目 录
一 木马的概述······································1 二 基础知识········································3 三 木马的运行······································4 四 信息泄露········································5 五 建立连接········································5 六 远程控制········································6 七 木马的防御······································7 八 参考文献········································7
一 .木马的概述
特洛伊木马,英文叫做“Trojanhorse”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,对此无可奈何;所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段,最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。而后随着Windows平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练地操作木马,相应的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
木马的种类繁多,但是限于种种原因,真正广泛使用的也只有少数几种,如BO,Subseven,冰河等。
1、BO2000有一个相当有用的功能,即隐藏木马进程,一旦将这项功能设备为enable,用ATM察看进程时,BO的木马进程将不会被发现。
2、在版本较高的Subseven中除常规的触发条件外,还提供有less know method和not know method两种触发方法。选择前者,运行木马后将SYSTEM.INI中的Shell改为Shell=explorer.exe msrexe.exe,即用SYSTEM.INI触发木马,选择后者则会在c:\\Windows\\目录下创建一个名为Windows.exe程序,通过这个程序来触发木马,并将\\HKEY-ROOT\\exefile\\shell\\open\\command\\的键值“%1”、“%X”改为“Windows.exe” %1”、“%X,也就是说,即使我们把木马删除了,只要一运行EXE文件,Windows.exe马上又将木马安装上去,对于这种触发条件,我们只要将键值改回原值,并删除Windows.exe即可。
3、冰河的特殊触发条件和Subseven极为相似,它将\\
1
HKEY-ROOT\\exefile\\shell\\open\\command\\的键值“Notepad.exe%1”改为“C\\WINDOWS\\SYSTEM\\SYSEXPLR.EXE%1”,并在C\\WINDOES\\SYSTEM目录下建立一个名为SYSEXPLR.EXE,这样只要打开TXT文件,就会运行SYSEXPLR.EXE安装木马,而在2.2版本中又提供了运行EXE文件安装木马的功能,至于删除方法与subseven一样。要注意的是,冰河的木马程序有隐藏属性,需将显示模式设置为显示所有文件时,才能看到。
4、YAI是一个木马和病毒的综合体,它通过寄生于任意基于GUI子系统、PE格式的WINDOWS程序触发木马,这样即使YAIver被意外清除,在短时间内也可自动恢复。同时,由于YAI是个病毒,运行并产生后会产生后缀名为TMP和TMP.YAI充斥硬盘。
二 .基础知识
1.木马的组成
(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。
Internet:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。
木马配置程序:设置木马程序的端口号,触发条件、木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:木马进行数据传输的目的地。
控制端端口,木马端口:即控制端、服务端的数据入口,通过这个入口数据可直达控制端程序或木马程序。 2.木马的功能
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两个功能:(1)木马伪装:木马配置程序为了在服务端尽可能隐藏好木马,会采用多种伪装手段如修改图标、捆绑文件、定制端口、自我销毁等。(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置
2
信息反馈的邮件地址、IRC号、ICQ号等等。 3.伪装方式:
(1) 修改图标:木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性。
(2) 捆绑文件:这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉情况下,偷偷地进入了系统。至于被捆绑的文件一般是可执行文件。
(3) 出错显示:当服务端用户打开木马程序时,会弹出一个错误提示框,错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了你的系统。
(4)自我销毁:木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。 2.木马的传播
传播方式:一般是通过E-mail,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件就会感染木马;还有软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。再者就是以移动设备为媒介进行传播。
三 .木马的运行
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到Windows的系统文件夹中,然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。 1.由触发条件激活木马
触发条件是指启动木马的条件,当条件达到时木马就会激活。还有启动菜单:在“开始-程序-启动”选项下也可能有木马的触发条件。 2.木马运行过程
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下,键入NETSTAT-AN查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,你就要注意
3
相关推荐:
loading