网络安全精品教学课件（郑万波）木马程序简介.pptVIP

木马程序简介 主讲人：马德红 木马——名字由来 木马全称特洛伊木马（Trojan Horse），源于一个希腊神话。攻城的希腊联军佯装撤退后留下了一只木马，特洛伊人将其当作战利品带回城内。当特洛伊人为胜利而庆祝时，从木马中出来了一队希腊兵，它们悄悄打开城门，放进了城外的军队，最终攻克了特洛伊城。 木马——定义 在计算机领域中指的是一种后门程序，是黑客用来盗取其他用户的个人信息，甚至是远程控制对方的计算机而加壳制作，然后通过各种手段传播或者骗取目标用户执行该程序，以达到盗取密码等各种数据资料的目的。 与病毒相似，木马程序有很强的隐秘性，随操作系统启动而启动。 木马——原理 木马的组成： 1.客户端（client） 2.服务端（server） 植入对方计算机的是服务端，而黑客正是利用客户端进入运行了服务端的计算机。 木马——原理 运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（例如账号和密码等等）。 黑客甚至可以利用这些打开的端口进入计算机系统。 木马——原理 特洛伊木马程序不能自动操作， 一个特洛伊木马程序是包含或者安装一个存心不良的程序的，对一不怀疑的用户来说它可能看起来是有用或者有趣的计划（或者至少无害），但是实际上有害当它被运行。 木马——原理 特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和丢失。 木马——特征 1.隐蔽性 因为木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。因此它必须隐藏在系统中。 方式： （1）集成到程序中 （2）隐藏在配置文件中 （3）潜伏在Win.ini中 （4）伪装在普通文件中 （5）内置到注册表中 （6）在System.ini中藏身 （7）隐形于启动组中 （8）隐蔽在Winstart.bat中 （9）捆绑在启动文件中 （10）设置在超级连接中 木马——特征 2.自动运行性 木马是一个当你系统启动时即自动运行的程序，所以它必须潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。 木马——特征 3.欺骗性 木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现。它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“i与数字1、字母o与数字0。或者把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。 木马——特征 4.自动恢复功能 很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。 木马——特征 5.自动打开端口 木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用server/client的通讯手段把信息告诉黑客，以便黑客控制你的机器，或实施更加进一步入侵企图。 木马——功能 1．远程监控 可以控制对方的鼠标、键盘和监视对方屏幕。 2．记录密码 3．取得电脑主机的信息资料 如果你在电脑用户账户填上真名的话，对方就可能知道你的姓名了。 4．远程控制 5．发送信息 冰河木马——历史 冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。 冰河木马——功能 1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）； 2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息； 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 冰河木马——功能 4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制； 5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等