（课件）木马初探----防病毒讲座之特洛伊木马原理分析.pptVIP

木马初探----防病毒讲座  之特洛伊木马原理分析 范伟禄 讲座大纲 1. 特洛伊的故事 2.木马的宏观状况 3. 木马的工作原理 3.1 木马启动 3.2 木马隐藏 3.3 木马伪装 3.4 木马注入 3.5 木马种类 4. 使用C#实现简单的木马程序 5. 木马程序的防范 什么是木马 古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。 木马的发展 第一阶段 最初网络还处于以UNIX平台为主的时期，木马就产生了，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。 第二阶段 随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使用者不用懂太多的专业知识就可以熟练木马，相对的木马入侵事件也频繁出现，而且木马的功能已日趋完善，对服务端的破坏也更大了。 木马发展到今天，已经无所不极，一旦被木马控制，你的电脑将毫无秘密可言。 木马的宏观状况之数量 《２００７年上半年中国电脑病毒疫情及互联网安全报告》 A:国内受感染的电脑超过７５０万台，与去年同期相比增长了１２.２％，其中被感染的计算机中遭受过木马病毒攻击的比例占到９１.３５％。 木马的宏观状况之灾区 2007年病毒重灾区排行版： 广东首当其冲，“中招”机器高达１１％，其次： 此外，报告还显示出一个新的趋势，２００７年出现了大量新（变种）病毒。单一病毒感染的计算机数量不再是衡量其危害的标准，频繁生成的变种有效加速了病毒的传播。 木马的宏观状况之趋势 趋势 动机：自我炫耀 收集敏感或有价值的信息 目标：到处蔓延 针对性攻击 最受欢迎的攻击对象 网络游戏成为木马的主要目标 木马病毒野心膨胀，直指网络银行 木马的宏观状况之网银1 木马的宏观状况之蔓延 利益的驱使 带毒网站数量众多 QQ 尾巴为木马传播推波助澜 黑客网站对木马明码标价 百度等服务平台助长蔓延态势 法律的不健全 木马的工作原理 目标和手段 A：有什么信息好偷（编写动机） B：怎样偷得到（传播手段） 原理 1:如何注入 2:如何启动 3:运行时如何隐藏 4:文件如何伪装 木马的工作原理之启动 1：在Win.ini中启动 在Win.ini的[windows]字段中有启动命令load＝和run＝，在一般情况下 ＝后面是空白的，如果有后跟程序，比方说是这个样子： run=c:\windows\file.exe load=c:\windows\file.exe 要小心了，这个file.exe很可能是木马哦。 类似的还有：System.ini，Autoexec.bat，Config.sys，Winstart.bat，*.INI （配置文件） 木马的工作原理之启动 2.利用注册表加载运行 记录到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项中，更高级的木马还会注册为系统的“服务”程序，以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中找到它的踪迹。 木马的工作原理之启动 3.启动组 木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup, 在注册表中的位置:HKEY_CURRENT_USER\Software