木马讲析PPT
合集下载
第十四讲计算机木马二
反弹窗口的连接方式
❖无中间代理的连接 ❖引入中间代理的连接
客户端
远程主机
更新IP、port
获取客户端IP、Port
中间代理(保存客户端IP、Port)
灰鸽子简介
❖灰鸽子是国内第三代木马的典型代表
❖除了可以使用传统连接方式,可以使用反 弹窗口的连接方式,方便的控制动态IP地 址和局域网内的远程主机
❖在使用灰鸽子时,可以利用灰鸽子自带的 工具,申请免费域名提供的动态IP映射实 现代理功能
第四代木马——广外男生
❖ 简介:广外男生同广外女生一样,是广东外语外贸大学的 作品。
❖ 特色:
客户端模仿Windows资源管理器:除了全面支持访问远程服务 器文件系统,也同时支持通过对方的“网上邻居”,访问对方 内部网其他机器
❖步骤一:打开“文件夹选项”设置,将 “隐藏受保护的操作系统文件”前面的勾 去掉,同时设置现实所有文件和文件夹
❖步骤二:新建一个文件夹,双击该文件后, 选择“查看”—“自定义文件夹”。在“自 定义文件夹向导”中选择“选择或编辑该 文件夹的HTML模板”,然后单击“下一 步”,进入“模板选择“
运用了“反弹窗口”技术
使用了“线程插入”技术:服务器运行时没有进程,所有网络 操作均插入到其他应用程序的进程中完成。即便受控端安装的 防火强有“应用程序访问权限”的功能,也不能对广外男生的 服务器进行有效警告和拦截。
不再支持传统的连接方式
广外男生使用实例
❖客户端设置:打开广外男生客户端 (gwboy092.exe),选择“设置”— >“客户端设置”,打开“广外男生客户端 设置程序”。 其中最大连接数一般使用默 认的30台,客户端使用端口一般设置成80。
计算机木马
病毒木马PPT课件
计算机病毒的产生
▪ 现在流行的病毒是由人为故意编写的,多数病毒 可以找到作者和产地信息,从大量的统计分析来 看,病毒作者主要情况和目的是:一些天才的程 序员为了表现自己和证明自己的能力,处于对上 司的不满,为了好奇,为了报复,为了祝贺和求 爱,为了得到控制口令,为了软件拿不到报酬预 留的陷阱等.当然也有因政治,军事,宗教,民 族.专利等方面的需求而专门编写的,其中也包 括一些病毒研究机构和黑客的测试病毒.
计算机病毒的特点
▪ 潜伏性的第一种表现是指,病毒程序不用 专用检测程序是检查不出来的,因此病毒 可以静静地躲在磁盘或磁带里呆上几天, 甚至几年,一旦时机成熟,得到运行机会, 就又要四处繁殖、扩散,继续为害。
计算机病毒的特点
▪ 潜伏性的第二种表现是指,计算机病毒的 内部往往有一种触发机制,不满足触发条 件时,计算机病毒除了传染外不做什么破 坏。触发条件一旦得到满足,有的在屏幕 上显示信息、图形或特殊标识,有的则执 行破坏系统的操作,如格式化磁盘、删除 磁盘文件、对数据文件做加密、封锁键盘 以及使系统死锁等;
三、计算机病毒的产生
▪ 病毒不是来源于突发或偶然的原因.一次 突发的停电和偶然的错误,会在计算机的 磁盘和内存中产生一些乱码和随机指令, 但这些代码是无序和混乱的,病毒则是一 种比较完美的,精巧严谨的代码,按照严 格的秩序组织起来,与所在的系统网络环 境相适应和配合起来,病毒不会通过偶然 形成,并且需要有一定的长度,这个基本 的长度从概率上来讲是不可能通过随机代 码产生的。
五、计算机病毒分类
▪ 根据多年对计算机病毒的研究,按照科学 的、系统的、严密的方法,计算机病毒可 分类如下:按照计算机病毒属性的方法进 行分类,计算机病毒可以根据下面的属性 进行分类:
二、计算机病毒的长期性
木马及行为分析。蒲杨
伪装方式
• • • • • • (1)修改图标 (2)捆绑文件 (3)出错显示 (4)定制端口 (5)自我销毁 (6)木马更名
木马运行过程
• 木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立 连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端 口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放, 你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例: 其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端 还未建立连接时的显示状态。 在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口, 下面是一些常用的端口: (1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的 程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马 会用保留端口作为木马端口 的。 (2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的 端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。 (3)4000端口:这是OICQ的通讯端口。 (4)6667端口:这是IRC的通讯端口。除上述的端口基本可以排除在外, 如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染 了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
完整的木马系统
• 一个完整的木马系统由硬件部分,软件部 分和具体连接部分组成。 • (1)硬件部分:建立木马连接所必须的硬 件实体。 • (2)软件部分:实现远程控制所必须的软 件程序。 • (3)具体连接部分:通过INTERNET在服 务端和控制端之间建立一条木马通道所必 须的: • (1)通过E-MAIL,控制端将木马程序以附 件的形式夹在邮件中发送出去,收信人只 要打开附件系统就会感染木马; • (2)通过软件下载,一些非正规的网站以 提供软件下载为名义,将木马捆绑在软件 安装程序上,下载后,只要一运行这些程 序,木马就会自动安装。
病毒与木马的防范介绍医学PPT课件
通常的病毒应急反应预案流程图
二、蠕虫防范 防病毒 蠕虫防范 木马防范 恶意网页防范 恶意代码的分析
蠕虫技术 蠕虫的特征 蠕虫的基本结构 蠕虫发作特点和趋势 蠕虫分析和防范
蠕虫的特征 定义:一段能不以其他程序为媒介,从一个电脑 体统复制到另一个电脑系统的程序
物理隔离网络中病毒的传播 系统漏洞传播; 存储介质传播; 邮件传播;
建立有效的病毒防范管理机制 建立防病毒管理机构 防病毒管理机制的制定和完善 制定防病毒管理制度 用技术手段保障管理的有效性 加强培训以保障管理机制执行
建立有效的病毒防范管理机制
建立有效的病毒应急机制 建立应急响应中心 病毒事件分级 制定应急响应处理预案 应急响应流程 应急响应的事后处理
木马防范
防病毒 蠕虫防范 木马防范 恶意网页防范 恶意代码的分析
木马 木马定义及生存方式 五代木马技术的发展 关键技术和检测方法 防范实例和方法
木马程序的生存方式 包含一个合法程序中,与合法程序绑定在一起, 在用户调用该合法程序时,木马程序也被启动; 在一个合法程序中加入此非法程序执行代码,该 代码在用户调用合法程序时被执行; 直接伪装成合法程序。
宏病毒
后门病毒
病毒种植程序
病毒的分类
破坏性程序病毒
破坏性程序病毒的前缀是:Harm 用好看的图标来诱惑用户点击 ,当点击这类病毒时,便会直接对计算机产生破坏。如格式化c 盘(harmformatcf) 玩笑病毒的前缀是:joke。也成恶作剧病毒。用好看的图标来诱 惑用户点击,但不对电脑进行破坏。如:女鬼(joke.grilghost) 病毒。 捆绑机病毒的前缀是:binder.用特定的捆绑程序将病毒与应用程序 如qq、ie捆绑起来,当运行这些捆绑病毒时,会表面上运行这些 应用程序,然后隐藏运行捆绑在一起的病毒。如:捆绑qq( binder.qqpass.qqbin)
最常见网络攻击详细分析PPT课件
.
25
二、预攻击探测
➢端口扫描工具
图: NetScan.Tools
26
二、预攻击探测
图:WinScan
.
27
二、预攻击探测
图:SuperScan
.
28
二、预攻击探测
图:Nmap
.
29
二、预攻击探测
图: X-scan
.
30
二、预攻击探测
3.操作系统的识别
操作系统辨识的动机 ✓许多漏洞是系统相关的,而且往往与相应的版本对应 ✓从操作系统或者应用系统的具体实现中发掘出来的攻击手段 都需要辨识系统 ✓操作系统的信息还可以与其他信息结合起来,比如漏洞库, 或者社会诈骗(社会工程,social engineering)
第五章 常见的网络攻击与防范
➢网络攻击步骤 ➢预攻击探测 ➢漏洞扫描(综合扫描) ➢木马攻击 ➢拒绝服务攻击 ➢欺骗攻击 ➢蠕虫病毒攻击 ➢其他攻击
.
1
一、网络攻击步骤
➢网络安全威胁国家基础设施
控制
广播
通讯
因特网
信息对抗的威胁在增加 电力 交通
医疗
工业 金融
.
2
一、网络攻击步骤
➢网络中存在的安全威胁
➢删除文件 ➢修改文件 ➢产生安全后门 ➢Crash Computer ➢DoS ➢机密信息窃取
防火墙,入侵监测,防病毒, 漏洞扫描,安全意识等
典型攻击步骤图解
.
5
一、网络攻击步骤
➢攻击手法 vs. 入侵者技术
高
半开隐蔽扫描 攻击手法与工具
IP欺骗
拒绝服务
嗅探
DDOS 攻击
消除痕迹
www 攻击 自动探测扫描
木马病毒原理及特征分析.ppt
⑤建立连接
⑥远程控制
22:39:04
14
特洛伊木马的基本原理
木马控制端与服务端连接的建立
控制端要与服务端建立连接必须知道服务端的木马 端口和IP地址
由于木马端口是事先设定的,为已知项,所以最重 要的是如何获得服务端的IP地址
获得服务端的IP地址的方法主要有两种:信息反馈 和IP扫描
22:39:04
22:39:04
22
检测方法
检查系统驱动程序列表中已经装入的驱动程序 的名称,如果在驱动程序列表中发现了病毒驱 动程序,说明基本上感染了病毒
病毒可能使用隐藏技术避免在驱动程序列表中 出现,需要通过计算机管理器中的驱动程序列 表。
22:39:04
23
病毒的隐藏技术
隐藏是病毒的天性,在业界对病毒的定义里,“隐蔽 性”就是病毒的一个最基本特征,任何病毒都希望在 被感染的计算机中隐藏起来不被发现,因为病毒都只 有在不被发现的情况下,才能实施其破坏行为。为了 达到这个目的,许多病毒使用了各种不同的技术来躲 避反病毒软件的检验,这样就产生了各种各样令普通 用户头痛的病毒隐藏形式。
木马一般不具有普通病毒所具有的自我繁殖、主动感染传播 等特性,但我们习惯上将其纳入广义病毒,也就是说,木马 也是广义病毒的一个子类
木马的最终意图是窃取信息、实施远程监控
木马与合法远程控制软件(如pcAnyWhere)的主要区 别在于是否具有隐蔽性、是否具有非授权性
22:39:04
12
特洛伊木马的结构
5
22:39:04
6
常见的特洛伊木马
常见的特洛伊木马,例如Back Orifice和
SubSeven等,都是多用途的攻击工具包,功
能非常全面,包括捕获屏幕、声音、视频内容
计算机病毒(公开课)图文PPT课件
杀毒软件原理及使用技巧
杀毒软件原理
通过病毒库比对、行为分析、启发式 扫描等技术,识别并清除计算机病毒 。
选择合适的杀毒软件
根据实际需求选择知名品牌的杀毒软 件,确保软件及时更新病毒库。
定期全盘扫描
定期对计算机进行全盘扫描,以便及 时发现并清除潜在的病毒威胁。
注意误报与漏报
留意杀毒软件可能产生的误报和漏报 情况,结合实际情况进行判断和处理 。
建立完善的应急响应机制,对突发 的计算机病毒事件进行快速响应和 处理,减少损失。
THANKS
感谢观看
REPORTING
Linux内核中的一个权限提升漏洞,攻击者可以利用该漏洞将自己的进程提升为root权限 ,进而完全控制受害者的计算机。
Meltdown和Spectre漏洞
利用处理器设计中的缺陷,攻击者可以绕过操作系统的内存隔离机制,窃取其他程序的内 存数据。这两个漏洞影响了大量计算机设备的安全性。
PART 05
网络攻击手段及其防范方 法
安全配置
关闭不必要的端口和服务 ,限制远程访问权限,启 用防火墙等安全配置,提 高系统安全性。
案例分析:操作系统漏洞利用实例
EternalBlue漏洞
利用Windows系统的SMB服务漏洞,攻击者可以远程执行代码,控制受害者计算机。该 漏洞曾导致全球范围内的WannaCry勒索病毒爆发。
Dirty COW漏洞
近年来,恶意软件和勒索软件 大量涌现,以窃取个人信息和
勒索钱财为目的。
危害与影响
数据破坏
病毒可以删除或修改文 件,导致数据丢失或损
坏。
系统崩溃
病毒可能占用大量系统 资源,导致计算机运行
缓慢或崩溃。
网络攻击
2024版计算机病毒防治ppt课件
•计算机病毒概述•计算机病毒识别与检测•计算机病毒防范策略与措施•杀毒软件选择与应用技巧•系统漏洞修补与网络安全配置•数据备份恢复与应急处理方案•总结回顾与未来展望计算机病毒概述定义与分类定义计算机病毒是一种恶意软件,通过复制自身并在计算机网络中进行传播,从而破坏数据、干扰计算机操作或占用系统资源。
分类根据病毒的特性和传播方式,可分为蠕虫病毒、木马病毒、宏病毒、文件病毒、启动区病毒等。
发展历程及现状发展历程计算机病毒自诞生以来,经历了从简单到复杂、从单机到网络的发展历程。
随着互联网的普及和技术的进步,计算机病毒的传播速度和破坏力也在不断提升。
现状目前,计算机病毒已经成为网络安全领域的重要威胁之一。
随着黑客技术的不断发展和演变,计算机病毒的种类和传播方式也在不断增多,给个人和企业带来了严重的安全威胁。
危害程度与影响范围危害程度计算机病毒的危害程度因病毒类型和攻击目标而异。
一些病毒会破坏数据和文件,导致系统崩溃或数据丢失;另一些病毒则会占用系统资源,导致计算机运行缓慢或无法正常工作。
影响范围计算机病毒的影响范围非常广泛,可以影响个人计算机、企业网络甚至整个互联网。
一些病毒还会通过电子邮件、社交媒体等途径传播,进一步扩大了其影响范围。
计算机病毒识别与检测通过网络传播,占用大量网络资源,导致网络拥堵。
隐藏在正常程序中,窃取用户信息,如账号密码等。
加密用户文件,要求支付赎金才提供解密工具。
感染Office等文档,通过宏命令进行传播和破坏。
蠕虫病毒木马病毒勒索病毒宏病毒常见病毒类型及特点识别方法与技术手段行为分析监控程序运行时的行为,如异常的网络连接、文件操作等。
提供实时防护、病毒查杀、系统修复等功能。
360安全卫士集病毒查杀、系统优化、软件管理等功能于一体。
腾讯电脑管家专注于病毒查杀和防御,提供强大的自定义设置功能。
火绒安全软件定期更新病毒库,定期全盘扫描,注意设置实时防护和自动处理威胁。
使用指南检测工具推荐及使用指南计算机病毒防范策略与措施ABDC安装可靠的安全软件使用知名的防病毒软件,并及时更新病毒库和引擎,确保对最新威胁的防护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等持用户连接。 7)反弹端口型木马;防火墙对于接入的链接往往会进行非常严格的过滤,但
对于接出的链接却疏于防范。和一般的木马相反,反弹端口型木马的服务端 (被控制端)往往使用主动的端口,客户端(控制端)使用被动端口。 9)程序杀手木马
4)键盘记录木马:这种木马随着Windows的启动而启动,记录受害者的键盘 敲击并在LOG文件里查找密码。它有在线和离线记录两种选项,可以分别记录 用户在线和离线状态下敲击键盘时的按键情况,也就是说在目标电脑上按过 什么键,都可以从记录中知道,并从中找出密码信息,甚至是信用卡账号。
5)DoS 攻击木马 6)FTP 木马:这种木马是最简单而古老的木马,它惟一功能就是打开21端口
(1)破坏型:这种木马惟一的功能就是破坏并删除文件,它们 能够删除目标机的上DLL、INI、EXE文件、电脑一旦被感染其安全 性就会受到严重威胁。 2)密码发送型:这种木马可能找到目标机的隐藏密码,在受害 者不知道的情况下,把它们发送到指定的信箱。
3)远程访问型:人运行了服务端的程序,客户端通过扫描等手段得到服务端的IP 地址,就可以实现远程控制。
基本功能:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入。
2.记录各种口令信息
3.获取系统信息
4.限制系统功能
5.远程文件操作
6.注册表操作
7.发送信息
8.点对点通讯
原理:
如果激活了冰河木马的服务端程序G-Server.exe, 那么它将在目标计算机的C:\Windows\ system目录下生成两个可执行文件: Kernel32.exe和Sysexplr.exe。如果你仅仅是找到 并删除Kernel32.exe,并不能像你想象的那样已 经清除了冰河木马,只要你打开任何一个文本 文件,Sysexplr.exe就会被激活,它会再次生成 一个Kernel32.exe,这就导致了冰河木马的屡删 不止。了解了这些之后我们就可以在计算机系
基本概念:
木马,其实质只是一个网络客户/服务程序,网络客户/服务模式 的原理是一台主机提供服务(服务器),另一台主机接受服务(客户 机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请 求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到 了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端 则是一台客户机,G_server.exe是守护进程, G_client是客户端应用 程序。
统没有被感染时针对冰河木马的感染原理对其 进行免疫。
一:冰河木马是正向远控,灰鸽子是反向远控, 两种上线方式不同
二:冰河木马是用C++Builder写的,灰鸽子是 Delphi语言
三:灰鸽子”是2001年出现的,采用Delphi编 写,最早并未以成品方式发布,更多的是以技 术研究的姿态,采用了源码共享的方式出。
众所周知,木马对电脑有着强大的控制能力。木马都有一个客户 端和一个服务端,一旦木马的服务端被植入了计算机,那么木马 客户端的拥有者就可以像操作自己的机器一样控制你的计算机, 因而利用木马进行入侵也就成为很多入侵者非常喜欢的方式。如 果我们能采用某种办法阻止木马的植入,就可以防患于未然,将 可能的损失降到最低。
成员:李茂军 何帆 罗岩松 罗小静
灰鸽子与冰河原理的区别? 其他木马的分类?
基本概念:
是一个集多种控制方法于一体的木马病毒,一旦 用户电脑不幸感染,可以说用户的一举一动都在 黑客的监控之下,要窃取账号、密码、照片、重 要文件都轻而易举。
基本功能:灰鸽子客户端和服务端都是采用
Delphi编写。黑客利用客户端程序配置出服务端 程序。可配置的信息主要包括上线类型(如等待 连接还是主动连接)、主动连接时使用的公网IP (域名)、连接密码、使用的端口、启动项名称、 服务名称,进程隐藏方式,使用的壳,代理,图 标等等
原理:
此类软件被统称为远程控制类软件(或黑客软 件、木马软件),它们均为 C/S 结构 (Client/Server,客户机/服务器)。软件分为客 户端与服务端两部分,客户端即为控制端(由 控制者使用),服务端为被控制端(由被控制 者使用),依据服务端运行时是否会显示明显 的运行标志(即对方是否知道它运行有服务 端),可分为正邪两派,邪派就是传说中的黑 客软件、特洛伊木马程序,是各大杀毒软件 的首要目标。同类软件原理服务端运行后, 会在本机打开一个网络端口监听客户端的连 接(时刻等待着客户端的连接),连接建立后, 客户端可用这个通道向服务端发送命令并接 收返回数据,即可实现远程访问
所有的木马病毒要成功地运行,都要具备两个条件,这也就成为了它们的 共同的弱点:第一,需要向目标计算机植入木马服务端程序;第二,需要 激活木马服务端程序
针对木马病毒的弱点,我们的目标就是要破坏其中的一个木马要运行成功 的条件,这样就能使木马无法运行,从而达到免疫的效果。木马病毒首先 要在目标计算机中植入木马服务端程序文件,在Windows操作系统中是不 允许在同一目录下创建两个文件名完全相同的文件的,我们可以根据对木 马感染的案例进行分析,然后在要植入木马文件的所有位置都放上一个与 木马文件完全同名的0字节文件,然后对这些文件的各项参数进行设置, 这样,木马病毒在植入时就会因为不能修改文件而失败。也就相当于免疫 方法中的感染标识免疫,文件夹中已经存在相同文件名的文件则标志着已 经被感染,所以木马服务端就不会被“二次种植”,从而避免了木马的感 染。
对于接出的链接却疏于防范。和一般的木马相反,反弹端口型木马的服务端 (被控制端)往往使用主动的端口,客户端(控制端)使用被动端口。 9)程序杀手木马
4)键盘记录木马:这种木马随着Windows的启动而启动,记录受害者的键盘 敲击并在LOG文件里查找密码。它有在线和离线记录两种选项,可以分别记录 用户在线和离线状态下敲击键盘时的按键情况,也就是说在目标电脑上按过 什么键,都可以从记录中知道,并从中找出密码信息,甚至是信用卡账号。
5)DoS 攻击木马 6)FTP 木马:这种木马是最简单而古老的木马,它惟一功能就是打开21端口
(1)破坏型:这种木马惟一的功能就是破坏并删除文件,它们 能够删除目标机的上DLL、INI、EXE文件、电脑一旦被感染其安全 性就会受到严重威胁。 2)密码发送型:这种木马可能找到目标机的隐藏密码,在受害 者不知道的情况下,把它们发送到指定的信箱。
3)远程访问型:人运行了服务端的程序,客户端通过扫描等手段得到服务端的IP 地址,就可以实现远程控制。
基本功能:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入。
2.记录各种口令信息
3.获取系统信息
4.限制系统功能
5.远程文件操作
6.注册表操作
7.发送信息
8.点对点通讯
原理:
如果激活了冰河木马的服务端程序G-Server.exe, 那么它将在目标计算机的C:\Windows\ system目录下生成两个可执行文件: Kernel32.exe和Sysexplr.exe。如果你仅仅是找到 并删除Kernel32.exe,并不能像你想象的那样已 经清除了冰河木马,只要你打开任何一个文本 文件,Sysexplr.exe就会被激活,它会再次生成 一个Kernel32.exe,这就导致了冰河木马的屡删 不止。了解了这些之后我们就可以在计算机系
基本概念:
木马,其实质只是一个网络客户/服务程序,网络客户/服务模式 的原理是一台主机提供服务(服务器),另一台主机接受服务(客户 机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请 求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到 了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端 则是一台客户机,G_server.exe是守护进程, G_client是客户端应用 程序。
统没有被感染时针对冰河木马的感染原理对其 进行免疫。
一:冰河木马是正向远控,灰鸽子是反向远控, 两种上线方式不同
二:冰河木马是用C++Builder写的,灰鸽子是 Delphi语言
三:灰鸽子”是2001年出现的,采用Delphi编 写,最早并未以成品方式发布,更多的是以技 术研究的姿态,采用了源码共享的方式出。
众所周知,木马对电脑有着强大的控制能力。木马都有一个客户 端和一个服务端,一旦木马的服务端被植入了计算机,那么木马 客户端的拥有者就可以像操作自己的机器一样控制你的计算机, 因而利用木马进行入侵也就成为很多入侵者非常喜欢的方式。如 果我们能采用某种办法阻止木马的植入,就可以防患于未然,将 可能的损失降到最低。
成员:李茂军 何帆 罗岩松 罗小静
灰鸽子与冰河原理的区别? 其他木马的分类?
基本概念:
是一个集多种控制方法于一体的木马病毒,一旦 用户电脑不幸感染,可以说用户的一举一动都在 黑客的监控之下,要窃取账号、密码、照片、重 要文件都轻而易举。
基本功能:灰鸽子客户端和服务端都是采用
Delphi编写。黑客利用客户端程序配置出服务端 程序。可配置的信息主要包括上线类型(如等待 连接还是主动连接)、主动连接时使用的公网IP (域名)、连接密码、使用的端口、启动项名称、 服务名称,进程隐藏方式,使用的壳,代理,图 标等等
原理:
此类软件被统称为远程控制类软件(或黑客软 件、木马软件),它们均为 C/S 结构 (Client/Server,客户机/服务器)。软件分为客 户端与服务端两部分,客户端即为控制端(由 控制者使用),服务端为被控制端(由被控制 者使用),依据服务端运行时是否会显示明显 的运行标志(即对方是否知道它运行有服务 端),可分为正邪两派,邪派就是传说中的黑 客软件、特洛伊木马程序,是各大杀毒软件 的首要目标。同类软件原理服务端运行后, 会在本机打开一个网络端口监听客户端的连 接(时刻等待着客户端的连接),连接建立后, 客户端可用这个通道向服务端发送命令并接 收返回数据,即可实现远程访问
所有的木马病毒要成功地运行,都要具备两个条件,这也就成为了它们的 共同的弱点:第一,需要向目标计算机植入木马服务端程序;第二,需要 激活木马服务端程序
针对木马病毒的弱点,我们的目标就是要破坏其中的一个木马要运行成功 的条件,这样就能使木马无法运行,从而达到免疫的效果。木马病毒首先 要在目标计算机中植入木马服务端程序文件,在Windows操作系统中是不 允许在同一目录下创建两个文件名完全相同的文件的,我们可以根据对木 马感染的案例进行分析,然后在要植入木马文件的所有位置都放上一个与 木马文件完全同名的0字节文件,然后对这些文件的各项参数进行设置, 这样,木马病毒在植入时就会因为不能修改文件而失败。也就相当于免疫 方法中的感染标识免疫,文件夹中已经存在相同文件名的文件则标志着已 经被感染,所以木马服务端就不会被“二次种植”,从而避免了木马的感 染。