特洛伊木马的概念.pptVIP

特洛伊木马和拒绝服务攻击 特洛伊木马 在古希腊人同特洛伊人的战争期间，希腊人佯装撤退并留下一只内部藏有战士的巨大木马，特洛伊人大意中计，将木马拖入特洛伊城。夜晚木马中的希腊战士出来与城外的战士里应外合，攻破了特洛伊城，特洛伊木马的名称也就由此而来。在计算机领域里，有一种特殊的程序，黑客通过它来远程控制别人的计算机，我们把这类程序称为特洛伊木马程序(Trojans)。 特洛伊木马的概念 从严格的定义来讲，凡是非法驻留在目标计算机里，在目标计算机系统启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，比如窃取口令等，这类程序都可以称为特洛伊木马程序。 一些特洛依木马程序，一旦成功侵人对方计算机就可以拥有极高的权限，可以完成复制、更改、建立和删除客户机端的任何文件和目录，可以查获启动密码、用户密码、屏保密码，还可以对用户操作键盘进行记录，这意味着你的一举一动都在对方监视下，一切密码和口令对他来说都无任何意义了，对方可随意访问你的计算机系统。 特洛伊木马程序一般分为服务器端（Server）和客户端（Client）。 服务器端是攻击者传到机器上的部分，用来在目标机上监听等待客户端连接过来。 客户端是用来控制目标机器的部分，放在攻击者的机器上。 特洛伊木马程序能巧妙地运行在目标计算机系统里，而不容易被发现。现在有许多这类程序，如早期的 Back orifice、 NetBus和最近出现的 sub7等，国内的此类软件有Netspy、YAI、冰河等。 特洛伊木马程序和远程控制程序、病毒等其他攻击性程序相比既有相似之处，又有其它的特点。特洛伊木马程序具有隐蔽性强、功能特殊等特点。 首先，木马程序更具有隐蔽性。它和远程控制软件是有区别的，木马总是想方设法地隐藏自己，而远程控制软件则是正常地运行。例如国内的血蜘蛛，国外的Pc Anywnere等程序都是远程控制软件。血蜘蛛等服务器端程序在目标机器上运行时都会出现很醒目的标志。而木马类软件的服务器端在运行时会应用各种手段隐藏自己，如有些把服务器端和正常程序绑定成一个程序 另外，通常木马程序的功能都是十分特殊的，除了普通的文件操作外，有些木马程序还能够搜索cache中的口令、设置口令、扫描IP地址并发现入侵的机器、记录键盘操作、远程注册表操作，以及颠倒屏幕、锁定鼠标等。 这里谈的只是很大一部分的木马工具，还有些水马工具的功能比较“专”，而工作的方式也不是客户机、服务器的方式，例如 passwu sender（中译名：口令邮差）的功能就是潜伏在目标机器里，搜集各种口令的信息，在目标上网的时候，秘密发送到指定的邮箱。 未来木马的发展方向 特洛伊木马程序发展到今天，已经相当完善了，可以预测，在今后相当长的时间它还会继续其发展的脚步，使其攻击性和破坏性更加强大。从现在的形势来看，木马程序未来会向以下方向发展： 1．木马会和病毒结合，使自身具有更强的感染模式。传统的修改ini文件和注册表的手法已经不能适应更加隐秘的需要。目前，很多水马的感染方式已经开始在转变，像前一阶段的YAI事件，就给了我们很多的启发，它会像病毒一样的感染Windows下的文件。 2．跨平台性会更强。木马的使用者当然认为一个木马既可以在Windows 95／98下使用，也可以在 WinNT、 Windows 2000下使用会更好。在95／98下比较容易，但WinNT,Wndows 2000都具有权限的保护，在它们下面使用木马需要更高的手段，如控制进程等。 3．模块化设计思想更为明显。模块化设计是一种潮流，Winamp就是模块化设计的典范，现在的木马也有了模块化设计的程序，像BO、Netbus、Sub7等经典木马都有一些优秀的插件纷纷问世，这就是一个很好的说明。 4．即时通知特性。木马是否已经装入？目标在哪里？如果被攻击对象使用固定的地址，那就比较简单；如果目标使用的是动态IP地址怎么办？用扫描的方法慢了，现在的木马已经有了即时通知的功能，如IRC、ICQ通知等，但还是太少了，也许说不定某天木马程序的即时通知功能变成了一个专门的软件也说不定。 5．更强更多的功能。每个人都不是容易满足的，每当出现强大功能的时候，我们都会期望还有更强大的功能出现，以后的木马的功能会如何呢？究竟木马会发展到什么样的功能，谁也没法预测，但肯定会让大家大吃一惊。 木马分类 1．远程访问型 这是现在使用最广泛的特洛伊木马．这类木马可以远程访问被攻击者的硬盘。例如RAT’S（一种远程访问木马），它使用起来非常简单。只需运行服务端程序并且得到受害人的IP，就可以访问到他的电脑，几乎可以在目标机器上干任何事。远程访问型特洛伊木马会在目标机上打开一个端口。一些特洛伊木马还可以改变端口的选项并且可以设置连接密码，为的是只能让攻