[网络安全与病毒防范]第十二章特洛伊木马及其防治课件.pptVIP

特洛伊木马及其防治 特洛伊木马病毒基础 特洛伊木马原理 2 特洛伊木马病毒的防御 3 * 第*页 1 特洛伊木马病毒基础 特洛伊木马病毒的危害性 1．什么是特洛伊木马病毒 “特洛伊木马”（trojan horse）简称“木马”，据说这个名称来源于希腊神话《木马屠城记》。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。 完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。 * 第*页 特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。 控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。他由黑客通过种种途径植入并驻留在目标计算机里。 * 第*页 木马可以随计算机自动启动并在某一端口进行侦听，在对目标计算机的的数据、资料、动作进行识别后，就对其执行特定的操作，并接受“黑客”指令将有关数据发送到“黑客大本营”。 这只是木马的搜集信息阶段，黑客同时可以利用木马对计算 机进行进一步的攻击！这时的目标计算机就是大家常听到的“肉鸡”了！ * 第*页 2．特洛伊木马病毒的危害性 特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序。 除此以外，木马还有其自身的特点： ? 窃取内容； ? 远程控制。 * 第*页 特洛伊木马病毒的分析 江民杀毒软件2010年10月病毒种类统计饼形图 * 第*页 江民杀毒软件2009年病毒种类统计饼形图 * 第*页 常见的特洛伊木马，例如Back Orifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。 由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到100 KB至300 KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。 * 第*页 对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10 KB到30 KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。 * 第*页 Back Orifice是一个远程访问特洛依木马的病毒，该程序使黑客可以经TCP/IP网络进入并控制windows系统并任意访问系统任何资源，通过调用cmd.exe系统命令实现自身的功能，其破坏力极大。 * 第*页 SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。 SubSeven还具有其他功能：攻击者可以远程交换鼠标按键，关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机 * 第*页 冰河在国内一直是不可动摇的领军木马，虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河及其变种创造了最多人使用、最多人中弹的奇迹！ 该软件主要用于远程监控，自动跟踪目标机屏幕变化等。冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。 * 第*页 检测和清除特洛伊木马 1．检测和消除 由于木马会被绑定程序和攻击者加密，因此对于常规的反病毒软件来说，查找木马要比查找蠕虫和病毒困难得多。另一方面，特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此，检测和清除特洛伊木马是系统管理员的首要任务。 * 第*页 要反击恶意代码，最佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马，并尽可能地使清理过程自动化。 特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口，一旦发现有木马入侵的证据，应当尽快切断该机器的网络连接，减少攻击者探测和进一步攻击的机会。 * 第*页 打开任务管理器，关闭所有连接到Internet的程序，例如Email程序、IM程序等，从系统托盘上关闭