传统特洛伊马的工作原理.docVIP

史少甫 20092420229 通信2班 什么是特洛伊木马特洛伊木马（TrojanHorse，以下简称木马）的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序，这些特殊功能处于隐藏状态，执行时不为人发觉。特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端建立连接后，控制端将窃取服务端的密码及大部分操作权限，包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的，而是通过木马程序窃取的。木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。 1、硬件部分 建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。 2、软件部分 实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得 更隐蔽的程序。 3、具体连接部分 通过 I NTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。 控制端 I P，服务端 I P：即控制端，服务端的网络地址，也是木马进行数据传输的目 的。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达 控制端程序或木马程序。 二．木马的特征 木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征 1、隐蔽性是其首要的特征 如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，这些黑客们早就想到 了方方面面可能发生的迹象，把它们扼杀了。大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。它的隐蔽性主要体现在以下两个方面： a、不产生图标 它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可； b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。 2、它具有自动运行性 它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。 3、木马程序具有欺骗性 木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马