第五篇 特洛伊木马.pptVIP

计算机病毒与反病毒技术 第五章　特洛伊木马 特洛伊木马的定义 它是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息。 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但具有寄生性，但我们习惯上将其纳入广义病毒。 特洛伊木马的结构 1、木马程序 木马程序也称作服务器程序，驻留在受害者的系统中，非法获取其操作权限，负责接受控制指令，并根据指令或配置发送数据给控制端。 2、木马配置程序 木马配制程序设置木马程序的端口号、触发条件、木马名称等，使其在服务器端隐藏的更隐蔽。 3、控制程序 控制程序控制远程木马服务器，有些控制程序集成了木马的配置功能。负责配置服务器，给服务器发送指令，同时接收服务器传送来的数据。因此，一般的木马都是C/S结构。 木马的启动方式 木马想要达到控制或者监视计算机的目的，必须要运行，自动启动功能是必不可少的，这样可以保证木马不会因为用户的一次关机操作而彻底失去作用。常用的方法有以下几种： 1、集成（捆绑）到应用程序中。 如绑定到系统文件中，那么每次WINDOWS启动均会启动木马。 2、隐藏在Autoexec.bat和Config.sys中 很多用户一般不处理系统的配置文件，这正好给木马提供了一个藏身之处，利用配置文件的特殊作用，木马很容易在计算机中运行。 当你启动dos的时候,不执行任何动作，便会看到一个光标而已，如果你要在dos启动的时候让他自动执行一些命令，那就可以编辑Autoexec.bat，dos会自动执行它。你可以在Autoexec.bat里写 echo hello this is dos command. 那样，dos 启动的时候就会显示hello this is dos command 3、潜伏在Win.ini中 木马必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。打开Win.ini，可以看到该文件[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果后面有程序，例如： run=c:\windows\file.exe load=c:\windows\file.exe 这时就要小心了，这个file.exe很可能是木马。 WIN.INI的基本构成 WIN.INI文件包含若干小节，每一节由一组相关的设定组成。WIN.INI文件中小节和设定的格式如下 ： [小节名]  关键字名=值 [Windows]：影响Windows操作环境的部分，包括在启动Windows时执行哪一个应用程序，警告声音的设置、窗口边框的宽度、键盘响应的速度、鼠标器设置以及将文件定义为文档或程序等。 [Desktop]：控制系统界面显示形式及窗口和鼠标器的位置。 [Fonts]：描述Windows装入的屏幕字体文件。 [Colors]：定义Windows的显示颜色。 4、在system.ini中藏身 Windows安装目录下的system.ini也是木马喜欢隐藏的地方。在该文件的[boot]字段中，如果存在类似“shell=Explorer.exe file.exe”的内容，请查看这里的file.exe是否是木马服务段程序。 5、隐藏在Winstart.bat中 Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成.由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。 6、隐藏在应用程序的启动配置文件中 木马控制端利用应用程序的启动配置文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖该同名文件，这样就可以达到启动木马的目的。 7、伪装在普通文件中 具体方法是把可执行文件伪装成图片或文本。 8、内置到注册表中 木马可以隐藏在注册表中由于系统启动时自动执行程序的键值中，如：HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\software\microsoft\Win