《恶意代码基础与防范（微课版）》 课件 第5章 木马.pptx

;《特洛伊木马》电影图片;;主要内容;木马的介绍;概念;木马的组成;基本特征;3、木马程序具有欺骗性

名字方式：字母“l”与数字“1”、字母“o”与数字“0”

相同文件名但不同路径

常用图标：Zip

4、具备自动恢复功能(高级技术)

5、能自动打开特别的端口

6、功能的特殊性

搜索缓存中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能

7、黑客组织趋于公开化;木马的分类;远程控制、木马与病毒;木马的发展趋势;木马的关键技术;技术进展;第四阶段在进程隐藏方面做了非常大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术嵌入DLL线程，或者挂接PSAPI实现木马程序的隐藏。即使在WindowsNT/2K下，这些技术都达到了良好的隐藏效果。

相信，第五代木马的技术更加先进。;木马的关键技术

——植入技术;植入技术;U盘植入：木马先寄宿在计算机或U盘上。当U盘和计算机连接时，相互传播。该方法利用了U盘介质的移动性。

程序绑定：传播木马的最佳途径之一。把木马和常用的共享软件绑定在一起，当用户下载了免费共享软件并安装或使用时，木马就种植到其计算机上。;网站挂马;传统方式;网页挂马的新方式;网页挂马的关键技术;框架挂马;js挂马;该技术用于逃避杀毒监视的技术。攻击者将类似：/test.htm中的木马代码植入到test.gif图片文件中。

代码：

html

iframe.src=/test.htmheight=0width=0/iframe

imgsrc=/test.jpg/center

/html

原理：当用户打开/test.htm时，显示给用户的是/test.jpg，而/test.htm网页代码也随之运行。;网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。;高级欺骗，黑客利用IE或者Firefox浏览器的设计缺陷制造的一种高级欺骗技术，当用户访问木马页面时地址栏显示或者等用户信任地址，其实却打开了被挂马的页面，从而实现欺骗。

代码如下（在貌似的链接上点击却打开了）：;paid=qipianhref=/a/p

div

ahref=target=_blank

table

caption

labelfor=qipian

ustyle=cursor;pointer;color;blue

IT168安全版块

/u

/label

/caption

/table

/a

/div;木马的关键技术

——自加载技术;1.修改批处理

Autoexec.bat(自动批处理，在引导系统时执行)?

Winstart.bat(在启动GUI图形界面环境时执行)?

Dosstart.bat(在进入MS-DOS方式时执行)?

;2.修改系统配置

win.ini文件中的启动加载项：[windwos]段中有如下加载项：

run=

Load=

system.ini中的启动加载项：在[BOOT]子项中的“Shell”项：

shell=;3修改注册表

HKEY_CLASSES_ROOT：此处存储的信息可以确保当使用Windows资源管理器打开文件时，将使用正确的应用程序打开对应的文件类型。

HKEY_CURRENT_USER：存放当前登录用户的有关信息。用户文件夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置文件。

HKEY_LOCAL_MACHINE：包含针对该计算机（对于任何用户）的配置信息。

HKEY_USERS：存放计算机上所有用户的配置文件。

HKEY_CURRENT_CONFIG：包含本地计算机在系统启动时所用的硬件配置文件信息。

HKEY_DYN_DATA：记录系统运行时刻的状态。;3.1通过注册表中的Run来启动?

(Run),

(RunOnce),

(RunOnceEx),

(RunServices),

(RunServicesOnce)

;3.2通过文件关联启动

当用户打开了一个已修改了打开关联的文件时，木马也就开始了它的运作。

选择文件格式中的“打开”、“编辑”、“打印”项目。

例如冰河木马病毒

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值“c:\windows\notepad.exe%1”，改为“sysexplr.exe%1”。;4.借助自动运行功能

根目录下新建一个Autorun.inf

[autorun]?

open=Notepad.exe

5.通过APIHOOK启动

利用经常使用的API启动木马;6.通过VXD启动

写成Vxd并写入[HK