返回
特洛伊木马工作原理分析及清除方法

特洛伊木马工作原理分析及清除方法

ID:35388987

大小:60.66 KB

页数:5页

时间:2019-03-24

特洛伊木马工作原理分析及清除方法_第1页
特洛伊木马工作原理分析及清除方法_第2页
特洛伊木马工作原理分析及清除方法_第3页
特洛伊木马工作原理分析及清除方法_第4页
特洛伊木马工作原理分析及清除方法_第5页
资源描述:

《特洛伊木马工作原理分析及清除方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、特洛伊木马工作原理分析及清除方法1什么是特洛伊木马特洛伊木马(TrojanHorse,以下简称木马)的名称取口希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处丁隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区別是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端

2、网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。2木马的工作原理完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/lntranet);软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。2.1获取并传播木马木马可以用C或6+语言编写。木马程序非常小,一般只有3〜5KB,以便隐藏和传播。木马的传播方式

3、主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病看传播。2001年4月赛门铁克防病毒硏究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13312@MM)o该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启吋,该墻虫会等候3分钟,然后利用MAPI,回复所有未读邮件,并将口己作为邮件的附件,使用不同的名称继续传播。2.2运行木马服务端用户在运行木马或捆绑了木马的程序后,木马首先将口身拷贝到WlNDOWS的系统文件夹'I1(C:WINDOWS或C:WINDOWSSYSTEM口录下

4、),然后在注册表、启动组利非启动组屮设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活吋,它就进入内存,并开启事先定义的木马端口,准备少控制端建立连接。2.2建立连接,进行控制建立一个木马连接必须满足2个条件:⑴服务端己安装有木马程序。(2)控制端、服务端都耍在线。初次连接吋还需要知道服务端的IP地址。IP地址-•般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口Z间将会有一条通道,控制端程序利用该通道・服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。3用VB6.

5、0编写的木马程序下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。⑴用VB建立2个程序:客户端程序Oient和服务器端程序Server0(2)在QientI程中建立一个窗体,加载WinSock控件,称为Win_Qient,协议选择TCP。再加入一个文本框,用于输入服务器的IP地址或服务器名。然后加入一个按钮,按下Z后就可以对连接进行初始化。代码如下:PrivateSubcmdConnect_Click()Win_Client.RemoteHost=Text1.TextWin_Oient.ConnectTimer1.Enabled

6、=TrueEndSub(3)建立连接后就町以使用DataArrival事件处理收到的数据了。(4)在服务器端Server_L程中也建立一个窗体,窗体的visible属性设置为False。加载WinSock控件,称为Win_Server,协议选择TCP。在Form_Lad事件中加入以下代码:PrivateSubForm_Load()Win_Server.LocalPort=2001'自定义的端口号Win_Server.ListenEndSub(5)准备应答客户端程序的请求连接,使用ConnectionRequest事件来应答客户端程序的请求

7、,代码如下:PrivateSubWin_Server_ConnectionRquest(ByValrequestlDAsLong)IfWin_Server.StatesckOosedThenWin_Server.Close'检查控件的State属性是否为关闭的EndIf,如果不是,在接受新的连接Z前先关闭此连接Win_Server.AcceptrequestIDEndSub⑹这样在客户端程序按下连接按钮示,服务器端程序的ConnectionRequest事件即被触发,执行以上代码。如果不出意外,连接将被建立起来。⑺建立连接后服务器端的程序

8、通过JDataArrival事件接收客户机端程序发出的指令运行既定程序。DataArrival事件程序如下:PrivateSubWin_Server_DataArrival(ByValbyte

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。