《特洛伊木馬概述》PPT課件.ppt

《《特洛伊木馬概述》PPT課件.ppt》由會員分享，可在線閱讀，更多相關《《特洛伊木馬概述》PPT課件.ppt（17頁珍藏版）》請在裝配圖網(wǎng)上搜索。

特洛伊木馬概述,木馬概述,木馬全稱為特洛伊木馬，它是一種表面上做一件事情，而實際上是在不為人知的情況下，做一些用戶所不希望的事情的軟件。,木馬的特性,隱蔽性,一般的木馬會以捆綁方式裝到目標電腦上，而捆綁方式、捆綁位置、捆綁程序等則可以由黑客自己確定，既可以捆綁到啟動程序上，也可以捆綁到一般常用程序上，位置的多變使得木馬具有很強的隱蔽性。,潛伏性,木馬程序一般不會在已經(jīng)被感染的電腦上作什么破壞的操作，而是盡量地將自己隱藏起來，不讓用戶覺察到木馬的存在，從而得以偷偷地做一些用戶不希望的事情。,再生性,木馬被發(fā)現(xiàn)后，表面上是被刪除了，但后備的木馬會在一定的條件下重新生成被刪除的文件。,木馬的基本原理,兩個執(zhí)行文件：客戶端程序服務器端程序,客戶端程序是安裝在攻擊者（黑客）方的控制臺，它負責遠程遙控指揮。,服務器端程序即是木馬程序，它被隱藏安裝在被攻擊（受害）方的電腦上。,木馬攻擊的第一步：把木馬服務程序植入攻擊對象,攻擊者需要通過木馬對他人電腦系統(tǒng)進行攻擊，第一步就是把木馬的服務程序植入到被攻擊的電腦里面。如果電腦沒有聯(lián)網(wǎng)，那么是不會受到木馬的侵擾的，因為木馬程序不會主動攻擊和傳染到這樣的電腦中。,木馬攻擊的第二步：把主機信息發(fā)送給攻擊者,在一般情況下，木馬被植入被攻擊的主機后，會通過一定的方式把主機的信息，如IP地址、軟件的端口、主機的密碼等，發(fā)送給攻擊者。,木馬的啟動1、在Win.ini中啟動2、在System.ini中啟動3、通過啟動組實現(xiàn)啟動4、修改文件關聯(lián)5、捆綁文件6、反彈技術,木馬的種類1、破壞型2、密碼發(fā)送型3、遠程訪問型4、鍵盤記錄型5、DoS攻擊型6、代理型7、FTP木馬8、程序殺手型,木馬的入侵,現(xiàn)在木馬主要是使用欺騙的方法通過電子郵件發(fā)送、文件下載把木馬執(zhí)行文件植入被攻擊者的電腦系統(tǒng)的。入侵的方式可以是：,1、發(fā)送給被攻擊方一封帶附件的電子郵件,2、捆綁到一些網(wǎng)站提供下載的軟件中,3、通過Script、Active和ASP、CGI交互腳本植入,4、利用瀏覽器或系統(tǒng)中的漏洞植入,木馬入侵的方法：捆綁、冒名、偽裝成文件,將一個木馬和一個損壞的zip（或rar）文件捆綁在一起，然后將捆綁后的文件擴展名設置為zip，這樣該文件圖標就是zip圖標了，打開這個文件時看到的現(xiàn)象跟打開損壞的zip文件一樣，但此時木馬已經(jīng)得以運行了。,冒名可以是QQ冒名和郵件冒名。QQ冒名則必須選盜得一個QQ號，然后使用這個號碼給好友發(fā)送木馬程序。如果是郵件冒名，則是用匿名郵件向別人發(fā)木馬附件。,偽裝成文件是利用很多人都有連續(xù)點擊文件夾的習慣，把木馬文件偽裝成文件夾圖標。,木馬的防范,1、使用病毒防火墻或木馬監(jiān)控程序并及時升級,2、不要輕易打開來歷不明的電子郵件附件,3、及時升級瀏覽器軟件、電子郵件軟件,4、到大型的網(wǎng)站上下載軟件，下載后先進行殺毒,5、顯示所有文件的擴展名,Happy99木馬的清除,Happy99是通過發(fā)送電子郵件與張貼文章將自身發(fā)送到新聞組，讓使用者無意中成為該木馬的傳播者。當收件人執(zhí)行含有Happy99.exe的文件時，會看到有美麗的焰火表演的畫面，同時Happy99在后臺更改用戶操作系統(tǒng)的數(shù)據(jù)。此時Happy99已在設定追蹤電子郵件及新聞組活動的運作，經(jīng)修改后，它不會直接造成用戶文件的數(shù)據(jù)破壞，但當用戶發(fā)送電子郵件或到新聞討論區(qū)張貼文章時，它便會自動附上Happy99.exe文件。如此一傳十、十傳百地達到大量入侵的目的。,清除步驟：,1、資源管理器中的Windows\System32目錄下檢查有沒有ska.exe、ska.dll和wsock32.ska這3個文件。,2、先刪除ska.exe和ska.dll兩個文件，然后將wsock32.ska更名為wsock32.dll，然后刪除之。,3、重啟電腦。,BackOrifice木馬的清除,BackOrifice是功能最全的TCP/IP架構的木馬工具，它可以搜索被攻擊者的信息、執(zhí)行系統(tǒng)命令、修改客戶端的電腦注冊表、重新設置機器、重新定向網(wǎng)絡的客戶端/服務器應用程序等。黑客利用該木馬成為被攻擊機器的超級用戶，幾乎電腦的所有操作都可由BackOrifice遠程控制。,清除步驟：,1、打開注冊表編輯器，展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices，若此鍵中存在Umgr32.exe鍵值，則將其刪除。,2、在資源管理器中刪除c:\windows\System中的Umgr32.exe文件。,冰河木馬的清除,”冰河“是國內(nèi)最著名的木馬，它主要用于遠程監(jiān)控，其功能是可以自動跟蹤目標機器的屏幕變化，記錄各種口令信息，獲得限制目標機器系統(tǒng)的功能、遠程文件和注冊表操作等。,清除步驟：,1、打開注冊表編輯器，展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\RunServices，若其中存在kerne132.exe鍵值，則將其刪除。,2、打開資源管理器，執(zhí)行“工具”?“文件夾選項”，選擇“文件類型”選項卡，在已注冊的文件類型列表中找到“TXT文本文檔”，從“詳細信息”中查看其“打開方式”有無變化（一般為記事本文件）。如果不是，則單擊“高級”，刪除“操作”列表中的open選項。,3、重啟電腦進入DOS，刪除c:\windows\system32下的kerne132.exe和sysxplr.exe文件。,“廣外女生”木馬的清除,”廣外女生“是廣東外語外貿(mào)大學“廣外女生”網(wǎng)絡小組的作品，它的破壞性很大，基本功能有：,文件上傳功能——可以上傳、下載、刪除、改名、設置屬性，建立文件夾和運行指定文件等。,注冊表操作功能——全面模擬Windows的注冊表編輯器，讓遠程注冊表編輯有如在本地操作一樣。,屏幕控制功能——可以自定義圖片的質量來減少傳輸?shù)臅r間，在局域網(wǎng)或高網(wǎng)速地方可以全屏操作對方的鼠標和鍵盤。,遠程任務管理——可以直觀地瀏覽遠程的窗口，殺掉對方窗體中的控件。,“廣外女生”有一個其他木馬不具備的功能，就是它的服務器端程序被執(zhí)行后，自動檢查進程中是否含有金山毒霸、防火墻、瑞星、實時監(jiān)控、天網(wǎng)、kill、lockdown等字樣，如果發(fā)現(xiàn)就會終止該進程，也就是說廣外女生木馬可以使防火墻完全失去作用。廣外女生使用6267端口號。,“廣外女生”木馬的清除,1、啟動電腦進入DOS模式，進入c:\windows\system32目錄，刪除其中的Diagcfg.exe文件。,2、進入c:\windows目錄，將regedit.exe改名成為,3、重啟電腦進入windows模式，打開注冊表編輯器，展開HKEY_CLASSES_ROOT\exefile\shell\open\command，將默認值改為1.,4、將HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中的DiagnosticConfiguration項刪除。,5、進入c:\windows目錄，將改名為regedit.exe。,“黑洞2001”木馬的清除,黑洞2001可以中止被控端的防火墻，當黑洞2001在受控端機上運行后，會在c:\windows\system下生成兩個文件：S_Server.exe和Windows.exe。黑洞2001使用的端口號為2001。,1、打開注冊表編輯器，展開HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command鍵，將其中默認值由S_Sever.exe%1改為c:\Windows\NOTEPAD.EXE%1。,2、將HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices分支下的串值Windows刪除。,3、重啟電腦進入DOS，刪除c:\windows\system32目錄下的文件S_Sever.exe和Windows.exe.,木馬清除軟件簡介,1、木馬終結者,2、木馬克星IParmor,3、TheCleaner,4、奇虎360安全衛(wèi)士,5、超級巡警,6、超級兔子,習題,填空題,1、特洛伊木馬程序表面上執(zhí)行正常的操作，但實際上隱藏著一些可以控制用戶電腦系統(tǒng)、危害系統(tǒng)安全的破壞性指令。,2、木馬具有很強的隱蔽性，還有很強的潛伏性和再生性。,3、“廣外女生”木馬有一個其他大多數(shù)木馬不具備的功能，就是在它的服務端程序被執(zhí)行后，自動檢查進程中是否含有金山毒霸、防火墻、瑞星、實時監(jiān)控、天網(wǎng)、kill、lockdown等字樣，如果發(fā)現(xiàn)就會終止該進程，也就是說廣外女生木馬可以使防火墻完全失去作用。,4、黑洞2001木馬是國產(chǎn)木馬，也可以終止被控端的防火墻，它也使用默認的連接端口，端口號為2001,5、特洛依木馬雖然不像電腦病毒那樣會到處傳染，但其危害性是非常大的，其原因是：難以發(fā)現(xiàn)、通常以二進制形式潛伏，無法直觀顯示、可作用于許多機器。,6、幾種常見的木馬入侵方法有：捆綁、冒名、偽裝成文件。,習題,選擇題,1、在命令提示符下輸入______后按回車鍵，可以查看當前與本機建立的所有連接。,A.NetneoB.netstatC.PingD.NetAno,2、________只借助電子郵件及新聞組的傳送而在網(wǎng)上遨游，但并不感染任何被攻擊者硬盤中的其他文件，也沒有其他侵害作用。,A.Happy99木馬B.BackOrifice2000木馬C.黑洞2001D.廣外女生,3、下面防范木馬的方法中哪個是錯的：_______,A.使用病毒防火墻或木馬監(jiān)控程序并及時升級,B.不要隨便從一些網(wǎng)站上下載軟件，最好到信譽好、比較大的網(wǎng)站上去下載，并在安裝前先用殺病毒軟件進行檢查,C.經(jīng)常檢查系統(tǒng)文件、注冊表及端口信息,D.最好將Windows隱藏文件后綴名的設置改為隱藏所有文件的擴展名,習題,填空題,1、木馬一般有兩個執(zhí)行文件：客戶端程序和服務器端程序。,2、木馬的檢測有動態(tài)檢測和靜態(tài)檢測兩種方式。,3、Happy99是通過發(fā)送電子郵件與張貼文章將自身發(fā)送到新聞組，讓使用者無意中成為該木馬的傳播者。,4、“冰河”是國外最著名的木馬，它主要用于遠程監(jiān)控，其功能是可以自動跟蹤目標機器的屏幕變化，記錄各種口令信息，或者限制目標機器系統(tǒng)功能、遠程文件和注冊表操作等。,5、電子郵件的附件是木馬程序傳播的主要途徑，所以不要輕信、打開來歷不明的電子郵件附件。,6、在資源管理器中刪除c:\windows\system32中的Umgr32.exe文件即可將BackOrifice2000木馬刪除。,