欢迎来到天天文库
浏览记录
ID:18412664
大小:1.52 MB
页数:41页
时间:2018-09-17
《计算机病毒与防范技术 第3章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、计算机病毒与防范技术第3章特洛伊木马特洛伊木马的定义特洛伊木马的特点特洛伊木马的结构特洛伊木马的基本原理检测和清除特洛伊木马特洛伊木马病毒分析特洛伊木马病毒防范特洛伊木马的定义特洛伊木马(TrojanHorse),是一种恶意程序,是一种基于远程控制的黑客工具一旦侵入用户的计算机,就悄悄地在宿主计算机上运行,在用户毫无察觉的情况下,让攻击者获得远程访问和控制系统的权限进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘,或窃取用户信息特洛伊木马的定义古希腊特洛伊之战中利用木马攻陷特洛伊城;现代网络攻击者利用木马,采用伪装、欺骗(哄骗,Spoofing)等手段进入被攻击的计算
2、机系统中,窃取信息,实施远程监控特洛伊木马的定义木马与病毒一般情况下,病毒是依据其能够进行自我复制即传染性的特点而定义的特洛伊木马主要是根据它的有效载体,或者是其功能来定义的,更多情况下是根据其意图来定义的特洛伊木马的定义木马一般不进行自我复制,但具有寄生性,如捆绑在合法程序中得到安装、启动木马的权限,DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性,但我们习惯上将其纳入广义病毒,也就是说,木马也是广义病毒的一个子类特洛伊木马的定义病毒蠕虫木马传染性强强很少感染对象文件进程进程主要传播方式文件网络网络破坏性强较强很少隐藏性强
3、强极强顽固性较强较强极强欺骗性一般一般强主要攻击目的破坏数据和信息耗尽计算机资源窃取数据和信息特洛伊木马的定义木马的最终意图是窃取信息、实施远程监控木马与合法远程控制软件(如pcAnyWhere、dameware)的主要区别在于是否具有隐蔽性、是否具有非授权性木马病毒的特点及危害将自己伪装成系统文件将木马病毒的服务端伪装成系统服务将木马程序加载到系统文件中充分利用端口隐藏隐藏在注册表中自动备份木马病毒的特点及危害木马程序与其他程序绑定进程注入利用远程线程的方式隐藏通过拦截系统功能调用的方式来隐藏自己通过先发制人的方法攻击杀毒软件特洛伊木马的结构木马系统软件一般由木马配置程序、控制程序和
4、木马程序(服务器程序)三部分组成特洛伊木马的基本原理用木马进行网络入侵的基本步骤配置木马木马伪装,即让木马在服务端尽可能隐藏得更隐蔽信息反馈,即设置信息反馈的方式或地址,如设置信息反馈的邮件地址、QQ号、ICQ号等在释放木马之前可以配置木马,释放之后也可远程配置木马特洛伊木马的基本原理传播木马以邮件附件的形式传播。控制端将木马伪装之后添加到附件中,发送给收件人通过OICQ、QQ等聊天工具软件传播。在进行聊天时,利用文件传送功能发送伪装过的木马程序给对方通过提供软件下载的网站(Web/FTP/BBS)传播特洛伊木马的基本原理通过一般的病毒和蠕虫传播通过带木马的磁盘和光盘进行传播木马可以通
5、过Script、ActiveX及Asp、CGI交互脚本的方式植入木马可以利用系统的一些漏洞进行植入特洛伊木马的基本原理运行木马服务器端的用户运行木马或捆绑木马的程序后,木马就会自动进行安装木马首先将自身拷贝到Windows的系统文件夹中(c:windowsc:windowssystemc:windowstemp)在注册表、启动组、非启动组等位置设置木马的触发启动条件,完成木马服务器的安装特洛伊木马的基本原理附加或者捆绑在系统程序或者其它应用程序上,或者干脆替代它们运行这些系统程序的时候就会激活木马(比如修改系统文件explorer.exe在其中加入木马)木马程序被激活后,进入
6、内存,开启并监听预先定义的木马端口,准备与控制端建立连接特洛伊木马的基本原理用netstat查看木马打开的端口特洛伊木马的基本原理信息反馈设计成熟的木马都有一个信息反馈机制信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端攻击者从反馈信息中控制端可以知道使用的操作系统,系统目录,硬盘分区情况,系统口令等,在这些信息中,最重要的是服务端IP特洛伊木马的基本原理建立连接控制端要与服务端建立连接必须知道服务端的木马端口和IP地址由于木马端口是事先设定的,为已知项,所以最重要的是如何获得服务端的IP地址获得服务端的IP地址的方法主要有
7、两种:信息反馈和IP扫描特洛伊木马的基本原理木马控制端与服务端连接的建立特洛伊木马的基本原理木马服务器通知攻击者的方式主要有两种:一是发送E-mail或ICQ/QQ即时消息,宣告自己当前已成功接管的计算机,如广外女生、冰河二是使用UDP(用户报文协议)或者ICMP,将服务器IP地址通过免费主页空间中转到控制端,如网络神偷特洛伊木马的基本原理远程控制特洛伊木马的基本原理特洛伊木马的基本原理木马的基本原理特洛伊木马包括客户端和服务器端两个部分,也就
此文档下载收益归作者所有