木马病毒分析,,Trojan horse,由两部分程序组成 服务(server)端程序:被控计算机 客户(client)端程序:控制者,木马病毒的发展过程,网络处于UNIX平台时期,木马产生 相对简单,将一段程序嵌入到系统文件当中,用跳转指令来执行一些木马的功能 设计者与使用者均为技术人员,具备相当的网络与编程知识 Windows平台下基于图形操作的木马出现和普及对服务端破坏更大了,木马特点,设计者使用多种手段隐藏木马,往往即便发现 木马也不能确定其具体位置 非授权性,控制段享有服务段大部分操作权 限,修改文件、注册表、控制鼠标、键盘,通 过木马程序窃取,木马危害,偷窃口令(上网、拨号、主页、信用卡等口令) 传播病毒库 远程用户获取本地计算机的最高权限,木马种类,远程访问型特洛伊木马 密码发送型木马 键盘纪录型木马 毁坏性木马 FTP型木马,木马伪装方式,修改图标 Html、zip、txt 捆绑文件 捆绑到安装程序上 出错显示 弹出错误对话框,例如:“文件已破坏” 定制端口,木马伪装方式,自我销毁 弥补木马的缺陷 避免服务端找到木马来源 木马更名,木马触发条件,多种触发条件,注册表,1、修改注册表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下面的以Run和RunServices作为主键的项,放入触发条件后就可以作为启动木马的键值。
2、HKEY_CLASSES_ROOT\文件类型\shell\open\command下的键值,,,例子:,国产“冰河” HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值改为:“c:\windows\system\sysexplr.exe%1” 只要打开txt文件,木马程序即运行,,,利用win.ini,C:\windows\win.ini中[windows]字段中有启动命令“load=”和“run=”,一般情况为空,将木马程序命令写入,当系统启动后即可触发,利用system.ini,C:\windows\system.ini [386Enh] [mic] [drivers32],利用Autoexec.bat,config.sys,Dos系统下 需要控制端与服务器建立连接 将文件上传并覆盖原文件,利用ini文件,同样是覆盖正常的.ini文件,捆绑文件,首先控制端和服务端建立连接 将木马与某应用程序捆绑 上传文件覆盖应用程序,其他,系统启动程序:开始-----程序------启动 建立一个tasks:在windows目录下面的tasks目录下面建一个task。
然后触发执行如定期到某站点下载一个程序并执行,关于TCP/IP端口号,TCP/IP规定计算机的端口有256X256=65536个,0----65535 1------1024为保留端口 木马通常是用大的端口号,如:NETSPY:7306 1025以上的连续端口 用NETSTAT命令查看那些端口是开放的,。