特洛伊木马浅析及防范
电脑常见特洛伊病毒详细介绍及杀毒方法。
特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可爱的游戏,这会诱使用户将其安装在PC或者服务器上。
“特洛伊木马”(trojan horse)简称“木马”,木马和病毒都是一种人为的程序,都属于电脑病毒,据说这个名称来源于希腊神话《木马屠城记》。
古希腊有大军围攻特洛伊城,久久无法攻下。
于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。
城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。
到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。
后世称这只大木马为“特洛伊木马”。
如今黑客程序借用其名,有“一经潜入,后患无穷”之意。
完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。
“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,程序本身在无人操控的情况下不会像蠕虫病毒复制感染,不会破坏操作系统及硬件。
但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性和迅速感染系统文件的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
木马的启动方式:木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。
防范特洛伊木马和病毒攻击的方法
VS
选择可靠的备份解决方案,如外部硬 盘驱动器、云存储或磁带备份,并确 保备份数据与原始数据保持同步。在 备份过程中,加密数据也是一个好习 惯,以保护数据的隐私和安全。
04
企业防范特洛伊木马和病 毒攻击的措施
建立完善的网络安全管理制度
制定严格的网络使用规定,限 制员工在工作时间和非工作场 合使用未知来源的软件和链接 。
建立24小时安全监控中心,实时监测网络流量和 安全事件,确保及时发现和处置安全威胁。
对已发生的安全事件进行深入分析,总结经验教 训,不断完善安全防范措施。
THANKS
感谢观看
建立网络访问控制和权限管理 机制,确保只有授权人员才能 访问敏感数据和系统资源。
定期审查和更新网络安全策略 ,以应对不断变化的网络威胁 。
对员工进行网络安全培训
提供定期的网络安全 培训课程,提高员工 对网络威胁的认识和 防范意识。
培养员工在发现可疑 网络活动时的报告和 处置能力。
指导员工如何识别和 避免网络钓鱼、恶意 软件等常见网络攻击 手段。
03 开启实时监控功能,对文件、邮件、网络等入口 进行安全防护。
谨慎打开未知来源的邮件和链接
不轻易打开来自陌生人的邮件和链接 ,特别是包含附件或跳转链接的邮件 。
使用可靠的邮件客户端,并开启垃圾 邮件过滤功能,减少潜在威胁的侵入 。
对于可疑邮件,不要轻易点击其中的 链接或下载附件,以免触发恶意程序 。
提高网络安全意识,不随意点击未知链接或下载未知文件
用户应提高网络安全意识,不随意点击来自不明来源的链接 或下载未知的文件。这些行为可能导致恶意软件的感染。
使用可靠的电子邮件服务和社交媒体平台,避免点击可疑的 附件或链接,特别是那些包含诱人的免费内容或奖品的链接 。
木马的危害与防范
电脑“木马”的危害与防范一、木马的危害:木马这个名称来源于古希腊的特洛伊木马神话。
传说希腊人攻打特洛伊城久攻不下,希腊将领奥德修斯献了一计,把一批勇士埋伏在一匹巨大的木马腹内,放在城外,然后佯作退兵。
特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。
到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。
后来,人们就常用“特洛伊木马”比喻在敌方营垒里埋下伏兵里应外合的活动。
如今借用其名比喻黑客程序,有“一经潜入,后患无穷”的意思。
计算机领域中所谓的木马是指那些冒充合法程序却以危害计算机安全为目的的非法程序。
它是具有欺骗性的文件,是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
隐蔽性是指木马设计者为了防止木马被发现,会采用多种手段隐藏木马,这样用户即使发现感染了木马,也难以确定其具体位置;非授权性是指一旦木马控制端与服务器端连接后,控制端将获得服务器端很多操作权限,如操作文件、修改注册表、控制外设等。
木马是一种后门程序,就象先前所说的,它进去了,而且是你把它请进去的,要怪也只能怪自己不小心,混进去的希腊士兵打开了特洛伊的城门,木马程序也会在你的系统打开一个“后门”,黑客们从这个被打开的特定“后门”进入你的电脑,就可以随心所欲地摆布你的电脑了。
黑客们通过木马进入你的电脑后能够做什么呢?可以这样说,你能够在自己的电脑上做什么,他也同样可以办到。
你能够写文件,他也可以写,你能够看图片,他也可以看,他还可以得到你的隐私、密码,甚至你鼠标的每一下移动,他都可以尽收眼底!而且还能够控制你的鼠标和键盘去做他想做的任何事,比如打开你珍藏的照片,然后在你面前将它永久删除,或是冒充你发送电子邮件、进行网上聊天、网上交易等活动,危害十分严重。
想到木马,人们就想到病毒,这里要为木马澄清一下,木马确实被杀毒软件认为是病毒,但是,木马本身不是病毒。
反之,病毒也不是木马。
电脑病毒是破坏电脑里的资料数据,而木马不一样,木马的作用是偷偷监视别人的操作和窃取用户信息,比如偷窃上网密码、游戏账号、股票账号、网上银行账号等。
特洛伊木马攻击技术与防范策略
特洛伊木马攻击技术与防范策略敬晓芳(中国工程物理研究院化工材料研究所,绵阳629100)摘要:特洛伊木马是一种程序,它驻留在目标计算机里,随计算机自动启动并在某一端口进行侦听,对接收的数据识别后,对目标计算机执行特定的操作。
其隐蔽性强,种类数量繁多,危害性很大。
本文介绍了木马的攻击原理、常用攻击技术以及防范策略。
关键词:特洛伊木马;驻留;攻击技术;防范策略1引言特洛伊木马(Trojan Horse),简称木马,是一种程序,这种程序被包含在合法的或表面上无害的程序上的恶意程序。
其实质只是一个通过端口进行通信的网络客户/服务程序。
木马具有很强的隐蔽性,而且能够自启动,并进行自我保护。
木马属于“外来代码”的范畴,它表面上提供一些令人感兴趣的有用的功能,但除了用户能看到的功能以外,这种程序还通过内嵌的特殊代码执行一些用户所不知道的恶意的功能。
木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。
对攻击者而言,使用外来代码的关键优势之一就是,通过将非本地代码或二进制代码引入操作系统环境,从而断绝与系统或网络管理员所控制资源的依赖性。
相比较而言,添加或修改系统帐户,或直接操纵其他系统资源,可能被警惕性高的管理员发现,而安装一个“外来代码”则可以在一段时间内不被发现,尤其是通过对操作系统做广泛的修改可使其隐蔽性更好。
随着计算机技术的发展,木马的功能越来越强大,隐蔽性和破坏性不断提高,其数量也在急剧增加。
2木马的原理和种类自木马程序诞生至今,己经出现了多种类型,常见的有玩笑型、破坏型、密码发送型、远程访问型、键盘记录型、代理木马、反弹端口型木马等。
大多数的木马都不是单一功能的木马,它们往往是很多种功能的集成品,因此,此处也只能给出一个大致的分类。
(1)玩笑型玩笑木马程序不造成损坏,但会从计算机的扬声器中发出惹人讨厌的声音,让计算机屏幕看起来七扭八歪,或在屏幕上显示吓人的信息,如“现在正在格式化硬盘!”虽然这类木马程序非常气人,让人厌烦,但它们是无害的,很容易删除。
认识木马及木马防范
提起木马,大家一定会想起古希腊古老的故事,古希腊人用自己的智慧,把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。
虽然有点老套,但是,木马依然离不开这个故事的背景。
木马的全称是“特洛伊木马(Trojan Horse)”,也和病毒一样,是一段程序,用来破坏或者干扰用户正常使用电脑。
首先我们要大概理解一下木马类型。
(1) 破坏型这种木马是很令人讨厌的,这个病毒可以自动的删除电脑上的重要文件,例如dLL、INI、EXE文件。
(2) 密码发送型主要是用来盗窃用户隐私信息的,他可以把隐藏的密码找出来发送到指定的信箱。
也可以用来盗窃用户的敏感口令等。
同时,此类病毒最重要的是会记录操作者的键盘,找到相关的有用的信息。
(3) 远程访问型使用最多既木马。
入侵者运行了客户端,使用木马者就可以通过远程连接到对方电脑,访问对方电脑资源。
(4) 键盘记录木马这种键盘木马一般都制作的很短小精悍,主要用来记录中木马者的键盘敲击记录,并且根据网络访问情况,给木马使用者发送到指定的信箱等。
(5) DOS攻击型DOS的全称是洪水式服务攻击。
是用来请求服务器请求,让服务器忙与处理应答,而占用了大量的资源,最后服务器资源耗尽而死机。
使用多台电脑DOS攻击取得的效果更好,可以用他来慢慢攻击更多的电脑。
(6) 代理木马可以把自己的电脑从其他地方代理,然后重新访问网络服务器,起一个中转的作用。
(7) FTP木马FTP木马容量也很小,一般情况下是用来打开21端口来等待用户连接。
(8) 程序杀手木马主要是用来关闭一些监控软件等,这样就可以让木马更安全的保留在系统中,防止被监控软件发现,从而对用户造成数据丢失,敏感信息泄露等故障。
(9) 反弹端口型木马反弹端口是为了躲避防火墙的过滤而制作的。
因为防火墙会对连入的链接做一个很严格的过滤,对于连出的链接可能就不是那么严格了,所以利用这一点,把端口反弹,就可以更安全的使用了。
以上为木马的基本类型,对木马进行了一些分类,以便用户分类查询。
如何防范特洛伊木马和间谍软件
使用可靠的安全软件并定期更新病毒库
使用可靠的安全软件是防范特洛伊木马和间谍软件的必备措施。这些软件可以检测、隔离和清除恶意 软件,保护计算机免受威胁。
定期更新病毒库是非常重要的。病毒库是安全软件的核心组成部分,包含了已知病毒的特征和行为信 息。通过定期更新病毒库,安全软件可以更好地检测和防御新出现的威胁。
THANKS FOR WATCHING
感谢您的观看
定期备份重要数据
定期备份重要数据,以防数据被恶意软件破坏或窃取。 选择可靠的备份存储介质,并确保备份数据也受到安全保护。
03
防范间谍软件的措施
防范间谍软件的措施
• 请输入您的内容
04
提高网络安全意识
学习网络安全知识
学习网络安全基本概念
了解什么是特洛伊木马和间谍软件,以及它们 如何工作。
学习识别网络威胁
及时举报可疑信息
03
如果发现可疑的邮件、网站或消息,应及时举报给相关部门。
不随意点击未知链接和下载不明附件
01
02
03
谨慎点击链接
不要随意点击来自陌生人 或不可信来源的链接,特 别是包含诱人内容的链接 。
慎重下载附件
不要随意下载来自陌生人 或不可信来源的附件,特 别是可执行文件或脚本。
使用安全软件
危害与影响
特洛伊木马危害
可能导致个人信息泄露、系统资源占用、数据损坏或丢失等。
间谍软件危害
可能导致个人隐私泄露、财务损失、系统性能下降等。
02
防范特洛伊木马的措施
定期更新操作系统和应用程序
特洛伊木马的检测与防范
1.2 特洛伊木马的特征
一个真正的木马必须要具备读和写的功能。读的功能, 是可以将目标电脑上的文件下载,可以分析目标电脑系统, 进而选择攻击方法。写的功能,就是上传文件到目标电脑上。
比较完善的木马应该要最大程度上控制目标电脑,又要 防止目标电脑对黑客的反攻击,查看及终止目标电脑进程的 功能。
木马的生存能力是一项很重要的能力,木马的生存能力 包括隐蔽性能、功能特殊性、潜伏能力等。
计算机网络安全技术
特洛伊木马的检测与防范
• 1.1 特洛伊木马的概述 • 1.2 特洛伊木马的特征 • 1.3 特洛伊木马藏匿地点 • 1.4 特洛伊木马的防范 • 1.5 特洛伊木马程序的发展方向
1.1 特洛伊木马的概述
1、基本概念 “特洛伊木马程序”技术是黑客常用的攻击方法。它通
过在被攻击电脑系统中隐藏一个会在Windows启动时悄悄运 行的程序,采用服务器/客户机的运行方式,从而达到在被攻 击电脑上网时控制被攻击电脑的目的。黑客可以利用它窃取 被攻击电脑上存储的口令、浏览被攻击电脑的驱动器、修改 被攻击电脑的文件、登录注册表等等。
⑩设置在超级连接中
1.4 特洛伊木马的防范
几点注意: ➢不要轻易运行来历不明和从网上下载的软件。 ➢保持警惕性,不要轻易相信熟人发来的E-Mail就一定没有 黑客程序,如Happy99就会自动加在E-Mail附件当中。 ➢不要在聊天室内公开你的Email地址,对来历不明的E-Mail 应立即清除。 ➢不要随便下载软件(特别是不可靠的FTP站点)。 ➢不要将重要口令和资料存放在上网工作原理 一般木马都具有客户端和服务器端两个执行程序,其中
客户端是用于攻击者远程控制植入木马的机器,服务器端程 序即是木马程序。
攻击者要通过木马攻击被攻击的系统,他所做的第一步 是要把木马的服务器端程序植入到被攻击的电脑里面。
木马的危害与防范
木马的危害与防范木马的危害与防范一、木马的危害木马这个名称来源于古希腊的特洛伊木马神话。
传说希腊人攻打特洛伊城久攻不下,希腊将领奥德修斯献了一计,把一批勇士埋伏在一匹巨大的木马腹内,放在城外,然后佯作退兵。
特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。
到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。
后来,人们就常用“特洛伊木马”比喻在敌方营垒里埋下伏兵里应外合的活动。
如今借用其名比喻黑客程序,有“一经潜入,后患无穷”的意思。
计算机领域中所谓的木马是指那些冒充合法程序却以危害计算机安全为目的的非法程序。
它是具有欺骗性的文件,是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
隐蔽性是指木马设计者为了防止木马被发现,会采用多种手段隐藏木马,这样用户即使发现感染了木马,也难以确定其具体位置;非授权性是指一旦木马控制端与服务器端连接后,控制端将获得服务器端很多操作权限,如操作文件、修改注册表、控制外设等。
木马是一种后门程序,就象先前所说的,它进去了,而且是你把它请进去的,要怪也只能怪自己不小心,混进去的希腊士兵打开了特洛伊的城门,木马程序也会在你的系统打开一个“后门”,黑客们从这个被打开的特定“后门”进入你的电脑,就可以随心所欲地摆布你的电脑了。
黑客们通过木马进入你的电脑后能够做什么呢?可以这样说,你能够在自己的电脑上做什么,他也同样可以办到。
你能够写文件,他也可以写,你能够看图片,他也可以看,他还可以得到你的隐私、密码,甚至你鼠标的每一下移动,他都可以尽收眼底!而且还能够控制你的鼠标和键盘去做他想做的任何事,比如打开你珍藏的照片,然后在你面前将它永久删除,或是冒充你发送电子邮件、进行网上聊天、网上交易等活动,危害十分严重。
想到木马,人们就想到病毒,这里要为木马澄清一下,木马确实被杀毒软件认为是病毒,但是,木马本身不是病毒。
反之,病毒也不是木马。
电脑病毒是破坏电脑里的资料数据,而木马不一样,木马的作用是偷偷监视别人的操作和窃取用户信息,比如偷窃上网密码、游戏账号、股票账号、网上银行账号等。
第4章 特洛伊木马及其防治
3.被感染后的紧急措施
(1)所有的账号和密码都要马上更改,例 如拨号连接,ICQ、mIRC、FTP,个人站 点,免费邮箱等等,凡是需要密码的地方, 都要把密码尽快改过来。 (2)删掉所有硬盘上原来没有的东西。 (3)检查硬盘上是否有病毒存在 。
4.3 特洛伊木马病毒的防御 4.3.1 用DOS命令检查特洛伊木马 4.3.2 用反黑精英(Trojan Ender)清 除木马
1.强大的木马查杀功能 2.网络状态监控功能 3.IE修复功能 4.查看敏感注册表值 5.进程管理 6.系统优化功能
2.特洛伊木马病毒的危害性
窃取内容; 远程控制。
4.1.2 特洛伊木马病毒的分析
4.1.3 检测和清除特洛伊木马
1.检测和消除 2.处理遗留问题
4.2 特洛伊木马原理
4.2.1 特洛伊木马的植入与隐藏
1.特洛伊木马的植入方式
(1)捆绑在文件上 (2)捆绑在网页中
2.特洛伊木马的隐藏方式
4.2.3 特洛伊木马的启动
1.中木马后出现的状况 2.木马的启动
4.2.4 特洛伊木马的类型与伪装方 法
1.木马的种类
(1)破坏型 (2)密码发送型 (3)远程访问型 (4)键盘记录木马 (5)DoS攻)反弹端口型木马
2.木马采用的伪装方法
第4章 特洛伊木马及其防治
4.1
特洛伊木马病毒基础
4.2
特洛伊木马原理 特洛伊木马病毒的防御
4.3
4.1 特洛伊木马病毒基础
4.1.1 特洛伊木马病毒的危害性
1.什么是特洛伊木马病毒
“特洛伊木马”(trojan horse)简称“木马”,据说 这个名称来源于希腊神话《木马屠城记》。
特洛伊病毒
特洛伊病毒引言在当今数字化世界中,计算机病毒已经成为网络安全的重要问题之一。
特洛伊病毒是一种恶意软件,它伪装成有害或有用的程序,在用户不知情的情况下进入系统,并窃取、损坏或破坏敏感信息。
特洛伊病毒得名于希腊神话中的特洛伊木马,其目的是通过欺骗用户进入其系统并对其进行攻击。
本文将探讨特洛伊病毒的工作原理、影响和预防措施。
一、特洛伊病毒的工作原理1.伪装成合法程序特洛伊病毒通常会伪装成合法的程序或文件,例如游戏、影音软件等。
用户下载、安装并运行这些程序时,特洛伊病毒就会开始在系统中活动。
2.隐藏恶意代码特洛伊病毒通常会隐藏自己的恶意代码,使其难以被发现。
它可以在系统的注册表、启动项、系统文件等关键位置嵌入自己的代码,以便能够在系统启动时自动运行。
3.远程控制特洛伊病毒一旦进入系统,攻击者就可以远程控制受感染的计算机。
攻击者可以通过特洛伊软件远程访问文件、操控系统、监视用户活动等,而用户则完全不知情。
二、特洛伊病毒的影响1.数据窃取特洛伊病毒可以窃取用户的个人信息,如账户名、密码、信用卡信息等。
这些信息可能被用来进行金融欺诈、身份盗用等非法活动。
2.文件损坏或删除特洛伊病毒还可以损坏或删除用户的文件和数据。
它可以破坏硬盘驱动器、操作系统文件和应用程序,导致系统不稳定或无法正常工作。
3.操控系统特洛伊病毒给攻击者提供了远程操控计算机的能力。
攻击者可以在用户不知情的情况下操纵计算机执行不法行为,例如发起DDoS攻击、散布垃圾邮件等。
三、特洛伊病毒的预防措施1.安装可信的安全软件为了避免特洛伊病毒的感染,用户应该安装一个可信的安全软件,如杀毒软件和防火墙。
这些软件可以帮助检测和阻止病毒、恶意软件的入侵。
2.谨慎下载和安装软件用户在下载和安装软件时应格外谨慎。
应只从官方网站或可信的下载平台下载软件,并确保软件的完整性和正当性。
3.定期更新操作系统和软件及时更新操作系统和软件是防止特洛伊病毒侵入的重要步骤。
更新可以修复安全漏洞,并添加新的防御机制来阻止病毒的入侵。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
特洛伊木马浅析及防范
作者:孙维智
来源:《硅谷》2012年第19期
摘要:木马是计算机网络四大公害之一,对计算机安全带来严重威胁。
主要对特洛伊木马来源及基本工作原理、攻击方式与隐蔽性进行分析,让大家了解熟悉防范特洛伊木马,保障网络信息安全。
关键词:特洛伊木马;木马攻击;木马隐藏
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2012)1010188-01
目前在不断发生的互联网安全事件中,大部分都有木马的身影。
《百锐互联网用户账户安全报告简版》指出,2011年上半年,互联网用户账户信息安全所收到的主要威胁有盗号木马、欺诈网站、服务器攻击和手机病毒四种。
报告指出,百锐云安全系统在全球范围内共截获新增木马样本816214种,总体数量比去年同期上升32.4%。
中国大陆地区148467种,占全球18.19%。
通过对2011上半年新增木马的恶意行为分析发现,互联网新增木马对计算机系统的损害越来越小,窃取私人信息(包括网络游戏、IM、网银等帐号信息)越来越多。
本文主要讲述特洛伊木马的攻击原理及防范措施。
1 特洛伊木马概述
特洛伊木马(Trojan Horse)这个名称来源于公元前十二世界希腊和和特洛伊之间的一场战争。
本文要说的特洛伊是计算机安全领域的特洛伊木马,是指寄宿在计算机里的一种非授权的远程控制程序。
由于特洛伊木马程序能够在计算机管理员未发觉的情况下开放系统权限、泄漏用户信息、甚至窃取整个计算机管理使用权限,使得它成为了黑客们最为常用的工具之一。
从某种意义上来说,特洛伊木马属于计算机病毒的一种,因为特洛伊木马具有计算机病毒特有的非授权性又具有隐蔽性和传播性等特性。
在对目标系统的访问和控制是没有经过合法用户授权的;在对计算机系统的控制或者泄漏用户信息控制计算机管理使用权限是在用户毫无察觉的状态下进行的;为感染更多的计算机,特洛伊木马通常采用电子邮件附件、合并到正常软件内等多种方式进行传播。
2 特洛伊木马的基本原理
特洛伊木马本质上就是一种客户/服务器模式的网络程序,其工作原理是一台主机提供服务器作为服务器端,另一台主机接受服务作为客户端。
服务器端的程序通常会开启一个预设的连接端口进行监听,当客户端向服务器端的这一连接端口提出连接请求时,服务器端上的相应程序就会自动执行,来回复客户端的请求,并提供其请求的服务。
对于特洛伊木马来说,功能端程序安装在被攻击的主机上,它也是木马大部分功能的实现端,木马对背攻击主机的所有控
制功能也都集中在服务器端。
木马的控制端程序通常安装在攻击者的主机上,用于控制功能端,向功能端发出各种命令,使得功能端程序按照攻击者意图实现各种远程控制功能。
特洛伊木马在几年与反病毒软件、防火墙等防御工具的不断较量中,技术越来越进步,攻击模式也从最早的传统攻击模式升级成为由传统攻击模式、反弹攻击模式和第三方中介攻击模式混合的方式。
所谓的传统攻击模式就是前面说到的由服务端打开端口,等待连接;客户端首先发出连接请求与服务端建立连接;然后实施攻击,这种攻击模式出现的比较早,使用的也最为普遍,现有的大多数木马都是采用的是这种攻击模式。
随着人们安全意识的不断提高,很多计算机安装有防火墙,由于防火墙默认的规则都是禁止由外向内发起的连接,导致传统攻击模式不能成功,于是特洛伊木马进化出新的木马攻击模式即反弹攻击模式。
这种攻击模式先由客户端使用合法的报文激活服务端,然后由服务端主动连接客户端,形成防火墙不禁止的由内而外连接,进而开始攻击,这种攻击模式称为反弹攻击模式。
又因为有些攻击方仅仅需要传递很少的控制信息,攻击者为了更好的隐藏自己,防止木马背发现了以后自己受到追查所进化出来的一种攻击模式。
通过服务器端和客户端不直接进行连接而是通过电子邮件服务器或者攻击者控制的肉鸡作为中介进行信息交互,客户端将控制进行发送到第三方中介上,服务器端定期到第三方中介获取控制信息,并将窃取的信息放到第三方中介上,由客户端自己来取。
3 特洛伊木马的隐藏技术
特洛伊木马程序植入目标系统后,会在目标系统的磁盘上加以隐藏欺骗用户。
隐藏保护木马的主要方式有:
1)插入到某程序中、与某程序捆绑在一起,一运行此程序就会启动木马,还可以通过ZIP制成自解压执行程序,一旦点击ZIP文件就会加载木马。
2)木马一般会将文件属性设置成隐藏、只读存放在windows或者windows/system32文件夹下面,并且修改文件的生成日期,以迷惑用户。
有些甚至还伪装成系统文件或者非可执行文件并更换图标,比如.bmp文件来迷惑用户。
3)用修改后的DLL替换系统原来的系统DLL,不需要监听端口,非常隐蔽。
替换后,正常的系统调用还是可以进行,但是多了一些功能供木马调用与执行。
4)进程中木马的隐藏方式是把木马进程改为非常类似于系统进程的名字,利用英文l和阿拉伯数字1看起很像;英文o和阿拉伯数字0看起来很像,伪装成系统进程迷惑用户,比如Exp1orer.exe、SVCH0ST.EXE等。
现在很多木马都是以线程方式,即把木马写成动态链接库(DLL)文件,通过DLL技术,木马以线程的方式存在,木马调用的是系统中正常的进程,只是在运行时将自己插入另一个进程中,以实现任务管理器里的隐藏。
而且这种隐藏当查看当前使用端口时,木马打开的端口对应的进程不是木马本身,而是被插入的进程——一个正常进程,从而实现端口隐藏的目的。
木马还有其他一些隐藏方式:修改进程管理程序隐藏进程信息,利用由于进程管理程序不列出进程标识号(PID)为0的进程信息,因此把要隐藏进程的PID设为0(空转进程),实现进程隐藏等。
5)随着木马隐藏技术的更新发展,出现了隐藏在BIOS中的木马。
利用windows系统的INT13终端,在系统执行前调用刷写在BIOS中的代码,先于系统执行,然后把执行权交给windows的loader。
这种隐藏的木马不需要担心其启动的问题,无须替换系统文件。
4 特洛伊木马防范
传播方式一直是恶意程序的命门,也是实现恶意程序的关键技术之一,如果不能传播到被攻击的主机之上,特洛伊木马再强大的功能也无用武之地。
因此,作为计算机用户要严把入口关,特别是针对特洛伊木马的几种常见传播途径。
1)针对电子邮件传播:用户不随意打开来历不明的邮件,阻塞可疑邮件。
2)针对网站下载传播方式:不随意下载来历不明的软件,尽可能到大型网络下载并且先杀毒后使用。
3)针对QQ等即时通信工具的传播方式:不随意打开陌生人传来的图片或者软件,即使好友传来的文件也要先杀毒然后再打开。
其次要建立坚固的防御体系,堵塞漏洞,不给特洛伊木马等恶意程序以可乘之机。
安装防病毒软件并开启实时监控,及时升级更新病毒库,定时对操作系统升级,安装官方提供的补丁程序,修补操作系统本身存在的安全漏洞,安装防火墙软件并进行合理的规则设置,将攻击隔离在计算机系统之外。
经常对系统的端口、进程、启动项等进行检查。
如前所述,特洛伊木马本质是一种网络程序,程序只有启动了才能运行,运行时以进程的形式出现,网络程序通信需要使用端口,所以经常对系统的端口、进程、启动项等进行检查,并进行设置,特洛伊木马就不能正常工作,无法发挥其破坏作用。
5 结束语
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。
深入了解特洛伊木马的运行原来,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害。
参考文献:
[1]杨小刚,计算机木马病毒检测与防范[J].计算机与信息技术,2010(06).
[2]张喜洁、李晓明,计算机木马破解与预防[J].农业信息网络,2007(09).
[3]朱明、徐骞、刘春明,《木马病毒分析及其检测方法研究》,计算机工程与应用,2003.。