特洛伊木马-网络与信息化中心.pdfVIP

特洛伊木马 高山：gshan at 2011年3 月 基本内容  木马的起源  木马的定义  木马的结构  木马的发展  木马的功能  典型木马分析 基本内容  木马对抗  了解木马的基本概念  学习对抗木马的方法  发现  追踪  卸载 基本事实  木马后门程序已经成为攻击主流之一  Web挂马已经成为当今的主要攻击方式  要求协查的案件当中有大量与木马相关  几乎80% 的入侵事件都与木马后门有关 木马是什么  特洛伊木马的典故 木马定义  “木马”全称是“特洛伊木马(Trojan Horse)”，原指古希腊士兵藏在木马内进入 敌方城市从而占领敌方城市的故事。在 Internet上，“特洛伊木马”指一些程序设 计人员在其可从网络上下载(Download)的 应用程序或游戏中，包含了可以控制用户 的计算机系统的程序，可能造成用户的系 统被破坏甚至瘫痪。 特洛伊木马软件 特洛伊木马是一种非授权远程控制工具，它隐蔽 的运行在受害者的计算机中，并且可以让安装木 马的入侵者远程控制目标机器，窃取信息 定义分解  1、非授权植入目标机器（非正常安装）  2、隐蔽性（很难被发现）  3、实现一定功能（数据窃取或者远程控制）  4、有一定潜伏性（重启后仍然存在）  5、通过网络进行控制 木马与远程控制软件比较 木马 远程控制软件 相同点 能够传送数据 能够传送数据 能够远程控制 能够远程控制 能够自动启动 能够自动启动 不同点 非授权安装 授权安装 有隐蔽性 公开运行 没有公开的卸载途径 容易卸载 木马与后门 木马 后门 针对终端机 针对服务器 一般提供图形界面 多为命令行界面 多数在windows 平台下 多运行于unix 、linux 下 独立程序 可能是逻辑分支 木马的结构组成  控制模块  实现人机图形界面，完成主要功能  植入模块  利用漏洞或疏漏，完成服务端植入  通讯模块  服务端与控制端数据、命令传输  启动模块  确保木马服务端能被正常启动  功能模块  实现木马各主要功能的核心模块  隐藏模块  对木马的文件与通信进行隐藏保护 谁是控制端？ 木马的工作流程 木马如何进入系统