第09a章_计算机病毒原理.pptVIP

第9章 “木马”相关基础知识 本章主要内容 特洛伊木马的概念 特洛伊木马的工作方式 特洛伊木马传播新方式 特洛伊木马的基本概念 当特洛伊木马刚出现时很难对其下定义。一般情况下，病毒是依据其能复制的特点而定义的。而特洛伊木马主要是根据它的有效载体，或者是其功能来定义的。我们可以对复制的情况进行准确的判定，要么复制了要么没有复制。但对破坏和意图的判定却是相对的、是不太容易的。 “特洛伊木马是具有某些功能或仅仅是有趣的程序。但它通常会做一些令人意想不到的事情，如盗取口令或文件。” 根据传统的数据安全模型的三种分类，特洛伊木马的企图也可分为三种： ·试图访问未授权资源 ·试图阻止访问 ·试图更改或破坏数据和系统 特洛伊木马的危害 对于大多数恶意程序，只要把它们删除，危险就算过去，威胁也不再存在，但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改 文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序，例如，经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具，用户所有的磁盘空间几乎 都被侵占殆尽，但除此之外，特洛伊木马还有其独一无二的特点——窃取内容，远程控制——这使得它们成为最危险的恶意软件。 特洛伊木马的工作方式 一般的木马程序都包括客户端和服务端两个程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序他所做的第一步是要把木马的服务器端。攻击者要通过木马攻击系统，程序植入电脑里面。 当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的机器。 在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。当服务端在被感染 机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现；同时监听某个特定的端口，等待客户端与其取得连接;另外为了下次重启计 算机时仍然能正常工作。木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。  特洛伊木马传播方式 1.用BT制作木马种子 2.利用PP共享自己捆了木马的软件或电影. 3.利用QQ邮箱传播木马. 4.QQ群发网页木马。 5.利用163邮箱传播网页木马。 6.捆绑欺骗 7.黑客工具绑木马 图片木马技术解析 BMP木马把一个EXE文件伪装成一个BMP图片文件，欺骗IE自动下载，再利用网页中的 JAVASCRIPT脚本查找客户端的Internet临时文件夹，找到下载后的BMP文件,把它拷贝到TEMP目录。再编写一个脚本把找到的BMP文件 用DEBUG还原成EXE，并把它放到注册表启动项中，在下一次开机时执行。 特洛伊木马的防范 用DOS命令检查特洛伊木马 从两方面来有效地防范木马：使用防火墙阻止木马入侵以及及时查杀入侵后的木马。 防火墙是抵挡木马入侵的第一道门，也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接，防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙 的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查，在适当规则的限制下，如对通讯端口进行限制，只允 许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到系统,因为防火墙把攻击者和木马分隔开来了。但是，仍然有一些木马可 以绕过防火墙进入目标主机（比如反弹端口木马），还有一些将端口寄生在合法端口上的木马，防火墙对此也无能为力。 1)检查主机开放的端口 2)检查启动组 小结: 本次课主要详细介绍了木马技术的概念,工作原理,危害等等 。 　 　　 * Hai Nan Software college