计算机木马病毒介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
务端覆盖这两个文件才行,不多见,) 5在winstart.bat中启动 (自动被windows加载运行的文件。多数情况下为应用程序及windows自动生成) 6启动组(启动组对应的文件夹c:\windows\start menu\programs\startup)
资料仅供参考,不当之处,请联系改正。
木马编程人员不停地研究和探索新的自启动技术,并时 常有新的发现
如:木马加入到用户经常执行的程序(explorer.exe)中,用户执行 该程序时,则木马自动发生作用,
如:windows系统文件和注册表
资料仅供参考,不当之处,请联系改正。
木马的启动方式
1在win.ini中启动(load= run= 原为空 木马可改写如load=c:\windows\filHale Waihona Puke Baidu.exe) 2在system.ini中启动(boot字段 shell=Explorer.exe 386Enh字段 driver=路径\程
序名 mic drivers drivers32) 3利用注册表加载运行(1、自己不熟悉自动启动文件扩展名为EXE2、伪装蒙混过
关3、找到木马程序的文件名,再在整个注册表中搜索即可) 4在Autoexec.bat和 Config.sys中加载运行 (控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服
系统配置老是自动被更改,比如屏保显示的文字,时间和 日期,声音大小,还有CDROM自动运行配置
硬盘老没缘由的读盘,软驱灯经常自己亮起,网络连接及 鼠标屏幕出现异常现象
Netstat—a 通过端口扫描方法也可能发现一些弱智的木马, 软件来检查系统进程来发现木马
资料仅供参考,不当之处,请联系改正。
9捆绑文件 控制端和服务端已通过木马建立连接 控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到 服务端覆盖源文件,这样即使木马被删除,只要运行捆绑木马的应用程序, 木马又会安装上去
资料仅供参考,不当之处,请联系改正。
木马的启动方式
10反弹端口型木马的主动连接
用基本命令检查电脑是否中了木马
检测网络连接
Netstat –an
禁用不明服务
Net start net stop server
轻松检查账户
Net user net uset +用户名
资料仅供参考,不当之处,请联系改正。
木马的启动方式
木马的启动方式的概述:
自启动功能是优秀木马保证木马不会因为你的一次关 机操作而彻底失去作用
木马的启动方式
7*.INI(即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点, 将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这 样就可以达到启动木马的目的。只启动一次的方式:在winint.ini中用于安装 较多)
8修改文件关联 修改文件关联是木马常用的手段,比方说正常情况下TXT文件的打开方式为 Notepad.exe文件,但一旦中了文件关联木马,则txt文件打开方式就会被修 改为用木马程序打开(冰河木马)(htm\exe\zip\.com) 对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键 值是否正常
具有自动运行性
在系统启动时即跟随着启动,所以必须潜入在你的启动配置文件中如win.ini system.ini winstart.bat及启动组等文件中
包含具有未公开并且可能产生危险后果的功能的程序 具备自动恢复功能
现在很多木马程序中的功能模块不再由单一的文件组成,而是具有多重备份,可以相互恢复
资料仅供参考,不当之处,请联系改正。
木马病毒的工作原理
计算机木马的定义:
能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序 客户端(控制端)和服务器端
木马植入计算机过程
入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播目的当服务器 端被受害者计算机执行时,便将自己复制到系统目录,并把运行代码加入系统启动时会自动调用 的区域里,借以达到跟随系统启动而运行,这一区域通常称为启动项.当木马完成这部分操作后, 便进入潜伏期__偷偷开放系统端口,等待入侵者连接.
资料仅供参考,不当之处,请联系改正。
特洛伊木马具有的特性
包含在正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下, 完成一些危害用户的操作,具有隐蔽性。
木马执行远程序控制及正常远程控制程序的差别
不产生图标
木马在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图际 木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统
能自动打开特别的端口 功能的特殊性
除普通的文件操作以外,有此木马具有搜索cache中的口令、设置口令、扫描目标机器的IP地 址、进行键盘记录、远程注册表的操作以及锁定鼠标功能
资料仅供参考,不当之处,请联系改正。
木马病毒的判断
当你浏览一个网络,弹出一些广告窗口是很正常的事情, 可是如果你根本没有打开浏览器,而浏览器突然自己打开, 并且进入某个网站
木马入侵的主要途径
邮件附件、下载软件,以一定的提示故意误导被攻击者打开执行文件,文件很小 几K到几十K 木马可以通过Script ActiveX Asp.CGI交互脚本的方式植入(漏洞)
客户端与服务器成功运行后,在通信协议上大多采用TCP/IP少数使用UDP协议进行通 讯
当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里 面,以防被用户发现,同时监听某个特定的端口,等待客户与其取得连接,另外为了 下次重启计算机时仍然能正常工作,木马程序一般会通过修改注册表或者其他方法让 自己成为自启动程序
资料仅供参考,不当之处,请联系改正。
木马病毒基础
木马病毒的定义
3000多年前特洛伊王国及古希腊战争把战场上巨大的 木马带回自己的王国而带来的沦陷
在Internet网络上下载的应用程序或游戏中,包含了可以 控制用户的计算机系统的程序,它们让被害的计算机对 着未知的入侵敞开了大门,使得受害的系统和数据暴露 在混乱的网络世界里,
资料仅供参考,不当之处,请联系改正。
木马编程人员不停地研究和探索新的自启动技术,并时 常有新的发现
如:木马加入到用户经常执行的程序(explorer.exe)中,用户执行 该程序时,则木马自动发生作用,
如:windows系统文件和注册表
资料仅供参考,不当之处,请联系改正。
木马的启动方式
1在win.ini中启动(load= run= 原为空 木马可改写如load=c:\windows\filHale Waihona Puke Baidu.exe) 2在system.ini中启动(boot字段 shell=Explorer.exe 386Enh字段 driver=路径\程
序名 mic drivers drivers32) 3利用注册表加载运行(1、自己不熟悉自动启动文件扩展名为EXE2、伪装蒙混过
关3、找到木马程序的文件名,再在整个注册表中搜索即可) 4在Autoexec.bat和 Config.sys中加载运行 (控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服
系统配置老是自动被更改,比如屏保显示的文字,时间和 日期,声音大小,还有CDROM自动运行配置
硬盘老没缘由的读盘,软驱灯经常自己亮起,网络连接及 鼠标屏幕出现异常现象
Netstat—a 通过端口扫描方法也可能发现一些弱智的木马, 软件来检查系统进程来发现木马
资料仅供参考,不当之处,请联系改正。
9捆绑文件 控制端和服务端已通过木马建立连接 控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到 服务端覆盖源文件,这样即使木马被删除,只要运行捆绑木马的应用程序, 木马又会安装上去
资料仅供参考,不当之处,请联系改正。
木马的启动方式
10反弹端口型木马的主动连接
用基本命令检查电脑是否中了木马
检测网络连接
Netstat –an
禁用不明服务
Net start net stop server
轻松检查账户
Net user net uset +用户名
资料仅供参考,不当之处,请联系改正。
木马的启动方式
木马的启动方式的概述:
自启动功能是优秀木马保证木马不会因为你的一次关 机操作而彻底失去作用
木马的启动方式
7*.INI(即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点, 将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这 样就可以达到启动木马的目的。只启动一次的方式:在winint.ini中用于安装 较多)
8修改文件关联 修改文件关联是木马常用的手段,比方说正常情况下TXT文件的打开方式为 Notepad.exe文件,但一旦中了文件关联木马,则txt文件打开方式就会被修 改为用木马程序打开(冰河木马)(htm\exe\zip\.com) 对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键 值是否正常
具有自动运行性
在系统启动时即跟随着启动,所以必须潜入在你的启动配置文件中如win.ini system.ini winstart.bat及启动组等文件中
包含具有未公开并且可能产生危险后果的功能的程序 具备自动恢复功能
现在很多木马程序中的功能模块不再由单一的文件组成,而是具有多重备份,可以相互恢复
资料仅供参考,不当之处,请联系改正。
木马病毒的工作原理
计算机木马的定义:
能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序 客户端(控制端)和服务器端
木马植入计算机过程
入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播目的当服务器 端被受害者计算机执行时,便将自己复制到系统目录,并把运行代码加入系统启动时会自动调用 的区域里,借以达到跟随系统启动而运行,这一区域通常称为启动项.当木马完成这部分操作后, 便进入潜伏期__偷偷开放系统端口,等待入侵者连接.
资料仅供参考,不当之处,请联系改正。
特洛伊木马具有的特性
包含在正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下, 完成一些危害用户的操作,具有隐蔽性。
木马执行远程序控制及正常远程控制程序的差别
不产生图标
木马在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图际 木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统
能自动打开特别的端口 功能的特殊性
除普通的文件操作以外,有此木马具有搜索cache中的口令、设置口令、扫描目标机器的IP地 址、进行键盘记录、远程注册表的操作以及锁定鼠标功能
资料仅供参考,不当之处,请联系改正。
木马病毒的判断
当你浏览一个网络,弹出一些广告窗口是很正常的事情, 可是如果你根本没有打开浏览器,而浏览器突然自己打开, 并且进入某个网站
木马入侵的主要途径
邮件附件、下载软件,以一定的提示故意误导被攻击者打开执行文件,文件很小 几K到几十K 木马可以通过Script ActiveX Asp.CGI交互脚本的方式植入(漏洞)
客户端与服务器成功运行后,在通信协议上大多采用TCP/IP少数使用UDP协议进行通 讯
当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里 面,以防被用户发现,同时监听某个特定的端口,等待客户与其取得连接,另外为了 下次重启计算机时仍然能正常工作,木马程序一般会通过修改注册表或者其他方法让 自己成为自启动程序
资料仅供参考,不当之处,请联系改正。
木马病毒基础
木马病毒的定义
3000多年前特洛伊王国及古希腊战争把战场上巨大的 木马带回自己的王国而带来的沦陷
在Internet网络上下载的应用程序或游戏中,包含了可以 控制用户的计算机系统的程序,它们让被害的计算机对 着未知的入侵敞开了大门,使得受害的系统和数据暴露 在混乱的网络世界里,