当前位置:文档之家 › “特洛伊木马”是如何把“被攻击方”计算机变成“肉鸡”的?文库

“特洛伊木马”是如何把“被攻击方”计算机变成“肉鸡”的?文库

  • 格式:rtf
  • 大小:19.26 KB
  • 文档页数:1

下载文档原格式

  / 1

合集下载

14.肉鸡获取内幕揭秘之利用特洛伊木马及社会工程学

14.肉鸡获取内幕揭秘之利用特洛伊木马及社会工程学

对于一个技术高超的攻击者来说,肉鸡获取的手法有多种多样。

但是,与所有人一样,攻击者也喜欢那些即简单又容易获取肉鸡的方法。

就目前来说,利用特洛伊木马和社会工程学就是攻击者们最喜欢用来获取肉鸡的主要方式。

1、利用捆绑木马和网页木马来获取肉鸡木马,就如同一个身怀多种绝技的“武林高手”,在网络的江湖之中,将所有坏事做尽,却仍然没有人可以阻止它继续前进的脚步。

因此,木马是许多网络攻击者们最喜欢使用的“干将”。

这不,对于肉鸡猎手,木马就如同他们带着的猎犬,能够嗅到最敏感的东西,能通过木马得到他们想要的“肉鸡”。

当然,就木马本身而言,其技术有好有差。

而且,木马技术并不是一成不变的,它会长江后浪推前浪,不断地向更高级、高隐蔽、更高性能的方向发展。

同时,木马的数量也在不断地增加。

就拿能够获取肉鸡的木马来说,现在,在GOOGLE文本框中输入“肉鸡获取软件”的关键词进行探索,一不小心就会得到N多获取肉鸡木马的软件说明或下载链接。

雪源梅香就曾经试过两个叫肉鸡批量抓取和挖掘鸡的软件,这些软件名字取得很形像,功能也相当不错,能够让一个不了解多少网络知识的人轻易地获取大量的肉鸡,更不要说网上还有许多获取肉鸡的“指导手册”和“指导视频”呢。

从这可以想像木马拥有多么可怕的“功夫”。

那么,这些木马主要又是通过什么方式去获取肉鸡的呢?主要方式有两种:(1)、一种是利用各种捆绑方式木马捆绑一直是攻击者最常用的散发木马的主要方式之一。

可以用来捆绑木马的载体包括垃圾邮件的附件、软件安装程序、自解压压缩文件、PDF文件、MP3、MP4,以及图片等等。

这种木马攻击方式,就是先将木马通过捆绑的方式加入到上述这些载体中,然后放到互联网上,成功引诱网络用户运行这些载体中的木马程序后,这台主机就有可能会变成攻击者的肉鸡了。

通过捆绑木马方式获取肉鸡,要成功的关键就是想法让网络用户运行被捆绑载体中的木马。

攻击者最喜欢使用的手段包括将木马与黄色图片或视频捆绑,与免费软件捆绑,与MP3及PDF 文件捆绑,然后将捆绑了木马各种文件放到一些正常网站或自己建立的傀儡网站上,提供给用户下载或试听等。

特洛伊木马的工作原理

特洛伊木马的工作原理

特洛伊木马的工作原理
特洛伊木马是一种常见的恶意软件,它通过伪装成正常的程序或文件来欺骗用户,使其被安装和运行在受感染的系统中。

特洛伊木马的工作原理包括以下几个步骤:
1. 伪装: 特洛伊木马会伪装成一个吸引人的程序、文件或链接,以引起用户的兴趣和点击。

这个伪装可以是一个看似合法的软件安装包、电子邮件附件、社交媒体链接等等。

2. 欺骗: 当用户执行了特洛伊木马的安装或打开操作时,它会
欺骗用户认为它是一个正常的程序或文件,并且可能对用户做出各种误导性的提示或界面交互,让用户相信这是一个可信的应用。

3. 潜伏: 一旦特洛伊木马成功地安装在系统中,它会开始在后
台运行,并潜伏于系统的各个角落,隐藏自己的存在,使用户难以察觉。

4. 攻击: 特洛伊木马会利用系统漏洞或用户权限不足的安全弱点,通过自身的程序代码或网络通信进行攻击。

这可能包括窃取用户的个人信息、密码、银行账号等敏感信息,操控受感染系统进行恶意活动,或者打开后门,为黑客提供远程访问受感染系统的权限。

5. 传播: 一旦特洛伊木马成功感染了一个系统,它还可能通过
网络传播到其他主机,利用电子邮件、即时通信软件、共享文件等方式,将自身复制到其他电脑上,进一步传播。

总之,特洛伊木马通过伪装成正常的程序或文件,欺骗用户安装并潜伏于系统中,然后利用系统漏洞进行攻击和传播。

用户需要提高警惕,并采取安全措施来预防和检测特洛伊木马的存在。

特洛伊木马原理分析

特洛伊木马原理分析

特洛伊木马原理分析特洛伊木马是如何工作的一般的木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序他所做的第一步是要把木马的服务器端。

攻击者要通过木马攻击你的系统,程序植入到你的电脑里面。

目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,利用的途径有邮件附件、下载软件中等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个木马执行文件,是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。

一般的木马执行文件非常小,大部分都是几K到几十K,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。

木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入,由于微软的浏览器在执行Senipt脚本存在一些漏洞。

攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。

前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。

如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马目录。

此外,木马还可以利用系统的一些漏洞进行植人,如微软著名的US服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并且同时攻击服务器,执行远程木马执行文件。

当服务端程序在被感染的机器上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。

在客户端和服务端通信协议的选择上,绝大多数木马使用的是TCP/IP协议,但是也有一些木马由于特殊的原因,使用UDP协议进行通讯。

当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;同时监听某个特定的端口,等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。

简述特洛伊木马的基本原理

简述特洛伊木马的基本原理

简述特洛伊木马的基本原理
简述特洛伊木马的基本原理如下:
特洛伊木马是一种基于客户/服务器模式的网络程序,它通过隐藏在正常的程序中,并利用服务端的主机漏洞,以无孔不入的方式实现自己的目的。

一旦木马进入服务端,就会通过网络远程控制服务端的程序,例如打开后门、获取系统信息、执行任意操作等。

特洛伊木马通常包括控制端和服务端两个部分。

控制端用于远程控制服务端,可以执行任意操作,而服务端则被动的接收来自控制端的指令。

为了实现特洛伊木马的基本原理,需要满足以下三个条件:
1. 硬件部分:建立木马连接所必须的硬件实体,例如网络和设备。

2. 软件部分:实现远程控制所必须的软件程序,例如控制端程序和木马程序。

3. 具体连接部分:通过互联网在服务端和控制端之间建立一条木马通道所必须的元素,例如控制端IP、服务端IP、控制端端口和木马端口等。

特洛伊木马是一种非常危险的恶意软件,因为它可以完全控制服务端的程序,从而造成严重的安全威胁。

因此,我们应该时刻保持警惕,避免下载和安装不明来源的程序,并定期更新我们的操作系统和软件程序,以避免成为特洛伊木马的受害者。

“肉鸡”获取内幕揭秘之利用系统漏洞

“肉鸡”获取内幕揭秘之利用系统漏洞

上古孙子兵法中云:“知己知彼,方能百战不殆”。知彼者,就是指了解对手在各个时期的各种状况,包括军队统帅是谁、军队数量,驻防的位置,以及对手惯用的攻击手段等信息。其中,充分了解对手惯用的攻击手段,能够让我们知道被我们保护的对象,哪些方面需要加固,以及知道需要准备什么工具和手段来应对对手的各种攻击手段。因此,对于防止自己的计算机成为肉鸡,最好的解决方法,也是通过分析攻击者获取肉鸡的各种手段,来找到计算机成为攻击者肉鸡的各种原因,通过找到的原因就会知道哪些方面需要防范,以及知道可以使用什么样的安全技术和产品来解决这些问题。
就目前来说,攻击者可以用来获取肉鸡的手段有很多种,其中,最常用的手段可归纳为利用系统漏洞、利用捆绑木马和网页木马,以及利用社会工程这3种主要方式。在本文中,我将先对攻击者如何利用操作系统漏洞来获取肉鸡这种方法进行详细的说明,其它2种攻取肉鸡的方法,将在后续的文章中,雪源梅香才与大家一起讨论。
启动NessusCliend后,首先要做的就是完成与Nessus服务端的连接。在本例中,单击NessusCliend主界面左下角的“Connent”按钮,在出现的连接管理界面中选择“localhost”,然后单击“+”号按钮,进入编辑连接界面。在编辑连接界面中的“Port”文本框中输入1241,这是Nessus检测时使用的端口,如果Nessus弱点检测软件处于防火墙后面,应当确保防火墙已经开放了1241端口。
1、 如果是一个网站,可以通过Whois域名查询或Whereisip等软件来得到它们的IP地址;还可以通过ping命令,查询某个域名的IP地址;Windows系统下还可以通过使用路由跟踪命令tracert找到某个目标的IP地址。
2、 如果攻击者知道目标所在地区的大概位置,以及目标使用的IPS名称,就可以通过搜索引擎得到这个区域所对应IPS可以分配的整个IP地址段。他们还可以到负责分配某个区域IP地址的网站,例如(负责亚洲地区IP地址分配的组织APNIC的网站),在这个网站中,就可以查询到我国电信、铁通和网通的IP地址分配表。

特洛伊木马的攻击原理与防护措施

特洛伊木马的攻击原理与防护措施

1 木马木马,全称是“特洛伊木马”,英文为 Trojan Horse,来源于古希腊神话《荷马史诗》中的故事《木马屠城记》。

近年来发展迅速,经常被黑客利用,渗透到计算机用户的主机系统内,盗取用户的各类账号和密码,窃取各类机密文件,甚至远程控制用户主机。

2 木马原理木马一般都使用C/S架构,一个完整的木马程序通常由两部分组成:服务端(服务器部分)和客户端(控制器部分)。

“服务器”部分被植入到被攻击者的电脑中,“控制器”部分在攻击方所控制的电脑中, 攻击方利用“控制器”主动或被动的连接“服务器”,实现对目标主机的控制。

木马运行后,会打开目标主机的一个或多个端口,以便于攻击方通过这些端口实现和目标主机的连接。

连接成功后,攻击方便成功的进入了目标主机电脑内部,通过控制器可以对目标主机进行很多操作,如:增加管理员权限的用户,捕获目标主机的屏幕,编辑文件,修改计算机安全设置等等。

而这种连接很容易被用户和安全防护系统发现,为了防止木马被发现,木马会采用多种技术来实现连接和隐藏,以提高木马种植和控制的成功率。

3 木马的连接方式攻击者利用木马对目标主机(攻击者)的控制,需要通过控制端和服务器端的连接来实现。

常见的木马连接方式有正向端口连接、反弹端口连接和“反弹+代理”连接三种方式。

3.1 正向端口连接正向连接方式是由控制端主动连接服务器端,即由控制端向服务器端发出建立连接请求,从而建立双方的连接,如图1。

为了内网的安全,通常防火墙会对进入系统内部的数据过滤,允许内网连接外网,屏蔽外网向内网的连接请求。

这种安全策略下,正向连接方式会被防火墙屏蔽,不能实现“控制器”和“服务器”的连通。

面对防火墙的阻断,为了保障连通,木马技术又出现了新的连接方式,由木马的“服务器”主动连接“控制器”,即端口反弹连接方式。

3.2 端口反弹连接端口反弹连接方式是由“服务器”主动向“控制器”发出连接请求,如图2。

这种方式可以有效的绕过防护墙,例如有名的国产木马:灰鸽子。

木马病毒原理及特征分析

2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制;
木马一般不具有普通病毒所具有的自我繁殖、主动感染传播 等特性,但我们习惯上将其纳入广义病毒,也就是说,木马 也是广义病毒的一个子类
木马的最终意图是窃取信息、实施远程监控
木马与合法远程控制软件(如pcAnyWhere)的主要区 别在于是否具有隐蔽性、是否具有非授权性
07:40:27
11
特洛伊木马的结构
Rundll32 DllFileName FuncName
例如我们编写了一个MyDll.dll,这个动态链接库中定义了一个 MyFunc的函数,那么,我们通过Rundll32.exe MyDll.dll MyFunc 就可以执行MyFunc函数的功能。
假设我们在MyFunc函数中实现了病毒的功能,那么我们不就 可以通过Rundll32来运行这个病毒了么?在系统管理员看来,进程 列表中增加的是Rundll32.exe而并不是病毒文件,这样也算是病毒 的一种简易欺骗和自我保护方法
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览 文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小 化和隐藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操 作功能;
07:40:27
9
07:40:27

特洛伊木马工作原理分析及清除方法

特洛伊木马工作原理分析及清除方法1 什么是特洛伊木马特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。

木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。

特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。

这些权限并不是服务端赋予的,而是通过木马程序窃取的。

2 木马的工作原理完整的木马系统由硬件和软件二部分组成。

硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet);软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。

利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。

2.1 获取并传播木马木马可以用C或C++语言编写。

木马程序非常小,一般只有3~5KB,以便隐藏和传播。

木马的传播方式主要有3种:(1)通过E-MAIL。

(2)软件下载。

(3)依托病毒传播。

200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13 312@MM)。

该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。

当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件,并将自己作为邮件的附件,使用不同的名称继续传播。

2.2 运行木马服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。

传统特洛伊木马的工作原理共17页word资料

史少甫 20092420229 通信2班一、什么是特洛伊木马特洛伊木马(TrojanHorse,以下简称木马)的名称取自希腊神话的特洛伊木马记。

木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。

特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。

这些权限并不是服务端赋予的,而是通过木马程序窃取的。

木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。

一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。

1、硬件部分建立木马连接所必须的硬件实体。

控制端:对服务端进行远程控制的一方。

服务端:被控制端远程控制的一方。

I NTERNET:控制端对服务端进行远程控制,数据传输的网络载体。

2、软件部分实现远程控制所必须的软件程序。

控制端程序:控制端用以远程控制服务端的程序。

木马程序:潜入服务端内部,获取其操作权限的程序。

木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。

3、具体连接部分通过I NTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。

控制端I P,服务端I P:即控制端,服务端的网络地址,也是木马进行数据传输的目的。

控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。

论“肉鸡”木马的机理与防范

论“肉鸡”木马的机理与防范作者:郭福洲来源:《硅谷》2009年第24期[摘要]针对因遭受木马病毒而受制于人的计算机——“肉鸡”这一信息社会现象由表及里,从木马病毒的本质、机理、客观存在的原因进行探究,并对木马病毒的防范策略与方法进行剖析与探索。

[关键词]肉鸡木马网络黑客计算机信息中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1220047-02近来以央视为首的新闻媒体和许多知名网站曝光了黑客利用木马进行“肉鸡”攻击的全过程,触目惊心的他人隐私信息的显示以及黑客骇人听闻的供词,使得对网络已产生极强依赖性的不免心生恐惧与不安。

“肉鸡”又叫肉机,即怀有不法动机的电脑黑客,利用网络系统信息传输为途径,借用户在网络软件应用时在用户机器上植入木马,达到远程操控用户计算机,获取网络用户有价值的账户、密码和文件与数据等个人有价值信息。

本文将就“肉鸡”木马的本质、生存背景和防范办法进行分析与论述。

一、“肉鸡”木马的本质“肉鸡”软件从本质上应界定为是木马程序,什么是“木马”?“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。

在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。

其本质用于网络监控,但网络黑客出于以不法手段获取他人利益,造成与其本质用途相形见远。

“肉鸡”木马入侵网络节点,必须获取3个参数:网络节点的IP(即受侵用户计算机的互联网端口地址)、用户名、密码。

木马程序大多利用webshell作为web入侵的脚本攻击工具。

webshell 是采用asp或php技术所设计的网站或网页的后门,黑客在入侵了一个网站后,常常在将这些asp 或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

“特洛伊木马”是如何把“被攻击方”计算机变成“肉鸡”的?
特洛伊木马(简称木马),其实就是一个通过网络端口进行通信的程序。

它由“黑客”做手脚,植入并驻留在目标计算机里。

木马可以随计算机自动启动并在某一端口进行侦听,在对打算下手的数据、资料、动作进行识别后,就对目标计算机执行特定的操作,并接受“黑客”指令将有关数据发送到“黑客大本营”享用。

至于仅是停留在“信息收集”阶段,还是实施进一步的攻击,那完全取绝于“黑客”的个人意愿和是否有“好心情”。

木马可以通过以下六种方式,让目标计算机在不知不觉中成为“肉鸡”——
(1)实施远程监控,包括:控制对方鼠标、键盘,并监视对方屏幕。

(2)记录口令信息,包括:将对方的击键记录在一个文本文件里,同时记录执行输入的窗口名。

(3)获取系统信息,包括:取得计算机名、更改计算机名、取得开机密码等等。

(4)限制系统功能,包括:远程关机或重启计算机、锁定鼠标、让对方网络掉线、终止系统进程等等。

(5)远程文件操作,包括:删除文件、拷贝文件、共享文件等等。

(6)实施注册表操作,包括:删除键值、增加键值、获取键值等等。

木马既然有如此强大的“功能”,那么。

制造并驾驭它的“黑客”,意欲像你一样操作你的电脑,那还不是“小菜一碟”吗(忘记了:应当是“白斩鸡”)?
目前,网络木马肆虐横行,“隐身术”越来越多越来越诡秘。

因此必须以十二分的警惕,切实加强安全防范意识,做到未雨绸缪防患于未然。

除了必须安装强有力的查杀病毒、木马软件和防火墙外,还应当养成良好的上网习惯,切记不要闲逛哪些充满诱惑的“挂马”“钓鱼”网站。

另外,千万注意不要随便下载安装所谓“破解版”之类的软件(世上没有免费的午餐)。

还是老话:强化安全意识和安装安防软件,必须两手抓,两手都要硬。

对于安全防范软件,应当依靠但绝对不能依赖。

至于如何掌握检查和查杀木马的技巧,下午我会专文进行论述。

以上全系忠言,万望警醒注意。

一旦真的成了“肉鸡”被按于刀俎之下,那将悔之晚矣。

关于特洛伊木马的典故——
本文中的“特洛伊木马”,是 Trojan Horse 的中译。

其鼎鼎大名,源于"木马屠城记"中那只木马的“芳名”。

相传:古希腊有大军围攻特洛伊城,逾年无法攻克得手。

于是,谋士献计制造一只身高二丈的木马假装作战马神,并在攻击数天后留下木马拔营而去。

城中军民得以解围并轻得"木马"这个奇异的战利品,遂张灯结彩饮酒狂欢。

待到午夜时分,全城军民尽入梦乡,匿于木马中的将士打开秘门游绳而下,开启城门并四处纵火,城外伏兵如水涌入,特洛伊城遂遭暴虐焚屠。

后世称这只木马为"特洛伊木马"。