《特洛伊木馬概述》由會員分享��,可在線閱讀���,更多相關(guān)《特洛伊木馬概述(17頁珍藏版)》請在裝配圖網(wǎng)上搜索��。
1�����、特洛伊木馬概述木馬概述木馬概述木馬全稱為特洛伊木馬�,它是一種表面上做一件事情��,而實際上是在不為人知的情況下,做一些用戶所不希望的事情的軟件����。木馬的特性木馬的特性隱蔽性隱蔽性一般的木馬會以捆綁方式裝到目標(biāo)電腦上,而捆綁方式�、捆綁位置、捆綁程序等則可以由黑客自己確定�,既可以捆綁到啟動程序上,也可以捆綁到一般常用程序上��,位置的多變使得木馬具有很強的隱蔽性�����。潛伏性潛伏性木馬程序一般不會在已經(jīng)被感染的電腦上作什么破壞的操作�����,而是盡量地將自己隱藏起來��,不讓用戶覺察到木馬的存在���,從而得以偷偷地做一些用戶不希望的事情�。再生性再生性木馬被發(fā)現(xiàn)后,表面上是被刪除了�����,但后備的木馬會在一定的條件下重新生成被刪除的文件
2����、���。木馬的基本原理木馬的基本原理兩個執(zhí)行文件:客戶端程序兩個執(zhí)行文件:客戶端程序 服務(wù)器端程序服務(wù)器端程序客戶端程序是安裝在攻擊者(黑客)方的控制臺�����,它負(fù)責(zé)遠(yuǎn)程遙控指揮���。服務(wù)器端程序即是木馬程序,它被隱藏安裝在被攻擊(受害)方的電腦上�����。木馬攻擊的第一步:把木馬服務(wù)程序植入攻擊對象木馬攻擊的第一步:把木馬服務(wù)程序植入攻擊對象攻擊者需要通過木馬對他人電腦系統(tǒng)進行攻擊�,第一步就是把木馬的服務(wù)程序植入到被攻擊的電腦里面。如果電腦沒有聯(lián)網(wǎng)���,那么是不會受到木馬的侵?jǐn)_的�,因為木馬程序不會主動攻擊和傳染到這樣的電腦中。木馬攻擊的第二步:把主機信息發(fā)送給攻擊者木馬攻擊的第二步:把主機信息發(fā)送給攻擊者在一般情況下����,
3、木馬被植入被攻擊的主機后�����,會通過一定的方式把主機的信息��,如IP地址�、軟件的端口、主機的密碼等�,發(fā)送給攻擊者。木馬的啟動木馬的啟動1�、在、在Win.ini中啟動中啟動2�����、在��、在System.ini中啟動中啟動3�����、通過啟動組實現(xiàn)啟動、通過啟動組實現(xiàn)啟動4���、修改文件關(guān)聯(lián)��、修改文件關(guān)聯(lián)5��、捆綁文件����、捆綁文件6����、反彈技術(shù)���、反彈技術(shù)木馬的種類木馬的種類1���、破壞型、破壞型2��、密碼發(fā)送型��、密碼發(fā)送型3、遠(yuǎn)程訪問型��、遠(yuǎn)程訪問型4��、鍵盤記錄型��、鍵盤記錄型5�����、DoS攻擊型攻擊型6�、代理型、代理型7����、FTP木馬木馬8、程序殺手型�����、程序殺手型木馬的入侵木馬的入侵現(xiàn)在木馬主要是使用欺騙的方法通過電子郵件發(fā)送��、文件下載把木
4����、馬執(zhí)行文件植入被攻擊者的電腦系統(tǒng)的��。入侵的方式可以是:1�、發(fā)送給被攻擊方一封帶附件的電子郵件2�����、捆綁到一些網(wǎng)站提供下載的軟件中3��、通過Script���、Active和ASP���、CGI交互腳本植入4、利用瀏覽器或系統(tǒng)中的漏洞植入木馬入侵的方法:捆綁�����、冒名�����、偽裝成文件木馬入侵的方法:捆綁����、冒名、偽裝成文件將一個木馬和一個損壞的zip(或rar)文件捆綁在一起�,然后將捆綁后的文件擴展名設(shè)置為zip,這樣該文件圖標(biāo)就是zip圖標(biāo)了�����,打開這個文件時看到的現(xiàn)象跟打開損壞的zip文件一樣��,但此時木馬已經(jīng)得以運行了�。冒名可以是QQ冒名和郵件冒名。QQ冒名則必須選盜得一個QQ號���,然后使用這個號碼給好友發(fā)送木馬程序�。如
5�����、果是郵件冒名�����,則是用匿名郵件向別人發(fā)木馬附件���。偽裝成文件是利用很多人都有連續(xù)點擊文件夾的習(xí)慣�,把木馬文件偽裝成文件夾圖標(biāo)。木馬的防范木馬的防范1����、使用病毒防火墻或木馬監(jiān)控程序并及時升級、使用病毒防火墻或木馬監(jiān)控程序并及時升級2���、不要輕易打開來歷不明的電子郵件附件��、不要輕易打開來歷不明的電子郵件附件3�、及時升級瀏覽器軟件���、電子郵件軟件���、及時升級瀏覽器軟件、電子郵件軟件4����、到大型的網(wǎng)站上下載軟件���,下載后先進行殺毒��、到大型的網(wǎng)站上下載軟件����,下載后先進行殺毒5、顯示所有文件的擴展名��、顯示所有文件的擴展名Happy 99木馬的清除木馬的清除Happy 99是通過發(fā)送電子郵件與張貼文章將自身發(fā)送到新聞組�,
6、讓使用者無意中成為該木馬的傳播者��。當(dāng)收件人執(zhí)行含有Happy 99.exe的文件時�,會看到有美麗的焰火表演的畫面,同時Happy 99在后臺更改用戶操作系統(tǒng)的數(shù)據(jù)��。此時Happy 99已在設(shè)定追蹤電子郵件及新聞組活動的運作�����,經(jīng)修改后��,它不會直接造成用戶文件的數(shù)據(jù)破壞����,但當(dāng)用戶發(fā)送電子郵件或到新聞討論區(qū)張貼文章時,它便會自動附上Happy 99.exe文件����。如此一傳十���、十傳百地達到大量入侵的目的。清除步驟:清除步驟:1����、資源管理器中的、資源管理器中的WindowsSystem32目錄下檢目錄下檢查有沒有查有沒有ska.exe���、ska.dll和和wsock32.ska這這3個文個文件�。件��。2����、先刪
7、除�����、先刪除ska.exe和和ska.dll兩個文件��,然后將兩個文件����,然后將wsock32.ska更名為更名為wsock32.dll,然后刪除之���。�,然后刪除之����。3、重啟電腦��。���、重啟電腦����。Back Orifice木馬的清除木馬的清除Back Orifice 是功能最全的TCP/IP架構(gòu)的木馬工具����,它可以搜索被攻擊者的信息、執(zhí)行系統(tǒng)命令��、修改客戶端的電腦注冊表���、重新設(shè)置機器����、重新定向網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序等。黑客利用該木馬成為被攻擊機器的超級用戶�,幾乎電腦的所有操作都可由Back Orifice遠(yuǎn)程控制。清除步驟:清除步驟:1��、打開注冊表編輯器��,展開��、打開注冊表編輯器����,展開HKEY_LOCAL
8、_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices���,若此鍵���,若此鍵中存在中存在Umgr32.exe鍵值,則將其刪除�����。鍵值,則將其刪除��。2����、在資源管理器中刪除�、在資源管理器中刪除c:windowsSystem中的中的Umgr32.exe文件。文件�����。冰河木馬的清除冰河木馬的清除”冰河“是國內(nèi)最著名的木馬���,它主要用于遠(yuǎn)程監(jiān)控��,其功能是可以自動跟蹤目標(biāo)機器的屏幕變化����,記錄各種口令信息����,獲得限制目標(biāo)機器系統(tǒng)的功能、遠(yuǎn)程文件和注冊表操作等�。清除步驟:清除步驟:1、打開注冊表編輯器,展開��、打開注冊表編輯器����,展開HKEY_LOCAL_MACHIN
9、ESoftwareMicrosoftWindowsCurrentVersionRun和和HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionRunServices�����,若其中存在���,若其中存在kerne132.exe鍵值���,則將其刪除。鍵值�,則將其刪除。2�、打開資源管理器,執(zhí)行��、打開資源管理器���,執(zhí)行“工具工具”“文件夾選項文件夾選項”�,選擇,選擇“文件類型文件類型”選項卡����,在已注冊的文件類型列表中找到選項卡,在已注冊的文件類型列表中找到“TXT文本文檔文本文檔”����,從�,從“詳細(xì)信息詳細(xì)信息”中查看其中查看其“打開方式打開方式”有無變化(一般為記
10、事本文件)�。如果不是,則單有無變化(一般為記事本文件)���。如果不是��,則單擊擊“高級高級”�,刪除�����,刪除“操作操作”列表中的列表中的open選項���。選項�。3、重啟電腦進入�、重啟電腦進入DOS,刪除��,刪除c:windowssystem32下的下的kerne132.exe和和sysxplr.exe文件���。文件��?��!皬V外女生廣外女生”木馬的清除木馬的清除”廣外女生“是廣東外語外貿(mào)大學(xué)“廣外女生”網(wǎng)絡(luò)小組的作品,它的破壞性很大�����,基本功能有:文件上傳功能 可以上傳��、下載����、刪除、改名��、設(shè)置屬性��,建立文件夾和運行指定文件等。注冊表操作功能全面模擬Windows的注冊表編輯器���,讓遠(yuǎn)程注冊表編輯有如在本地操作一樣�����。屏幕控制
11��、功能 可以自定義圖片的質(zhì)量來減少傳輸?shù)臅r間�����,在局域網(wǎng)或高網(wǎng)速地方可以全屏操作對方的鼠標(biāo)和鍵盤。遠(yuǎn)程任務(wù)管理 可以直觀地瀏覽遠(yuǎn)程的窗口��,殺掉對方窗體中的控件��?!皬V外女生”有一個其他木馬不具備的功能,就是它的服務(wù)器端程序被執(zhí)行后�,自動檢查進程中是否含有金山毒霸、防火墻��、瑞星��、實時監(jiān)控、天網(wǎng)����、kill、lockdown等字樣�,如果發(fā)現(xiàn)就會終止該進程,也就是說廣外女生木馬可以使防火墻完全失去作用�����。廣外女生使用6267端口號�����?!皬V外女生廣外女生”木馬的清除木馬的清除1、啟動電腦進入�����、啟動電腦進入DOS模式���,進入模式�����,進入c:windowssystem32目錄����,刪除其中目錄,刪除其中的的Diagcfg.e
12�、xe文件。文件��。2���、進入���、進入c:windows目錄,將目錄��,將regedit.exe改名成為改名成為3�����、重啟電腦進入���、重啟電腦進入windows模式,打開注冊表編輯器����,展開模式���,打開注冊表編輯器,展開HKEY_CLASSES_ROOTexefileshellopencommand��,將默認(rèn)值改����,將默認(rèn)值改為為1.4、將���、將HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中的中的Diagnostic Configuration項刪除��。項刪除�����。5�����、進入�����、進入c:windows目錄����,將目錄���,將改名為改名為reged
13�����、it.exe?��!昂诙春诙?001”木馬的清除木馬的清除黑洞2001可以中止被控端的防火墻�����,當(dāng)黑洞2001在受控端機上運行后�,會在c:windowssystem下生成兩個文件:S_Server.exe和Windows.exe�����。黑洞2001使用的端口號為2001�。1、打開注冊表編輯器�,展開、打開注冊表編輯器��,展開HKEY_CLASSES_ROOTexefileshellopencommand和和HKEY_LOCAL_MACHINESoftwareClassestxtfileshellopencommand鍵�����,將其中默認(rèn)值由鍵�����,將其中默認(rèn)值由S_Sever.exe%1改為改為c:WindowsNOT
14�、EPAD.EXE%1。2����、將、將HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices分支下的串值分支下的串值Windows刪除��。刪除���。3�����、重啟電腦進入����、重啟電腦進入DOS,刪除�,刪除c:windowssystem32目錄下的文件目錄下的文件S_Sever.exe和和Windows.exe.木馬清除軟件簡介木馬清除軟件簡介1、木馬終結(jié)者�����、木馬終結(jié)者2�、木馬克星、木馬克星IParmor3���、The Cleaner4��、奇虎�����、奇虎360安全衛(wèi)士安全衛(wèi)士5�����、超級巡警�����、超級巡警6�、超級兔子�、超級兔子習(xí)題習(xí)題填空題填空題1、特洛
15���、伊木馬程序表面上執(zhí)行正常的操作�,但實際上隱藏著一些可以控制用戶電腦系統(tǒng)�����、危害系統(tǒng)安全的破壞性指令���。2�、木馬具有很強的隱蔽性����,還有很強的潛伏性和再生性。3�����、“廣外女生”木馬有一個其他大多數(shù)木馬不具備的功能,就是在它的服務(wù)端程序被執(zhí)行后�����,自動檢查進程中是否含有金山毒霸����、防火墻、瑞星�、實時監(jiān)控、天網(wǎng)��、kill�����、lockdown等字樣�,如果發(fā)現(xiàn)就會終止該進程,也就是說廣外女生木馬可以使防火墻完全失去作用�����。4�����、黑洞2001木馬是國產(chǎn)木馬,也可以終止被控端的防火墻����,它也使用默認(rèn)的連接端口,端口號為2001 5����、特洛依木馬雖然不像電腦病毒那樣會到處傳染���,但其危害性是非常大的��,其原因是:難以發(fā)現(xiàn)��、通常以二進制
16�、形式潛伏�,無法直觀顯示、可作用于許多機器���。6����、幾種常見的木馬入侵方法有:捆綁�����、冒名、偽裝成文件�����。習(xí)題習(xí)題選擇題選擇題1���、在命令提示符下輸入_后按回車鍵��,可以查看當(dāng)前與本機建立的所有連接�。A.Netneo B.netstat C.Ping D.NetAno2���、_只借助電子郵件及新聞組的傳送而在網(wǎng)上遨游����,但并不感染任何被攻擊者硬盤中的其他文件�����,也沒有其他侵害作用�����。A.Happy 99木馬 B.Back Orifice 2000木馬 C.黑洞2001 D.廣外女生3、下面防范木馬的方法中哪個是錯的:_A.使用病毒防火墻或木馬監(jiān)控程序并及時升級B.不要隨便從一些網(wǎng)站上下載軟件�,最好到信譽好、比較大的網(wǎng)
17�����、站上去下載�,并在安裝前先用殺病毒軟件進行檢查C.經(jīng)常檢查系統(tǒng)文件、注冊表及端口信息D.最好將Windows隱藏文件后綴名的設(shè)置改為隱藏所有文件的擴展名習(xí)題習(xí)題填空題填空題1���、木馬一般有兩個執(zhí)行文件:客戶端程序和服務(wù)器端程序。2��、木馬的檢測有動態(tài)檢測和靜態(tài)檢測兩種方式����。3、Happy 99 是通過發(fā)送電子郵件與張貼文章將自身發(fā)送到新聞組���,讓使用者無意中成為該木馬的傳播者����。4����、“冰河”是國外最著名的木馬�����,它主要用于遠(yuǎn)程監(jiān)控����,其功能是可以自動跟蹤目標(biāo)機器的屏幕變化���,記錄各種口令信息����,或者限制目標(biāo)機器系統(tǒng)功能��、遠(yuǎn)程文件和注冊表操作等����。5、電子郵件的附件是木馬程序傳播的主要途徑�,所以不要輕信、打開來歷不明的電子郵件附件��。6、在資源管理器中刪除c:windowssystem32中的Umgr32.exe文件即可將Back Orifice 2000木馬刪除��。
特洛伊木馬概述
