返回
分析试论“特洛伊木马”的攻击和防护

分析试论“特洛伊木马”的攻击和防护

ID:21697935

大小:53.50 KB

页数:5页

时间:2018-10-23

分析试论“特洛伊木马”的攻击和防护_第1页
分析试论“特洛伊木马”的攻击和防护_第2页
分析试论“特洛伊木马”的攻击和防护_第3页
分析试论“特洛伊木马”的攻击和防护_第4页
分析试论“特洛伊木马”的攻击和防护_第5页
资源描述:

《分析试论“特洛伊木马”的攻击和防护》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、分析试论“特洛伊木马”的攻击和防护    论文:机理;X络平安;特洛伊木马;端口  论文:定义了“特洛伊木马”并阐述了其由来,实现了使用VC的iddleSchoolofBaodingCityofHebeiProvince,Baoding071000,China)  Abstract:HavedefinedTrojanHorseandhavesetforther/servingpatternprocedure,themechanismhavingdiscussedtheTrojanHorsejob,hasanalysedoved

2、anddetectingandthesoftethodagemusttakeTrojanHorseseriouslyasTrojanHorsemethodhavingmadeinvestigationanddiscussion,havingsuggestedthatneedtodefendtheconsumerinformationandthe;NetoteHost=ServerIP(设远端地址为服务器地址)  G_Client.RemotePort=7626(设远程端口为冰河的默认端口)  (在这里分配一个本地端口给G_Cl

3、ient,也可让计算机自动分配)  G_Client.Connect(调用Winsock控件的连接方法)  一旦服务端接到客户真个连接请求ConnectionRequest,就接受连接  PrivateSubG_Server_ConnectionRequest(ByValrequestIDAsLong)  G_Server.AcceptrequestID  EndSub  客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理

4、程序中实现)  假如客户断开连接,则封闭连接并重新监听端口  PrivateSubG_Server_Close()  G_Server.Close(封闭连接)  G_Server.Listen(再次监听)  EndSub  客户端上传一个命令,服务端解释并执行命令。  2.2控制原理  以用户权限运行的木马程序主要功能进行简单的概述,主要使用ouse_event(de;(b)更改计算机名SetputerName  (c)当前用户GetUserName;(d)系统路径  SetFileSystem0bject=CreateObj

5、ect("scripting。FileSystemObject")(建立文件系统对象)  SetSystemDir=FileSystem0bject。getspecialfolder(1)(取系统目录)……  4)限制系统功能  (a)远程关机或重启计算机,使用WinAPI中的如下函数可以实现:  ExitWindo.ini、winstart.bat以及启动组等。  欺骗性:“特洛伊木马”借助系统中已有文件或常见文件名或扩展名,如“dllwinsysexplorer等字样,仿制一些不易被人区别的文件名,甚者借用系统文件中

6、已有的文件名,另行保存或者设置ZIP文件式图标等等实现对机器和治理员的欺骗。  具备自动恢复功能:“特洛伊木马”功能模块不再是由单一的文件组成,而是具有多重备份,可相互恢复。  能自动打开非凡的端口:“特洛伊木马”的目的是为了获取系统中有用的信息,一旦和远端客户通讯,“特洛伊木马”就会记录关键信息造成外泄。  功能的非凡性:“特洛伊木马”具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操纵、以及锁定鼠标等功能非凡性。  如今为了防御被跟踪追查,“特洛伊木马”一般采用只有服务器真个“小”

7、木马:把系统关键信息如密码等发到一个邮箱里,通过后续步骤完成对系统的控制,为此需要手动和软件查杀双层防护。  4防护方法  1)软件查杀:现在对病毒的查杀,习惯于软件查杀,常用的反“特洛伊木马”软件有瑞星杀毒软件、木马克星、360平安卫士等它们对“特洛伊木马”都有一定的防护功能和查杀功能。建议:在使用杀毒软件查杀“特洛伊木马”时,一要保持杀毒软件的及时升级和更新,二要在断开X络在平安模式下完成查杀。  2)手动检测:根据“特洛伊木马”的特征,在注册表,文件名和端口以及进程等方面可以进行手动检测:  查找“特洛伊木马”特定文件:

8、“特洛伊木马”的一个特征文件是kernl32.exe,另一个是sy***lpr.exe,删除了这两个文件,就即是封闭了“特洛伊木马”。    检查注册表:“特洛伊木马”可以通过注册表启动(大部分的“特洛伊木马”都是通过注册表启动的),故通过检查注册表搜索注册表的蛛丝马迹。  

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。