返回
剖析特洛伊木马报告

剖析特洛伊木马报告

ID:42854481

大小:69.96 KB

页数:7页

时间:2019-09-22

剖析特洛伊木马报告_第1页
剖析特洛伊木马报告_第2页
剖析特洛伊木马报告_第3页
剖析特洛伊木马报告_第4页
剖析特洛伊木马报告_第5页
资源描述:

《剖析特洛伊木马报告》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、一栅魁1二M'ftlilR-3•木马的概述特洛伊木马,英文叫做“Trojanhorse”,其名称取口希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,对此无可奈何;所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的人部分操作权限,包扌舌修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。从木马的

2、发展来看,基本上可以分为两个阶段,最初网络述处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。而后随着Windows平台的Fl益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练地操作木马,相应的木马入侵事件也频繁出现,而且由于这个时期木马的功能己口趋完善,因此对服务端的破坏也更大了。木马的种类繁

3、多,但是限于种种原因,真正广泛使用的也只有少数几种,如BO,Subseven,冰河等。1、B02000有一个相当有用的功能,即隐藏木马进程,一口将这项功能设备为enable,用ATM察看进程时,B0的木马进程将不会被发现。2、在版本较高的Subseven屮除常规的触发条件外,还提供有lessknowmethod和notknowmethod两种触发方法。选择前者,运行木马后将SYSTEM.INI中的Shell改为Shell二explorer,exemsrexe.exe,即用SYSTEM.INI触发木马,选择

4、后者则会在c:'Windows'日录下创建一个名为Windows,exe程序,通过这个程序来触发木马,并将IIKEY-R00Tcxcfileshellopencommand的键值“%1”、“%X”改为“Windows.exe"%1”、%X,也就是说,即使我们把木马删除了,只耍一运行EXE文件,Windows,exe马上乂将木马安装上去,对丁•这种触发条件,我们只要将键值改回原值,并删除Windows,exe即可。3、冰河的特殊触发条件和Subseven极为相似,它将HKEY-ROOTexe

5、f订eshellopencommand的键值“Notepad.exe%l"改为“CWINDOWSSYSTEMSYSEXPLR.EXE%1”,并在CWINDOESSYSTEMFl录下建立一个名为SYSEXPLR.EXE,这样只要打开TXT文件,就会运行SYSEXPLR.EXE安装木马,而在2・2版本屮乂提供了运行EXE文件安装木马的功能,至于删除方法与subseven一样。要注意的是,冰河的木马程序有隐藏属性,需将显示模式设置为显示所有文件时,才能看到。4、YAI是一个木马和病毒的综合体,

6、它通过寄生于任意基于GUI子系统、PE格式的WINDOWS程序触发木马,这样即使YAIver被意外清除,在短时间内也可自动恢复。同时,由TYA1是个病毒,运行并产生后会产生后缀名为TMP和TMP.YA1充斥硬盘。二•基础知识1•木马的组成(1)硬件部分:建立木马连接所必须的破件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。Internet:控制端对服务端进行远程控制,数据传输的网络载体。(2)软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服务端的程序。木

7、马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件、木马名称等,使其在服务端藏得更隐蔽的程序。(3)具体连接部分:木马进行数据传输的H的地。控制端端口,木马端口:即控制端、服务端的数据入口,通过这个入口数据可直达控制端程序或木马程序。2.木马的功能一般来说-个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两个功能:(1)木马伪装:木马配置程序为了在服务端尽可能隐藏好木马,会采用多种伪装手段如修改图标、捆绑文件、定制端口、自我销毁等(2)信息反

8、馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址、TRC号、TCQ号等等。3•伪装方式:(1)修改图标:木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性。(2)捆绑文件:这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉情况下,偷偷地进入了系统。至于被捆绑的文件一般是可执行文件。(3)出错显示:当服务端用户打开木马程序时,会弹出

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。