木马病毒原理和特征分析专家讲座.pptxVIP

特洛伊木马定义;特洛伊木马是一个秘密潜伏能够经过远程网络进行控制恶意程序。

控制者能够控制被秘密植入木马计算机一切动作和资源，是恶意攻击者进行窃取信息等工具。他由黑客经过种种路径植入并驻留在目标计算机里。;木马能够随计算机自动开启并在某一端口进行侦听，在对目标计算机数据、资料、动作进行识别后，就对其执行特定操作，并接收“黑客”指令将相关数据发送到“黑客大本营”。

这只是木马搜集信息阶段，黑客同时能够利用木马对计算机进行深入攻击！这时目标计算机就是大家常听到“肉鸡”了！

;2．特洛伊木马病毒危害性;;常见特洛伊木马，比如BackOrifice和SubSeven等，都是多用途攻击工具包，功效非常全方面，包含捕捉屏幕、声音、视频内容功效。这些特洛伊木马能够看成键统计器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。

因为功效全方面，所以这些特洛伊木马体积也往往较大，通常到达100KB至300KB，相对而言，要把它们安装到用户机器上而不引发任何人注意难度也较大。;对于功效比较单一特洛伊木马，攻击者会力图使它保持较小体积，通常是10KB到30KB，方便快速激活而不引发注意。这些木马通常作为键统计器使用，它们把受害用户每一个键击事件统计下来，保留到某个隐藏文件，这么攻击者就能够下载文件分析用户操作了。;BackOrifice是一个远程访问特洛伊木马病毒，该程序使黑客能够经TCP/IP网络进入并控制windows系统并任意访问系统任何资源，经过调用cmd.exe系统命令实现本身功效，其破坏力极大。

SubSeven能够作为键统计器、包嗅探器使用，还含有端口重定向、注册表修改、麦克风和摄像头统计功效。

SubSeven还含有其它功效：攻击者能够远程交换鼠标按键，关闭/打开CapsLock、NumLock和ScrollLock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新开启计算机

;在之前，冰河在国内一直是不可动摇领军木马，在国内没用过冰河人等于没用过木马，由此可见冰河木马在国内影响力之巨大。

该软件主要用于???程监控，自动跟踪目标机屏幕改变等。冰河原作者：黄鑫，冰河开放端口7626据传为其生日号。

1．自动跟踪目标机屏幕改变，同时能够完全模拟键盘及鼠标输入,即在同时被控端屏幕改变同时，监控端一切键盘及鼠标操作将反应在被控端屏幕（局域网适用）；

2．统计各种口令信息：包含开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过口令信息；

3．获取系统信息：包含计算机名、注册企业、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功效：包含远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功效限制；

5．远程文件操作：包含创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不一样打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功效；

6．注册表操作：包含对主键浏览、增删、复制、重命名和对键值读写等全部注册表操作功效；;常见特洛伊木马;特洛伊木马定义;特洛伊木马结构;特洛伊木马基本原理;特洛伊木马基本原理;特洛伊木马基本原理;特洛伊木马基本原理;特洛伊木马传输方式;特洛伊木马技术发展;木马高级技术;驻留在内存;内核模式病毒;检测方法;病毒隐藏技术;进程隐藏;经过DLL实现进程隐藏;特洛伊DLL;动态嵌入技术;远程线程技术;动态嵌入实现;文件隐藏;加壳;通信隐藏;网络隐蔽通道;使用TCP协议隐蔽通信--反向连接技术;使用TCP协议隐蔽通信--反向连接技术;使用UDP协议通信;用ICMP来通信;利用ICMP协议建立秘密通道;基于嗅探原理通信;木马通信特征;木马通信特征;图例;攻击特征;outbreak特征;控制命令特征;^_^谢谢！