《13木马》-课件.ppt

本节内容 什么是Trojan木马 木马分类 木马传播 木马加载方式 木马的隐藏、伪装方式 木马的检测及查杀、防御 木马实例：灰鸽子病毒查杀、钓鱼式攻击 什么是木马？ 分类 远程控制 密码窃取 为完成特定任务设计的木马 分类-密码窃取 分类-为特定任务而设计 为完成特定任务而设计。 1）拒绝服务攻击 2）窃取文件 3）执行破坏功能 4) …… 工作已经预置在程序中，不需要控制 例如：试卷大盗会自动搜索受害者计算机，查找文件名中有“考题”、“考卷”、“试卷”等等字样的文档，自动发送到指定邮箱 一般不返回信息或资料： 除窃取数据木马返回窃取数据外，一般不返回其他数据，例如破坏型木马不会返回是否破坏成功，破坏结果等 传播-伪装 出错显示： 用户打开某个带木马的程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开!”之类的信息，当用户信以为真时，木马在后台执行。 自我销毁： 木马在执行前，将自己拷贝到Windows的系统文件夹中。等执行完成后木马将文件自动删除。 木马更名： 木马改名为系统文件类似的文件名，例如有的木马把名字改为window.exe。更改一些后缀名，比如把dll改为dl等。 传播-伪装 修改图标： 伪装成TXT、HTML等可能认为对系统没有多少危害的文件图标，在“资源管理器”中默认选中“隐藏已知文件类型的扩展名”，诱惑用户打开。 捆绑文件： 将木马捆绑到一个安装程序上，当安装程序运行的时候，木马 在用户毫无觉察的情况下，在后台启动。被捆绑的程序一般是有诱惑的小游戏、带附件的邮件。 加载方式 开始菜单的启动项，基本上没有木马会用这种方式。 在Winstart.bat中启动。 在Autoexec.bat和Config.sys中加载运行。 win.ini/system.ini：有部分木马采用，不太隐蔽。 注册表：隐蔽性强，多数木马采用。 服务：隐蔽性强，多数木马采用。 修改文件关联。 加载方式-启动文件 加载方式-启动文件 加载方式-服务 加载方式-服务 加载方式-修改文件关联 加载方式-捆绑程序 加载方式-打开目录 工作机制 绕过防火墙技术－反弹端口 无端口木马 逃脱任务管理器监视－DLL木马 自我保护机制 双进程监视 木马备份 自我保护-双进程 自我保护-木马备份 检测和查杀 木马检测－感觉 木马检测－系统功能 木马检测－工具 木马查杀－技巧 检测-中木马后的状况 没有打开浏览器，而览浏器突然自己打开，并且进入某个网站。 正在操作电脑，突然一个警告框或者是询问框弹出来，问一些你从来没有在电脑上接触过的间题。 Windows系统配置老是自动莫名其妙地被更改。比如屏保显示的文字，时间和日期，声音大小，鼠标灵敏度，还有CD-ROM的自动运行配置。 硬盘老没缘由地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象。 检测-netstat 检测-任务管理器 检测-注册表及服务 检测工具-Fport/sport 检测工具-Prcview 检测-技巧 1、注意路径问题 c:\windows\system32\iexplore.exe(trojan) c:\Program Files\Internet Explorer\iexplore.exe(right) 2、注意类同程序 svchost.exe(right) svch0st.exe(trojan) 3、善用系统搜索功能 发现木马程序后搜索与木马程序同一天创建的程序 防御 时刻注意安全漏洞和补丁发布 定期分析日志系统，发现潜在攻击 注意账号和口令的安全问题 注意观察系统异常 安装检测软件（AntiSpyware）。 使用安全防御软件（软件防火墙）。 管理员，才是关键! 防御-系统安全配置 防御-系统安全配置 Windows的默认安装是不开安全审核。 Windows2000下 本地安全策略-帐户策略-密码策略，打开相应的审核，推荐的审核是： 密码必须符合复杂性要求 ?? 启用 密码长度最小值 ???? 10 密码最长使用期限 7 密码最短使用期限 7 强制密码历史 3 防御-系统安全配置 Windows的默认安装是不开安全审核。 Windows2000下 本地安全策略-帐户策略-帐户