190 likes | 297 Vues
特洛伊木马概述. 木马概述. 木马全称为特洛伊木马,它是一种表面上做一件事情,而实际上是在不为人知的情况下,做一些用户所不希望的事情的软件。. 木马的特性. 隐蔽性. 一般的木马会以捆绑方式装到目标电脑上,而捆绑方式、捆绑位置、捆绑程序等则可以由黑客自己确定,既可以捆绑到启动程序上,也可以捆绑到一般常用程序上,位置的多变使得木马具有很强的隐蔽性。. 潜伏性. 木马程序一般不会在已经被感染的电脑上作什么破坏的操作,而是尽量地将自己隐藏起来,不让用户觉察到木马的存在,从而得以偷偷地做一些用户不希望的事情。. 再生性.
E N D
木马概述 木马全称为特洛伊木马,它是一种表面上做一件事情,而实际上是在不为人知的情况下,做一些用户所不希望的事情的软件。 木马的特性 隐蔽性 一般的木马会以捆绑方式装到目标电脑上,而捆绑方式、捆绑位置、捆绑程序等则可以由黑客自己确定,既可以捆绑到启动程序上,也可以捆绑到一般常用程序上,位置的多变使得木马具有很强的隐蔽性。 潜伏性 木马程序一般不会在已经被感染的电脑上作什么破坏的操作,而是尽量地将自己隐藏起来,不让用户觉察到木马的存在,从而得以偷偷地做一些用户不希望的事情。 再生性 木马被发现后,表面上是被删除了,但后备的木马会在一定的条件下重新生成被删除的文件。
木马的基本原理 两个执行文件:客户端程序 服务器端程序 客户端程序是安装在攻击者(黑客)方的控制台,它负责远程遥控指挥。 服务器端程序即是木马程序,它被隐藏安装在被攻击(受害)方的电脑上。 木马攻击的第一步:把木马服务程序植入攻击对象 攻击者需要通过木马对他人电脑系统进行攻击,第一步就是把木马的服务程序植入到被攻击的电脑里面。如果电脑没有联网,那么是不会受到木马的侵扰的,因为木马程序不会主动攻击和传染到这样的电脑中。 木马攻击的第二步:把主机信息发送给攻击者 在一般情况下,木马被植入被攻击的主机后,会通过一定的方式把主机的信息,如IP地址、软件的端口、主机的密码等,发送给攻击者。
木马的启动 1、在Win.ini中启动 2、在System.ini中启动 3、通过启动组实现启动 4、修改文件关联 5、捆绑文件 6、反弹技术
木马的种类 1、破坏型 2、密码发送型 3、远程访问型 4、键盘记录型 5、DoS攻击型 6、代理型 7、FTP木马 8、程序杀手型
木马的入侵 现在木马主要是使用欺骗的方法通过电子邮件发送、文件下载把木马执行文件植入被攻击者的电脑系统的。入侵的方式可以是: 1、发送给被攻击方一封带附件的电子邮件 2、捆绑到一些网站提供下载的软件中 3、通过Script、Active和ASP、CGI交互脚本植入 4、利用浏览器或系统中的漏洞植入 木马入侵的方法:捆绑、冒名、伪装成文件 将一个木马和一个损坏的zip(或rar)文件捆绑在一起,然后将捆绑后的文件扩展名设置为zip,这样该文件图标就是zip图标了,打开这个文件时看到的现象跟打开损坏的zip文件一样,但此时木马已经得以运行了。 冒名可以是QQ冒名和邮件冒名。QQ冒名则必须选盗得一个QQ号,然后使用这个号码给好友发送木马程序。如果是邮件冒名,则是用匿名邮件向别人发木马附件。 伪装成文件是利用很多人都有连续点击文件夹的习惯,把木马文件伪装成文件夹图标。
木马的防范 1、使用病毒防火墙或木马监控程序并及时升级 2、不要轻易打开来历不明的电子邮件附件 3、及时升级浏览器软件、电子邮件软件 4、到大型的网站上下载软件,下载后先进行杀毒 5、显示所有文件的扩展名
Happy 99木马的清除 Happy 99是通过发送电子邮件与张贴文章将自身发送到新闻组,让使用者无意中成为该木马的传播者。当收件人执行含有Happy 99.exe的文件时,会看到有美丽的焰火表演的画面,同时Happy 99在后台更改用户操作系统的数据。此时Happy 99已在设定追踪电子邮件及新闻组活动的运作,经修改后,它不会直接造成用户文件的数据破坏,但当用户发送电子邮件或到新闻讨论区张贴文章时,它便会自动附上Happy 99.exe文件。如此一传十、十传百地达到大量入侵的目的。 清除步骤: 1、资源管理器中的Windows\System32目录下检查有没有ska.exe、ska.dll和wsock32.ska这3个文件。 2、先删除ska.exe和ska.dll两个文件,然后将wsock32.ska更名为wsock32.dll,然后删除之。 3、重启电脑。
Back Orifice木马的清除 Back Orifice 是功能最全的TCP/IP架构的木马工具,它可以搜索被攻击者的信息、执行系统命令、修改客户端的电脑注册表、重新设置机器、重新定向网络的客户端/服务器应用程序等。黑客利用该木马成为被攻击机器的超级用户,几乎电脑的所有操作都可由Back Orifice远程控制。 清除步骤: 1、打开注册表编辑器,展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices,若此键中存在Umgr32.exe键值,则将其删除。 2、在资源管理器中删除c:\windows\System中的Umgr32.exe文件。
冰河木马的清除 ”冰河“是国内最著名的木马,它主要用于远程监控,其功能是可以自动跟踪目标机器的屏幕变化,记录各种口令信息,获得限制目标机器系统的功能、远程文件和注册表操作等。 清除步骤: 1、打开注册表编辑器,展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\RunServices,若其中存在kerne132.exe键值,则将其删除。 2、打开资源管理器,执行“工具”“文件夹选项”,选择“文件类型”选项卡,在已注册的文件类型列表中找到“TXT文本文档”,从“详细信息”中查看其“打开方式”有无变化(一般为记事本文件)。如果不是,则单击“高级”,删除“操作”列表中的open选项。 3、重启电脑进入DOS,删除c:\windows\system32下的kerne132.exe和sysxplr.exe文件。
“广外女生”木马的清除 ”广外女生“是广东外语外贸大学“广外女生”网络小组的作品,它的破坏性很大,基本功能有: 文件上传功能 ——可以上传、下载、删除、改名、设置属性,建立文件夹和运行指定文件等。 注册表操作功能——全面模拟Windows的注册表编辑器,让远程注册表编辑有如在本地操作一样。 屏幕控制功能 ——可以自定义图片的质量来减少传输的时间,在局域网或高网速地方可以全屏操作对方的鼠标和键盘。 远程任务管理 ——可以直观地浏览远程的窗口,杀掉对方窗体中的控件。 “广外女生”有一个其他木马不具备的功能,就是它的服务器端程序被执行后,自动检查进程中是否含有金山毒霸、防火墙、瑞星、实时监控、天网、kill、lockdown等字样,如果发现就会终止该进程,也就是说广外女生木马可以使防火墙完全失去作用。广外女生使用6267端口号。
“广外女生”木马的清除 1、启动电脑进入DOS模式,进入c:\windows\system32目录,删除其中的Diagcfg.exe文件。 2、进入c:\windows目录,将regedit.exe改名成为regedit.com 3、重启电脑进入windows模式,打开注册表编辑器,展开HKEY_CLASSES_ROOT\exefile\shell\open\command,将默认值改为1. 4、将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中的Diagnostic Configuration项删除。 5、进入c:\windows目录,将regedit.com改名为regedit.exe。
“黑洞2001”木马的清除 黑洞2001可以中止被控端的防火墙,当黑洞2001在受控端机上运行后,会在c:\windows\system下生成两个文件:S_Server.exe和Windows.exe。黑洞2001使用的端口号为2001。 1、打开注册表编辑器,展开HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command键,将其中默认值由S_Sever.exe%1改为c:\Windows\NOTEPAD.EXE%1。 2、将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices分支下的串值Windows删除。 3、重启电脑进入DOS,删除c:\windows\system32目录下的文件S_Sever.exe和Windows.exe.
木马清除软件简介 1、木马终结者 2、木马克星IParmor 3、The Cleaner 4、奇虎360安全卫士 5、超级巡警 6、超级兔子
习题 填空题 1、特洛伊木马程序表面上执行正常的操作,但实际上隐藏着一些可以控制用户电脑系统、危害系统安全的破坏性指令。 2、木马具有很强的隐蔽性,还有很强的潜伏性和再生性。 3、“广外女生”木马有一个其他大多数木马不具备的功能,就是在它的服务端程序被执行后,自动检查进程中是否含有金山毒霸、防火墙、瑞星、实时监控、天网、kill、lockdown等字样,如果发现就会终止该进程,也就是说广外女生木马可以使防火墙完全失去作用。 4、黑洞2001木马是国产木马,也可以终止被控端的防火墙,它也使用默认的连接端口,端口号为2001 5、特洛依木马虽然不像电脑病毒那样会到处传染,但其危害性是非常大的,其原因是:难以发现、通常以二进制形式潜伏,无法直观显示、可作用于许多机器。 6、几种常见的木马入侵方法有:捆绑、冒名、伪装成文件。
习题 选择题 1、在命令提示符下输入______后按回车键,可以查看当前与本机建立的所有连接。 A. Netneo B.netstat C. Ping D. NetAno 2、________只借助电子邮件及新闻组的传送而在网上遨游,但并不感染任何被攻击者硬盘中的其他文件,也没有其他侵害作用。 A. Happy 99木马 B.Back Orifice 2000木马 C.黑洞2001 D. 广外女生 3、下面防范木马的方法中哪个是错的:_______ A. 使用病毒防火墙或木马监控程序并及时升级 B. 不要随便从一些网站上下载软件,最好到信誉好、比较大的网站上去下载,并在安装前先用杀病毒软件进行检查 C. 经常检查系统文件、注册表及端口信息 D. 最好将Windows隐藏文件后缀名的设置改为隐藏所有文件的扩展名
习题 填空题 1、木马一般有两个执行文件:客户端程序和服务器端程序。 2、木马的检测有动态检测和静态检测两种方式。 3、Happy 99 是通过发送电子邮件与张贴文章将自身发送到新闻组,让使用者无意中成为该木马的传播者。 4、“冰河”是国外最著名的木马,它主要用于远程监控,其功能是可以自动跟踪目标机器的屏幕变化,记录各种口令信息,或者限制目标机器系统功能、远程文件和注册表操作等。 5、电子邮件的附件是木马程序传播的主要途径,所以不要轻信、打开来历不明的电子邮件附件。 6、在资源管理器中删除c:\windows\system32中的Umgr32.exe文件即可将Back Orifice 2000木马删除。