了解一下木马
木馬
- 木馬的分類
- 木馬的特征
- 木馬入侵的方式
- 木馬的偽裝手段
- 制作木馬常用工具
- 木馬的加殼與脫殼
- 木馬脫殼
在Internet中,木馬是一類對計算機具有強大的控制和破壞能力,以竊取賬號密碼和偷窺重要信息為目的的程序。
組成:硬件部分、軟件部分和具體連接部分。
1.硬件部分是指建立木馬連接所必須的硬件實體,主要包括服務端、控制端和Internet。
2.軟件部分是指實現遠程控制所必須的軟件程序。
(1)控制端程序運行于控制遠程服務端的程序。
(2)服務端程序又稱木馬程序,它潛伏在服務端內部,以獲得目標計算機的操作權限。
(3)木馬配置程序:用于設置木馬程序的端口號、觸發條件、木馬名稱等屬性,使得服務器端程序在目標計算機中潛藏的更加隱蔽。
3.具體連接部分是指通過Internet在服務端和控制端建立一條木馬通道所必須的元素,包括
(1)控制端/服務端IP:指木馬控制端和服務端的網絡地址,它是指木馬傳輸數據的目的地。
(2)控制端/服務端端口:數據入口,通過這個入口數據可以直達控制端或服務端程序。
木馬的分類
1.遠程控制木馬
是一類危害性最大且知名度最高的木馬程序,可以讓黑客入侵計算機中完成主機都不能順利完成的操作,能夠獲取目標計算機用戶的私人信息。例如:灰鴿子、冰河…
2.密碼發送木馬
用于盜取目標計算機中密碼的木馬,會自動搜索內存、cache、臨時文件夾以及各種敏感密碼的文件。如果搜索到就會發送到指定的電子郵件中,從而達到盜取密碼的目的。通常采用25號端口發送電子郵件。
3.鍵盤記錄木馬
記錄目標計算機鍵盤敲擊的按鍵信息,并且在log文件中查找密碼。這類木馬隨系統啟動而啟動且擁有在線或離線記錄。
4.破壞性木馬
唯一功能就是破壞目標計算機的文件,使其系統崩潰或丟失重要數據。
木馬的特征
1.隱蔽性是木馬必須隱藏在目標計算機中,以免被用戶發現。體現在兩個方面(1)不會產生快捷圖標(2)自動在任務管理器中隱藏,并以“系統服務”的形式存在,以欺騙操作系統。
2.自動運行性是指木馬會隨著計算機的啟動而運行,木馬會潛入計算機的啟動配置文件中。
3.欺騙性為了防止一眼就被計算機用戶識別出。為此,被木馬感染的文件都是使用常見的后綴名或文件名,或者仿制一些不易被人區分的文件名被保存在不同的路徑中。
4.自動回復是指木馬某一功能模塊丟失時,能自動恢復為丟失前的狀態。
5.自動打開端口主要不是為了破壞計算機,為了獲取目標計算機有用的信息,因此就需要保證能與目標計算機進行通信。
木馬入侵的方式
1.加載到啟動組 隨著系統的啟動而啟動。
2.修改文件關聯 查看注冊表中主鍵或鍵值是否正確,相當于修改啟動文件的程序。
3.捆綁文件 將自己計算機與目標計算機建立連接,使用捆綁軟件把木馬程序服務端與正常程序捆綁。
木馬的偽裝手段
1.修改目標圖標:修改為常用文件圖標。
2.更改名稱:將木馬名稱更換為常用文件的名稱。
3.擴展名欺騙偽裝成文檔或圖像文件。*.jpg.exe
4.自我銷毀是指木馬程序在目標計算機安裝完畢后,源木馬文件會自動銷毀。
制作木馬常用工具
“冰河”木馬,它可以通過控制端程序(冰河陷阱)來進行記錄目標計算機各種賬號密碼獲取目標計算機系統信息,限制目標計算機系統功能(遠程關機、鎖定鼠標等)、遠程文件操作(創建、上傳、下載)、注冊表操作(瀏覽、增刪、重命名)。
CHM木馬是一種添加木馬的方式,是指將一個網頁木馬添加到CHM電子書中,一旦用戶運行該CHM電子書,則電子書中的木馬就會在計算機中運行。
CHM木馬=CHM電子書+木馬程序+QuickCHM
木馬的加殼與脫殼
對于木馬來說,加殼就是為了保證自己不被木馬查殺軟件掃描出來并查殺,加殼后的木馬可以使用專業軟件查看其加殼是否成功,脫殼相反。
加殼軟件:UPX、Aspack誰后加,覆蓋先加殼的
檢測加殼:為指定木馬添加保護殼之后,用戶可以使用專業的檢測軟件來檢測指定木馬是否加殼成功。
PEID是一款強大的偵殼工具。利用該軟件不僅可以檢測出指定木馬是否加殼成功,而且還可以檢測出加殼軟件。
木馬脫殼
UnAspack必須與Aspack版本一致。
防范
(1)使用第三方軟件防范木馬入侵計算機。
(2)用戶如果想要有效的防范木馬入侵計算機,它可以選擇專業的反木馬軟件。
總結
- 上一篇: 浏览器缓存详解
- 下一篇: 长江商学院薛云奎的价值投资课【入门】