黑客常用的系统攻击方法分解

木马的种类
盗号型。 主要目标在于即时通讯软件的登录帐号和密码。 工作原理和网游木马类似。盗得他人帐号后，可 能偷窥聊天记录等隐私内容，或将帐号卖掉。 传播自身型。 2005年初，“MSN性感鸡”等通过MSN传播的 蠕虫泛滥了一阵之后，MSN推出新版本，禁止 用户传送可执行文件。 2005年上半年，“QQ龟”和“QQ爱虫”这两 个国产病毒通过QQ聊天软件发送自身进行传播， 感染用户数量极大，在江民公司统计的2005年 上半年十大病毒排行榜上分列第一和第四名。
的是盗取用户的卡号、密码，甚至安全证书。 此类木马种类数量虽然比不上网游木马，但它的危害 更加直接，受害用户的损失更加惨重。 网银木马通常针对性较强，木马作者可能首先对某银 行的网上交易系统进行仔细分析，然后针对安全薄弱 环节编写病毒程序。
木马的种类
网银木马
如2004年的“网银大盗”病毒，在用户进入工行网银
登录页面时，会自动把页面换成安全性能较差、但依 然能够运转的老版页面，然后记录用户在此页面上填 写的卡号和密码；“网银大盗3”利用招行网银专业版 的备份安全证书功能，可以盗取安全证书；2005年的 “新网银大盗”，采用API Hook等技术干扰网银登录 安全控件的运行。
木马的种类
即时通讯软件木马 发送消息型。 通过即时通讯软件自动发送含有恶意网址的消 息。此类病毒常用技术是搜索聊天窗口，进而 控制该窗口自动发送文本内容。 发送消息型木马常常充当网游木马的广告，如 “武汉男生2005”木马，可以通过MSN、QQ、 UC等多种聊天软件发送带毒网址，其主要功 能是盗取传奇游戏的帐号和密码。
被植入木马的PC（server程序） 操作系统 TCP/IP协议 端口
端口处于监听状态
控制端 端口 TCP/IP协议 操作系统
控制木马的PC（client程序）
木马的分类
1.远程访问型 2.键盘记录型 3.密码发送型 4.破坏型 5.代理型 6.FTP型
木马的种类
网络游戏木马
网络游戏木马通常采用记录用户键盘输入等方
木马的种类
网页点击类木马
网页点击类木马会恶意模拟用户点击广告等动作，在
短时间内可以产生数以万计的点击量。病毒作者的编 写目的一般是为了赚取高额的广告推广费用。此类病 毒的技术简单，一般只是向服务器发送HTTP GET请 求。
下载类木马
这种木马程序的体积一般很小，其功能是从网络上下
载其他病毒程序或安装广告软件。由于体积很小，下 载类木马更容易传播，传播速度也更快。通常功能强 大、体积也很大的后门类病毒，如“灰鸽子”、“黑 洞”等，传播时都单独编写一个小巧的下载型木马， 用户中毒后会把后门主程序下载到本机运行。
什么是木马（Trojan）
木马（Trojan）这个 名字来源于古希腊传 说(荷马史诗中木马计 的故事,Trojan一词的 本意是特洛伊的,即代 指特洛伊木马,也就是 木马计的故事)。
什么是木马（Trojan）
它是指通过一段特定的
程序（木马程序）来控制 另一台计算机。木马通常 有两个可执行程序：一个 是客户端，即控制端，另 一个是服务端，即被控制 端。植入被种者电脑的是 “服务器”部分，而所谓 的“黑客”正是利用“控 制器”进入运行了“服务 器”的电脑。
參考：中国互联网网络安全报告 P12
木马与病毒、远程控制的区别
病毒程序是以自发性的败坏为目的 木马程序是依照黑客的命令来运作，主要 目的是偷取文件、机密数据、个人隐私等 行为。 木马工作原理和一般的远程控制软件相似， 区别在于其隐蔽、危害性、非授权性。
Βιβλιοθήκη Baidu
木马的工作原理
实际就是一个C/S模式的程序（里应外合）
进行服务器配置 远程控制 如何清除？
课堂演练二：灰鸽子的使用
反弹端口类型的木马 服务器的配置 服务器的工作方式 远程控制 如何清除？
反弹端口类型的木马
普通木马
请求连接
Client 攻击者
响应请求
Server被攻击者
反弹端口类型的木马
请求连接
Client 攻击者
响应请求
Server被攻击者
通过emial附件的形式 通过软件下载的形式
木马实施攻击的步骤
3. 启动木马 被动地等待木马或者是捆绑木马的 程序被执行 自动拷贝到windows系统文件下中， 并修改系统注册表启动项 4. 建立连接 服务器端安装了木马 双方均在线 5. 远程控制 最终的目的
课堂演练一：冰河木马的使用
服务器端程序：G-server.exe 客户端程序： G-client.exe
法获取用户的密码和帐号。 窃取到的信息一般通过发送电子邮件或向远程 脚本程序提交的方式发送给木马作者。 网络游戏木马的种类和数量，在国产木马病毒 中都首屈一指。大量的木马生成器和黑客网站 的公开销售也是网游木马泛滥的原因之一。
木马的种类
网银木马
网银木马是针对网上交易系统编写的木马病毒，其目
木马的种类
代理类木马
用户感染代理类木马后，会在本机开启HTTP、
SOCKS等代理服务功能。黑客把受感染计算 机作为跳板，以被感染用户的身份进行黑客活 动，达到隐藏自己的目的。
木马实施攻击的步骤
1. 配置木马
木马伪装：
采用各种手段隐藏自己
信息反馈：
对信息反馈的方式或地址进行设置
2. 传播木马
据最新一份市场调查报告，在8月到9月份中，全球范 围恶意软件的数量增长了15%。
该调查报告出自Panda安全公司，据悉全 球范围平均被恶意广告攻击过的电脑比率 达到了59%，创历史最高点。在所有29个 国家和地区中，美国排名第九，比率为 58%。与此同时，台湾排名第一，感染率 为69%，与此同时挪威只有39%，位列最 后。数据表明，美国恶意软件中，木马和 恶意广告为最主要的两个类型。
一般木马的工作过程
其过程可用 VB 实现如下：(Horse_Server 和Horse_Client 均 为 Winsock控件) ： 服务端： Horse_Server. LocalPort = 31339 (打开一个特定的网络端口) Horse_Server.Listen(监听客户端的连接)