木马与远程控制技术
- 格式:ppt
- 大小:1.11 MB
- 文档页数:10
下载文档原格式
合集下载
木马的7种分类
木马的7种分类木马(trojan horse)是一种潜藏在正常程序中的恶意程序,其目的是获取非法利益或对计算机进行破坏。
木马程序可分为多种类型,根据其攻击方式、功能和传播方式进行分类。
下面将介绍木马的7种分类。
1. 远程控制型木马(remote access Trojans,简称RAT)远程控制型木马是最常见的一种木马类型。
它通过向受害者计算机植入恶意代码,使攻击者能够远程控制受害者计算机。
攻击者可以通过远程控制命令执行各种操作,如窃取用户敏感信息、监控用户活动、搭建僵尸网络等。
2. 数据窃取木马(data stealing Trojans)数据窃取木马专门设计用于窃取用户敏感数据。
它通过各种手段,如键盘记录、屏幕捕获、截取剪贴板内容等,秘密收集用户的账户信息、密码、信用卡信息等。
这些窃取到的信息可以被用于非法获利、身份盗窃等活动。
3. 下载器木马(downloader Trojans)下载器木马是一种专门用于下载其他恶意软件的木马。
它通常会首先潜藏在正常程序中,一旦被执行,它会自动下载并安装其他恶意软件,如病毒、间谍软件等。
下载器木马可以将受害者计算机变成一个感染其他恶意软件的中转站。
4. 木马拦截型木马(Trojan proxy)木马拦截型木马是一种通过截取网络流量并篡改数据的木马。
它会在受害者计算机上设置一个代理服务器,将所有的网络请求都经过这个代理服务器进行中转。
攻击者可以在中转过程中修改、删除、添加数据,从而对网络通信进行干扰、监控,甚至进行钓鱼攻击。
5. 锁定型木马(ransomware)锁定型木马是一种专门用于勒索用户的木马。
它通过植入恶意代码,将受害者计算机上的文件加密或锁定,然后要求用户支付赎金才能解锁文件。
锁定型木马对用户的数据安全构成了严重威胁,会导致用户无法访问自己的文件,造成经济和心理上的损失。
6. 蠕虫木马(worms)蠕虫木马以自我复制和传播为目的,利用计算机网络进行快速传输。
木马的7种分类
木马的7种分类木马(Trojan horse)是一种具有破坏性的恶意软件,其主要目标是通过伪装成合法程序来欺骗用户,从而获取用户的机密信息或控制用户的计算机。
木马有多种不同的分类方式,按照不同的特征和功能可以将其分为以下7种类型:1. 远程控制木马(Remote Access Trojan,简称RAT):这种木马主要用于远程控制感染者的计算机。
攻击者可以通过远程的方式获取被感染计算机的控制权,从而进行各种恶意活动,比如窃取文件、监控用户的网络活动或者发起分布式拒绝服务攻击(DDoS)。
远程控制木马通常会通过网络传播,用户常常会在点击恶意链接或下载感染文件后感染上这种木马。
2. 数据窃取木马(Data Stealing Trojan):这种木马的主要目标是窃取用户的敏感信息,比如用户名、密码、信用卡信息等。
数据窃取木马通常通过键盘记录或者截屏的方式来获取用户的输入信息,并将这些信息发送给攻击者。
这种木马往往隐藏在合法程序中,用户在运行感染文件时会被悄悄安装。
3. 金融木马(Banking Trojan):这种木马专门用于攻击在线银行、支付系统等金融机构。
金融木马通常会通过窃取用户的登录凭证、劫持网银页面等方式来获取用户的账号信息并进行盗取资金的操作。
这些木马通常会通过网络钓鱼、恶意广告等方式传播,用户点击了木马所在网站或广告后,木马会自动下载并感染用户的计算机。
4. 反向连接木马(Reverse Connection Trojan):这种木马与远程控制木马类似,不同之处在于反向连接木马会主动连接攻击者的控制服务器。
一旦连接成功,攻击者就可以远程控制感染者的计算机。
这种木马通常使用加密和伪装技术,以避免被常规的安全防护软件检测和阻止。
5. 下载木马(Downloader Trojan):这种木马主要用于下载其他恶意软件到被感染计算机上。
下载木马通常会植入到合法程序中,用户运行该程序后,木马会自动下载并安装其他恶意软件。
由远程控制反思县级气象信息网络安全
由远程控制反思县级气象信息网络安全摘要从远程控制技术应用原理入手,分析网络木马病毒运行机制特点,结合县级气象信息网络安全隐患现状,提出相应措施加以防范。
关键词远程控制木马病毒网络安全远程控制技术,始于dos时代,随着信息网络的高度发展,自由穿透的远程操作及控制技术越来越引起人们的关注,具有广泛的发展空间和应用空间。
笔者曾运用远程控制软件技术(当然亦可用windows自带的远程协助功能)实现单位管理层共享大院探测环境录像监控资源,其实现过程的应用原理自然而然地让人想起可以严重影响信息网络安全的木马病毒。
一、远程控制与木马病毒技术远程控制软件可以为我们的网络管理做很多工作,以保证网络和计算机操作系统的安全。
这类程序的监听功能,也是为了保证网络的安全而设计的。
为了达到远程控制的目的,就必须将这些软件隐蔽起来,例如远程控制程序本身附着在某些windows程序上,以增强驻留系统的可靠性。
然而,正是由于这种功能,才使远程控制变得可怕起来,也使远程控制软件、病毒和木马程序之间的区别变得越来越模糊。
(一)远程控制软件技术原理。
远程控制必须通过网络才能进行,需要良好的硬件支持和关键的远程控制软件协助来实现,支持lan、wan、拨号方式、互联网方式。
有的还支持通过串口、并口、红外端口;一般使用netbeui、netbios、ipx/spx、tcp/ip等协议。
随着网络技术的发展,目前很多远程控制软件提供通过web页面以java技术来控制远程电脑,实现不同操作系统下的远程控制。
远程控制软件一般分两个部分:一部分是客户端(或叫主控端)程序client,另一部分是服务器端(或叫被控端)程序server,在使用前需要将客户端程序安装到主控端电脑上,将服务器端程序安装到被控端电脑上(应先知晓或设置好进入被控端电脑用户账户、密码)。
它的控制的过程一般是先在主控端电脑上执行客户端程序,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程控制命令,控制被控端电脑中的各种应用程序运行。
木马(远程控制)系统的设计与实现
网络安全课设组成员:崔帅200800824114甘春泉200800824126课程设计组员分工如下:崔帅:木马主体程序甘春泉:木马测试、不兼容模块的修改、课程设计报告题目:木马(远程控制)系统的设计与实现1)任务参考同学们在课堂上的讨论,在Windows平台上设计并实现一个木马(远程控制)系统。
2)要求⏹实现木马的基本功能:自动安装、安装后文件删除、进程隐蔽、自动启动、远程控制等;⏹实现杀毒软件等安全防护软件的免杀。
一、木马的定义木马本质上是一种经过伪装的欺骗性程序, 它通过将自身伪装吸引用户下载执行, 从而破坏或窃取使用者的重要文件和资料。
木马程序与一般的病毒不同,它不会自我繁殖,也并不刻意!地去感染其他文件, 它是一种后台控制程序。
它的主要作用是向施种木马者打开被种者电脑的门户,使其可以任意毁坏、窃取被种者的文件,甚至远程操控其电脑。
二、木马的组成一般来说,完整的木马由两部分组成,即服务端Server 和客户端Client,也就是采用所谓的C/S 模式。
如下图2-1所示:图2-1木马的服务端和客户端一个完整的木马系统以下几部分组成:1、硬件部分建立木马连接所必须的硬件实体。
控制端:对服务端进行远程控制的一方。
服务端:被控制端远程控制的一方。
INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
2、软件部分实现远程控制所必须的软件程序。
控制端程序:控制端用以远程控制服务端的程序。
木马程序:潜入服务端内部,获取其操作权限的程序。
木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
3、建立连接的必要元素通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。
控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。
控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
木马的7种分类
木马的7种分类木马是一种恶意软件,通常被用来窃取用户的个人信息,损害用户计算机系统,或者用来进行网络攻击。
木马的种类繁多,不同的木马有着不同的功能和危害性。
下面我们来了解一下木马的七种分类。
一、远程控制木马远程控制木马是最常见的一种木马,它可以让黑客远程控制被感染的计算机,从而窃取用户的个人信息、监视用户的网络活动等。
远程控制木马通常会隐藏在正常的软件中,用户在下载安装这些软件时很容易被感染。
远程控制木马一旦感染了计算机,用户就很难发现它的存在,因此对于远程控制木马的防范和清除是非常困难的。
二、密码窃取木马密码窃取木马主要用来窃取用户的账号和密码信息,从而进行非法操作。
这种木马通常会监视用户的输入,当用户输入账号密码时就会记录下来,并且发送给木马的控制者。
密码窃取木马在金融诈骗、网络盗窃等方面扮演着重要角色,对用户的财产安全构成了严重威胁。
三、广告木马广告木马是一种用来投放广告的恶意软件,它会在用户计算机上弹出大量的广告,甚至会修改用户的浏览器设置,轻则影响用户的上网体验,重则导致计算机系统崩溃。
广告木马通常会伪装成正常的软件,用户在下载安装时很容易受到感染。
广告木马会给用户的生活和工作带来极大的困扰,因此用户需要警惕这种木马的威胁。
四、蠕虫木马蠕虫木马是一种可以自我复制和传播的木马,它通常会利用系统漏洞和网络共享来感染其他计算机。
蠕虫木马可以快速传播,对网络安全造成巨大威胁。
蠕虫木马具有传播速度快、破坏性大的特点,因此用户需要及时更新系统补丁,使用防火墙等手段来防范蠕虫木马的危害。
五、银行木马银行木马是一种专门针对在线银行和支付系统的木马,它可以窃取用户的银行账号、密码和其他敏感信息,从而实施盗窃和欺诈。
银行木马通常会伪装成银行安全工具或者网银登录界面,欺骗用户输入账号密码,一旦用户上当就会导致资金被盗。
银行木马在网络金融领域造成了严重破坏,用户需要警惕这种木马的威胁。
六、勒索木马勒索木马是一种用来勒索用户的恶意软件,它可以加密用户的文件,并要求用户支付赎金来解密文件。
远程控制软件和木马的区别
远控软件和木马的区别很多人听到远程控制,就想到木马——通过发送一个图片或文档,或者让对方打开一个网址,对方观看后,就可以远程控制对方了。
真有这样的软件吗答案是肯定的,灰鸽子就是其中最杰出的代表(灰鸽子2003年是已经倒闭了的)。
现在就将灰鸽子这类木马软件和网络人远程控制软件之间的区别,以及黑客非法控制他人的手段和正常实现远程控制的方法。
1.首先,无论是用木马还是用正规的远程控制软件,要实现远程操控对方电脑,都需要在被控的电脑上安装一个被控端,如果不安装那么不可能实现控制。
灰鸽子、黑洞等木马软件,会将被控端设计成全自动后台运行,点击一下后,被控端可能就消失掉了,其实它已经在后台悄悄的安装了。
正规的远程控制软件,比如网络人、PCanyWhere 等被控端的安装符合常规软件的安装流程,有安装界面供客户选择和退出。
被控端如果隐藏安装,那么杀毒软件会认为你是木马,如果有安装界面正常安装,并且可以退出、卸载,那么可以认为是正规的远程控制软件。
2.网络人和灰鸽子等木马软件在功能上基本完全相同,都具有文件管理,屏幕监控、视频监控,远程重启、键盘记录、屏幕录像等功能,实施监控的时候,都不会被对方发现。
但灰鸽子是木马,会被杀毒软件当作病毒查杀,而网络人是正规的远程控制软件,获得了360、毒霸、瑞星等杀毒软件的安全认证,不会被当作病毒查杀。
3. 灰鸽子之类的木马软件,使用起来较麻烦,首先需要用户自己购买FTP 空间或申请域名,费用约250元/一年,并且还很不稳定。
然后要在路由器上做端口映射,完成这些前期工作后,还要进行服务端配置,上线设置,技术性很强,一般用户无法轻易学会使用。
4. 网络人是国内第一款穿透内网的远程控制软件,无需做任何设置,也不用进行端口映射,即可实现远程控制。
软件分为控制端和被控端两部分,只要在你想控制的电脑上安装一个被控端,填写用户名登陆,并进行简单的设置,今后您在地球上任何地方,以同一个ID 登陆控制端,即可控制对方,简单方便。
木马病毒的工作原理
木马病毒的工作原理
木马病毒是一种恶意软件,通过伪装成正常的程序或文件,悄悄地侵入计算机系统,然后进行各种恶意活动。
木马病毒的工作原理如下:
1. 伪装:木马病毒通常伪装成合法、有吸引力的文件或程序,比如游戏、应用程序、附件等。
用户误以为它们是正常的文件,从而下载、安装或打开它们。
2. 入侵:一旦用户执行了木马病毒,它会开始在计算机系统中执行。
木马病毒通常利用系统漏洞或安全弱点,通过各种方式渗透计算机系统,比如通过网络连接、邮件附件、插入可移动存储设备等。
3. 操作控制:一旦木马病毒成功入侵,黑客就可以获取对该计算机的远程控制权限。
黑客可以通过远程命令控制木马病毒执行各种恶意活动,比如窃取用户敏感信息、监控用户活动、劫持计算机资源等。
4. 数据盗窃:木马病毒可以通过键盘记录、屏幕截图、摄像头监控等方式获取用户的敏感信息,比如账号密码、银行信息、个人隐私等。
这些信息被黑客用于非法活动,比如盗用用户账号、进行网络钓鱼、进行网络诈骗等。
5. 破坏和传播:除了窃取信息,木马病毒还可能被黑客用于多种恶意用途。
它们可以删除、修改或破坏计算机上的文件和系统设置,导致系统崩溃或数据丢失。
木马病毒还可以充当“下
载器”,从远程服务器下载其他恶意软件,继续对计算机系统
进行攻击,或者利用计算机系统作为“僵尸网络”中的一员,传播垃圾邮件、进行分布式拒绝服务攻击等。
总结起来,木马病毒工作原理是通过伪装和入侵获取远程控制权限,然后执行各种恶意活动,包括窃取用户信息、破坏系统、传播其他恶意软件等。
用户应采取安全措施,比如安装防病毒软件、保持系统更新、谨慎下载和打开文件,以防止木马病毒的入侵。
木马的7种分类
木马的7种分类随着计算机技术的不断发展,木马病毒也不断地演化和发展,出现了各种不同类型的木马病毒,本文将介绍木马病毒的七种基本分类。
1.远程控制木马远程控制木马可以通过网络,远程控制受感染电脑的操作系统。
黑客可以远程操作受害者的计算机,以获取其个人信息、机密资料和密码等。
这种木马病毒非常隐蔽,很难被发现,因此危害性相对较大。
2.间谍木马间谍木马主要用于监控用户的行动,例如记录用户的浏览历史记录、键盘输入等。
这种木马病毒通常会将窃取到的数据发送给黑客来实现监控。
3.下载木马下载木马病毒具有下代码、过滤HTML代码等功能,可以从远程服务器下载感染电脑所需的程序或文件。
当这种木马病毒感染到用户的计算机后,可以在后台下载恶意程序或软件。
4.钓鱼木马钓鱼木马通常通过电子邮件、社交网络等方式来欺骗受害者,使其下载木马病毒。
这种木马病毒的危害性非常高,因为它可以窃取受害者的个人信息,例如社交网络的用户账户和密码、银行账户信息等。
5.后门木马后门木马是指在计算机上预留出的一些未经授权的入口,可以让黑客在未经授权的情况下远程访问受害者的计算机系统。
这种木马病毒可以在用户不知情的情况下进行远程控制,非常隐蔽,难以发现。
6.窃密木马窃密木马可以获取用户的账户和密码等个人信息,并将这些信息上传到黑客服务器。
这种木马病毒通常隐藏在诱骗受害者下载的文件、恶意链接等背后。
7.多功能木马多功能木马是一种综合了多种木马病毒功能的复合木马病毒。
它可以通过网络来获取用户的个人信息、远程访问受害者计算机、窃取银行账号密码等敏感信息。
这种木马病毒的危害性非常高,可以严重威胁用户的安全和隐私。
了解木马病预防计算机被远程控制的风险
了解木马病预防计算机被远程控制的风险随着计算机网络的迅速发展,木马病作为一种常见的网络威胁已经严重威胁到了我们的计算机和个人信息安全。
木马病是一种类似于传统的木马软件,通过欺骗用户和远程控制的手段,来拦截传输的信息、盗取个人隐私和破坏系统等。
为了确保计算机安全,我们有必要了解木马病预防计算机被远程控制的风险。
一、了解木马病的工作原理和入侵方式木马病通常通过电子邮件、网络下载和可疑的网站等方式传播,一旦进入计算机系统,它会实现远程控制,并且在用户不知情的情况下窃取敏感信息。
了解木马病的工作原理和入侵方式,可以帮助我们提前预防和防御。
二、加强网络安全意识和建立良好的网络习惯网络安全意识是预防木马病的首要步骤。
我们应该时刻保持警惕,不随意打开未知的邮件附件或下载来路不明的文件。
此外,还应定期更新操作系统和安全软件,以及建立强密码,避免使用相同的密码进行多个账户的登录。
三、使用安全、可靠的网络软件和防火墙安全可靠的网络软件和防火墙是保护计算机免受木马病入侵的有效措施。
通过安装防火墙,我们可以限制外部网络对计算机的访问,并且及时发现和阻止潜在的木马入侵。
此外,合理配置和使用杀毒软件也是保护计算机安全的必要手段。
四、定期更新和备份系统和文件定期更新操作系统和软件补丁是保护计算机免受木马病入侵的重要措施之一。
厂商会不断修复系统和软件的漏洞,而我们需要及时下载并安装这些更新。
另外,定期备份重要的文件也是防止木马病带来数据损失的有效手段。
五、避免访问可疑的网站和下载未知来源的软件避免访问可疑的网站和下载未知来源的软件是预防木马病的常用方法。
通过谨慎选择访问的网站和下载的软件,我们可以降低感染木马病的风险。
此外,不点击不明链接和不打开可疑邮件是有效防范木马病的关键步骤。
总结:了解木马病的预防计算机被远程控制的风险非常重要,我们应该加强网络安全意识、建立良好的网络习惯,使用安全可靠的网络软件和防火墙,定期更新和备份系统和文件,并避免访问可疑网站和下载未知来源的软件。
黑客如何运用木马实施远程控制
黑客如何运用木马实施远程控制黑客技术 2009-10-26 12:53 阅读99 评论1字号:大中小喜欢在网上浏览新闻的人,一定会经常看到某人隐私被黑客盗窃,或者以此来要挟受害人的事情。
这里大家可能要问了,他们是如何做到的呢?其实答案很简单,只不过是利用了远程木马控制实现,下面笔者将会针对黑客圈子里,常见的远程木马进行详细讲解。
一、穿透力极强的Byshell木马Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。
其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。
它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。
1.配置Byshell木马服务端要想配置Byshell木马服务端,我们首先打开下载到本地的“Byshell客户端”程序,在所弹出的“监听端口”对话框内,输入其木马想要监听的端口,默认设置为2007(如图1)。
图1修改完毕后,进入到“Byshell木马客户端”界面,在顶端的工具栏内,单击“配置服务端”按钮,此时就会打开“配置服务端”的对话框(如图2)。
图2在“IP通知地址”标签处,输入自己空间的访问地址,“IP或者DNS域名”标签,则输入自己的本机IP,另外客户端口输入的数字,要与此前设置的监听端口一致,否则会出现肉鸡无法上线的情况。
然后在单击“生成”按钮,在弹出的“另存为”对话框内,选择好所要生成的路径,单击“确定”按钮,就可使其服务端生成完毕。
2.让主动防御纷纷落马为了能够测试Byshell木马的威力,我们这里打开杀毒软件的所有“主动防御”选项,并且将其安全级别提高到最高,然后在运行一下刚生成好的Byshell木马服务端,此时你会发现杀毒软件竟然将它的启动视而不见,并且在客户端还可以看到中招的机器上线。
如果你想对肉鸡进行控制,我们可以选择其上线的机器,然后在上方单击工具栏里的“相关”按钮,如这里单击“文件管理”按钮,就可打开被控制机器的“文件管理”对话框,从中我们可以查阅该肉鸡里的所有硬盘文件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020年10月6日
第8页
屏幕的截取
截取屏幕或窗口要用到图形操作函数。A PI函数有CreateCompatibleDC、Stretch Blt等。类CDC封装了这些函数。
2020年10月6日
第9页
虚拟鼠标的操作
• 鼠标操作过程是当控制端产生某种鼠标操作如移动鼠标, 按左键或右键时,在被控制端产生相应的鼠标操作。
第16页
举例:文件关联启动
• 木马通过修改注册表,例如若让扩展名为.txt的文件和木马程序关联,那么木马程序 会启动。木马程序再调用记事本再打开被双击的文件,这样木马就悄悄地被启动且用 户还难以发觉。
2020年10月6日
第17页
木马的隐藏技术分析
• 远线程技术 • 使用注册表插入DLL • 反向连接技术 • 隐藏在回收站
2020年10月6日
第20页
文件与图象的传递
文件与图象属于长数据,发送和接收的时间比较 长,需要使用多线程来完成。例如,当控制端要 求取被控制端桌面,发送控制命令“*windows*” ,同时启动一个子线程,在1801端口侦听,而被 控制端收到命令后,也启动一个子线程,完成桌 面截取,压缩,然后连接控制端的1801端口,将 桌面数据发送过去。控制端收到后显示在控制端 的界面上。
setsockopt 设置套接字选项
2020年10月6日
第5页
6.2 木马分类介绍
• 从通信方式上分 • 从存在方式上分 • 从破坏方式上分
2020年10月6日
第6页
ping的结果
2020年10月6日
第7页
6.3 远程控制的控制技术
• 屏幕的截取 • 键盘操作 • 鼠操作 • 进程管理 • 系统管理和文件操作
2020年10月6日
第14页
• 利用系统漏洞 • 利用浏览网页 • 冒名欺骗 • 捆绑下载
木马程序的安装
2020年10月6日
第15页
• 集成到程序中 • 隐藏在配置文件中 • 潜伏在Win.ini中 • 伪装在普通文件中 • 内置到注册表中 • 隐形于启动组中 • 捆绑在启动文件中
木马的启动
2020年10月6日
• 控制端鼠标的捕获使用窗口消息和消息函数,主要有WM_L BUTTONDOWN、WM_LBUTTONDBLCLK、WM_RBUTTONDOWN、WM_R BUTTONDBLCLK等消息和它们对应的消息函数。消息函数中 还包含了鼠标的位置信息。
• 控制端将鼠标信息发送给被控制端,控制端调用mouse_ev ent或SendInput产生虚拟的鼠标操作。
2020年10月6日
第21页
6.6 木马的清除方法
监视端口 监视文件 监视进程 监视进程模块 监视注册表
一发现木马,然后采取相应的清除措施。
2020年10月6日
第22页
监视端口
• 监视端口指系统当前有哪些端口处于侦听、连接状态,哪些进程在使用哪些端口,即 使进程端口关联。
• 进程端口关联的原理是,将系统建立的所有句柄:进程句柄、令牌句柄、文件句柄、 窗口句柄、套接字句柄等列举到缓冲区内,然后分析套接字句柄,用函数getsockname 获取进程使用的端口号 。
2020年10月6日
第12页
• 列举进程 • 删除进程 • 执行程序 • 控制系统
进程管理
2020年10月6日
第13页
6.4 木马技术揭露
因为木马是未经授权而使用的远程控制程序,因此,木马还要使用一些正常远程控制程 序所不使用的方法,以达到其目的。主要表现在窃取键盘信息、欺骗用户安装、执行 和隐藏等。窃取键盘信息所使用的钩子技术已经在上节介绍,本节主要介绍木马安装 、执行和隐藏。
计算机病毒分析与防治教程
清华大学出版社
第6章 木马与远程控制技术
教学目标 教学重点 教学过程
2020年10月6日
第1页
• 木马的网络通信 • 木马的隐藏技术 • 木马的控制技术 • 发现和清除木马的方法
教学目标
2020年10月6日
第2页
• 套接字与网络编程 • 远程控制的通信的实现 • 远程控制的控制技术 • 木马技术揭露 • 木马的清除方法
2020年10月6日
第10页
虚拟键盘的操作
虚拟键盘的操作是指在控制端的键盘操作,被控 制端进行同样的操作。如PCAnywhere和QQ都提 供了同样的功能。使用键盘钩子可以捕获控制端 的键盘操作,调用SendInput可以在被控制端产生 虚拟的键盘操作。
2020年10月6日
第11页
钩子
是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的 消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即 钩子函数先得到控制权。钩子的种类很多,每种钩子可以截获并处理 相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启 动和关闭应用程序的消息等。远程控制实现键盘同步时使用键盘钩子 捕获键盘信息,某些木马也用键盘钩子来窃取键盘信息。
2020年10月6日
第18页
6.5 一个完整的远程控制程序
2020年10月6日
第19页
控制命令的传送
• 控制命令是控制端向被控制端发出的要求执行的命令。从图6-5界面可看出,命令有“ 取窗口”、“鼠标操作”、“取进程”、“删进程”、“看文件”、“删文件”、“ 执行程序”、“上传”、“下载”、“关机”、“重启”、“注销”。控制命令用字 符串表示,例如发送“*windows*”表示取窗口,发送“*process*”表示取进程信息。
教学重点
2020年10月6日
第3页
6.1 预备知识
2020年10月6日
第4页
套接字API函数
socket 建立套接字
bind 将套接字和本地ip地址绑定
connect 和一个套接字建立连接
accept 接受一个套接字的连接请求
listen 服务端套接字侦听连接请求
send 向一个套接字发送数据
recv 从一个套接字接收数据
在Windows中,键盘钩子程序表现为dll文件形式,为主程序调用。主程 序使用函数SetWindowsHookEx安装钩子,其中其中,第一个参数是钩 子的类型,键盘钩子可以是WH_KEYBOARD,第二个参数是钩子函数的 地址,第三个参数是包含钩子函数的模块句柄,第四个参数指定监视 的线程。
SendInput可以产生虚拟的键盘或鼠标信息,它的第二个参数是一个IN PUT结构指针。注意,按下一个按钮和释放一个按钮是两个不同的动 作,所以必须创建两个不同的INPUT结构。