欢迎来到天天文库
浏览记录
ID:21697935
大小:53.50 KB
页数:5页
时间:2018-10-23
《分析试论“特洛伊木马”的攻击和防护》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、分析试论“特洛伊木马”的攻击和防护 论文:机理;X络平安;特洛伊木马;端口 论文:定义了“特洛伊木马”并阐述了其由来,实现了使用VC的iddleSchoolofBaodingCityofHebeiProvince,Baoding071000,China) Abstract:HavedefinedTrojanHorseandhavesetforther/servingpatternprocedure,themechanismhavingdiscussedtheTrojanHorsejob,hasanalysedoved
2、anddetectingandthesoftethodagemusttakeTrojanHorseseriouslyasTrojanHorsemethodhavingmadeinvestigationanddiscussion,havingsuggestedthatneedtodefendtheconsumerinformationandthe;NetoteHost=ServerIP(设远端地址为服务器地址) G_Client.RemotePort=7626(设远程端口为冰河的默认端口) (在这里分配一个本地端口给G_Cl
3、ient,也可让计算机自动分配) G_Client.Connect(调用Winsock控件的连接方法) 一旦服务端接到客户真个连接请求ConnectionRequest,就接受连接 PrivateSubG_Server_ConnectionRequest(ByValrequestIDAsLong) G_Server.AcceptrequestID EndSub 客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理
4、程序中实现) 假如客户断开连接,则封闭连接并重新监听端口 PrivateSubG_Server_Close() G_Server.Close(封闭连接) G_Server.Listen(再次监听) EndSub 客户端上传一个命令,服务端解释并执行命令。 2.2控制原理 以用户权限运行的木马程序主要功能进行简单的概述,主要使用ouse_event(de;(b)更改计算机名SetputerName (c)当前用户GetUserName;(d)系统路径 SetFileSystem0bject=CreateObj
5、ect("scripting。FileSystemObject")(建立文件系统对象) SetSystemDir=FileSystem0bject。getspecialfolder(1)(取系统目录)…… 4)限制系统功能 (a)远程关机或重启计算机,使用WinAPI中的如下函数可以实现: ExitWindo.ini、winstart.bat以及启动组等。 欺骗性:“特洛伊木马”借助系统中已有文件或常见文件名或扩展名,如“dllwinsysexplorer等字样,仿制一些不易被人区别的文件名,甚者借用系统文件中
6、已有的文件名,另行保存或者设置ZIP文件式图标等等实现对机器和治理员的欺骗。 具备自动恢复功能:“特洛伊木马”功能模块不再是由单一的文件组成,而是具有多重备份,可相互恢复。 能自动打开非凡的端口:“特洛伊木马”的目的是为了获取系统中有用的信息,一旦和远端客户通讯,“特洛伊木马”就会记录关键信息造成外泄。 功能的非凡性:“特洛伊木马”具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操纵、以及锁定鼠标等功能非凡性。 如今为了防御被跟踪追查,“特洛伊木马”一般采用只有服务器真个“小”
7、木马:把系统关键信息如密码等发到一个邮箱里,通过后续步骤完成对系统的控制,为此需要手动和软件查杀双层防护。 4防护方法 1)软件查杀:现在对病毒的查杀,习惯于软件查杀,常用的反“特洛伊木马”软件有瑞星杀毒软件、木马克星、360平安卫士等它们对“特洛伊木马”都有一定的防护功能和查杀功能。建议:在使用杀毒软件查杀“特洛伊木马”时,一要保持杀毒软件的及时升级和更新,二要在断开X络在平安模式下完成查杀。 2)手动检测:根据“特洛伊木马”的特征,在注册表,文件名和端口以及进程等方面可以进行手动检测: 查找“特洛伊木马”特定文件:
8、“特洛伊木马”的一个特征文件是kernl32.exe,另一个是sy***lpr.exe,删除了这两个文件,就即是封闭了“特洛伊木马”。 检查注册表:“特洛伊木马”可以通过注册表启动(大部分的“特洛伊木马”都是通过注册表启动的),故通过检查注册表搜索注册表的蛛丝马迹。
此文档下载收益归作者所有