[網(wǎng)絡(luò)安全與病毒防范]第十二章-特洛伊木馬及其防治課件

《[網(wǎng)絡(luò)安全與病毒防范]第十二章-特洛伊木馬及其防治課件》由會(huì)員分享，可在線閱讀，更多相關(guān)《[網(wǎng)絡(luò)安全與病毒防范]第十二章-特洛伊木馬及其防治課件（39頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、特洛伊木馬及其防治 特洛伊木馬病毒基礎(chǔ)特洛伊木馬病毒基礎(chǔ) 特洛伊木馬原理特洛伊木馬原理2 特洛伊木馬病毒的防御特洛伊木馬病毒的防御32024/4/27 第1頁1特洛伊木馬病毒基礎(chǔ)特洛伊木馬病毒的危害性特洛伊木馬病毒的危害性1什么是特洛伊木馬病毒什么是特洛伊木馬病毒“特洛伊木馬特洛伊木馬”（trojanhorse）簡(jiǎn)稱）簡(jiǎn)稱“木馬木馬”，據(jù)說這個(gè)名稱來源于希臘神話，據(jù)說這個(gè)名稱來源于希臘神話木馬屠城記木馬屠城記。后世稱這只大木馬為后世稱這只大木馬為“特洛伊木馬特洛伊木馬”。如今黑客。如今黑客程序借用其名，有程序借用其名，有“一經(jīng)潛入，后患無窮一經(jīng)潛入，后患無窮”之意。之意。完整的木馬程序一般由兩

2、個(gè)部分組成：一個(gè)是完整的木馬程序一般由兩個(gè)部分組成：一個(gè)是服務(wù)器程序，一個(gè)是控制器程序服務(wù)器程序，一個(gè)是控制器程序。2024/4/27 第2頁特洛伊木馬是一種秘密潛伏的能夠通特洛伊木馬是一種秘密潛伏的能夠通過遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行控制的惡意程序。過遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行控制的惡意程序。控制者可以控制被秘密植入木馬的計(jì)控制者可以控制被秘密植入木馬的計(jì)算機(jī)的一切動(dòng)作和資源，是惡意攻擊者進(jìn)算機(jī)的一切動(dòng)作和資源，是惡意攻擊者進(jìn)行竊取信息等的工具。他由黑客通過種種行竊取信息等的工具。他由黑客通過種種途徑植入并駐留在目標(biāo)計(jì)算機(jī)里。途徑植入并駐留在目標(biāo)計(jì)算機(jī)里。2024/4/27 第3頁木馬可以隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某一木馬可以

3、隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某一端口進(jìn)行偵聽，在對(duì)目標(biāo)計(jì)算機(jī)的的數(shù)據(jù)、端口進(jìn)行偵聽，在對(duì)目標(biāo)計(jì)算機(jī)的的數(shù)據(jù)、資料、動(dòng)作進(jìn)行識(shí)別后，就對(duì)其執(zhí)行特定資料、動(dòng)作進(jìn)行識(shí)別后，就對(duì)其執(zhí)行特定的操作，并接受的操作，并接受“黑客黑客”指令將有關(guān)數(shù)據(jù)指令將有關(guān)數(shù)據(jù)發(fā)送到發(fā)送到“黑客大本營(yíng)黑客大本營(yíng)”。這只是木馬的搜集信息階段，黑客同這只是木馬的搜集信息階段，黑客同時(shí)可以利用木馬對(duì)計(jì)算時(shí)可以利用木馬對(duì)計(jì)算機(jī)進(jìn)行進(jìn)一步的攻機(jī)進(jìn)行進(jìn)一步的攻擊！這時(shí)的目標(biāo)計(jì)算機(jī)就是大家常聽到的擊！這時(shí)的目標(biāo)計(jì)算機(jī)就是大家常聽到的“肉雞肉雞”了！了！2024/4/27 第4頁2特洛伊木馬病毒的危害性特洛伊木馬病毒的危害性特洛伊木馬和病毒、蠕蟲

4、之類的惡意特洛伊木馬和病毒、蠕蟲之類的惡意程序一樣，也會(huì)刪除或修改文件、格式化程序一樣，也會(huì)刪除或修改文件、格式化硬盤、上傳和下載文件、騷擾用戶、驅(qū)逐硬盤、上傳和下載文件、騷擾用戶、驅(qū)逐其他惡意程序。其他惡意程序。除此以外，木馬還有其自身的特點(diǎn)：除此以外，木馬還有其自身的特點(diǎn)：竊取內(nèi)容；竊取內(nèi)容；遠(yuǎn)程控制。遠(yuǎn)程控制。2024/4/27 第5頁特洛伊木馬病毒的分析特洛伊木馬病毒的分析江民殺毒軟件江民殺毒軟件2010年年10月病毒種類統(tǒng)計(jì)餅形圖月病毒種類統(tǒng)計(jì)餅形圖2024/4/27 第6頁江民殺毒軟件江民殺毒軟件2009年病毒種類統(tǒng)計(jì)餅形圖年病毒種類統(tǒng)計(jì)餅形圖2024/4/27 第7頁常見的特洛伊

5、木馬，例如常見的特洛伊木馬，例如BackOrifice和和SubSeven等，都是多用途的攻擊工具包，等，都是多用途的攻擊工具包，功能非常全面，包括捕獲屏幕、聲音、視頻功能非常全面，包括捕獲屏幕、聲音、視頻內(nèi)容的功能。這些特洛伊木馬可以當(dāng)作鍵記內(nèi)容的功能。這些特洛伊木馬可以當(dāng)作鍵記錄器、遠(yuǎn)程控制器、錄器、遠(yuǎn)程控制器、FTP服務(wù)器、服務(wù)器、HTTP服服務(wù)器、務(wù)器、Telnet服務(wù)器，還能夠?qū)ふ液透`取密服務(wù)器，還能夠?qū)ふ液透`取密碼。碼。由于功能全面，所以這些特洛伊木馬的由于功能全面，所以這些特洛伊木馬的體積也往往較大，通常達(dá)到體積也往往較大，通常達(dá)到100KB至至300KB，相對(duì)而言，要把它們安裝

6、到用戶機(jī)器，相對(duì)而言，要把它們安裝到用戶機(jī)器上而不引起任何人注意的難度也較大。上而不引起任何人注意的難度也較大。2024/4/27 第8頁對(duì)于功能比較單一的特洛伊木馬，攻對(duì)于功能比較單一的特洛伊木馬，攻擊者會(huì)力圖使它保持較小的體積，通常是擊者會(huì)力圖使它保持較小的體積，通常是10KB到到30KB，以便快速激活而不引起注，以便快速激活而不引起注意。這些木馬通常作為鍵記錄器使用，它意。這些木馬通常作為鍵記錄器使用，它們把受害用戶的每一個(gè)鍵擊事件記錄下來，們把受害用戶的每一個(gè)鍵擊事件記錄下來，保存到某個(gè)隱藏的文件，這樣攻擊者就可保存到某個(gè)隱藏的文件，這樣攻擊者就可以下載文件分析用戶的操作了。以下載文件

7、分析用戶的操作了。2024/4/27 第9頁BackOrifice是一個(gè)遠(yuǎn)程訪問特洛依是一個(gè)遠(yuǎn)程訪問特洛依木馬的病毒，該程序使黑客可以經(jīng)木馬的病毒，該程序使黑客可以經(jīng)TCP/IP網(wǎng)絡(luò)進(jìn)入并控制網(wǎng)絡(luò)進(jìn)入并控制windows系統(tǒng)系統(tǒng)并任意訪問系統(tǒng)任何資源，通過調(diào)用并任意訪問系統(tǒng)任何資源，通過調(diào)用cmd.exe系統(tǒng)命令實(shí)現(xiàn)自身的功能，其系統(tǒng)命令實(shí)現(xiàn)自身的功能，其破壞力極大。破壞力極大。2024/4/27 第10頁SubSeven可以作為鍵記錄器、包嗅探器可以作為鍵記錄器、包嗅探器使用，還具有端口重定向、注冊(cè)表修改、使用，還具有端口重定向、注冊(cè)表修改、麥克風(fēng)和攝像頭記錄的功能。麥克風(fēng)和攝像頭記錄的功能

8、。SubSeven還具有其他功能：攻擊者可還具有其他功能：攻擊者可以遠(yuǎn)程交換鼠標(biāo)按鍵，關(guān)閉以遠(yuǎn)程交換鼠標(biāo)按鍵，關(guān)閉/打開打開CapsLock、NumLock和和ScrollLock，禁用，禁用Ctrl+Alt+Del組合鍵，注銷用戶，打開和組合鍵，注銷用戶，打開和關(guān)閉關(guān)閉CD-ROM驅(qū)動(dòng)器，關(guān)閉和打開監(jiān)視器，驅(qū)動(dòng)器，關(guān)閉和打開監(jiān)視器，翻轉(zhuǎn)屏幕顯示，關(guān)閉和重新啟動(dòng)計(jì)算機(jī)翻轉(zhuǎn)屏幕顯示，關(guān)閉和重新啟動(dòng)計(jì)算機(jī)2024/4/27 第11頁冰河在國(guó)內(nèi)一直是不可動(dòng)搖的領(lǐng)軍木馬，冰河在國(guó)內(nèi)一直是不可動(dòng)搖的領(lǐng)軍木馬，雖然許多殺毒軟件可以查殺它，但國(guó)內(nèi)仍雖然許多殺毒軟件可以查殺它，但國(guó)內(nèi)仍有幾十萬中冰河的電腦存在

9、！作為木馬，有幾十萬中冰河的電腦存在！作為木馬，冰河及其變種創(chuàng)造了最多人使用、最多人冰河及其變種創(chuàng)造了最多人使用、最多人中彈的奇跡！中彈的奇跡！該軟件主要用于遠(yuǎn)程監(jiān)控，自動(dòng)跟蹤該軟件主要用于遠(yuǎn)程監(jiān)控，自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化等。冰河原作者：黃鑫，目標(biāo)機(jī)屏幕變化等。冰河原作者：黃鑫，冰河的開放端口冰河的開放端口7626據(jù)傳為其生日號(hào)。據(jù)傳為其生日號(hào)。2024/4/27 第12頁檢測(cè)和清除特洛伊木馬檢測(cè)和清除特洛伊木馬1檢測(cè)和消除檢測(cè)和消除由于木馬會(huì)被綁定程序和攻擊者加密，由于木馬會(huì)被綁定程序和攻擊者加密，因此對(duì)于常規(guī)的反病毒軟件來說，查找木馬因此對(duì)于常規(guī)的反病毒軟件來說，查找木馬要比查找蠕蟲和病毒

10、困難得多。另一方面，要比查找蠕蟲和病毒困難得多。另一方面，特洛伊木馬造成的損害卻可能遠(yuǎn)遠(yuǎn)高于普通特洛伊木馬造成的損害卻可能遠(yuǎn)遠(yuǎn)高于普通的蠕蟲和病毒。因此，檢測(cè)和清除特洛伊木的蠕蟲和病毒。因此，檢測(cè)和清除特洛伊木馬是系統(tǒng)管理員的首要任務(wù)。馬是系統(tǒng)管理員的首要任務(wù)。2024/4/27 第13頁要反擊惡意代碼，最佳的武器是最新要反擊惡意代碼，最佳的武器是最新的、成熟的病毒掃描工具。掃描工具能夠的、成熟的病毒掃描工具。掃描工具能夠檢測(cè)出大多數(shù)特洛伊木馬，并盡可能地使檢測(cè)出大多數(shù)特洛伊木馬，并盡可能地使清理過程自動(dòng)化。清理過程自動(dòng)化。特洛伊木馬入侵的一個(gè)明顯證據(jù)是受特洛伊木馬入侵的一個(gè)明顯證據(jù)是受害機(jī)器

11、上意外地打開了某個(gè)端口，一旦發(fā)害機(jī)器上意外地打開了某個(gè)端口，一旦發(fā)現(xiàn)有木馬入侵的證據(jù)，應(yīng)當(dāng)盡快切斷該機(jī)現(xiàn)有木馬入侵的證據(jù)，應(yīng)當(dāng)盡快切斷該機(jī)器的網(wǎng)絡(luò)連接，減少攻擊者探測(cè)和進(jìn)一步器的網(wǎng)絡(luò)連接，減少攻擊者探測(cè)和進(jìn)一步攻擊的機(jī)會(huì)。攻擊的機(jī)會(huì)。2024/4/27 第14頁打開任務(wù)管理器，關(guān)閉所有連接到打開任務(wù)管理器，關(guān)閉所有連接到Internet的程序，例如的程序，例如Email程序、程序、IM程序程序等，從系統(tǒng)托盤上關(guān)閉所有正在運(yùn)行的程等，從系統(tǒng)托盤上關(guān)閉所有正在運(yùn)行的程序。注意暫時(shí)不要啟動(dòng)到安全模式，啟動(dòng)序。注意暫時(shí)不要啟動(dòng)到安全模式，啟動(dòng)到安全模式通常會(huì)阻止特洛伊木馬裝入內(nèi)到安全模式通常會(huì)阻止特洛

12、伊木馬裝入內(nèi)存，為檢測(cè)木馬帶來困難。存，為檢測(cè)木馬帶來困難。2024/4/27 第15頁該圖顯示了一次該圖顯示了一次Netstat檢測(cè)的例子，檢測(cè)結(jié)果表明一檢測(cè)的例子，檢測(cè)結(jié)果表明一個(gè)個(gè)BackOrifice使用的端口（即使用的端口（即31337）已經(jīng)被激活，）已經(jīng)被激活，木馬客戶程序使用的是遠(yuǎn)程機(jī)器（木馬客戶程序使用的是遠(yuǎn)程機(jī)器（ROGERLAP）上的）上的1216端口。端口。2024/4/27 第16頁Netstat命令比命令比較適合于適合于檢測(cè)一臺(tái)機(jī)器，一臺(tái)機(jī)器，但如果要但如果要檢測(cè)的是整個(gè)網(wǎng)的是整個(gè)網(wǎng)絡(luò)，又，又該怎么怎么辦？大？大多數(shù)入侵多數(shù)入侵檢測(cè)系系統(tǒng)（IntrusionDetec

13、tionSystem，IDS）都具有在常）都具有在常規(guī)通信中捕通信中捕獲常常見特洛伊木特洛伊木馬數(shù)據(jù)包的能力。只要正確配置和數(shù)據(jù)包的能力。只要正確配置和經(jīng)常更新常更新IDS，它甚至能，它甚至能夠可靠地可靠地檢測(cè)出出經(jīng)過加加密密處理的理的BackOrifice和和SubSeven通信。通信。2024/4/27 第17頁2處理遺留問題處理遺留問題檢測(cè)和清除了特洛伊木馬之后，另一檢測(cè)和清除了特洛伊木馬之后，另一個(gè)重要的問題浮現(xiàn)了：遠(yuǎn)程攻擊者是否已個(gè)重要的問題浮現(xiàn)了：遠(yuǎn)程攻擊者是否已經(jīng)竊取了某些敏感信息？危害程度多大？經(jīng)竊取了某些敏感信息？危害程度多大？要給出確切的答案很困難，但可參考文件要給出確切的

14、答案很困難，但可參考文件的日期來大致判斷。的日期來大致判斷。利用利用Windows資源管理器查看特洛伊資源管理器查看特洛伊木馬執(zhí)行文件的創(chuàng)建日期和最近訪問日期，木馬執(zhí)行文件的創(chuàng)建日期和最近訪問日期，如果執(zhí)行文件的創(chuàng)建日期很早，最近訪問如果執(zhí)行文件的創(chuàng)建日期很早，最近訪問日期卻很近，那么攻擊者利用該木馬可能日期卻很近，那么攻擊者利用該木馬可能已經(jīng)有相當(dāng)長(zhǎng)的時(shí)間了。已經(jīng)有相當(dāng)長(zhǎng)的時(shí)間了。2024/4/27 第18頁u在安全要求較低的環(huán)境中，大多數(shù)用戶可在安全要求較低的環(huán)境中，大多數(shù)用戶可以在清除特洛伊木馬之后恢復(fù)正常工作，只以在清除特洛伊木馬之后恢復(fù)正常工作，只要日后努力防止遠(yuǎn)程攻擊者再次得逞就可

15、以要日后努力防止遠(yuǎn)程攻擊者再次得逞就可以了。了。u至于安全性要求一般的場(chǎng)合，最好能夠修至于安全性要求一般的場(chǎng)合，最好能夠修改一下所有的密碼，以及其他比較敏感的信改一下所有的密碼，以及其他比較敏感的信息（例如信用卡號(hào)碼等）。息（例如信用卡號(hào)碼等）。2024/4/27 第19頁u在安全性要求較高的場(chǎng)合，任何未知的在安全性要求較高的場(chǎng)合，任何未知的潛在風(fēng)險(xiǎn)都是不可忍受的，必要時(shí)應(yīng)當(dāng)調(diào)潛在風(fēng)險(xiǎn)都是不可忍受的，必要時(shí)應(yīng)當(dāng)調(diào)整管理員或網(wǎng)絡(luò)安全的負(fù)責(zé)人，徹底檢測(cè)整管理員或網(wǎng)絡(luò)安全的負(fù)責(zé)人，徹底檢測(cè)整個(gè)網(wǎng)絡(luò)，修改所有密碼，在此基礎(chǔ)上再整個(gè)網(wǎng)絡(luò)，修改所有密碼，在此基礎(chǔ)上再執(zhí)行后繼風(fēng)險(xiǎn)分析。對(duì)于被入侵的機(jī)器，執(zhí)行

16、后繼風(fēng)險(xiǎn)分析。對(duì)于被入侵的機(jī)器，重新進(jìn)行徹底的格式化和安裝。重新進(jìn)行徹底的格式化和安裝。2024/4/27 第20頁特洛伊木馬原理特洛伊木馬的植入與隱藏特洛伊木馬的植入與隱藏1特洛伊木馬的植入方式特洛伊木馬的植入方式一般的木馬程序都包括客戶端和服務(wù)一般的木馬程序都包括客戶端和服務(wù)端兩個(gè)程序，其中客戶端是用于攻擊者遠(yuǎn)端兩個(gè)程序，其中客戶端是用于攻擊者遠(yuǎn)程控制植入木馬的機(jī)器，服務(wù)器端程序即程控制植入木馬的機(jī)器，服務(wù)器端程序即是木馬程序。攻擊者要通過木馬攻擊系統(tǒng)，是木馬程序。攻擊者要通過木馬攻擊系統(tǒng)，并植入到本地計(jì)算機(jī)。并植入到本地計(jì)算機(jī)。2024/4/27 第21頁（1）捆綁在文件上）捆綁在文件上

17、目前木馬入侵的主要途徑還是先通過一定的目前木馬入侵的主要途徑還是先通過一定的方法把木馬執(zhí)行文件放到被攻擊者的電腦系統(tǒng)里，方法把木馬執(zhí)行文件放到被攻擊者的電腦系統(tǒng)里，利用的途徑有郵件附件、下載軟件中等，然后通利用的途徑有郵件附件、下載軟件中等，然后通過一定的提示故意誤導(dǎo)被攻擊者打開執(zhí)行文件。過一定的提示故意誤導(dǎo)被攻擊者打開執(zhí)行文件。一般的木馬執(zhí)行文件非常小，大部分都是幾一般的木馬執(zhí)行文件非常小，大部分都是幾K到幾十到幾十K，如果把木馬捆綁到其他正常文件上，如果把木馬捆綁到其他正常文件上，你很難發(fā)現(xiàn)，所以，有一些網(wǎng)站提供的軟件下載你很難發(fā)現(xiàn)，所以，有一些網(wǎng)站提供的軟件下載往往是捆綁了木馬文件的，你

18、執(zhí)行這些下載的文往往是捆綁了木馬文件的，你執(zhí)行這些下載的文件，也同時(shí)運(yùn)行了木馬。件，也同時(shí)運(yùn)行了木馬。2024/4/27 第22頁（2）捆綁在網(wǎng)頁中）捆綁在網(wǎng)頁中木馬也可以通過木馬也可以通過Script、ActiveX及及Asp.CGI交互腳本的方式植入，由于操作交互腳本的方式植入，由于操作系統(tǒng)存在一些漏洞，攻擊者可以利用這些系統(tǒng)存在一些漏洞，攻擊者可以利用這些漏洞傳播病毒和木馬，甚至直接對(duì)瀏覽者漏洞傳播病毒和木馬，甚至直接對(duì)瀏覽者電腦進(jìn)行文件操作等控制。電腦進(jìn)行文件操作等控制。2024/4/27 第23頁當(dāng)服務(wù)端在被感染機(jī)器上運(yùn)行以后，它當(dāng)服務(wù)端在被感染機(jī)器上運(yùn)行以后，它一方面盡量把自己隱藏

19、在計(jì)算機(jī)的某個(gè)角落一方面盡量把自己隱藏在計(jì)算機(jī)的某個(gè)角落里面，以防被用戶發(fā)現(xiàn)；里面，以防被用戶發(fā)現(xiàn)；同時(shí)監(jiān)聽某個(gè)特定的端口，等待客戶端同時(shí)監(jiān)聽某個(gè)特定的端口，等待客戶端與其取得連接與其取得連接;另外為了下次重啟計(jì)算機(jī)時(shí)仍然能正常另外為了下次重啟計(jì)算機(jī)時(shí)仍然能正常工作，木馬程序一般會(huì)通過修改注冊(cè)表或者工作，木馬程序一般會(huì)通過修改注冊(cè)表或者其他的方法讓自己成為自啟動(dòng)程序。其他的方法讓自己成為自啟動(dòng)程序。2024/4/27 第24頁2 2特洛伊木馬的隱藏方式特洛伊木馬的隱藏方式（1）在任務(wù)欄里隱藏）在任務(wù)欄里隱藏這是最基本的隱藏方式。這是最基本的隱藏方式。（2）在任務(wù)管理器里隱藏）在任務(wù)管理器里隱藏

20、木馬會(huì)千方百計(jì)地偽裝自己，使自己不出現(xiàn)在木馬會(huì)千方百計(jì)地偽裝自己，使自己不出現(xiàn)在任務(wù)管理器里。木馬發(fā)現(xiàn)把自己設(shè)為任務(wù)管理器里。木馬發(fā)現(xiàn)把自己設(shè)為系統(tǒng)服務(wù)系統(tǒng)服務(wù)“就就可以輕松地騙過去?？梢暂p松地騙過去。（3）端口）端口大多數(shù)木馬使用的端口在大多數(shù)木馬使用的端口在1024以上，而且呈越以上，而且呈越來越大的趨勢(shì)來越大的趨勢(shì);當(dāng)然也有占用當(dāng)然也有占用1024以下端口的木馬，以下端口的木馬，但這些端口是常用端口，占用這些端口可能會(huì)造成但這些端口是常用端口，占用這些端口可能會(huì)造成系統(tǒng)不正常，這樣的話，木馬就會(huì)很容易暴露。系統(tǒng)不正常，這樣的話，木馬就會(huì)很容易暴露。2024/4/27 第25頁（4）隱藏通

21、藏通訊任何木任何木馬運(yùn)行后都要和攻運(yùn)行后都要和攻擊者者進(jìn)行通行通訊連接，部分接，部分木木馬還可以做到在占可以做到在占領(lǐng)HTTP80端口后，收到正常的端口后，收到正常的HTTP請(qǐng)求仍然把它交與求仍然把它交與Web服服務(wù)器器處理，只有收到理，只有收到一些特殊一些特殊約定的數(shù)據(jù)包后，才定的數(shù)據(jù)包后，才調(diào)用木用木馬程序。程序。（5）隱藏加藏加載方式方式如果木如果木馬不做任何不做任何偽裝，就告裝，就告訴你你這是木是木馬，你會(huì)，你會(huì)運(yùn)行它才怪呢。運(yùn)行它才怪呢。（6）最新）最新隱身技身技術(shù)通通過修改虛修改虛擬設(shè)備驅(qū)動(dòng)程序或修改程序或修改動(dòng)態(tài)鏈接接庫(kù)來加來加載木木馬。這種方法基本上種方法基本上擺脫了原有的木脫

22、了原有的木馬模式模式-監(jiān)聽端口，而采用替代系聽端口，而采用替代系統(tǒng)功能的方法，木功能的方法，木馬會(huì)將會(huì)將修改后的修改后的DLL替替換系系統(tǒng)已知的已知的DLL。2024/4/27 第26頁特洛伊木馬的特性特洛伊木馬的特性1包含于正常程序中包含于正常程序中(1)不產(chǎn)生圖標(biāo)不產(chǎn)生圖標(biāo)(2)木馬程序自動(dòng)在任務(wù)管理器中隱藏，并以木馬程序自動(dòng)在任務(wù)管理器中隱藏，并以系統(tǒng)服系統(tǒng)服務(wù)務(wù)的方式欺騙操作系統(tǒng)。的方式欺騙操作系統(tǒng)。2具有自動(dòng)運(yùn)行性具有自動(dòng)運(yùn)行性木木馬馬為為了了控控制制服服務(wù)務(wù)端端。它它必必須須在在系系統(tǒng)統(tǒng)啟啟動(dòng)動(dòng)時(shí)時(shí)即即跟跟隨隨啟啟動(dòng)動(dòng)，所所以以它它必必須須潛潛入入在在你你的的啟啟動(dòng)動(dòng)配配置置文文件

23、件中中，如如win.ini、system.ini、winstart.bat以以及及啟啟動(dòng)動(dòng)組組等等文文件件之中。之中。3包含具有未公開并且可能產(chǎn)生危險(xiǎn)后果的功能的包含具有未公開并且可能產(chǎn)生危險(xiǎn)后果的功能的程序程序2024/4/27 第27頁4具備自動(dòng)恢復(fù)功能具備自動(dòng)恢復(fù)功能很多的木馬程序具有多重備份，可以相互恢復(fù)。很多的木馬程序具有多重備份，可以相互恢復(fù)。5能自動(dòng)打開特別的端口能自動(dòng)打開特別的端口經(jīng)經(jīng)常常利利用用我我們們不不大大用用的的那那些些端端口口進(jìn)進(jìn)行行連連接接，大大開開方方便之便之門門。6功能的特殊性功能的特殊性具具有有搜搜索索cache中中的的口口令令、設(shè)設(shè)置置口口令令、掃掃描描目目

24、標(biāo)標(biāo)機(jī)機(jī)器器人人的的IP地地址址、進(jìn)進(jìn)行行鍵鍵盤盤記記錄錄、遠(yuǎn)遠(yuǎn)程程注注冊(cè)冊(cè)表表的的操操作作以以及鎖定鼠標(biāo)等功能。及鎖定鼠標(biāo)等功能。2024/4/27 第28頁特洛伊木馬的啟動(dòng)特洛伊木馬的啟動(dòng)1中木馬后出現(xiàn)的狀況中木馬后出現(xiàn)的狀況根本沒有打開瀏覽器，而覽瀏器突然自己打開，根本沒有打開瀏覽器，而覽瀏器突然自己打開，并且進(jìn)入某個(gè)網(wǎng)站并且進(jìn)入某個(gè)網(wǎng)站。正在操作電腦，突然一個(gè)警告框或者是詢問框彈正在操作電腦，突然一個(gè)警告框或者是詢問框彈出來。出來。Windows系統(tǒng)配置老是自動(dòng)莫名其妙地被更改。系統(tǒng)配置老是自動(dòng)莫名其妙地被更改。比如屏保顯示的文字，時(shí)間和日期，聲音大小等。比如屏保顯示的文字，時(shí)間和日期

25、，聲音大小等。硬盤老沒緣由地讀盤，網(wǎng)絡(luò)連接及鼠標(biāo)屏幕出現(xiàn)硬盤老沒緣由地讀盤，網(wǎng)絡(luò)連接及鼠標(biāo)屏幕出現(xiàn)異常現(xiàn)象。異?，F(xiàn)象。2024/4/27 第29頁當(dāng)然，沒有上面的種種現(xiàn)象并不代表你就絕當(dāng)然，沒有上面的種種現(xiàn)象并不代表你就絕對(duì)安全。有些人攻擊你的機(jī)器不過是想尋找一個(gè)對(duì)安全。有些人攻擊你的機(jī)器不過是想尋找一個(gè)跳板。做更重要的事情跳板。做更重要的事情;可是有些人攻擊你的計(jì)算可是有些人攻擊你的計(jì)算機(jī)純粹是為了好玩。對(duì)于純粹處于好玩目的的攻機(jī)純粹是為了好玩。對(duì)于純粹處于好玩目的的攻擊者，你可以很容易地發(fā)現(xiàn)攻擊的痕跡擊者，你可以很容易地發(fā)現(xiàn)攻擊的痕跡;對(duì)于那些對(duì)于那些隱藏得很深，并且想把你的機(jī)器變成一臺(tái)他

26、可以隱藏得很深，并且想把你的機(jī)器變成一臺(tái)他可以長(zhǎng)期使用的肉雞的黑客們，你的檢查工作將變得長(zhǎng)期使用的肉雞的黑客們，你的檢查工作將變得異常艱苦并且需要你對(duì)入侵和木馬有超人的敏感異常艱苦并且需要你對(duì)入侵和木馬有超人的敏感度，而這些能力，都是在平常的電腦使用過程日度，而這些能力，都是在平常的電腦使用過程日積月累而成的。積月累而成的。2024/4/27 第30頁2木馬的啟動(dòng)木馬的啟動(dòng)作作為為一一個(gè)個(gè)優(yōu)優(yōu)秀秀的的木木馬馬，自自啟啟動(dòng)動(dòng)功功能能是是必必不不可可少少的的，這這樣樣可可以以保保證證木木馬馬不不會(huì)會(huì)因因?yàn)闉槟隳愕牡囊灰淮未侮P(guān)關(guān)機(jī)機(jī)操作而徹底失去作用操作而徹底失去作用。在在Win.ini中啟動(dòng)中啟動(dòng)

27、在在System.ini中啟動(dòng)中啟動(dòng)利用注冊(cè)表加載運(yùn)行利用注冊(cè)表加載運(yùn)行在在Autoexec.bat和和Config.sys中加載運(yùn)行中加載運(yùn)行在在Winstart.bat中啟動(dòng)中啟動(dòng)啟動(dòng)組啟動(dòng)組2024/4/27 第31頁*.INI修改文件關(guān)聯(lián)修改文件關(guān)聯(lián)捆綁文件捆綁文件反彈端口型木馬的主動(dòng)連接方式反彈端口型木馬的主動(dòng)連接方式部分防火墻對(duì)于由外面連入本機(jī)的連接往往會(huì)進(jìn)部分防火墻對(duì)于由外面連入本機(jī)的連接往往會(huì)進(jìn)行非常嚴(yán)格的過濾，但是對(duì)于由本機(jī)連出的連接卻疏行非常嚴(yán)格的過濾，但是對(duì)于由本機(jī)連出的連接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬于防范。于是，與一般的木馬相反，反彈端口型木馬的

28、服務(wù)端使用主動(dòng)端口，客戶端的服務(wù)端使用主動(dòng)端口，客戶端(控制端控制端)使用被動(dòng)端使用被動(dòng)端口，為了隱蔽起見，客戶端的監(jiān)聽端口一般開在口，為了隱蔽起見，客戶端的監(jiān)聽端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似發(fā)現(xiàn)的也是類似“TCP服務(wù)端的服務(wù)端的IP地址地址:1026客戶客戶端的端的IP地址地址:80ESTABLISHED”的情況，稍微疏忽一的情況，稍微疏忽一點(diǎn)你就會(huì)以為是自己在瀏覽網(wǎng)頁。點(diǎn)你就會(huì)以為是自己在瀏覽網(wǎng)頁。2024/4/27 第32頁特洛伊木馬的類型與偽裝方法特洛伊木馬的類型與偽裝方法1木馬的種類木馬的種

29、類（1）破壞型）破壞型惟一的功能就是破壞并且刪除文件，可以自動(dòng)惟一的功能就是破壞并且刪除文件，可以自動(dòng)的刪除電腦上的的刪除電腦上的DLL、INI、EXE文件。文件。（2）密碼發(fā)送型）密碼發(fā)送型可以找到隱藏密碼并把它們發(fā)送到指定的信箱?？梢哉业诫[藏密碼并把它們發(fā)送到指定的信箱。（3）遠(yuǎn)程訪問型）遠(yuǎn)程訪問型只需有人運(yùn)行了服務(wù)端程序，如果客戶知道了服只需有人運(yùn)行了服務(wù)端程序，如果客戶知道了服務(wù)端的務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。以下的程序地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。以下的程序可以實(shí)現(xiàn)觀察可以實(shí)現(xiàn)觀察受害者受害者正在干什么，當(dāng)然這個(gè)程序正在干什么，當(dāng)然這個(gè)程序完全可以用在正道上的，比如監(jiān)視學(xué)生機(jī)的操

30、作。完全可以用在正道上的，比如監(jiān)視學(xué)生機(jī)的操作。2024/4/27 第33頁（4）鍵盤記錄木馬）鍵盤記錄木馬它們只做一件事情，就是記錄受害者的鍵盤敲它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在擊并且在LOG文件里查找密碼。文件里查找密碼。（5）DoS攻擊木馬攻擊木馬這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺(tái)又一臺(tái)計(jì)而是體現(xiàn)在攻擊者可以利用它來攻擊一臺(tái)又一臺(tái)計(jì)算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來損失。算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來損失。（6）代理木馬）代理木馬給被控制的肉雞種上代理木馬，讓其變成攻擊給被控制的肉雞種上代理

31、木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板就是代理木馬最重要的任務(wù)。通者發(fā)動(dòng)攻擊的跳板就是代理木馬最重要的任務(wù)。通過代理木馬，攻擊者可以在匿名的情況下使用過代理木馬，攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序，從而隱蔽自己的蹤跡。等程序，從而隱蔽自己的蹤跡。2024/4/27 第34頁（7）FTP木馬木馬它的惟一功能就是打開它的惟一功能就是打開21端口，等待用戶端口，等待用戶連接。連接。（8）程序殺手木馬）程序殺手木馬程序殺手木馬的功能就是關(guān)閉對(duì)方機(jī)器上程序殺手木馬的功能就是關(guān)閉對(duì)方機(jī)器上運(yùn)行的這種防木馬程序，讓其他的木馬更好地運(yùn)行的這種防木馬程序，讓其他的木馬更好地發(fā)揮作用。發(fā)揮

32、作用。（9）反彈端口型木馬）反彈端口型木馬2024/4/27 第35頁2木馬采用的偽裝方法木馬采用的偽裝方法（1）修改圖標(biāo)）修改圖標(biāo)（2）捆綁文件）捆綁文件（3）出錯(cuò)顯示）出錯(cuò)顯示（4）自我銷毀）自我銷毀（5）木馬更名）木馬更名2024/4/27 第36頁3被感染后的緊急措施被感染后的緊急措施（1）所有的賬號(hào)和密碼都要馬上更改，例）所有的賬號(hào)和密碼都要馬上更改，例如撥號(hào)連接，如撥號(hào)連接，ICQ、mIRC、FTP，個(gè)人站，個(gè)人站點(diǎn)，免費(fèi)郵箱等等，凡是需要密碼的地方，點(diǎn)，免費(fèi)郵箱等等，凡是需要密碼的地方，都要把密碼盡快改過來。都要把密碼盡快改過來。（2）刪掉所有硬盤上原來沒有的東西。）刪掉所有硬盤上原來沒有的東西。（3）檢查硬盤上是否有病毒存在）檢查硬盤上是否有病毒存在。2024/4/27 第37頁特洛伊木馬病毒的防御用用DOS命令檢查特洛伊木馬命令檢查特洛伊木馬2024/4/27 第38頁用反黑精英（用反黑精英（TrojanEnder）清除）清除木馬木馬1強(qiáng)大的木馬查殺功能強(qiáng)大的木馬查殺功能2網(wǎng)絡(luò)狀態(tài)監(jiān)控功能網(wǎng)絡(luò)狀態(tài)監(jiān)控功能3IE修復(fù)功能修復(fù)功能4查看敏感注冊(cè)表值查看敏感注冊(cè)表值5進(jìn)程管理進(jìn)程管理6系統(tǒng)優(yōu)化功能系統(tǒng)優(yōu)化功能2024/4/27 第39頁