木马病毒原理及特征分析

格式：ppt
大小：467.00 KB
文档页数：47

下载文档原格式

特洛伊木马工作原理分析及清除方法

30"!(7& +8$ )"*/+&0!&0/2,**&-7",*D&E8&#79FGH(% 0&E8&#7IJ K# 5,*L: IM )"*/+&0!&0;+7(7& N O #-.2%,#&6 1P&* )"*/+&0!&0;2%,#& A *6 IM A*6 +8$ @ 检查控件的 +7(7& 属性是否为关 @闭的
在接受新的连接之前先关闭此连接 @如果不是，
!
发现和清除木马
杀毒软件主要是针对已知病毒设计的，而新病毒却层
出不穷，特别是在有些特洛伊木马类病毒刚出现时，由于杀毒软件没有建立病毒库，大都无能为力。因此，学习一些手工检查特洛伊木马的方法是很有必要的。下面简单介绍一种在 )"*]^ 系统下手工发现和清除木马的方法。（ Q,07 ）上，客 123 服务程序都需要 %"#7&* 在某个端口户端程序才能与其建立连接，进行数据传输。可以用
J?,BHI?C 或 0 ： J?,BHI?CJCKC"79 目录下 + ，然后在
注册表、启动组和非启动组中设置好木马触发条件，这样木马的安装就完成了。以后，当木马被触发条件激活时，它就进入内存，并开启事先定义的木马端口，准备与控制端建立连接。进行控制 "#$ 建立连接，建立一个木马连接必须满足 < 个条件： !6+ 服务端已服务端都要在线。初次连接安装有木马程序。!<+ 控制端、时还需要知道服务端的 ,G 地址。,G 地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后，控制端端口和木马端口之间将会有一条通道，控制端程序利用该通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。

让我告诉你：什么是木马病毒木马的认知

什么是木马病毒（Trojan）木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

[编辑本段]木马病毒的原理一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。

植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。

运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

木马分析报告

木马分析报告1. 引言木马（Trojan），又称为“特洛伊木马”，是指通过伪装成正常合法程序或文件进入目标系统，并在未被用户察觉的情况下，对系统进行非法操作的恶意软件。

木马程序的存在给系统安全带来了重大威胁，因此，对木马进行深入分析和研究十分必要。

本文将对一款木马进行分析，并对其传播方式、特征和危害进行探讨。

2. 木马的传播方式木马程序主要通过以下几种方式进行传播： 1. 邮件附件：木马程序常常伪装成诱人的附件，通过邮件发送给用户，一旦用户点击或下载附件，木马程序就会悄悄安装和运行。

2. 网络下载：用户在未经过恶意网站的仔细筛选的情况下，下载了含有木马的软件或文件，木马程序就会被安装到用户的系统中。

3. 可移动存储介质：如U盘、移动硬盘等存储介质中含有木马程序，只要用户将这些介质连接到自己的电脑上，木马程序就会被植入系统。

4. 动态链接库：木马程序可能会以DLL（Dynamic-Link Library）的形式出现，通过注入到正常进程中，实现对系统的控制。

3. 木马的特征为了能够更好地进行木马防护，我们需要了解木马的一些特征： 1. 欺骗性：木马程序通常伪装成合法可信的程序或文件，例如常见的.exe、.doc、.pdf等，以迷惑用户进行安装或下载。

2. 启动项修改：木马程序常常会修改系统的启动项，以保证自己能够在系统启动时自动运行，从而实现长期隐藏控制。

3. 远程控制：木马程序通常与远程服务器建立连接，以便黑客能够远程控制被感染的系统，进行各种操控、监控和窃取敏感信息等操作。

4. 系统资源占用增加：木马程序运行时会消耗大量系统资源，例如CPU和内存，从而降低系统的整体性能。

5. 网络流量增加：木马程序会通过网络上传、下载数据，导致网络流量明显增加，对网速造成影响。

4. 木马的危害与预防木马程序给系统带来的危害非常严重，包括但不限于以下几个方面： 1. 数据窃取：木马程序可以利用系统权限，窃取用户的个人隐私数据，例如登录名、密码、银行账号等。

电脑病毒种类和病毒名称

8.程序杀手木马:上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用
9.反弹端口型木马:木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。
8后门病毒
后门病毒的前缀是：Backdoor
如爱情后门病毒Worm.Lovgate.a/b/c
9坏性程序病毒
破坏性程序病毒的前缀是：Harm
格式化C盘（Harm.formatC.f）、杀手命令（mand.Killer）等。
10玩笑病毒
玩笑病毒的前缀是：Joke
如：女鬼（Joke.Girlghost）病毒。
感染方式：
病毒的主体程序运行时，会复制到：
%System%\wintems.exe
Mitglieder.DU生成以下注册表，以确保每次系统启动时运行病毒：
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe = "%System%\wintems.exe"

病毒木马的工作原理及其防范

病毒的定义和分类
计算机病毒的特点 1）可执行性当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行。 2）破坏性无论何种病毒程序，一旦侵入系统都会对操作系统的运行造成不同程度的影响。 3）传染性把自身复制到其他程序中的特性。是计算机病毒最重要的特征，是判断一段程序代码是否为计算机病毒的依据。病毒可以附着在其它程序上，通过磁盘、光盘、计算机网络等载体进行传染，被传染的计算机又成为病毒的生存的环境及新传染源。
缓冲区溢出与病毒攻击的原理
二、缓冲区溢出的根源在于编程错误缓冲区溢出是由编程错误引起的。如果缓冲区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。缓冲区溢出之所以泛滥，是由于开放源代码程序的本质决定的。某些编程语言对于缓冲区溢出是具有免疫力的，例如 Perl能够自动调节字节排列的大小，Ada 95能够检查和阻止缓冲区溢出。但是被广泛使用的C语言却没有建立检测机制。标准C语言具有许多复制和添加字符串的函数，这使得标准C语言很难进行边界检查。C++语言略微好一些，但是仍然存在缓冲区溢出情况。一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误，但是，如果输入的数据是经过 “黑客”或者病毒精心设计的，覆盖缓冲区的数据恰恰是“黑客”或者病毒的攻击程序代码，一旦多余字节被编译执行， “黑客”或者病毒就有可能为所欲为，获取系统的控制权。
毒。由于通过电子邮件系统传播，宏病毒在短短几天内狂袭
全球数以百万计的电脑。包括微软、Intel等公司在内的众多大型企业网络系统瘫痪，全球经济损失达数十亿美元。2004 年爆发的“新欢乐时光”病毒也给全球经济造成了巨大损失。
VBS病毒的起源与发展及其危害

特洛伊木马

的建立
• 木马通道与远程控制
– 木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作
控制端控制端程序 1096 6267 服务端木马程序窃取密码文件操作修改注册表系统操作
32
网页挂马技术（二）
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址木马端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址控制端端口 State ESTABLISHED LISTENING 连接状态： ①连接已建立 ②等待连接
33
网页挂马技术（三）
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中

木马是什么？如何查杀木马？

1、什么是木马?它对上网用户有什么危害?答：木马是指通过入侵计算机，能够伺机盗取帐号密码的恶意程序，它是计算机病毒中的一种特定类型。

木马通常会自动运行，在用户登录游戏帐号或其它(如网银、聊天)帐号的过程中记录用户输入的帐号和密码，并自动将窃取到的信息发送到黑客预先指定的信箱中。

这将直接导致用户帐号被盗用，帐户中的虚拟财产被转移。

2、QQ电脑管家怎样扫描木马?答：QQ电脑管家为您提供三种扫描方式，分别为：快速扫描、全盘扫描、自定义扫描。

您需要点击QQ电脑管家的查杀木马选项卡，根据需要的扫描方式点击扫描按钮即可开始查杀木马。

在三种扫描方式中，快速扫描的速度是最快的，只需短短1-2分钟时间，QQ电脑管家就能为您系统中最容易受木马侵袭的关键位置进行扫描。

如果您想彻底的检查系统，则可以选择扫描最彻底的全盘扫描，QQ电脑管家将对您系统中的每一个文件进行一遍彻底检查。

花费的时间由您硬盘的大小以及文件的多少决定，硬盘越大扫描的时间越多。

您可以通过自定义扫描设定需要扫描的位置，只需要在弹出的扫描位置选项框中勾选需要扫描的位置，再点击开始扫描，QQ电脑管家就会按您的设置开始进行扫描。

3、扫描发现木马时，怎样清除木马?答：当扫描出木马时，QQ电脑管家已经帮您勾选了所有木马，您只需要点击立即清除，即可轻松清除所有的木马。

有些木马需要重启计算机才能彻底清除，我们建议您立即重启，以尽快消除木马对您系统的危害。

4、清除木马时，不小心删除了正常的文件该怎么办?答：QQ电脑管家严格控制木马的检测，采用的是误报率极低的云查杀技术，确保扫描出来的结果一定是最准确的。

而且为了确保万无一失，QQ电脑管家默认采取可恢复的隔离方式清除木马，如果万一您发现已清除的木马是正常的文件，您还可以通过隔离区进行恢复。

您可以点击查杀木马标签页右上角的隔离区，在列表中选中想要恢复的文件，再点击恢复按钮，即可轻松恢复误删除的文件。

5、什么是反木马用户参与计划?参与此计划后会怎样?答：QQ电脑管家邀请用户参与反木马用户参与计划，如果参加此计划，QQ电脑管家将会在扫描到未知或可疑的文件后，自动提交给QQ电脑管家安全中心后台进行分析和确认。

手机木马病毒介绍

目前智能手机系统上的木马病毒程序已经泛滥，特别是Android系统开源且水货、刷机行为较多，成为木马病毒的主要攻击方向。

Android系统的木马病毒系统可分为如下主要特征：1、获取硬件信息，如IMEI、IMSI等2、访问特定网站，增加流量或通话费用3、窃取用户通话及短信信息4、窃取用户键盘输入的敏感信息在以上特点中，第三和第四点对手机银行的危险性最大，木马能够窃取客户输入的用户名、密码以及手机交易码信息，并发送远程服务器。

1、窃取用户通话及短信信息木马介绍2011年11月，信息安全厂商卡巴斯基发表分析文章，介绍智能手机ZitMo （ZeuS-in-the-Mobile）木马是如何盗取用户重要数据的。

手机交易码曾被认为是最可靠的网银安全保护措施之一。

然而，随着专门针对智能手机的ZeuS木马出现，特别是ZeuS-in-the-Mobile或ZitMo–mTANs的出现，手机交易码已不能确保用户的重要数据不会落入网络罪犯的手中。

ZitMo 于2010年9月首次被检测到，专门用来盗取由银行发送的短信息中的mTAN 代码，也是迄今为止最受关注的手机安全事件之一。

网络安全专家分析称，“首先，该病毒具有跨平台传播的能力，无论是Symbian、Windows Mobile、Blackberry和Android系统，都被检测到了这种木马，其目的主要是将手机交易码短信息转发给网络罪犯(或者是一台服务器)，后者进而可以利用这些被侵入的银行账户进行非法交易。

但是，ZitMo最大的特点是它与台式计算机木马ZeuS背后的关系。

如果没有后者的话，ZitMo仅仅能起到一个转发短信息的间谍程序作用。

而通过它们之间的…团队合作‟，网络罪犯才能成功的避开保护网银安全所使用的mTAN安全设置。

”这种攻击方式的精心安排通常有以下几个步骤：网络罪犯首先使用台式计算机版的ZeuS来盗取必要的数据，以便进入网银账户并收集用户的手机号码。

受害者的手机收到一条要求升级安全证书或其它重要软件的短信。

认识木马与“病毒

“木马”的工作原理由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。

虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。

相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。

网络安全技术木马查杀网络安全知识黑客软件网络安全培训黑客技术“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把 Form的Visible 属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。

在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Win dows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini 、system.ini、注册表等等都是“木马”藏身的好地方。

下面具体谈谈“木马”是怎样自动加载的。

网络安全I木马清除I电脑病毒I黑客技术I黑客软件电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)DLL木马要了解DLL木马，就必须知道这个“ DLL'是什么意思，所以，让我们追溯到几年前，DOS 系统大行其道的日子里。

在那时候，写程序是一件繁琐的事情，因为每个程序的代码都是独立的，有时候为了实现一个功能，就要为此写很多代码，后来随着编程技术发展，程序员们把很多常用的代码集合 (通用代码)放进一个独立的文件里，并把这个文件称为“库”(Library )，在写程序的时候，把这个库文件加入编译器，...... DLL木马就是把一个实现了木马功能的代码，加上一些特殊代码写成DLL文件，导出相关的API,在别人看来，这只是一个普通的 DLL，但是这个DLL却携带了完整的木马功能，这就是 DLL木马的概念。

木马的种类及其技术特征

木马的种类及其技术特征常见的木马病毒，按照其功能划分，有以下几类：●网络游戏木马●网银木马●即时通讯软件木马●网页点击类木马●下载类木马●代理类木马下面一一详细介绍。

1.网络游戏木马随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。

网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。

与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。

窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。

网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。

流行的网络游戏无一不受网游木马的威胁。

一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。

大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。

2.网银木马网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。

此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。

网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。

如2004年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动把页面换成安全性能较差、但依然能够运转的老版页面，然后记录用户在此页面上填写的卡号和密码；“网银大盗3”利用招行网银专业版的备份安全证书功能，可以盗取安全证书；2005年的“新网银大盗”，采用API Hook等技术干扰网银登录安全控件的运行。

随着我国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。

3.即时通讯软件木马现在，国内即时通讯软件百花齐放。

QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。

常见的即时通讯类木马一般有3种：一、发送消息型。

通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

通过OICQ、QQ等聊天工具软件传播

通过提供软件下载的网站(Web/FTP/BBS)传播

通过一般的病毒和蠕虫传播通过带木马的磁盘和光盘进行传播
18
22:17:05
特洛伊木马技术的发展

木马的发展及成熟，大致也经历了两个阶段 Unix阶段 Windows阶段木马技术发展至今，已经经历了4代第一代木马
7
22:17:05
常见的特洛伊木马

对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10 KB 到30 KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。
假设我们在MyFunc函数中实现了病毒的功能，那么我们不就可以通过Rundll32来运行这个病毒了么？在系统管理员看来，进程列表中增加的是Rundll32.exe而并不是病毒文件，这样也算是病毒的一种简易欺骗和自我保护方法
木马病毒的原理及特征分析
22:17:05
1
特洛伊木马的定义

特洛伊木马(Trojan Horse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息古希腊特洛伊之战中利用木马攻陷特洛伊城；现代网络攻击者利用木马，采用伪装、欺骗 (哄骗，Spoofing)等手段进入被攻击的计算机系统中，窃取信息，实施远程监控

SubSeven还具有其他功能：攻击者可以远程交换鼠标按键，关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用 Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机
22:17:05
9
常见的特洛伊木马

木马的最终意图是窃取信息、实施远程监控木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性
12
22:17:05
特洛伊木马的结构

木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成
配置控制响应木马程序
配置程序
控制程序木马服务器

桌面看不到任务管理器中不可见文件中看不到
22:17:05
24
进程隐藏

Windows 9x中的任务管理器是不会显示服务类进程，结果就被病毒钻了空子，病毒将自身注册为“服务进程”，可以躲避用户的监视。 Windows2000/xp/2003等操作系统上已经无效了，直接使用系统自带的任务管理器便能发现和迅速终止进程运行。
22:17:05
木马控制端 (客户端 )
13
特洛伊木马的基本原理

控制端 Internet 服务运用木马实施网络入侵的基本过程端 ①配置木马 ②传播木马木马
③运行木马
④信息反馈
信息
⑤建立连接
⑥远程控制
22:17:05
14
特洛伊木马的基本原理

木马控制端与服务端连接的建立

控制端要与服务端建立连接必须知道服务端的木马端口和IP地址由于木马端口是事先设定的，为已知项，所以最重要的是如何获得服务端的IP地址获得服务端的IP地址的方法主要有两种：信息反馈和IP扫描
11
特洛伊木马的定义

木马与病毒

一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的特洛伊木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类
2
22:17:05

特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。他由黑客通过种种途径植入并驻留在目标计算机里。
22:17:05
3

木马可以随计算机自动启动并在某一端口进行侦听，在对目标计算机的的数据、资料、动作进行识别后，就对其执行特定的操作，并接受“黑客”指令将有关数据发送到“黑客大本营”。这只是木马的搜集信息阶段，黑客同时可以利用木马对计算机进行进一步的攻击！这时的目标计算机就是大家常听到的“肉鸡” 了！
21
22:17:05
内核模式病毒

WindowsNT/2K环境下第一个以内核模式驱动程序运行，并驻留内存的寄生型病毒是Infis. Infis作为内核模式驱动程序驻留内存，并且挂钩文件操作，它能够在文件打开时立即感染该文件。安装程序把病毒拷贝到系统内存中，并在系统注册表中添加该病毒的注册项。该病毒把自己的可执行代码连同自己的PE文件头一起追加到目标文件的末尾，然后从自己代码中提取出一个名为INF.SYS的独立驱动程序，把这个程序保存在%SystemRoot%\ system32 \drivers目录下，修改注册表，保证下一次系统启动时病毒也能够进入运行状态。

只是进行简单的密码窃取、发送等，没有什么特别之处在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马的典型代表之一在数据传输技术上，又做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI(Process Status API)，实现木马程序的隐藏
22
22:17:05
检测方法

检查系统驱动程序列表中已经装入的驱动程序的名称，如果在驱动程序列表中发现了病毒驱动程序，说明基本上感染了病毒病毒可能使用隐藏技术避免在驱动程序列表中出现，需要通过计算机管理器中的驱动程序列表。
22:17:05
23
病毒的隐藏技术

隐藏是病毒的天性，在业界对病毒的定义里，“隐蔽性”就是病毒的一个最基本特征，任何病毒都希望在被感染的计算机中隐藏起来不被发现，因为病毒都只有在不被发现的情况下，才能实施其破坏行为。为了达到这个目的，许多病毒使用了各种不同的技术来躲避反病毒软件的检验，这样就产生了各种各样令普通用户头痛的病毒隐藏形式。隐藏窗口 & 隐藏进程 & 隐藏文件
22:17:05
25
通过DLL实现进程隐藏

Windows系统的另一种“可执行文件”----DLL，DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。运行DLL文件最简单的方法是利用Rundll32.exe，Rundll/Rundll32 是Windows自带的动态链接库工具，可以用来在命令行下执行动态链接库中的某个函数，Rundll32的使用方法如下： Rundll32 DllFileName FuncName 例如我们编写了一个MyDll.dll，这个动态链接库中定义了一个 MyFunc的函数，那么，我们通过Rundll32.exe MyDll.dll MyFunc 就可以执行MyFunc函数的功能。
控制端控制端程序 1096 6267 服务端木马程序窃取密码文件操作修改注册表系统操作
22:17:05
17
特洛伊木马的传播方式

木马常用的传播方式，有以下几种：

以邮件附件的形式传播

控制端将木马伪装之后添加到附件中，发送给收件人在进行聊天时，利用文件传送功能发送伪装过的木马程序给对方木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马
4
22:17:05
2．特洛伊木马病毒的危害性

特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序。除此以外，木马还有其自身的特点：窃取内容；远程控制。
22:17:05
5
22:17:05
6
常见的特洛伊木马

22:17:05
10
常见的特洛伊木马

:17:05
灰鸽子（Hack. Huigezi）是一个集多种控制方法于一体的木马病毒，一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。2004年、2005年、 2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。
22:17:05
15
特洛伊木马的基本原理
木马控制端与服务端连接的建立
22:17:05 16
特洛伊木马的基本原理

木马通道与远程控制

木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作