《特洛伊木馬概述》PPT課件.ppt

《《特洛伊木馬概述》PPT課件.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《《特洛伊木馬概述》PPT課件.ppt（17頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

特洛伊木馬概述,木馬概述,木馬全稱為特洛伊木馬，它是一種表面上做一件事情，而實(shí)際上是在不為人知的情況下，做一些用戶所不希望的事情的軟件。,木馬的特性,隱蔽性,一般的木馬會(huì)以捆綁方式裝到目標(biāo)電腦上，而捆綁方式、捆綁位置、捆綁程序等則可以由黑客自己確定，既可以捆綁到啟動(dòng)程序上，也可以捆綁到一般常用程序上，位置的多變使得木馬具有很強(qiáng)的隱蔽性。,潛伏性,木馬程序一般不會(huì)在已經(jīng)被感染的電腦上作什么破壞的操作，而是盡量地將自己隱藏起來，不讓用戶覺察到木馬的存在，從而得以偷偷地做一些用戶不希望的事情。,再生性,木馬被發(fā)現(xiàn)后，表面上是被刪除了，但后備的木馬會(huì)在一定的條件下重新生成被刪除的文件。,木馬的基本原理,兩個(gè)執(zhí)行文件：客戶端程序服務(wù)器端程序,客戶端程序是安裝在攻擊者（黑客）方的控制臺(tái)，它負(fù)責(zé)遠(yuǎn)程遙控指揮。,服務(wù)器端程序即是木馬程序，它被隱藏安裝在被攻擊（受害）方的電腦上。,木馬攻擊的第一步：把木馬服務(wù)程序植入攻擊對(duì)象,攻擊者需要通過木馬對(duì)他人電腦系統(tǒng)進(jìn)行攻擊，第一步就是把木馬的服務(wù)程序植入到被攻擊的電腦里面。如果電腦沒有聯(lián)網(wǎng)，那么是不會(huì)受到木馬的侵?jǐn)_的，因?yàn)槟抉R程序不會(huì)主動(dòng)攻擊和傳染到這樣的電腦中。,木馬攻擊的第二步：把主機(jī)信息發(fā)送給攻擊者,在一般情況下，木馬被植入被攻擊的主機(jī)后，會(huì)通過一定的方式把主機(jī)的信息，如IP地址、軟件的端口、主機(jī)的密碼等，發(fā)送給攻擊者。,木馬的啟動(dòng)1、在Win.ini中啟動(dòng)2、在System.ini中啟動(dòng)3、通過啟動(dòng)組實(shí)現(xiàn)啟動(dòng)4、修改文件關(guān)聯(lián)5、捆綁文件6、反彈技術(shù),木馬的種類1、破壞型2、密碼發(fā)送型3、遠(yuǎn)程訪問型4、鍵盤記錄型5、DoS攻擊型6、代理型7、FTP木馬8、程序殺手型,木馬的入侵,現(xiàn)在木馬主要是使用欺騙的方法通過電子郵件發(fā)送、文件下載把木馬執(zhí)行文件植入被攻擊者的電腦系統(tǒng)的。入侵的方式可以是：,1、發(fā)送給被攻擊方一封帶附件的電子郵件,2、捆綁到一些網(wǎng)站提供下載的軟件中,3、通過Script、Active和ASP、CGI交互腳本植入,4、利用瀏覽器或系統(tǒng)中的漏洞植入,木馬入侵的方法：捆綁、冒名、偽裝成文件,將一個(gè)木馬和一個(gè)損壞的zip（或rar）文件捆綁在一起，然后將捆綁后的文件擴(kuò)展名設(shè)置為zip，這樣該文件圖標(biāo)就是zip圖標(biāo)了，打開這個(gè)文件時(shí)看到的現(xiàn)象跟打開損壞的zip文件一樣，但此時(shí)木馬已經(jīng)得以運(yùn)行了。,冒名可以是QQ冒名和郵件冒名。QQ冒名則必須選盜得一個(gè)QQ號(hào)，然后使用這個(gè)號(hào)碼給好友發(fā)送木馬程序。如果是郵件冒名，則是用匿名郵件向別人發(fā)木馬附件。,偽裝成文件是利用很多人都有連續(xù)點(diǎn)擊文件夾的習(xí)慣，把木馬文件偽裝成文件夾圖標(biāo)。,木馬的防范,1、使用病毒防火墻或木馬監(jiān)控程序并及時(shí)升級(jí),2、不要輕易打開來歷不明的電子郵件附件,3、及時(shí)升級(jí)瀏覽器軟件、電子郵件軟件,4、到大型的網(wǎng)站上下載軟件，下載后先進(jìn)行殺毒,5、顯示所有文件的擴(kuò)展名,Happy99木馬的清除,Happy99是通過發(fā)送電子郵件與張貼文章將自身發(fā)送到新聞組，讓使用者無意中成為該木馬的傳播者。當(dāng)收件人執(zhí)行含有Happy99.exe的文件時(shí)，會(huì)看到有美麗的焰火表演的畫面，同時(shí)Happy99在后臺(tái)更改用戶操作系統(tǒng)的數(shù)據(jù)。此時(shí)Happy99已在設(shè)定追蹤電子郵件及新聞組活動(dòng)的運(yùn)作，經(jīng)修改后，它不會(huì)直接造成用戶文件的數(shù)據(jù)破壞，但當(dāng)用戶發(fā)送電子郵件或到新聞?dòng)懻搮^(qū)張貼文章時(shí)，它便會(huì)自動(dòng)附上Happy99.exe文件。如此一傳十、十傳百地達(dá)到大量入侵的目的。,清除步驟：,1、資源管理器中的Windows\System32目錄下檢查有沒有ska.exe、ska.dll和wsock32.ska這3個(gè)文件。,2、先刪除ska.exe和ska.dll兩個(gè)文件，然后將wsock32.ska更名為wsock32.dll，然后刪除之。,3、重啟電腦。,BackOrifice木馬的清除,BackOrifice是功能最全的TCP/IP架構(gòu)的木馬工具，它可以搜索被攻擊者的信息、執(zhí)行系統(tǒng)命令、修改客戶端的電腦注冊(cè)表、重新設(shè)置機(jī)器、重新定向網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序等。黑客利用該木馬成為被攻擊機(jī)器的超級(jí)用戶，幾乎電腦的所有操作都可由BackOrifice遠(yuǎn)程控制。,清除步驟：,1、打開注冊(cè)表編輯器，展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices，若此鍵中存在Umgr32.exe鍵值，則將其刪除。,2、在資源管理器中刪除c:\windows\System中的Umgr32.exe文件。,冰河木馬的清除,”冰河“是國內(nèi)最著名的木馬，它主要用于遠(yuǎn)程監(jiān)控，其功能是可以自動(dòng)跟蹤目標(biāo)機(jī)器的屏幕變化，記錄各種口令信息，獲得限制目標(biāo)機(jī)器系統(tǒng)的功能、遠(yuǎn)程文件和注冊(cè)表操作等。,清除步驟：,1、打開注冊(cè)表編輯器，展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\RunServices，若其中存在kerne132.exe鍵值，則將其刪除。,2、打開資源管理器，執(zhí)行“工具”?“文件夾選項(xiàng)”，選擇“文件類型”選項(xiàng)卡，在已注冊(cè)的文件類型列表中找到“TXT文本文檔”，從“詳細(xì)信息”中查看其“打開方式”有無變化（一般為記事本文件）。如果不是，則單擊“高級(jí)”，刪除“操作”列表中的open選項(xiàng)。,3、重啟電腦進(jìn)入DOS，刪除c:\windows\system32下的kerne132.exe和sysxplr.exe文件。,“廣外女生”木馬的清除,”廣外女生“是廣東外語外貿(mào)大學(xué)“廣外女生”網(wǎng)絡(luò)小組的作品，它的破壞性很大，基本功能有：,文件上傳功能——可以上傳、下載、刪除、改名、設(shè)置屬性，建立文件夾和運(yùn)行指定文件等。,注冊(cè)表操作功能——全面模擬Windows的注冊(cè)表編輯器，讓遠(yuǎn)程注冊(cè)表編輯有如在本地操作一樣。,屏幕控制功能——可以自定義圖片的質(zhì)量來減少傳輸?shù)臅r(shí)間，在局域網(wǎng)或高網(wǎng)速地方可以全屏操作對(duì)方的鼠標(biāo)和鍵盤。,遠(yuǎn)程任務(wù)管理——可以直觀地瀏覽遠(yuǎn)程的窗口，殺掉對(duì)方窗體中的控件。,“廣外女生”有一個(gè)其他木馬不具備的功能，就是它的服務(wù)器端程序被執(zhí)行后，自動(dòng)檢查進(jìn)程中是否含有金山毒霸、防火墻、瑞星、實(shí)時(shí)監(jiān)控、天網(wǎng)、kill、lockdown等字樣，如果發(fā)現(xiàn)就會(huì)終止該進(jìn)程，也就是說廣外女生木馬可以使防火墻完全失去作用。廣外女生使用6267端口號(hào)。,“廣外女生”木馬的清除,1、啟動(dòng)電腦進(jìn)入DOS模式，進(jìn)入c:\windows\system32目錄，刪除其中的Diagcfg.exe文件。,2、進(jìn)入c:\windows目錄，將regedit.exe改名成為,3、重啟電腦進(jìn)入windows模式，打開注冊(cè)表編輯器，展開HKEY_CLASSES_ROOT\exefile\shell\open\command，將默認(rèn)值改為1.,4、將HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中的DiagnosticConfiguration項(xiàng)刪除。,5、進(jìn)入c:\windows目錄，將改名為regedit.exe。,“黑洞2001”木馬的清除,黑洞2001可以中止被控端的防火墻，當(dāng)黑洞2001在受控端機(jī)上運(yùn)行后，會(huì)在c:\windows\system下生成兩個(gè)文件：S_Server.exe和Windows.exe。黑洞2001使用的端口號(hào)為2001。,1、打開注冊(cè)表編輯器，展開HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command鍵，將其中默認(rèn)值由S_Sever.exe%1改為c:\Windows\NOTEPAD.EXE%1。,2、將HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices分支下的串值Windows刪除。,3、重啟電腦進(jìn)入DOS，刪除c:\windows\system32目錄下的文件S_Sever.exe和Windows.exe.,木馬清除軟件簡介,1、木馬終結(jié)者,2、木馬克星IParmor,3、TheCleaner,4、奇虎360安全衛(wèi)士,5、超級(jí)巡警,6、超級(jí)兔子,習(xí)題,填空題,1、特洛伊木馬程序表面上執(zhí)行正常的操作，但實(shí)際上隱藏著一些可以控制用戶電腦系統(tǒng)、危害系統(tǒng)安全的破壞性指令。,2、木馬具有很強(qiáng)的隱蔽性，還有很強(qiáng)的潛伏性和再生性。,3、“廣外女生”木馬有一個(gè)其他大多數(shù)木馬不具備的功能，就是在它的服務(wù)端程序被執(zhí)行后，自動(dòng)檢查進(jìn)程中是否含有金山毒霸、防火墻、瑞星、實(shí)時(shí)監(jiān)控、天網(wǎng)、kill、lockdown等字樣，如果發(fā)現(xiàn)就會(huì)終止該進(jìn)程，也就是說廣外女生木馬可以使防火墻完全失去作用。,4、黑洞2001木馬是國產(chǎn)木馬，也可以終止被控端的防火墻，它也使用默認(rèn)的連接端口，端口號(hào)為2001,5、特洛依木馬雖然不像電腦病毒那樣會(huì)到處傳染，但其危害性是非常大的，其原因是：難以發(fā)現(xiàn)、通常以二進(jìn)制形式潛伏，無法直觀顯示、可作用于許多機(jī)器。,6、幾種常見的木馬入侵方法有：捆綁、冒名、偽裝成文件。,習(xí)題,選擇題,1、在命令提示符下輸入______后按回車鍵，可以查看當(dāng)前與本機(jī)建立的所有連接。,A.NetneoB.netstatC.PingD.NetAno,2、________只借助電子郵件及新聞組的傳送而在網(wǎng)上遨游，但并不感染任何被攻擊者硬盤中的其他文件，也沒有其他侵害作用。,A.Happy99木馬B.BackOrifice2000木馬C.黑洞2001D.廣外女生,3、下面防范木馬的方法中哪個(gè)是錯(cuò)的：_______,A.使用病毒防火墻或木馬監(jiān)控程序并及時(shí)升級(jí),B.不要隨便從一些網(wǎng)站上下載軟件，最好到信譽(yù)好、比較大的網(wǎng)站上去下載，并在安裝前先用殺病毒軟件進(jìn)行檢查,C.經(jīng)常檢查系統(tǒng)文件、注冊(cè)表及端口信息,D.最好將Windows隱藏文件后綴名的設(shè)置改為隱藏所有文件的擴(kuò)展名,習(xí)題,填空題,1、木馬一般有兩個(gè)執(zhí)行文件：客戶端程序和服務(wù)器端程序。,2、木馬的檢測(cè)有動(dòng)態(tài)檢測(cè)和靜態(tài)檢測(cè)兩種方式。,3、Happy99是通過發(fā)送電子郵件與張貼文章將自身發(fā)送到新聞組，讓使用者無意中成為該木馬的傳播者。,4、“冰河”是國外最著名的木馬，它主要用于遠(yuǎn)程監(jiān)控，其功能是可以自動(dòng)跟蹤目標(biāo)機(jī)器的屏幕變化，記錄各種口令信息，或者限制目標(biāo)機(jī)器系統(tǒng)功能、遠(yuǎn)程文件和注冊(cè)表操作等。,5、電子郵件的附件是木馬程序傳播的主要途徑，所以不要輕信、打開來歷不明的電子郵件附件。,6、在資源管理器中刪除c:\windows\system32中的Umgr32.exe文件即可將BackOrifice2000木馬刪除。,