返回
木马行为分析报告

木马行为分析报告

ID:44435069

大小:58.43 KB

页数:15页

时间:2019-10-22

木马行为分析报告_第1页
木马行为分析报告_第2页
木马行为分析报告_第3页
木马行为分析报告_第4页
木马行为分析报告_第5页
资源描述:

《木马行为分析报告》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、“木马行为分析”报告_、木马程序概述在计算机领域中,木马是一类恶意程序。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。(1)硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。(2)软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服务端的程序。木马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使

2、其在服务端藏得更隐蔽的程序。(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元索。控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的冃的地。控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。1、木马的定义木马是隐藏在合法程序中的未授权程序,这个隐藏的程序完成用户不知道的功能。当合法的程序被植入了非授权代码后就认为是木马。木马是一个用以远程控制的c/s程序,其目的是不需要管理员的准许就可获得系统使用权

3、。木马种类很多,但它的基本构成却是一样的,由服务器程序和控制器程序两部分组成。它表面上能提供一些有用的,或是仅仅令人感兴趣的功能,但在内部还有不为人所知的其他功能,如拷贝文件或窃取你的密码等。严格意义上来说,木马不能算是一种病毒,但它又和病毒一样,具有隐蔽性、非授权性以及危害性等特点,因此也有不少人称木马为黑客病毒。2、木马的分类木马的种类很多,主要有以下几种:其一,远程控制型,如冰河。远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只耍被控制主机联入网络,并与控制端客户程

4、序建立网络连接,控制者就能任意访问被控制的计算机。其二,键盘记录型。键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录,然后通过邮件或其他方式发送给控制者。其三,密码发送型。密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。这类木马程序大多不会在每次都自动加载,一般都使用25端口发送电子邮件。其四,反弹端口型。反弹端口型木马的服务端使用主动端口,客户端使用被木马定时监测控制端的存在,发现控制端上线立即弹出端口主动

5、连接控制端打开的主动端口。为了隐蔽起见,控制端的被动端口一般开在80,稍微疏忽一点,用户就会以为是自己在浏览网页。3、木马的特点第一,隐蔽性隐蔽性是木马的首要特征。这一点与病毒特征是很相似的,木马类软件的SERVER端程序在被控主机系统上运行时会使用各种方法来隐藏自己。例如大家所熟悉的修改注册表#UiniX件以便被控系统在下一次启动后仍能载入木马程式,它不是口己生成一个启动程序,而是依附在其他程序之中。第二,有效性由于木马常常构成网络入侵方法中的一个重要内容。它运行在目标机器上就必须能够实现入侵者的某些

6、企图,因此有效性就是指入侵的木马能够与其控制端入侵者建立某种有效联系,从而能够充分控制冃标机器并窃取其中的敏感信息。第三,自动运行和自动恢复性。木马程序通过修改系统配置文件,如win.ln{,system,lnl,winstart・bat或注册表的方式,在目标主机系统启动时自动运行或加载。现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以和互恢复。系统一旦被植入木马,想利用删除某个文件来进行清除是不太可能的。二、木马程序的工作机制1.木马程序的工作原理木马程序的结构是典型的客

7、户端/服务器(Client/Server;简称C/S)模式,服务器端程序骗取用户执行后,便植入在计算机内,作为响应程序。所以它的特点是隐蔽,不容易被用户察觉,或被杀毒程序、木马清除程序消灭,而且它一般不会造成很大的危害,计算机还可以正常执行。另外,木马服务器端程序还有容量小的特点,一般它的人小不会超过300KB,最小的木马程序甚至只有3KB,这样小的木马很容易就可以合并在一些可以执行.exe的文件中或网页中而不被察觉,而且这样小的文件也能很快就下载至磁盘中,若是再利用UP)(压缩技术还可以让木马程序变得

8、更小。2.木马程序的工作方式木马客户端程序是在控制台(黑客的计算机)中执行的,木马服务器端程序必须与客户端程序对应,建立起连接。服务器端程序与客户端建立连接后,由客户端发出指令,然后服务器在计算机中执行这些指令,并源源不断地将数据传送至客户端。木马服务器端与客户端之间也可以不建立连接,因为建立连接容易被察觉,如果再使用连接技术只会自断后路。所以就要使用ICMP来避免建立连接或使用端口。木马服务器端与客户端也可以不要间接通讯,因为直接通讯的目

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。