木马病毒原理及特征分析PPT
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
自2001年,灰鸽子诞生之日起,就被反病毒专 业人士判定为最具危险性的后门程序,并引发 了安全领域的高度关注。2004年、2005年、 2006年,灰鸽子木马连续三年被国内各大杀毒 厂商评选为年度十大病毒,灰鸽子也因此声名
1 大噪,逐步成为媒体以及网民关注的焦点。 11
特洛伊木马的定义
木马与病毒
的操作了。
1
8
常见的特洛伊木马
Back Orifice是一个远程访问特洛伊木马的病毒,该 程序使黑客可以经TCP/IP网络进入并控制windows系 统并任意访问系统任何资源,通过调用cmd.exe系统 命令实现自身的功能,其破坏力极大。
SubSeven可以作为键记录器、包嗅探器使用,还具 有端口重定向、注册表修改、麦克风和摄像头记录的 功能。
信息等的工具。他由黑客通过种种途径植入并
驻留在目标计算机里。
1
3
木马可以随计算机自动启动并在某一端
口进行侦听,在对目标计算机的的数据、资料、
动作进行识别后,就对其执行特定的操作,并
接受“黑客”指令将有关数据发送到“黑客大
本营”。
这只是木马的搜集信息阶段,黑客同时
可以利用木马对计算 机进行进一步的攻击!
古希腊特洛伊之战中利用木马攻陷特洛伊城; 现代网络攻击者利用木马,采用伪装、欺骗 (哄骗,Spoofing)等手段进入被攻击的计算机 系统中,窃取信息,实施远程监控
1
2
特洛伊木马是一种秘密潜伏的能够通过远 程网络进行控制的恶意程序。
控制者可以控制被秘密植入木马的计算
机的一切动作和资源,是恶意攻击者进行窃取
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制;
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览 文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小 化和隐藏方式)等多项文件操作功能;
木马病毒的原理及特征分 析
1
1
特洛伊木马的定义
特洛伊木马(Trojan Horse),简称木马,是一 种恶意程序,是一种基于远程控制的黑客工具, 一旦侵入用户的计算机,就悄悄地在宿主计算 机上运行,在用户毫无察觉的情况下,让攻击 者获得远程访问和控制系统的权限,进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘,或窃取用户信息
SubSeven还具有其他功能:攻击者可以远程交换鼠标按键, 关闭/打开Caps Lock、Num Lock和Scroll Lock,禁用 Ctrl+Alt+Del组合键,注销用户,打开和关闭CD-ROM驱动 器,关闭和打开监视器,翻转屏幕显示,关闭和重新启动计 算机
1
9
常见的特洛伊木马
在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于 没用过木马,由此可见冰河木马在国内的影响力之巨大。
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操 作功能;
1
10
常见的特洛伊木马
灰鸽子(Hack. Huigezi)是一个集多种控制方 法于一体的木马病毒,一旦用户电脑不幸感染, 可以说用户的一举一动都在黑客的监控之下, 要窃取账号、密码、照片、重要文件都轻而易 举。
相对而言,要把它们安装到用户机器上而不引
起任何人注意的难度也较大。
1
7
常见的特洛伊木马
对于功能比较单一的特洛伊木马,攻击
者会力图使它保持较小的体积,通常是10 KB
到30 KB,以便快速激活而不引起注意。这些
木马通常作为键记录器使用,它们把受害用户
的每一个键击事件记录下来,保存到某个隐藏
的文件,这样攻击者就可以下载文件分析用户
该软件主要用于远程监控,自动跟踪目标机屏幕变化等。冰河原作者:黄鑫,冰河的 开放端口7626据传为其生日号。
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变 化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息;
这时的目标计算机就是大家常听到的“肉鸡” 了!
1
4
2.特洛伊木马病毒的危害性
特洛伊木马和病毒、蠕虫之类的恶意程序 一样,也会删除或修改文件、格式化硬盘、上 传和下载文件、骚扰用户、驱逐其他恶意程序。
除此以外,木马还有其自身的特点: • 窃取内容; • • 远程控制。
1
ຫໍສະໝຸດ Baidu
5
1
6
常见的特洛伊木马
木马一般不具有普通病毒所具有的自我繁殖、主动感染传播 等特性,但我们习惯上将其纳入广义病毒,也就是说,木马 也是广义病毒的一个子类
木马的最终意图是窃取信息、实施远程监控
木马与合法远程控制软件(如pcAnyWhere)的主要区 别在于是否具有隐蔽性、是否具有非授权性
1
12
特洛伊木马的结构
一般情况下,病毒是依据其能够进行自我复制即传染性的特 点而定义的
特洛伊木马主要是根据它的有效载体,或者是其功能来定义 的,更多情况下是根据其意图来定义的
木马一般不进行自我复制,但具有寄生性,如捆绑在合法程 序中得到安装、启动木马的权限,DLL木马甚至采用动态嵌 入技术寄生在合法程序的进程中
常见的特洛伊木马,例如Back Orifice和
SubSeven等,都是多用途的攻击工具包,功
能非常全面,包括捕获屏幕、声音、视频内容
的功能。这些特洛伊木马可以当作键记录器、
远程控制器、FTP服务器、HTTP服务器、 Telnet服务器,还能够寻找和窃取密码。
由于功能全面,所以这些特洛伊木马的体 积也往往较大,通常达到100 KB至300 KB,
木马系统软件一般由木马配置程序、控制程序 和木马程序(服务器程序)三部分组成
木马程序
配置
控制 响应
配置程序 控制程序
木马服务器
木马控制端(客户端)
1
13
特洛伊木马的基本原理
运用木马实施控网制端络入侵I的nte基rne本t 过程服务端
①配置木马 ②传播木马
1 大噪,逐步成为媒体以及网民关注的焦点。 11
特洛伊木马的定义
木马与病毒
的操作了。
1
8
常见的特洛伊木马
Back Orifice是一个远程访问特洛伊木马的病毒,该 程序使黑客可以经TCP/IP网络进入并控制windows系 统并任意访问系统任何资源,通过调用cmd.exe系统 命令实现自身的功能,其破坏力极大。
SubSeven可以作为键记录器、包嗅探器使用,还具 有端口重定向、注册表修改、麦克风和摄像头记录的 功能。
信息等的工具。他由黑客通过种种途径植入并
驻留在目标计算机里。
1
3
木马可以随计算机自动启动并在某一端
口进行侦听,在对目标计算机的的数据、资料、
动作进行识别后,就对其执行特定的操作,并
接受“黑客”指令将有关数据发送到“黑客大
本营”。
这只是木马的搜集信息阶段,黑客同时
可以利用木马对计算 机进行进一步的攻击!
古希腊特洛伊之战中利用木马攻陷特洛伊城; 现代网络攻击者利用木马,采用伪装、欺骗 (哄骗,Spoofing)等手段进入被攻击的计算机 系统中,窃取信息,实施远程监控
1
2
特洛伊木马是一种秘密潜伏的能够通过远 程网络进行控制的恶意程序。
控制者可以控制被秘密植入木马的计算
机的一切动作和资源,是恶意攻击者进行窃取
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制;
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览 文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小 化和隐藏方式)等多项文件操作功能;
木马病毒的原理及特征分 析
1
1
特洛伊木马的定义
特洛伊木马(Trojan Horse),简称木马,是一 种恶意程序,是一种基于远程控制的黑客工具, 一旦侵入用户的计算机,就悄悄地在宿主计算 机上运行,在用户毫无察觉的情况下,让攻击 者获得远程访问和控制系统的权限,进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘,或窃取用户信息
SubSeven还具有其他功能:攻击者可以远程交换鼠标按键, 关闭/打开Caps Lock、Num Lock和Scroll Lock,禁用 Ctrl+Alt+Del组合键,注销用户,打开和关闭CD-ROM驱动 器,关闭和打开监视器,翻转屏幕显示,关闭和重新启动计 算机
1
9
常见的特洛伊木马
在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于 没用过木马,由此可见冰河木马在国内的影响力之巨大。
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操 作功能;
1
10
常见的特洛伊木马
灰鸽子(Hack. Huigezi)是一个集多种控制方 法于一体的木马病毒,一旦用户电脑不幸感染, 可以说用户的一举一动都在黑客的监控之下, 要窃取账号、密码、照片、重要文件都轻而易 举。
相对而言,要把它们安装到用户机器上而不引
起任何人注意的难度也较大。
1
7
常见的特洛伊木马
对于功能比较单一的特洛伊木马,攻击
者会力图使它保持较小的体积,通常是10 KB
到30 KB,以便快速激活而不引起注意。这些
木马通常作为键记录器使用,它们把受害用户
的每一个键击事件记录下来,保存到某个隐藏
的文件,这样攻击者就可以下载文件分析用户
该软件主要用于远程监控,自动跟踪目标机屏幕变化等。冰河原作者:黄鑫,冰河的 开放端口7626据传为其生日号。
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变 化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息;
这时的目标计算机就是大家常听到的“肉鸡” 了!
1
4
2.特洛伊木马病毒的危害性
特洛伊木马和病毒、蠕虫之类的恶意程序 一样,也会删除或修改文件、格式化硬盘、上 传和下载文件、骚扰用户、驱逐其他恶意程序。
除此以外,木马还有其自身的特点: • 窃取内容; • • 远程控制。
1
ຫໍສະໝຸດ Baidu
5
1
6
常见的特洛伊木马
木马一般不具有普通病毒所具有的自我繁殖、主动感染传播 等特性,但我们习惯上将其纳入广义病毒,也就是说,木马 也是广义病毒的一个子类
木马的最终意图是窃取信息、实施远程监控
木马与合法远程控制软件(如pcAnyWhere)的主要区 别在于是否具有隐蔽性、是否具有非授权性
1
12
特洛伊木马的结构
一般情况下,病毒是依据其能够进行自我复制即传染性的特 点而定义的
特洛伊木马主要是根据它的有效载体,或者是其功能来定义 的,更多情况下是根据其意图来定义的
木马一般不进行自我复制,但具有寄生性,如捆绑在合法程 序中得到安装、启动木马的权限,DLL木马甚至采用动态嵌 入技术寄生在合法程序的进程中
常见的特洛伊木马,例如Back Orifice和
SubSeven等,都是多用途的攻击工具包,功
能非常全面,包括捕获屏幕、声音、视频内容
的功能。这些特洛伊木马可以当作键记录器、
远程控制器、FTP服务器、HTTP服务器、 Telnet服务器,还能够寻找和窃取密码。
由于功能全面,所以这些特洛伊木马的体 积也往往较大,通常达到100 KB至300 KB,
木马系统软件一般由木马配置程序、控制程序 和木马程序(服务器程序)三部分组成
木马程序
配置
控制 响应
配置程序 控制程序
木马服务器
木马控制端(客户端)
1
13
特洛伊木马的基本原理
运用木马实施控网制端络入侵I的nte基rne本t 过程服务端
①配置木马 ②传播木马