计算机病毒防治第十二讲特洛伊木马课件.ppt

1、第十二讲第十二讲 特洛伊木马特洛伊木马2本章内容主要是特洛伊木马的知识，包括：本章内容主要是特洛伊木马的知识，包括：q 木马的概念木马的概念q 木马的危害木马的危害q 木马的隐藏和传播技术木马的隐藏和传播技术q 典型木马分析与防范措施典型木马分析与防范措施3通过本章学习，学员应该了解特洛伊木马病毒的通过本章学习，学员应该了解特洛伊木马病毒的概念、攻击隐藏技术、防范措施等，了解如何解决处概念、攻击隐藏技术、防范措施等，了解如何解决处理计算机木马病毒。理计算机木马病毒。特洛伊木马简史特洛伊木马简史古希腊传说，特洛伊王子帕里斯访问希腊，诱惑走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，

2、希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。5特洛伊木马(Trojan)病毒：是指隐藏在正常程序中的一段具有特殊功能的恶意代码是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序6特洛伊木马程序往往表面上看起来特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未无害，但是会执行一些未预料或未经授权，通常是恶意的操作。经授权，通常是恶意的操作。一个完整的木马程序由两部分组成7服务器端 中木马的计算机,

3、即被控制端控制器端 通过网络控制您的计算机 第一代木马：伪装型病毒 通过伪装成一个合法性程序诱骗用户上当 第二代木马：AIDS型木马 利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾8 第三代木马：网络传播型木马 随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还添加了“后门”和击键记录等功能。所谓后门就是一种可以为计算机系统秘密开启访问入

4、口的程序。击键记录的功能功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。9特洛伊木马简史特洛伊木马简史 破坏型 密码发送型 远程访问型 键盘记录木马 DoS攻击木马 代理木马 FTP木马 程序杀手木马 反弹端口型木马11 破坏并且删除文件 删除DLL、INI、EXE文件12 查找相关密码 发送指定邮件（控制者）获取密码的方法：搜索密码文件 记录键盘操作 暴力破译加密文件13 只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。利用程序可以实现观察“受害者”正在干什么 可用于计算机远程监控和远程排错等操作14 记录受害者的键盘敲击并且在LOG文

5、件里查找密码 随着Windows启动 同时具有邮件发送功能15 入侵一台机器 将该计算机做为DoS攻击的平台，也称为肉鸡 攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失 邮件炸弹木马一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止16 黑客在入侵的同时掩盖自己的足迹 给被控制的肉鸡种上代理木马 攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序17 功能就是打开21端口，等待用户连接 对端口进行加密，只有攻击者本人才知道正确的密码，从而进入对方计算机18 关闭对方机器上运行的防木马程序 让其他的

6、木马更好地发挥作用。19 服务端(被控制端)使用主动端口 客户端(控制端)使用被动端口 木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在 80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。20特洛伊木马隐藏技术特洛伊木马隐藏技术 在任务管理器里隐藏 任务管理器中查看不到木马进程 木马将自己设成“系统服务”在任务栏里隐藏 通过VB编程中属性设置实现自身不出现在任务栏中 端口修改 使用非常用端口

7、，或高位端口 自己修改端口22 隐藏通讯 占领 80HTTP端口 收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序 隐藏加载方式在Win.ini中启动在System.ini中启动利用注册表加载运行在Autoexec.bat和Config.sys中加载运行在Winstart.bat中启动启动组*.INI修改文件关联捆绑文件23 最新隐身技术 修改虚拟设备驱动程序(VXD)修改动态链接库(DLL)将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤 优势：没有增加新的文件不需要打开新的端口没有新的进程产生24特洛伊木马的传播特洛伊木马的

8、传播 捆绑欺骗 把木马服务端和某个游戏/软件捆绑成一个文件 通过即时通讯工具、邮件、下载工具等渠道发送出去 钓鱼欺骗（Phishing）构造一个链接或者一个网页 利用社会工程学欺骗方法 欺骗用户输入某些个人，隐私信息，然后窃取个人隐私 漏洞攻击 利用操作系统和应用软件的漏洞进行的攻26 网页挂马 网页挂马就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机27 框架嵌入式网络挂马 将网页木马利用frame语句加载到任意网页中28 解释：在打开插入该句代码的网页后，就也就打开了http:/ 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术29 http:/ 图片伪装挂马 攻击者直接将网页木马加载到图片中30 http:/