木马程序技术发展至今已经经历了5代第一代即是简.pptVIP

木马程序技术发展至今，已经经历了5代: 第一代，即是简单的密码窃取，发送等，在隐藏和通信方面均无特别之处； 第二代木马的典型代表是冰河，它以文件关联方式启动，通过电子邮件传送信息，在木马技术发展史上开辟了新的篇章； 第三代木马的信息传输方式有所突破，采用ICMP协议，增加了查杀的难度； 第四代木马在进程隐藏方面获得了重大的突破，采用插入内核的嵌入方式、利用远程插入线程技术、嵌入DLL线程或挂接PSAPI等，实现木马程序的隐藏，利用反弹端口技术突破防火墙限制，在windows NT/2000下取得了良好的隐藏效果； 第五代木马与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活，例如最近新出现的类似冲击波病毒的木马-噩梦2. 4.3 木 马 4.3木马 4.3.1 木马的定义和工作原理 4.3.2木马的功能和特征 4.3.3 木马与远程控制、病毒的联系与区别 4.3.4 木马的发展趋势 4.3.5 木马实例介绍 4.3.1 木马的定义和工作原理 定义:以下几种程序代码通常被称为特洛伊木马 包含在合法程序的未授权代码：未授权代码执行不为用户所知的或不希望的功能 程序执行不为用户所知或不希望的功能：任何看起来象似执行用户希望和需要功能但实际上却执行不为用户所知或不希望功能的程序 能执行隐藏的或不被用户希望功能的程序 4.3.1 木马的定义和工作原理 1.2 木马的一般工作原理 常见的普通木马，是驻留在用户计算机里的一段(如服务器)程序，而攻击者控制的则是相应的客户端程序。服务器程序通过特定的端口，打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求，木马便和他连接，将用户的信息窃取出去。这类木马的一般工作模式如图一所示： 4.3.1 木马的定义和工作原理 取得连接 攻击者掌握 木马客户端 ●●● 特定端口 被攻击者电脑 木马服务器端 图4.3 特洛伊木马的一般工作原理 4.3.2木马的功能和特征 自动搜索已中木马的计算机 对对方资源进行管理，复制文件、删除文件、查看文件内容、上传文件、下载文件等 远程运行程序 跟踪监视对方屏幕 直接屏幕鼠标控制，键盘输入控制 监视对方任务且可以中止对方任务 锁定鼠标、键盘和屏幕 远程重新启动计算机、关机 记录、监视按键顺序、系统信息等一切操作 随意修改注册表 共享被控端的硬盘 进行乱屏等耍弄人的操作 4.3.2木马的功能和特征 隐蔽性： 自动运行性： 欺骗性： 自动恢复性： 功能的特殊性： 4.3.3 木马与病毒的联系与区别 4.4.3.1木马与远程控制 具有远程控制功能的木马与远程控制软件的主要区别在于： 1．控制的隐蔽性 2．控制的动机 4.3.3.2 木马与病毒 病毒 木马 远程控制 隐蔽性 强 极强 极少 功能特殊性 不具有 具有 具有 传染性 很强 很少 ------ 存在形式 寄生 独立个体 ------ 远程控制功能 很少 具有 具有 下表是木马与远程控制、病毒的区别 4.3.4 木马的发展趋势 (1) 跨平台性 (2) 模块化设计思想更加的明显 (3) 即时通知特性 (4) 传统的tcp端对端连接方式将会被抛弃 (5) 利用系统漏洞来进行传播 (6) 木马和病毒程序相结合 (7) 木马植入方式更加多样化 (8) 运行起来更具动态性 (9) 木马加壳 (10)子字母配套 (11) 线程和多级线程将成为木马隐藏技术发展的趋势 (12) 反检测技术逐渐增强 4.3.4木马的远程线程技术 远程线程技术是指使用创建远程线程的方法进人另外一个进程内存地址空间的技术。通常可以使用CreateRemoteThread函数在另外一个合法进程中创建用于木马服务的远程线程，从而达到隐藏自己和使用系统资源的目的(如图二)。远程线程技术的新发展是多级远程线程技术，即在一个合法的系统进程(如:Explorer)中植人一级线程作为守护线程，守护线程再将木马服务线程植入常见的网络应用(如:QQ，EXPlore，MSN等)作为二级线程，二级线程甚至还可以继续寻找合法的宿主进程进行再次植入。 4.3.4木马的远程线程技术 木马控制端 CreateRemoteThread 80端口 合法进程 （Explorer） 木马守护线程 合法进程（QQ、Explorer、Msn） 木马二级线程 检测/发起主动连接 图4.3远程线程技术木马 4.3.5 木马实例介绍--ICMP型木马 典型的木马有一个致命的漏洞,就是有一个特定端口处于监听状态，这个弱点直接暴露了其行踪。ICMP木马的出现彻底摆脱了端口的束缚，成为黑客入侵后门的利器。 ICMP全称是Internet Control Message Protoc