精选特洛伊木马概述.pptVIP

* 木马概述 木马全称为特洛伊木马，它是一种表面上做一件事情，而实际上是在不为人知的情况下，做一些用户所不希望的事情的软件。 木马的特性 隐蔽性 一般的木马会以捆绑方式装到目标电脑上，而捆绑方式、捆绑位置、捆绑程序等则可以由黑客自己确定，既可以捆绑到启动程序上，也可以捆绑到一般常用程序上，位置的多变使得木马具有很强的隐蔽性。 潜伏性 木马程序一般不会在已经被感染的电脑上作什么破坏的操作，而是尽量地将自己隐藏起来，不让用户觉察到木马的存在，从而得以偷偷地做一些用户不希望的事情。 再生性 木马被发现后，表面上是被删除了，但后备的木马会在一定的条件下重新生成被删除的文件。 * 木马的基本原理 两个执行文件：客户端程序 服务器端程序 客户端程序是安装在攻击者（黑客）方的控制台，它负责远程遥控指挥。 服务器端程序即是木马程序，它被隐藏安装在被攻击（受害）方的电脑上。 木马攻击的第一步：把木马服务程序植入攻击对象 攻击者需要通过木马对他人电脑系统进行攻击，第一步就是把木马的服务程序植入到被攻击的电脑里面。如果电脑没有联网，那么是不会受到木马的侵扰的，因为木马程序不会主动攻击和传染到这样的电脑中。 木马攻击的第二步：把主机信息发送给攻击者 在一般情况下，木马被植入被攻击的主机后，会通过一定的方式把主机的信息，如IP地址、软件的端口、主机的密码等，发送给攻击者。 * 木马的启动 1、在Win.ini中启动 2、在System.ini中启动 3、通过启动组实现启动 4、修改文件关联 5、捆绑文件 6、反弹技术 * 木马的种类 1、破坏型 2、密码发送型 3、远程访问型 4、键盘记录型 5、DoS攻击型 6、代理型 7、FTP木马 8、程序杀手型 * 木马的入侵 现在木马主要是使用欺骗的方法通过电子邮件发送、文件下载把木马执行文件植入被攻击者的电脑系统的。入侵的方式可以是： 1、发送给被攻击方一封带附件的电子邮件 2、捆绑到一些网站提供下载的软件中 3、通过Script、Active和ASP、CGI交互脚本植入 4、利用浏览器或系统中的漏洞植入 木马入侵的方法：捆绑、冒名、伪装成文件 将一个木马和一个损坏的zip（或rar）文件捆绑在一起，然后将捆绑后的文件扩展名设置为zip，这样该文件图标就是zip图标了，打开这个文件时看到的现象跟打开损坏的zip文件一样，但此时木马已经得以运行了。 冒名可以是QQ冒名和邮件冒名。QQ冒名则必须选盗得一个QQ号，然后使用这个号码给好友发送木马程序。如果是邮件冒名，则是用匿名邮件向别人发木马附件。 伪装成文件是利用很多人都有连续点击文件夹的习惯，把木马文件伪装成文件夹图标。 * 木马的防范 1、使用病毒防火墙或木马监控程序并及时升级 2、不要轻易打开来历不明的电子邮件附件 3、及时升级浏览器软件、电子邮件软件 4、到大型的网站上下载软件，下载后先进行杀毒 5、显示所有文件的扩展名 * Happy 99木马的清除 Happy 99是通过发送电子邮件与张贴文章将自身发送到新闻组，让使用者无意中成为该木马的传播者。当收件人执行含有Happy 99.exe的文件时，会看到有美丽的焰火表演的画面，同时Happy 99在后台更改用户操作系统的数据。此时Happy 99已在设定追踪电子邮件及新闻组活动的运作，经修改后，它不会直接造成用户文件的数据破坏，但当用户发送电子邮件或到新闻讨论区张贴文章时，它便会自动附上Happy 99.exe文件。如此一传十、十传百地达到大量入侵的目的。 清除步骤： 1、资源管理器中的Windows\System32目录下检查有没有ska.exe、ska.dll和wsock32.ska这3个文件。 2、先删除ska.exe和ska.dll两个文件，然后将wsock32.ska更名为wsock32.dll，然后删除之。 3、重启电脑。 * Back Orifice木马的清除 Back Orifice 是功能最全的TCP/IP架构的木马工具，它可以搜索被攻击者的信息、执行系统命令、修改客户端的电脑注册表、重新设置机器、重新定向网络的客户端/服务器应用程序等。黑客利用该木马成为被攻击机器的超级用户，几乎电脑的所有操作都可由Back Orifice远程控制。 清除步骤： 1、打开注册表编辑器，展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices，若此键中存在Umgr32.exe键值，则将其删除。 2、在资源管理器中删除c:\windows\System中的Umgr32.exe文件。 * 冰河木马的清除 ”冰河“是国内最著名的木马，它主要用于远程监控，其功能是可以自动跟踪目标机器的屏幕变化，记录各种口令信息，获