第7章 特洛伊木马.ppt

计算机病毒与反病毒技术 主要内容 特洛伊木马的概念 特洛伊木马的伪装方式、隐藏方式、自动启动方式 特洛伊木马的原理及其危害 特洛伊木马的自动启动技术、隐藏技术、远程监控技术 7.1.1 特洛伊木马的定义 特洛伊木马(Trojan Horse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息 古希腊特洛伊之战中利用木马攻陷特洛伊城；现代网络攻击者利用木马，采用伪装、欺骗(哄骗，Spoofing)等手段进入被攻击的计算机系统中，窃取信息，实施远程监控 7.1.1 特洛伊木马的定义 木马与病毒 一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的 特洛伊木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的 木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类 木马的最终意图是窃取信息、实施远程监控 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性 7.1.2 特洛伊木马的结构 木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成 7.1.3 特洛伊木马的基本原理 运用木马实施网络入侵的基本过程 7.1.3 特洛伊木马的基本原理 用netstat查看木马打开的端口 7.1.3 特洛伊木马的基本原理 木马控制端与服务端连接的建立 控制端要与服务端建立连接必须知道服务端的木马端口和IP地址 由于木马端口是事先设定的，为已知项，所以最重要的是如何获得服务端的IP地址 获得服务端的IP地址的方法主要有两种：信息反馈和IP扫描 7.1.3 特洛伊木马的基本原理 7.1.3 特洛伊木马的基本原理 木马通道与远程控制 木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作 7.1.3 特洛伊木马的基本原理 木马的基本原理 特洛伊木马包括客户端和服务器端两个部分，也就是说，木马其实是一个服务器-客户端程序 攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上，诱使用户运行合法软件。只要用户运行该软件，特洛伊木马的服务器就在用户毫无察觉的情况下完成了安装过程 攻击者要利用客户端远程监视、控制服务器，必需先建立木马连接；而建立木马连接，必需先知道网络中哪一台计算机中了木马 获取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间的联系通道，攻击者就可以利用客户端程序向服务器程序发送命令，达到操控用户计算机的目的 7.1.4 特洛伊木马的传播方式 木马常用的传播方式，有以下几种： 以邮件附件的形式传播 控制端将木马伪装之后添加到附件中，发送给收件人 通过OICQ、QQ等聊天工具软件传播 在进行聊天时，利用文件传送功能发送伪装过的木马程序给对方 通过提供软件下载的网站(Web/FTP/BBS)传播 木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马 通过一般的病毒和蠕虫传播 通过带木马的磁盘和光盘进行传播 7.1.5 特洛伊木马的危害 木马的危害即木马能实现的功能，包括： 窃取数据 接受非授权操作者的指令 远程管理服务端进程 篡改文件和数据 删除文件和数据 操纵注册表 监视服务器的一切动作 释放病毒 使系统自毁 7.2.1 特洛伊木马的特性 特洛伊木马具有如下特性： 隐蔽性 非授权性 欺骗性 自动运行性 自动恢复性 主动性 功能的特殊性 7.2.2 特洛伊木马的分类 按照对计算机的破坏方式分类 破坏型 密码发送型 远程访问型 键盘记录型 DoS攻击型 代理型 FTP型 程序杀手型 7.3.1 木马的伪装方式 木马通过伪装达到降低用户警觉、欺骗用户的目的 修改图标 捆绑文件 出错提示 自我销毁 木马更名 7.3.2 木马的隐藏方式 木马的隐藏方式 在任务栏里隐藏 在任务管理器里隐藏 定制端口 隐藏通讯 新型隐身技术 7.3.3 木马的启动方式 经常用的方法主要有以下几种 集成(捆绑)到应用程序中