当前位置:文档之家 › 基于木马入侵防御(一基本原理)

基于木马入侵防御(一基本原理)

  • 格式:ppt
  • 大小:315.50 KB
  • 文档页数:26

下载文档原格式

  / 26

合集下载

网页木马机理与防御方法

网页木马机理与防御方法

网页木马机理与防御方法网页木马是一种常见的网络安全威胁,它可以通过植入恶意代码来窃取用户的隐私信息、篡改网页内容,甚至控制用户的电脑。

在互联网日益普及的今天,网页木马成为了网络安全的一大隐患,防范网页木马攻击成为了网络安全的重要工作之一。

本文将详细介绍网页木马的机理与防御方法,帮助读者更好地了解和防范此类安全威胁。

一、网页木马的机理1. 植入恶意代码网页木马通常是通过植入恶意代码来实现攻击的。

攻击者会利用各种手段,如漏洞利用、社会工程学等方式,将恶意代码植入到网页中,并隐藏在网页的代码中。

一旦用户访问了被植入了恶意代码的网页,就会触发木马的攻击机制。

2. 收集用户隐私信息网页木马可以通过恶意代码收集用户的隐私信息,包括账号密码、银行卡信息、个人身份证信息等。

攻击者可以利用这些信息进行盗窃、诈骗等违法活动。

3. 篡改网页内容除了窃取用户信息之外,网页木马还可以篡改网页内容,如插入广告、篡改链接等。

这不仅影响用户体验,还可能导致用户误操作,进而陷入更多的安全风险。

4. 控制用户电脑部分网页木马甚至可以控制用户的电脑,比如远程操控用户电脑进行挖矿、发起DDoS 攻击等恶意行为。

这对用户的个人信息安全、电脑安全都构成了严重威胁。

二、网页木马的防御方法1. 加强网页安全意识作为用户,加强对网络安全的意识是预防网页木马攻击的第一步。

在浏览网页时,尽量避免访问不明来源的网页,不轻信陌生网站的链接,避免点击不明链接,不轻易安装来历不明的插件和软件。

2. 使用安全浏览器安全浏览器通常内置了网页木马检测和拦截功能,可以及时识别和阻止恶意网页的访问。

用户可以选择安装一些知名的安全浏览器,如360安全浏览器、腾讯浏览器等,以增强对网页木马的防护能力。

3. 安装杀毒软件和防火墙安装有效的杀毒软件和防火墙是防范网页木马攻击的重要手段。

杀毒软件和防火墙可以帮助用户实时监控和拦截恶意代码的攻击,保护用户的电脑和个人信息安全。

4. 定期更新系统和软件定期更新操作系统和软件补丁可以修复系统漏洞,从而减少网页木马攻击的风险。

基于木马入侵防御(一基本原理)解析

基于木马入侵防御(一基本原理)解析
基于木马的入侵防御
木马原理
前言
入侵者在攻击成功以后,大多数种植一 个自己的木马,已备以后方便进入系统 。本章将介绍木马的种类和原理。
木马的组成
完整的木马程序一般由两个组成,一个 是服务器程序,一个是控制器程序。“ 中了木马”就是指安装了木马的服务器 程序,若你的电脑被安装了服务器程序 ,则拥有控制器程序的人就可以通过网 络控制你的电脑、为所欲为,这时你电 脑上的各种文件、程序,以及在你电脑 上使用的帐号、密码就无安全可言了。
木马的种类
破坏型 密码发送型 远程访问型 键盘记录型 Dos攻击木马 代理木马 ftp木马 程序杀手木马 反弹端口型木马
破坏型
惟一的功能就是破坏并且删除文件,可 以自动的删除电脑上的DLL、INI、EXE文 件。
密码发送型
可以找到隐藏密码并把它们发送到指定 的信箱。有人喜欢把自己的各种密码以 文件的形式存放在计算机中,认为这样 方便;还有人喜欢用WINDOWS提供的密码 记忆功能,这样就可以不必每次都输入 密码了。许多黑客软件可以寻找到这些 文件,把它们送到黑客手中。也有些黑 客软件长期潜伏,记录操作者的键盘操 作,从中寻找有用的密码。
远程访问型
最广泛的是特洛伊马,只需有人运行了 服务端程序,如果客户知道了服务端的 IP地址,就可以实现远程控制。以下的 程序可以实现观察"受害者"正在干什么 ,当然这个程序完全可以用在正道上的 ,比如监视学生机的操作。
键盘记录木马
这种特洛伊木马是非常简单的。它们只 做一件事情,就是记录受害者的键盘敲 击并且在LOG文件里查找密码
操作小任务1:打开冰河木马的控制端程 序, 生成一个服务器端程序(即被控制端 程序),要求配置具体信息如下: 安装路径为默认 文件名称为姓名拼音,如lili.exe 进程名称为姓名拼音。 访问口令自己定义。 监听端口自定义。

计算机木马病毒研究与防范毕业设计

计算机木马病毒研究与防范毕业设计

湖北大学高等教育自学考试本科毕业生论文评审表论文题目:计算机木马病毒研究与防范姓名:李宝君专业:计算机应用技术办学点:郧阳师范高等专科学校学生类型:独立本科段(助学班/独立本科段)2014年 12月 18日湖北大学高等教育自学考试办公室印制论文内容摘要目录第一章.木马病毒的概述 (5)1.1木马的的定义 (5)1.2木马的基本特征 (5)1.3木马的传播途径 (6)1.4木马病毒的危害 (6)第二章.木马病毒的现状 (7)2.1特洛伊木马的发展 (7)2.2 木马病毒的种类 (7)第三章.木马病毒的基本原理 (10)4.1木马病毒的加载技术 (10)4.1.1 系统启动自动加载 (10)4.1.2 文件劫持 (10)4.2 木马病毒的隐藏技术 (10)第四章.木马病毒的防范 (12)5.1基于用户的防范措施 (12)5.2基于服务器端的防范措施 (13)5.3加强计算机网络管理 (15)致谢 (16)参考文献 (17)第一章木马病毒的概述1.1木马的的定义木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序,是一种基于远程控制的黑客工具,它利用自身具有的植入功能,或依附具有传播功能的病毒,进驻目标机器监听、修改。

窃取文件。

1.2木马的基本特征(1)隐蔽性是其首要的特征当用户执行正常程序时,在难以察觉的情况下,完成危害影虎的操作,具有隐蔽性。

它的隐蔽性主要体现在6个方面:1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库(2)它具有自动运行性它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。

(3)木马程序具有欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。

木马工作原理

木马工作原理

木马工作原理木马的工作原理一般的木马程序都包括客户端和服务端两个程序,其申客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。

攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。

目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,利用的途径有邮件附件、下载软件中等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个木马执行文件,是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。

一般的木马执行文件非常小,大部分都是几K到几十K,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。

木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入,由于微软的浏览器在执行Senipt脚本存在一些漏洞。

攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。

前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。

如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马目录。

此外,木马还可以利用系统的一些漏洞进行植人,如微软著名的US服务器溢出漏洞,通过一个IISHACK 攻击程序即可使IIS服务器崩溃,并且同时攻击服务器,执行远程木马执行文件。

当服务端程序在被感染的机器上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。

在客户端和服务端通信协议的选择上,绝大多数木马使用的是TCP/IP协议,但是也有一些木马由于特殊的原因,使用UDP协议进行通讯。

当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;同时监听某个特定的端口,等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。

简述特洛伊木马的基本原理

简述特洛伊木马的基本原理

简述特洛伊木马的基本原理
简述特洛伊木马的基本原理如下:
特洛伊木马是一种基于客户/服务器模式的网络程序,它通过隐藏在正常的程序中,并利用服务端的主机漏洞,以无孔不入的方式实现自己的目的。

一旦木马进入服务端,就会通过网络远程控制服务端的程序,例如打开后门、获取系统信息、执行任意操作等。

特洛伊木马通常包括控制端和服务端两个部分。

控制端用于远程控制服务端,可以执行任意操作,而服务端则被动的接收来自控制端的指令。

为了实现特洛伊木马的基本原理,需要满足以下三个条件:
1. 硬件部分:建立木马连接所必须的硬件实体,例如网络和设备。

2. 软件部分:实现远程控制所必须的软件程序,例如控制端程序和木马程序。

3. 具体连接部分:通过互联网在服务端和控制端之间建立一条木马通道所必须的元素,例如控制端IP、服务端IP、控制端端口和木马端口等。

特洛伊木马是一种非常危险的恶意软件,因为它可以完全控制服务端的程序,从而造成严重的安全威胁。

因此,我们应该时刻保持警惕,避免下载和安装不明来源的程序,并定期更新我们的操作系统和软件程序,以避免成为特洛伊木马的受害者。

网页木马机理与防御方法

网页木马机理与防御方法

网页木马机理与防御方法网页木马是一种隐藏于网页中的恶意程序,通过利用网页脚本漏洞或浏览器漏洞,对用户进行攻击。

一旦用户访问被感染的网页,木马就会悄悄地在用户的计算机上执行恶意操作,比如窃取用户的个人信息、篡改网页内容或者植入其他恶意软件。

本文将介绍网页木马的机理和防御方法。

网页木马的机理主要包括以下几个步骤:1. 找到目标网页:攻击者会寻找目标网站中的漏洞,通常是通过扫描工具来自动化遍历网站的各个页面。

2. 注入恶意代码:一旦找到漏洞,攻击者会将恶意代码注入到目标网页中,通常是通过修改网页的脚本文件或者数据库进行操作。

3. 传送木马:攻击者在注入的恶意代码中加入木马程序,在用户访问被感染的网页时,木马会被下载到用户的计算机上并执行。

4. 控制用户计算机:一旦木马成功执行,攻击者就可以通过远程控制来操控用户的计算机,进行各种恶意操作。

为了防止网页木马的入侵,可以采取以下几种防御方法:1. 及时更新系统和软件:许多网页木马利用已知的计算机漏洞进行攻击,及时更新操作系统和浏览器等软件是最基本的防御措施之一。

2. 使用防病毒软件:安装有效的防病毒软件可以帮助防止木马的入侵。

及时更新病毒库是保持防病毒软件有效性的关键。

3. 网络安全意识教育:加强用户的网络安全意识,警惕点击可疑链接,不随意下载来路不明的文件,可以避免许多网页木马的感染。

4. 配置安全策略:限制网页脚本的执行,禁用危险的ActiveX控件,限制网页对本地文件的访问等措施可以大幅降低木马的攻击风险。

5. 过滤恶意代码:使用安全工具对输入的网页代码进行过滤,防止恶意代码的注入和执行。

6. 网站漏洞修复:对网站进行定期的漏洞扫描和修复,可以防止攻击者利用网站漏洞进行木马注入。

网页木马的威胁日益增长,防御网页木马是保护用户计算机和个人信息安全的重要任务。

通过及时更新系统软件、使用防病毒软件、加强网络安全意识等措施,可以有效降低木马攻击的风险。

网站管理员也应该加强网站的安全措施,定期修复漏洞,以保护用户免受网页木马的侵害。

木马盗号原理

木马盗号原理木马盗号是指黑客利用木马程序对他人的账号进行非法入侵和盗取个人信息的行为。

其原理主要包括以下几个方面:首先,黑客通过各种手段将木马程序植入到目标计算机中。

这些手段可以包括利用漏洞进行远程攻击、通过网络钓鱼邮件诱导用户点击恶意链接或下载附件、或者通过社会工程学手段诱使用户自行安装木马程序等。

一旦木马程序成功植入目标计算机,黑客就可以通过远程控制的方式对目标计算机进行操作,包括盗取账号信息、窃取个人隐私、篡改系统设置等。

其次,木马程序通常会具有隐藏性和自启动功能。

它会在计算机系统中悄无声息地运行,并且具有自我复制和传播的能力,从而使得黑客能够长期控制目标计算机而不被发现。

此外,木马程序还可以利用系统的自启动功能,在计算机开机时自动加载并运行,从而保证黑客能够随时对目标计算机进行远程控制。

再次,木马程序会通过各种方式窃取用户的账号信息。

它可以监视用户的键盘输入,记录用户的账号和密码信息;它可以窃取用户的浏览器缓存和cookie,获取用户的网站登录凭证;它还可以窃取用户的邮件、社交网络和即时通讯软件的账号信息等。

通过这些手段,黑客可以轻易地获取用户的各种账号信息,从而实施盗号行为。

最后,黑客会利用盗取的账号信息进行非法活动。

这些活动可以包括利用盗取的账号信息进行网络诈骗、进行非法交易、窃取个人隐私、传播恶意软件等。

通过盗取账号信息,黑客可以轻易地冒充用户的身份进行各种违法和违规活动,给用户和社会带来严重的安全隐患和经济损失。

总之,木马盗号是一种危害严重的网络安全威胁,它利用木马程序对他人的账号进行非法入侵和盗取个人信息。

为了防范木马盗号行为,用户应当提高安全意识,加强账号信息保护,定期更新系统和安全软件,避免点击可疑链接和下载未经验证的文件,以及及时发现并清除潜在的木马程序。

同时,网络安全相关部门也应当加强对木马盗号行为的监测和打击,提高网络安全防护能力,共同维护网络空间的安全和稳定。

木马的基本原理

木马的基本原理
什么是木马?
木马(Trojan Horse)是指一种在计算机网络上传播的、非法的恶意程序,通常像表面上无害的安全软件一样,却能够实施不可挽回的破坏。

木马病毒攻击是一种通过互联网传播的计算机病毒,它专门攻击用户
权限较高的网站、企业信息系统或个人机器。

木马的基本原理:
1. 运行原理:一般来说,木马通过向受害用户发送邮件或拦截用户访
问其他网站时下载的文件传播,木马植入到系统中后会伪装成有用的
程序,而在安装完毕后,它会下载其他的病毒,以实现拦截攻击者远
程控制的目的。

2. 隐蔽性:木马病毒通过不删除受害者的文件,而是将它们替换或插
入到主目录或者系统目录中,令其更加隐秘,如果不能及时发现木马,则它很可能在系统中传播并继续造成破坏。

3. 感染原理:木马通常在用户的浏览器上加上特殊的插件,来实现对
受害者的控制,同时会通过对本地网络上的用户进行感染,来使得木
马的蔓延速度大大增加。

4. 逃逸技术:木马采用的一种逃逸技术是启动机制(Boot Sector),这种技术是在用户系统运行前,木马就被植入,在此阶段植入的木马最隐蔽,很难检测到。

5. 远程控制:木马攻击者可以通过远程服务器来连接目标机器,对受害系统设备进行远程控制,使用系统资源传输大量数据,侵入者还可以安装恶意软件。

6. 破坏:木马攻击者可以通过进入系统来收集所有的信息,甚至可以破坏和删除系统上的文件和文件夹,造成严重的影响。

ips防护原理

IPS防护原理详解1. 概述Intrusion Prevention System(IPS)即入侵防御系统,是一种网络安全设备,用于检测和阻止网络中的恶意活动和攻击。

IPS通过监控网络流量,识别和防止入侵行为,保护网络免受威胁。

本文将详细解释与IPS防护原理相关的基本原理。

2. IPS的工作原理IPS主要通过以下几个步骤来实现网络防护:2.1 流量监测和数据包分析IPS首先监测网络流量,对传入和传出的数据包进行实时分析。

它可以通过网络接口监听数据包,或者与网络设备集成,以获取流经网络的数据包。

2.2 威胁识别和特征匹配在流量监测和数据包分析过程中,IPS会对数据包进行威胁识别。

它使用预定义的规则、签名和特征库来检测已知的攻击和恶意行为。

这些规则和特征库包含了各种攻击的特征信息,例如特定的字节序列、协议违规、恶意代码等。

当数据包被监测到时,IPS会将其与规则和特征库进行比对,以确定是否存在已知的攻击行为。

如果匹配成功,IPS将采取相应的防护措施,例如阻止数据包传输、断开与攻击源的连接等。

2.3 异常行为检测除了基于规则和特征匹配的检测方式,IPS还可以使用基于异常行为的检测方法。

它通过学习网络的正常行为模式,监测和分析网络流量中的异常行为。

IPS会建立一个基准模型,记录网络中各种活动的正常行为。

当网络流量中出现与正常行为模式不符的行为时,IPS会发出警报并采取相应的防护措施。

这种方法可以有效检测未知的攻击和零日漏洞利用。

2.4 响应和防护措施当IPS检测到恶意活动或攻击时,它会立即采取相应的响应和防护措施。

这些措施可能包括:•阻止数据包传输:IPS可以根据检测结果,阻止特定的数据包传输,以防止攻击继续进行。

•断开与攻击源的连接:IPS可以主动断开与攻击源的连接,以阻止攻击者进一步入侵网络。

•发出警报通知:IPS可以向管理员发送警报通知,以便及时采取措施应对威胁。

•记录日志信息:IPS会记录检测到的恶意活动和防护措施,以便分析和后续调查。

反黑精英 之 入侵防御(一)


PE 文件也就是可执行应用程序文件 即应用程序 32 位系统 Window 图形界面系统 常 见后缀名:[.exe] 16 位系统 即 DOS 文件系统 常见后缀名:[.com] 对于 PE 文件的知识我 们就只要知道这些:在 WINDOW32 位下运行先从 DOS MZ header→PE header → Section → Overlay 尾部数据基本就是这个流程, 下面我们开始详细介绍捆绑木马及识破方法。 捆绑模式有两种:一种是在原有的程序文件尾部添加数据,从而达到你运行正常的程 序同时运行木马的效果;而另外一种就是利用捆绑器中自带的一个 PE 头文件来捆绑文件, 在你运行这种类型的文件时他会先释放两个文件 (一个是正常的被捆绑的文件, 而另外一个 则是木马或者其他附加给你的程序如:IE 插件)后者在运行速度上可能稍慢于前者,利用 第二种模式的捆绑木马最为多见 为了防范这类木马所以我们制定两种方案: 首先我们用 PEID 查是否存在尾部数据防范前者利用附加数据来捆绑木马,在则是用 C32ASM 查文件头个数以防范后者利用 PE 头捆绑木马(下面我们进入实例来说说) 先用 PEID 看看有没有尾部数据显示 “Microsoft Visual C++ 6.0 [Overlay ] ” Overlay 就是尾部数据 见(如图 1) 一般捆绑文件就是在尾部数据 Overlay 这里面,而不会放在头 或者区段里! (但仅仅通过从这个判断是否有捆绑是不行的,需要做下步进行判断! )
(图 10(IceSword)的主界面)
(图 11 禁止进线程创建) ① 防捆绑木马入侵小结:工具不是万能的而人是活的,大家可以利用以上的方法加以结合 即可达到事半功倍的效果。 欢迎大家到非安全论坛或者到[Dark Team]技术论坛和我交流 ID: New4 对 我 文 章 有 什 么 已 经 可 以 发 电 子 邮 件 到 我 邮 箱 与 我 联 系 :
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于木马的入侵防御
木马原理
前言
入侵者在攻击成功以后,大多数种植一 个自己的木马,已备以后方便进入系统 。本章将介绍木马的种类和原理。
木马的组成
完整的木马程序一般由两个组成,一个 是服务器程序,一个是控制器程序。“ 中了木马”就是指安装了木马的服务器 程序,若你的电脑被安装了服务器程序 ,则拥有控制器程序的人就可以通过网 络控制你的电脑、为所欲为,这时你电 脑上的各种文件、程序,以及在你电脑 上使用的帐号、密码就无安全可言了。
木马的工作原理
实际就是一个C/S模式的程序(里应外合)
被植入木马的PC(server程序)
操作系统 TCP/IP协议 端口
端口处于监听状态
端口 TCP/IP协议 操作系统
被植入木马的PC(client程序)
控制端
木马的工作原理
木马主要通过邮件、下载等途径传播 木马还可通过Script、ActiveX及 ASP.CGI等交互脚本进行传播 一方面,木马的服务器端程序会尽可能 地隐蔽行踪,同时监听某个端口,等待 客户端连接;另一方面,服务器端程序 通过修改注册表等方法实现自启动功能 。
DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作 DoS攻击的木马也越来越流行起来。当你 入侵了一台机器,给他种上DoS攻击木马 ,那么日后这台计算机就成为你DoS攻击 的最得力助手了。你控制的肉鸡数量越 多,你发动DoS攻击取得成功的机率就越 大。所以,这种木马的危害不是体现在 被感染计算机上,而是体现在攻击者可 以利用它来攻击一台又一台计算机,给 网络造成很大的伤害和带来损失。
木马如何启动
通过启动组实现自启动
启动组是专门用来实现程序自启动地地方,位于 “c:\documents and setting\administrator\star menu\program\start up”,注册表中对应的位置为: “HKEY_CURRENT_USER\software\microsoft\windo ws\currentversion\explorer\shellfolders”.
木马如何启动
修改文件关联
修改文件关联是木马们常用手段 (主要是国 产木马,老外的木马大都没有这个功能), 比方说正常情况下TXT文件的打开方式为 Notepad.EXE文件,但一旦中了文件关联木 马,则txt文件打开方式就会被修改为用木 马程序打开,如著名的国产木马冰河就是这 样干的.
木马如何启动
木马是如何启动的
作为一个优秀的木马,自启动功能是必不可少 的,这样可以保证木马不会因为你的一次关机 操作而彻底失去作用。正因为该项技术如此重 要,所以,很多编程人员都在不停地研究和探 索新的自启动技术,并且时常有新的发现。一 个典型的例子就是把木马加入到用户经常执行 的程序 (例如explorer.exe)中,用户执行该 程序时,则木马自动发生作用。当然,更加普 遍的方法是通过修改Windows系统文件和注册 表达到目的 。
特洛伊木马具有的特性
隐蔽性 自动运行性 具备自动恢复功能 能自动打开特别的端口 功能的特殊性

操作小任务3:控制端找到那些电脑中了服务器端程序 ,进而可以控制它。找到以后,尝试以下控制操作, 并截屏。 在查看对方电脑上文件,创建文件,删除文件。 查看对方电脑的屏幕. 控制对方电脑的屏幕. 信使服务,发送hello信息 修改对方电脑的桌面 重新启动对方电脑
捆绑文件
实现这种触发条件首先要控制端和服务端已 通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起 ,然后上传到服务端覆盖源文件,这样即使 木马被删除了,只要运行捆绑了木马的应用 程序,木马义会安装上去。绑定到某一应用 程序中,如绑定到系统文件,那么每一次 Windows启动均会启动木马。
远程访问型
最广泛的是特洛伊马,只需有人运行了 服务端程序,如果客户知道了服务端的 IP地址,就可以实现远程控制。以下的 程序可以实现观察"受害者"正在干什么 ,当然这个程序完全可以用在正道上的 ,比如监视学生机的操作。
键盘记录木马
这种特洛伊木马是非常简单的。它们只 做一件事情,就是记录受害者的键盘敲 击并且在LOG文件里查找密码
功能的特殊性
通常的木马功能都是十分特殊的,除了 普通的文件操作以外,还有些木马具有 搜索cache中的口令、设置口令、扫描目 标机器人的IP地址、进行键盘记录、远 程注册表的操作以及锁定鼠标等功能。 上面所讲的远程控制软件当然不会有这 些功能,毕竟远程控制软件是用来控制 远程机器,方便自己操作而已,而不是 用来黑对方的机器的。
木马如何启动
在win.ini中启动
在win.ini中的[windows]字段中有启动命令 “load=”、“run=”,默认情况下,“=”后面是空的 ,可以把加载程序写在这里,如: run=c:\windows\sample.exe
在system.ini中启动
system.ini位于windows的安装目录下,其中 [boot]字段的shell=Explorer.exe是木马常用来隐 藏加载的地方,通常的做法是: shell=Explorer.exe sample.exe system.ini中的[386Enh]字段中的“driver=路径\ 程序名”也可以用来实现自启动,此外[mic]、 [drivers]、[drivers很多的木马程序中的功能模块不再 由单一的文件组成,而是具有多重备份 ,可以相互恢复。当你删除了其中的一 个,以为万事大吉又运行了其他程序的 时候,谁知它又悄然出现。像幽灵一样 ,防不胜防。
操作小任务4:在冰河木马的控制端重新 配置一个服务器端程序,要求如下: 勾选“写入注册表启动项” 键名为自己 名字的拼音。 勾选“关联” 关联类型为“txtfile”.
木马的种类
破坏型 密码发送型 远程访问型 键盘记录型 Dos攻击木马 代理木马 ftp木马 程序杀手木马 反弹端口型木马
破坏型
惟一的功能就是破坏并且删除文件,可 以自动的删除电脑上的DLL、INI、EXE文 件。
密码发送型
可以找到隐藏密码并把它们发送到指定 的信箱。有人喜欢把自己的各种密码以 文件的形式存放在计算机中,认为这样 方便;还有人喜欢用WINDOWS提供的密码 记忆功能,这样就可以不必每次都输入 密码了。许多黑客软件可以寻找到这些 文件,把它们送到黑客手中。也有些黑 客软件长期潜伏,记录操作者的键盘操 作,从中寻找有用的密码。
操作小任务5:把操作小任务4配置的木马服务器端程 序在目标主机上运行,并验证配置,具体验证步骤和 要求如下: 把进程中的木马停止运行,重新启动系统,再次查看 木马服务器端程序是否再次运行,输入MSCONFIG.EXE 命令查看系统启动选项,去掉木马启动的勾选,再次 验证。 把进程中的木马服务器端进程停止运行,打开一个txt 文件,查看它是否再次运行,验证关联启动。
*.ini
后缀为.ini的文件是系统中应用程序的启动配置文 件,木马利用这些文件能自启动应用程序的特点, 将制作好的带有木马服务端程序的自启动命令的文 件上传到目标主机,就可达到自启动的目的
在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件 也可以启动木马。但这种加载方式一般都需 要控制端用户与服务端建立连接后,将己添 加木马启动命令的同名文件上传到服务端覆 盖这两个文件才行,而且采用这种方式不是 很隐蔽。容易被发现,所以在Autoexec.bat 和Confings中加载木马程序的并不多见,但 也不能因此而掉以轻心。
操作小任务1:打开冰河木马的控制端程 序, 生成一个服务器端程序(即被控制端 程序),要求配置具体信息如下: 安装路径为默认 文件名称为姓名拼音,如lili.exe 进程名称为姓名拼音。 访问口令自己定义。 监听端口自定义。
操作小任务2:验证操作小任务1的配置 ,把冰河木马的服务器段程序以某种方 式放到目标主机上,并执行。逐一验证 查看操作小任务1的配置,所有的验证要 求截屏。
在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于 Autoexec.bat的批处理文件,也是一个能自动被 Windows加载运行的文件。它多数情况下为应用 程序及Windows自动生成,在执行了Windows自动 生成,在执行了并加截了多数驱动程序 之后开始执行 (这一点可通过启动时按F8键再选 择逐步跟踪启动过程的启动方式可得知)。由于 Autoexec.bat的功能可以由Witart.bat代替完成 ,因此木马完全可以像在Autoexec.bat中那样被 加载运行,危险由此而来。