木马报告 17.pptxVIP

木马的认识与了解;纲要： 关于木马的基础知识 木马的工作原理 木马的防范与查杀 示例;一、基础知识： 构成：完整的木马由硬件部分、软件部分、具体链接部分构成。 (1）硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。 (2）软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。 (3）具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。 ;传播方式：主要有两种：一种是通过E-MAIL， 控制端将木马程序以附件的形式夹在邮件中 发送出去，收信人只要打开附件系统就会感 染木马；另一种是软件下载，一些非正规的 网站以提供软件下载为名义，将木马捆绑在 软件安装程序上，下载后，只要一运行这些 程序，木马就会自动安装。 ;伪装方式：主要有六种 1、修改图标 2、捆绑文件 3、出错显示 （当服务端用户打开木马程序时，会弹出一个错误提示框（这当然是假的），错误内容可自由 定义，大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息。） 4、定制端口 5、自我销毁 6、木马更名;木马的启动方式： 1）通过“开始\程序\启动” 2）通过Win.ini文件 3）通过注册表启动 1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run， 　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 在windows启动时启动木马，会显示在msconfig（系统配置程序）中 2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce， 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 在windows启动时启动木马，不会显示在msconfig（系统配置程）中;4）通过Autoexec.bat文件 5）通过System.ini文件 6）通过某特定程序或文件启动 1、寄生于特定程序之中 2、将特定的程序改名 3、文件关联 木马程序会将自己和TXT文件或EXE文件关联，这样当你打开一个文本文件或运行一个程序时，木马也同时被启动。;二、木马的工作原理 木马进入目标机器后，启动激活或关联激活后进入内存，并开启事先定义的木马端口，准备与控制端建立连接。木马连接建立后，控制端端口和木马端口之间将会出现一条通道。此时控制端所享有的权限大致有： 1）窃取密码：一切以明文的形式，*形式或 缓存在CACHE中的密码都能被木马侦测到，此 外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作 2）文件操作：控制端可藉由远程控制对服务端上的文件进行删除，新建，修改，上传，下载，运行，更改属 性等一系列操作，基本涵盖了WINDOWS平台上所有的文件操作功能; 3）修改注册表：控制端可任意修改服务 端注册表，包括删除，新建或修改主键，子 键，键值。 4）系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等 ;一个木马连接的建立首先必须满足两个条件： 一是 服务端已安装了木马程序；二是控制端， 服务端都要在线。在此基础上控制端可以通 过木马端口与服 务端建立连接。;三、木马的防范与查杀 防范： 可以采取以下措施： 第一，安装杀毒软件和个人防火墙，并及时 升级。 第二，把个人防火墙设置好安全等级，防止 未知程序向外传送数据。 第三，可以考虑使用安全性比较好的浏览器 和