《《特洛伊木马概述》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《特洛伊木马概述》PPT课件.ppt(17页珍藏版)》请在金锄头文库上搜索。
1、特洛伊木马概述木马概述木马概述木马全称为特洛伊木马,它是一种表面上做一件事情,而实际上是在不为人知的情况下,做一些用户所不希望的事情的软件。木马的特性木马的特性隐蔽性隐蔽性一般的木马会以捆绑方式装到目标电脑上,而捆绑方式、捆绑位置、捆绑程序等则可以由黑客自己确定,既可以捆绑到启动程序上,也可以捆绑到一般常用程序上,位置的多变使得木马具有很强的隐蔽性。潜伏性潜伏性木马程序一般不会在已经被感染的电脑上作什么破坏的操作,而是尽量地将自己隐藏起来,不让用户觉察到木马的存在,从而得以偷偷地做一些用户不希望的事情。再生性再生性木马被发现后,表面上是被删除了,但后备的木马会在一定的条件下重新生成被删除的文件
2、。木马的基本原理木马的基本原理两个执行文件:客户端程序两个执行文件:客户端程序 服务器端程序服务器端程序客户端程序是安装在攻击者(黑客)方的控制台,它负责远程遥控指挥。服务器端程序即是木马程序,它被隐藏安装在被攻击(受害)方的电脑上。木马攻击的第一步:把木马服务程序植入攻击对象木马攻击的第一步:把木马服务程序植入攻击对象攻击者需要通过木马对他人电脑系统进行攻击,第一步就是把木马的服务程序植入到被攻击的电脑里面。如果电脑没有联网,那么是不会受到木马的侵扰的,因为木马程序不会主动攻击和传染到这样的电脑中。木马攻击的第二步:把主机信息发送给攻击者木马攻击的第二步:把主机信息发送给攻击者在一般情况下,
3、木马被植入被攻击的主机后,会通过一定的方式把主机的信息,如IP地址、软件的端口、主机的密码等,发送给攻击者。木马的启动木马的启动1、在、在Win.ini中启动中启动2、在、在System.ini中启动中启动3、通过启动组实现启动、通过启动组实现启动4、修改文件关联、修改文件关联5、捆绑文件、捆绑文件6、反弹技术、反弹技术木马的种类木马的种类1、破坏型、破坏型2、密码发送型、密码发送型3、远程访问型、远程访问型4、键盘记录型、键盘记录型5、DoS攻击型攻击型6、代理型、代理型7、FTP木马木马8、程序杀手型、程序杀手型木马的入侵木马的入侵现在木马主要是使用欺骗的方法通过电子邮件发送、文件下载把木
4、马执行文件植入被攻击者的电脑系统的。入侵的方式可以是:1、发送给被攻击方一封带附件的电子邮件2、捆绑到一些网站提供下载的软件中3、通过Script、Active和ASP、CGI交互脚本植入4、利用浏览器或系统中的漏洞植入木马入侵的方法:捆绑、冒名、伪装成文件木马入侵的方法:捆绑、冒名、伪装成文件将一个木马和一个损坏的zip(或rar)文件捆绑在一起,然后将捆绑后的文件扩展名设置为zip,这样该文件图标就是zip图标了,打开这个文件时看到的现象跟打开损坏的zip文件一样,但此时木马已经得以运行了。冒名可以是QQ冒名和邮件冒名。QQ冒名则必须选盗得一个QQ号,然后使用这个号码给好友发送木马程序。如
5、果是邮件冒名,则是用匿名邮件向别人发木马附件。伪装成文件是利用很多人都有连续点击文件夹的习惯,把木马文件伪装成文件夹图标。木马的防范木马的防范1、使用病毒防火墙或木马监控程序并及时升级、使用病毒防火墙或木马监控程序并及时升级2、不要轻易打开来历不明的电子邮件附件、不要轻易打开来历不明的电子邮件附件3、及时升级浏览器软件、电子邮件软件、及时升级浏览器软件、电子邮件软件4、到大型的网站上下载软件,下载后先进行杀毒、到大型的网站上下载软件,下载后先进行杀毒5、显示所有文件的扩展名、显示所有文件的扩展名Happy 99木马的清除木马的清除Happy 99是通过发送电子邮件与张贴文章将自身发送到新闻组,
6、让使用者无意中成为该木马的传播者。当收件人执行含有Happy 99.exe的文件时,会看到有美丽的焰火表演的画面,同时Happy 99在后台更改用户操作系统的数据。此时Happy 99已在设定追踪电子邮件及新闻组活动的运作,经修改后,它不会直接造成用户文件的数据破坏,但当用户发送电子邮件或到新闻讨论区张贴文章时,它便会自动附上Happy 99.exe文件。如此一传十、十传百地达到大量入侵的目的。清除步骤:清除步骤:1、资源管理器中的、资源管理器中的WindowsSystem32目录下检目录下检查有没有查有没有ska.exe、ska.dll和和wsock32.ska这这3个文个文件。件。2、先删
7、除、先删除ska.exe和和ska.dll两个文件,然后将两个文件,然后将wsock32.ska更名为更名为wsock32.dll,然后删除之。,然后删除之。3、重启电脑。、重启电脑。Back Orifice木马的清除木马的清除Back Orifice 是功能最全的TCP/IP架构的木马工具,它可以搜索被攻击者的信息、执行系统命令、修改客户端的电脑注册表、重新设置机器、重新定向网络的客户端/服务器应用程序等。黑客利用该木马成为被攻击机器的超级用户,几乎电脑的所有操作都可由Back Orifice远程控制。清除步骤:清除步骤:1、打开注册表编辑器,展开、打开注册表编辑器,展开HKEY_LOCAL
8、_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices,若此键,若此键中存在中存在Umgr32.exe键值,则将其删除。键值,则将其删除。2、在资源管理器中删除、在资源管理器中删除c:windowsSystem中的中的Umgr32.exe文件。文件。冰河木马的清除冰河木马的清除”冰河“是国内最著名的木马,它主要用于远程监控,其功能是可以自动跟踪目标机器的屏幕变化,记录各种口令信息,获得限制目标机器系统的功能、远程文件和注册表操作等。清除步骤:清除步骤:1、打开注册表编辑器,展开、打开注册表编辑器,展开HKEY_LOCAL_MACHIN
9、ESoftwareMicrosoftWindowsCurrentVersionRun和和HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionRunServices,若其中存在,若其中存在kerne132.exe键值,则将其删除。键值,则将其删除。2、打开资源管理器,执行、打开资源管理器,执行“工具工具”“文件夹选项文件夹选项”,选择,选择“文件类型文件类型”选项卡,在已注册的文件类型列表中找到选项卡,在已注册的文件类型列表中找到“TXT文本文档文本文档”,从,从“详细信息详细信息”中查看其中查看其“打开方式打开方式”有无变化(一般为记
10、事本文件)。如果不是,则单有无变化(一般为记事本文件)。如果不是,则单击击“高级高级”,删除,删除“操作操作”列表中的列表中的open选项。选项。3、重启电脑进入、重启电脑进入DOS,删除,删除c:windowssystem32下的下的kerne132.exe和和sysxplr.exe文件。文件。“广外女生广外女生”木马的清除木马的清除”广外女生“是广东外语外贸大学“广外女生”网络小组的作品,它的破坏性很大,基本功能有:文件上传功能 可以上传、下载、删除、改名、设置属性,建立文件夹和运行指定文件等。注册表操作功能全面模拟Windows的注册表编辑器,让远程注册表编辑有如在本地操作一样。屏幕控制
11、功能 可以自定义图片的质量来减少传输的时间,在局域网或高网速地方可以全屏操作对方的鼠标和键盘。远程任务管理 可以直观地浏览远程的窗口,杀掉对方窗体中的控件。“广外女生”有一个其他木马不具备的功能,就是它的服务器端程序被执行后,自动检查进程中是否含有金山毒霸、防火墙、瑞星、实时监控、天网、kill、lockdown等字样,如果发现就会终止该进程,也就是说广外女生木马可以使防火墙完全失去作用。广外女生使用6267端口号。“广外女生广外女生”木马的清除木马的清除1、启动电脑进入、启动电脑进入DOS模式,进入模式,进入c:windowssystem32目录,删除其中目录,删除其中的的Diagcfg.e
12、xe文件。文件。2、进入、进入c:windows目录,将目录,将regedit.exe改名成为改名成为3、重启电脑进入、重启电脑进入windows模式,打开注册表编辑器,展开模式,打开注册表编辑器,展开HKEY_CLASSES_ROOTexefileshellopencommand,将默认值改,将默认值改为为1.4、将、将HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中的中的Diagnostic Configuration项删除。项删除。5、进入、进入c:windows目录,将目录,将改名为改名为reged
13、it.exe。“黑洞黑洞2001”木马的清除木马的清除黑洞2001可以中止被控端的防火墙,当黑洞2001在受控端机上运行后,会在c:windowssystem下生成两个文件:S_Server.exe和Windows.exe。黑洞2001使用的端口号为2001。1、打开注册表编辑器,展开、打开注册表编辑器,展开HKEY_CLASSES_ROOTexefileshellopencommand和和HKEY_LOCAL_MACHINESoftwareClassestxtfileshellopencommand键,将其中默认值由键,将其中默认值由S_Sever.exe%1改为改为c:WindowsNOT
14、EPAD.EXE%1。2、将、将HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices分支下的串值分支下的串值Windows删除。删除。3、重启电脑进入、重启电脑进入DOS,删除,删除c:windowssystem32目录下的文件目录下的文件S_Sever.exe和和Windows.exe.木马清除软件简介木马清除软件简介1、木马终结者、木马终结者2、木马克星、木马克星IParmor3、The Cleaner4、奇虎、奇虎360安全卫士安全卫士5、超级巡警、超级巡警6、超级兔子、超级兔子习题习题填空题填空题1、特洛
15、伊木马程序表面上执行正常的操作,但实际上隐藏着一些可以控制用户电脑系统、危害系统安全的破坏性指令。2、木马具有很强的隐蔽性,还有很强的潜伏性和再生性。3、“广外女生”木马有一个其他大多数木马不具备的功能,就是在它的服务端程序被执行后,自动检查进程中是否含有金山毒霸、防火墙、瑞星、实时监控、天网、kill、lockdown等字样,如果发现就会终止该进程,也就是说广外女生木马可以使防火墙完全失去作用。4、黑洞2001木马是国产木马,也可以终止被控端的防火墙,它也使用默认的连接端口,端口号为2001 5、特洛依木马虽然不像电脑病毒那样会到处传染,但其危害性是非常大的,其原因是:难以发现、通常以二进制
16、形式潜伏,无法直观显示、可作用于许多机器。6、几种常见的木马入侵方法有:捆绑、冒名、伪装成文件。习题习题选择题选择题1、在命令提示符下输入_后按回车键,可以查看当前与本机建立的所有连接。A. Netneo B.netstat C. Ping D. NetAno2、_只借助电子邮件及新闻组的传送而在网上遨游,但并不感染任何被攻击者硬盘中的其他文件,也没有其他侵害作用。A. Happy 99木马 B.Back Orifice 2000木马 C.黑洞2001 D. 广外女生3、下面防范木马的方法中哪个是错的:_A. 使用病毒防火墙或木马监控程序并及时升级B. 不要随便从一些网站上下载软件,最好到信誉
17、好、比较大的网站上去下载,并在安装前先用杀病毒软件进行检查C. 经常检查系统文件、注册表及端口信息D. 最好将Windows隐藏文件后缀名的设置改为隐藏所有文件的扩展名习题习题填空题填空题1、木马一般有两个执行文件:客户端程序和服务器端程序。2、木马的检测有动态检测和静态检测两种方式。3、Happy 99 是通过发送电子邮件与张贴文章将自身发送到新闻组,让使用者无意中成为该木马的传播者。4、“冰河”是国外最著名的木马,它主要用于远程监控,其功能是可以自动跟踪目标机器的屏幕变化,记录各种口令信息,或者限制目标机器系统功能、远程文件和注册表操作等。5、电子邮件的附件是木马程序传播的主要途径,所以不要轻信、打开来历不明的电子邮件附件。6、在资源管理器中删除c:windowssystem32中的Umgr32.exe文件即可将Back Orifice 2000木马删除。
