特洛伊木馬概述

《特洛伊木馬概述》由會(huì)員分享，可在線閱讀，更多相關(guān)《特洛伊木馬概述（17頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、特洛伊木馬概述木馬概述木馬概述木馬全稱為特洛伊木馬，它是一種表面上做一件事情，而實(shí)際上是在不為人知的情況下，做一些用戶所不希望的事情的軟件。木馬的特性木馬的特性隱蔽性隱蔽性一般的木馬會(huì)以捆綁方式裝到目標(biāo)電腦上，而捆綁方式、捆綁位置、捆綁程序等則可以由黑客自己確定，既可以捆綁到啟動(dòng)程序上，也可以捆綁到一般常用程序上，位置的多變使得木馬具有很強(qiáng)的隱蔽性。潛伏性潛伏性木馬程序一般不會(huì)在已經(jīng)被感染的電腦上作什么破壞的操作，而是盡量地將自己隱藏起來(lái)，不讓用戶覺(jué)察到木馬的存在，從而得以偷偷地做一些用戶不希望的事情。再生性再生性木馬被發(fā)現(xiàn)后，表面上是被刪除了，但后備的木馬會(huì)在一定的條件下重新生成被刪除的文件

2、。木馬的基本原理木馬的基本原理兩個(gè)執(zhí)行文件：客戶端程序兩個(gè)執(zhí)行文件：客戶端程序 服務(wù)器端程序服務(wù)器端程序客戶端程序是安裝在攻擊者（黑客）方的控制臺(tái)，它負(fù)責(zé)遠(yuǎn)程遙控指揮。服務(wù)器端程序即是木馬程序，它被隱藏安裝在被攻擊（受害）方的電腦上。木馬攻擊的第一步：把木馬服務(wù)程序植入攻擊對(duì)象木馬攻擊的第一步：把木馬服務(wù)程序植入攻擊對(duì)象攻擊者需要通過(guò)木馬對(duì)他人電腦系統(tǒng)進(jìn)行攻擊，第一步就是把木馬的服務(wù)程序植入到被攻擊的電腦里面。如果電腦沒(méi)有聯(lián)網(wǎng)，那么是不會(huì)受到木馬的侵?jǐn)_的，因?yàn)槟抉R程序不會(huì)主動(dòng)攻擊和傳染到這樣的電腦中。木馬攻擊的第二步：把主機(jī)信息發(fā)送給攻擊者木馬攻擊的第二步：把主機(jī)信息發(fā)送給攻擊者在一般情況下，

3、木馬被植入被攻擊的主機(jī)后，會(huì)通過(guò)一定的方式把主機(jī)的信息，如IP地址、軟件的端口、主機(jī)的密碼等，發(fā)送給攻擊者。木馬的啟動(dòng)木馬的啟動(dòng)1、在、在Win.ini中啟動(dòng)中啟動(dòng)2、在、在System.ini中啟動(dòng)中啟動(dòng)3、通過(guò)啟動(dòng)組實(shí)現(xiàn)啟動(dòng)、通過(guò)啟動(dòng)組實(shí)現(xiàn)啟動(dòng)4、修改文件關(guān)聯(lián)、修改文件關(guān)聯(lián)5、捆綁文件、捆綁文件6、反彈技術(shù)、反彈技術(shù)木馬的種類木馬的種類1、破壞型、破壞型2、密碼發(fā)送型、密碼發(fā)送型3、遠(yuǎn)程訪問(wèn)型、遠(yuǎn)程訪問(wèn)型4、鍵盤(pán)記錄型、鍵盤(pán)記錄型5、DoS攻擊型攻擊型6、代理型、代理型7、FTP木馬木馬8、程序殺手型、程序殺手型木馬的入侵木馬的入侵現(xiàn)在木馬主要是使用欺騙的方法通過(guò)電子郵件發(fā)送、文件下載把木

4、馬執(zhí)行文件植入被攻擊者的電腦系統(tǒng)的。入侵的方式可以是：1、發(fā)送給被攻擊方一封帶附件的電子郵件2、捆綁到一些網(wǎng)站提供下載的軟件中3、通過(guò)Script、Active和ASP、CGI交互腳本植入4、利用瀏覽器或系統(tǒng)中的漏洞植入木馬入侵的方法：捆綁、冒名、偽裝成文件木馬入侵的方法：捆綁、冒名、偽裝成文件將一個(gè)木馬和一個(gè)損壞的zip（或rar）文件捆綁在一起，然后將捆綁后的文件擴(kuò)展名設(shè)置為zip，這樣該文件圖標(biāo)就是zip圖標(biāo)了，打開(kāi)這個(gè)文件時(shí)看到的現(xiàn)象跟打開(kāi)損壞的zip文件一樣，但此時(shí)木馬已經(jīng)得以運(yùn)行了。冒名可以是QQ冒名和郵件冒名。QQ冒名則必須選盜得一個(gè)QQ號(hào)，然后使用這個(gè)號(hào)碼給好友發(fā)送木馬程序。如

5、果是郵件冒名，則是用匿名郵件向別人發(fā)木馬附件。偽裝成文件是利用很多人都有連續(xù)點(diǎn)擊文件夾的習(xí)慣，把木馬文件偽裝成文件夾圖標(biāo)。木馬的防范木馬的防范1、使用病毒防火墻或木馬監(jiān)控程序并及時(shí)升級(jí)、使用病毒防火墻或木馬監(jiān)控程序并及時(shí)升級(jí)2、不要輕易打開(kāi)來(lái)歷不明的電子郵件附件、不要輕易打開(kāi)來(lái)歷不明的電子郵件附件3、及時(shí)升級(jí)瀏覽器軟件、電子郵件軟件、及時(shí)升級(jí)瀏覽器軟件、電子郵件軟件4、到大型的網(wǎng)站上下載軟件，下載后先進(jìn)行殺毒、到大型的網(wǎng)站上下載軟件，下載后先進(jìn)行殺毒5、顯示所有文件的擴(kuò)展名、顯示所有文件的擴(kuò)展名Happy 99木馬的清除木馬的清除Happy 99是通過(guò)發(fā)送電子郵件與張貼文章將自身發(fā)送到新聞組，

6、讓使用者無(wú)意中成為該木馬的傳播者。當(dāng)收件人執(zhí)行含有Happy 99.exe的文件時(shí)，會(huì)看到有美麗的焰火表演的畫(huà)面，同時(shí)Happy 99在后臺(tái)更改用戶操作系統(tǒng)的數(shù)據(jù)。此時(shí)Happy 99已在設(shè)定追蹤電子郵件及新聞組活動(dòng)的運(yùn)作，經(jīng)修改后，它不會(huì)直接造成用戶文件的數(shù)據(jù)破壞，但當(dāng)用戶發(fā)送電子郵件或到新聞?dòng)懻搮^(qū)張貼文章時(shí)，它便會(huì)自動(dòng)附上Happy 99.exe文件。如此一傳十、十傳百地達(dá)到大量入侵的目的。清除步驟：清除步驟：1、資源管理器中的、資源管理器中的WindowsSystem32目錄下檢目錄下檢查有沒(méi)有查有沒(méi)有ska.exe、ska.dll和和wsock32.ska這這3個(gè)文個(gè)文件。件。2、先刪

7、除、先刪除ska.exe和和ska.dll兩個(gè)文件，然后將兩個(gè)文件，然后將wsock32.ska更名為更名為wsock32.dll，然后刪除之。，然后刪除之。3、重啟電腦。、重啟電腦。Back Orifice木馬的清除木馬的清除Back Orifice 是功能最全的TCP/IP架構(gòu)的木馬工具，它可以搜索被攻擊者的信息、執(zhí)行系統(tǒng)命令、修改客戶端的電腦注冊(cè)表、重新設(shè)置機(jī)器、重新定向網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序等。黑客利用該木馬成為被攻擊機(jī)器的超級(jí)用戶，幾乎電腦的所有操作都可由Back Orifice遠(yuǎn)程控制。清除步驟：清除步驟：1、打開(kāi)注冊(cè)表編輯器，展開(kāi)、打開(kāi)注冊(cè)表編輯器，展開(kāi)HKEY_LOCAL

8、_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices，若此鍵，若此鍵中存在中存在Umgr32.exe鍵值，則將其刪除。鍵值，則將其刪除。2、在資源管理器中刪除、在資源管理器中刪除c:windowsSystem中的中的Umgr32.exe文件。文件。冰河木馬的清除冰河木馬的清除”冰河“是國(guó)內(nèi)最著名的木馬，它主要用于遠(yuǎn)程監(jiān)控，其功能是可以自動(dòng)跟蹤目標(biāo)機(jī)器的屏幕變化，記錄各種口令信息，獲得限制目標(biāo)機(jī)器系統(tǒng)的功能、遠(yuǎn)程文件和注冊(cè)表操作等。清除步驟：清除步驟：1、打開(kāi)注冊(cè)表編輯器，展開(kāi)、打開(kāi)注冊(cè)表編輯器，展開(kāi)HKEY_LOCAL_MACHIN

9、ESoftwareMicrosoftWindowsCurrentVersionRun和和HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionRunServices，若其中存在，若其中存在kerne132.exe鍵值，則將其刪除。鍵值，則將其刪除。2、打開(kāi)資源管理器，執(zhí)行、打開(kāi)資源管理器，執(zhí)行“工具工具”“文件夾選項(xiàng)文件夾選項(xiàng)”，選擇，選擇“文件類型文件類型”選項(xiàng)卡，在已注冊(cè)的文件類型列表中找到選項(xiàng)卡，在已注冊(cè)的文件類型列表中找到“TXT文本文檔文本文檔”，從，從“詳細(xì)信息詳細(xì)信息”中查看其中查看其“打開(kāi)方式打開(kāi)方式”有無(wú)變化（一般為記

10、事本文件）。如果不是，則單有無(wú)變化（一般為記事本文件）。如果不是，則單擊擊“高級(jí)高級(jí)”，刪除，刪除“操作操作”列表中的列表中的open選項(xiàng)。選項(xiàng)。3、重啟電腦進(jìn)入、重啟電腦進(jìn)入DOS，刪除，刪除c:windowssystem32下的下的kerne132.exe和和sysxplr.exe文件。文件?！皬V外女生廣外女生”木馬的清除木馬的清除”廣外女生“是廣東外語(yǔ)外貿(mào)大學(xué)“廣外女生”網(wǎng)絡(luò)小組的作品，它的破壞性很大，基本功能有：文件上傳功能 可以上傳、下載、刪除、改名、設(shè)置屬性，建立文件夾和運(yùn)行指定文件等。注冊(cè)表操作功能全面模擬Windows的注冊(cè)表編輯器，讓遠(yuǎn)程注冊(cè)表編輯有如在本地操作一樣。屏幕控制

11、功能 可以自定義圖片的質(zhì)量來(lái)減少傳輸?shù)臅r(shí)間，在局域網(wǎng)或高網(wǎng)速地方可以全屏操作對(duì)方的鼠標(biāo)和鍵盤(pán)。遠(yuǎn)程任務(wù)管理 可以直觀地瀏覽遠(yuǎn)程的窗口，殺掉對(duì)方窗體中的控件。“廣外女生”有一個(gè)其他木馬不具備的功能，就是它的服務(wù)器端程序被執(zhí)行后，自動(dòng)檢查進(jìn)程中是否含有金山毒霸、防火墻、瑞星、實(shí)時(shí)監(jiān)控、天網(wǎng)、kill、lockdown等字樣，如果發(fā)現(xiàn)就會(huì)終止該進(jìn)程，也就是說(shuō)廣外女生木馬可以使防火墻完全失去作用。廣外女生使用6267端口號(hào)?！皬V外女生廣外女生”木馬的清除木馬的清除1、啟動(dòng)電腦進(jìn)入、啟動(dòng)電腦進(jìn)入DOS模式，進(jìn)入模式，進(jìn)入c:windowssystem32目錄，刪除其中目錄，刪除其中的的Diagcfg.e

12、xe文件。文件。2、進(jìn)入、進(jìn)入c:windows目錄，將目錄，將regedit.exe改名成為改名成為3、重啟電腦進(jìn)入、重啟電腦進(jìn)入windows模式，打開(kāi)注冊(cè)表編輯器，展開(kāi)模式，打開(kāi)注冊(cè)表編輯器，展開(kāi)HKEY_CLASSES_ROOTexefileshellopencommand，將默認(rèn)值改，將默認(rèn)值改為為1.4、將、將HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中的中的Diagnostic Configuration項(xiàng)刪除。項(xiàng)刪除。5、進(jìn)入、進(jìn)入c:windows目錄，將目錄，將改名為改名為reged

13、it.exe?！昂诙春诙?001”木馬的清除木馬的清除黑洞2001可以中止被控端的防火墻，當(dāng)黑洞2001在受控端機(jī)上運(yùn)行后，會(huì)在c:windowssystem下生成兩個(gè)文件：S_Server.exe和Windows.exe。黑洞2001使用的端口號(hào)為2001。1、打開(kāi)注冊(cè)表編輯器，展開(kāi)、打開(kāi)注冊(cè)表編輯器，展開(kāi)HKEY_CLASSES_ROOTexefileshellopencommand和和HKEY_LOCAL_MACHINESoftwareClassestxtfileshellopencommand鍵，將其中默認(rèn)值由鍵，將其中默認(rèn)值由S_Sever.exe%1改為改為c:WindowsNOT

14、EPAD.EXE%1。2、將、將HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices分支下的串值分支下的串值Windows刪除。刪除。3、重啟電腦進(jìn)入、重啟電腦進(jìn)入DOS，刪除，刪除c:windowssystem32目錄下的文件目錄下的文件S_Sever.exe和和Windows.exe.木馬清除軟件簡(jiǎn)介木馬清除軟件簡(jiǎn)介1、木馬終結(jié)者、木馬終結(jié)者2、木馬克星、木馬克星IParmor3、The Cleaner4、奇虎、奇虎360安全衛(wèi)士安全衛(wèi)士5、超級(jí)巡警、超級(jí)巡警6、超級(jí)兔子、超級(jí)兔子習(xí)題習(xí)題填空題填空題1、特洛

15、伊木馬程序表面上執(zhí)行正常的操作，但實(shí)際上隱藏著一些可以控制用戶電腦系統(tǒng)、危害系統(tǒng)安全的破壞性指令。2、木馬具有很強(qiáng)的隱蔽性，還有很強(qiáng)的潛伏性和再生性。3、“廣外女生”木馬有一個(gè)其他大多數(shù)木馬不具備的功能，就是在它的服務(wù)端程序被執(zhí)行后，自動(dòng)檢查進(jìn)程中是否含有金山毒霸、防火墻、瑞星、實(shí)時(shí)監(jiān)控、天網(wǎng)、kill、lockdown等字樣，如果發(fā)現(xiàn)就會(huì)終止該進(jìn)程，也就是說(shuō)廣外女生木馬可以使防火墻完全失去作用。4、黑洞2001木馬是國(guó)產(chǎn)木馬，也可以終止被控端的防火墻，它也使用默認(rèn)的連接端口，端口號(hào)為2001 5、特洛依木馬雖然不像電腦病毒那樣會(huì)到處傳染，但其危害性是非常大的，其原因是：難以發(fā)現(xiàn)、通常以二進(jìn)制

16、形式潛伏，無(wú)法直觀顯示、可作用于許多機(jī)器。6、幾種常見(jiàn)的木馬入侵方法有：捆綁、冒名、偽裝成文件。習(xí)題習(xí)題選擇題選擇題1、在命令提示符下輸入_后按回車鍵，可以查看當(dāng)前與本機(jī)建立的所有連接。A.Netneo B.netstat C.Ping D.NetAno2、_只借助電子郵件及新聞組的傳送而在網(wǎng)上遨游，但并不感染任何被攻擊者硬盤(pán)中的其他文件，也沒(méi)有其他侵害作用。A.Happy 99木馬 B.Back Orifice 2000木馬 C.黑洞2001 D.廣外女生3、下面防范木馬的方法中哪個(gè)是錯(cuò)的：_A.使用病毒防火墻或木馬監(jiān)控程序并及時(shí)升級(jí)B.不要隨便從一些網(wǎng)站上下載軟件，最好到信譽(yù)好、比較大的網(wǎng)

17、站上去下載，并在安裝前先用殺病毒軟件進(jìn)行檢查C.經(jīng)常檢查系統(tǒng)文件、注冊(cè)表及端口信息D.最好將Windows隱藏文件后綴名的設(shè)置改為隱藏所有文件的擴(kuò)展名習(xí)題習(xí)題填空題填空題1、木馬一般有兩個(gè)執(zhí)行文件：客戶端程序和服務(wù)器端程序。2、木馬的檢測(cè)有動(dòng)態(tài)檢測(cè)和靜態(tài)檢測(cè)兩種方式。3、Happy 99 是通過(guò)發(fā)送電子郵件與張貼文章將自身發(fā)送到新聞組，讓使用者無(wú)意中成為該木馬的傳播者。4、“冰河”是國(guó)外最著名的木馬，它主要用于遠(yuǎn)程監(jiān)控，其功能是可以自動(dòng)跟蹤目標(biāo)機(jī)器的屏幕變化，記錄各種口令信息，或者限制目標(biāo)機(jī)器系統(tǒng)功能、遠(yuǎn)程文件和注冊(cè)表操作等。5、電子郵件的附件是木馬程序傳播的主要途徑，所以不要輕信、打開(kāi)來(lái)歷不明的電子郵件附件。6、在資源管理器中刪除c:windowssystem32中的Umgr32.exe文件即可將Back Orifice 2000木馬刪除。