定的条件下重新生成被删 除的文件。
木马的基本原理
两个执行文件:客户端程序 服务器端程序
客户端程序是安装在攻击者(黑客)方的控制台,它负责远程遥控指挥。 服务器端程序即是木马程序,它被隐藏安装在被攻击(受害)方的电脑上。
木马的启动 1、在Win.ini中启动 2、在System.ini中启动 3、通过启动组实现启动 4、修改文件关联 5、捆绑文件 6、反弹技术
木马的种类 1、破坏型 2、密码发送型 3、远程访问型 4、键盘记录型 5、DoS攻击型 6、代理型 7、FTP木马 8、程序杀手型
木马的入侵
现在木马主要是使用欺骗的方法通过电子邮件发送、文件下载把木马执行文件植入 被攻击者的电脑系统的。入侵的方式可以是:
冒名可以是QQ冒名和邮件冒名。QQ冒名则必须选盗得一个QQ号,然后使用这个号 码给好友发送木马程序。如果是邮件冒名,则是用匿名邮件向别人发木马附件。
伪装成文件是利用很多人都有连续点击文件夹的习惯,把木马文件伪装成文件夹图 标。
木马的防范
1、使用病毒防火墙或木马监控程序并及时升级 2、不要轻易打开来历不明的电子邮件附件 3、及时升级浏览器软件、电子邮件软件 4、到大型的网站上下载软件,下载后先进行杀毒 5、显示所有文件的扩展名
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
史少甫 20092420229 通信2班一、什么是特洛伊木马特洛伊木马(TrojanHorse,以下简称木马)的名称取自希腊神话的特洛伊木马记。
木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。
特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。
这些权限并不是服务端赋予的,而是通过木马程序窃取的。
木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
1、硬件部分建立木马连接所必须的硬件实体。
控制端:对服务端进行远程控制的一方。
服务端:被控制端远程控制的一方。
I NTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
2、软件部分实现远程控制所必须的软件程序。
控制端程序:控制端用以远程控制服务端的程序。
木马程序:潜入服务端内部,获取其操作权限的程序。
木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
3、具体连接部分通过I NTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。
控制端I P,服务端I P:即控制端,服务端的网络地址,也是木马进行数据传输的目的。
控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
二.木马的特征木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、BackOrifice2019、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。
综合现在流行的木马程序,它们都有以下基本特征1、隐蔽性是其首要的特征如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。
很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。
实际上他们两者的最大区别就是在于这一点,这些黑客们早就想到了方方面面可能发生的迹象,把它们扼杀了。
大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其它程序之中。
有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用绑定的程式时,木马也入侵了系统,甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定,在你看图片的时候,木马也侵入了你的系统。
它的隐蔽性主要体现在以下两个方面:a、不产生图标它虽然在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图标,这是容易理解的,不然的话,凭你的火眼金睛你一定会发现它的。
我们知道要想在任务栏中隐藏图标,只需要在木马程序开发时把“Form”的“Visible”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可;b、木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。
2、它具有自动运行性它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3、木马程序具有欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。
还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。
等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。
4、具备自动恢复功能现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
5、能自动打开特别的端口木马程序潜入人的电脑之中的目的不主要为了破坏你的系统,更是为了获取你的系统中有用的信息,这样就必需当你上网时能与远端客户进行通讯,这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施更加进一步入侵企图。
你知不知道你的电脑有多少个对外的“门”,不知道吧,告诉你别吓着,根据TCP/IP协议,每台电脑可以有256乘以256扇门,也即从0到65535号“门,但我们常用的只有少数几个,你想有这么门可以进,还能进不来?当然有门我们还是可以关上它们的,这我在预防木马的办法中将会讲到。
6、功能的特殊性通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。
对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机,即侵入被攻击主机的入侵程序属于服务程序,攻击者的控制程序属于客户程序。
计算机感染特洛伊木马后,会受到特络伊木马程序的控制,有以下几种典型现象:(1)有未知程序试图建立网络连接。
(2)系统中有可疑的进程在运行等现象。
(3)系统运行速度越来越慢,且CPU资源占用率高。
(4)任务表中有可疑的文件在运行。
(5)系统长时间读写硬盘或搜索软盘。
(6)系统经常死机或重启等。
二特洛伊木马的攻击步骤用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步,下面我们就按这六步来详细阐述木马的攻击原理。
2.2.配置木马一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:(1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件,定制端口,自我销毁等等(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址、I CO 号等等。
2.2.2传播木马(1)传播方式木马的传播方式主要有两种:一种是通过E- MA I L,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马; 另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
(2)伪装方式鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
一般来说有以下几种:(1)修改图标也许你会在在E- MA I L 的附件中看到一个很平常的文本图标,但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZI P 等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(2)捆绑文件这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。
至于被捆绑的文件一般是可执行文件( 即EXE,COM一类的文件) 。
(3)出错显示有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。
当服务端用户打开木马程序时,会弹出一个如下图所示的错误提示框( 这当然是假的) ,错误内容可自由定义,大多会定制成一些诸如”文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
(4)定制端口很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024--- 65535 之间任选一个端口作为木马端口( 一般不选1024 以下的端口) ,这样就给判断所感染木马类型带来了麻烦。
(5)自我销毁这项功能是为了弥补木马的一个缺陷。
我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到W I NDOWS 的系统文件夹中( C: \W I NDOWS 或C: \W I NDOWS\SYSTEM目录下) ,一般来说原木马文件和系统文件夹中的木马文件的大小是一样的( 捆绑文件的木马除外) ,那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。
而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
(6)木马更名安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。
所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
2.3运行木马服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。
首先将自身拷贝到W I NDOWS 的系统文件夹中( C: \W I NDOWS 或C: \W I NDOWS\SYSTEM目录下) ,然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。
安装后就可以启动木马了。
( 1) 由触发条件激活木马触发条件是指启动木马的条件,大致出现在下面八个地方1)注册表: 打开HKEY_LOCAL_MACH I NE\Sof t war e\M i cr osof t \W i ndows\Cur r ent Ver si on\下的五个以Run 和R unSer vi ces 主键,在其中寻找可能是启动木马的键值。