1。基本知识
在
介绍木马原理之前,我们对木马有一些基本的了解。我们需要事先解释一下,因为有许多地方提到这些内容。
一个完整的木马
系统由
硬件部分、软件部分和具体
连接部分组成。
1。硬件部分
必须为特洛伊木马连接建立硬件实体。
控制端:
服务器远程控制的一方。
服务器:控制端遥控器的一方。
Internet:服务器远程控制的
网络载体与数据
传输。
2。软件部分
远程控制所需的软件
程序。
控制端程序:控制方用来远程控制服务器端的程序。
特洛伊木马程序:潜入服务器端并获取其
操作权限的程序。
特洛伊木马
配置程序:特洛伊木马的端口号、触发
条件、特洛伊木马的名称等,因此它隐藏在服务器中。
三.具体连接部分
通过因特网在服务器和控制端之间建立特洛伊木马通道所必需的元素。
控制端IP、服务器IP:控制端、服务器的网络
地址,也是木马进行数据传输的目的地。
控制端口、木马端口:服务器端的控制端口和数据端口。通过这个条目,数据可以直接控制终端程序或木马程序。
二、Troy Trojan horse的进攻
步骤 木马是网络入侵的黑客
工具。从过程的角度来看,大致可以分为六个步骤。接下来,我们将
详细阐述特洛伊木马在这六个步骤中的攻击原理。
1。配置木马
一般来说,一个成熟的木马有一个特洛伊木马配置程序。从具体的配置内容来看,主要是实现以下两个
功能:
(1)木马伪装:木马配置程序,为了尽可能地隐藏木马,会采用各种伪装
方法,如
修改图标、捆绑
文件、自定义端口、自毁等。
(2)信息反馈:木马配置程序将建立信息反馈的方式或地址,如
设置邮件地址,IRC,ICQ号码等。
2。传播木马
(1)交流方式
有木马通信的两个主要的
类型:一是通过电子邮件,以附件的形式夹在发送邮件的木马程序的控制端,收件人打开附件系统只要木马感染;另一种是软件
下载,一些非正规的
网站下载软件的
名字,该木马捆绑在软件
安装程序上,下载,只要这些程序的
运行,木马就会
自动安装。
(2)伪装的方式
在木马的危害性,仍有许多人对木马知识有一定了解,具有抑制木马的传播起到了一定的
作用,这是木马的设计者不希望看到的。因此他们开发了多种功能来伪装木马,为降低
用户的警惕性,欺骗用户的目的。一般来说,有以下:
我们修改图标
也许你会看到一个纯
文本图标附在电子邮件,但是我不得不告诉你,这也可能是一个木马,木马现在可以有木马服务器程序图标到HTML、TXT、ZIP和其他文件的图标,这个看似很大,但现在提供的木马这个功能也是不寻常的,和伪装也不是无懈可击的,所以不要怀疑,整天提心吊胆的。
捆绑文件
这种伪装意味着将特洛伊木马绑定到
安装程序。当安装程序运行时,木马在用户不知道的
情况下偷偷进入系统,对于被捆绑的文件,它们通常是可
执行文件,如EXE和com。
错误显示 任何了解特洛伊木马的人都知道,如果打开文件,就没有响应。它可能是特洛伊木马程序。木马的设计者也意识到了这个缺陷,所以木马提供了一个称为错误显示功能。当服务器用户打开木马程序,它会弹出一个错误
提示框mdash;mdash;这当然是错误的;错误的内容可以自由定义,其中大部分将可定制的一些该文件已被破坏,无法打开。等,当服务器端的用户相信,木马悄悄侵入系统。
港口风俗
很多旧的木马端口
都是固定的,以确定是否感染带来便利的木马,只
检查特定的端口就知道感染了木马,所以现在很多新的木马都加入了定制端口的功能,控制端用户可以在1024mdash;mdash;65535选择一个端口作为木马端口一般,没有更多。1024端口是无法选择的,这使得它很难判断木马感染的类型。
自我毁灭
这个功能是弥补木马的一个缺陷。我们知道,当用户打开含有木马的文件服务器,木马会将自己拷贝到Windows
系统文件: Windows或C: Windows 系统
目录,和原来的一般的木马文件系统文件夹中的木马文件的大小是一样的,除了坤邦文一匹木马在朋友中间,只要我们
发现在最近的信件和下载的软件原木马文件,然后我们就去系统文件夹,根据原木马的大小找到相同大小的文件,并确定哪些木马马。木马的自毁功能,木马完成后,原来的木马文件会自动销毁,使服务方的用户很难找到木马的来源,不借助木马工具就很难
删除木马。
木马改名
要安装的系统文件夹中的木马的文件名一般是固定的,只要查杀木马据一些文章,地图系统文件夹中找到一个特定的文件,我们可以得出结论,什么木马,很多木马现在允许控制端用户自由定制木马文件名后安装,所以很难判断木马感染的类型。
三.运行木马
木马或木马将服务器运行木马或木马后自动安装。首先,
复制到C: Windows或C: Windows 系统目录中的Windows系统文件夹。然后木马的触发条件是
注册表设置起来,开始组和非
启动组这样的木马的安装就完成了。特洛伊后可以开始安装。
触发条件
激活特洛伊木马
触发条件是指启动特洛伊木马的条件,大致在以下八个地方:
注册表
打开五运行和runservices主键hkey_local_machine 软件微软 Windows currentversion 下,寻找关键值,可能会启动木马。
- Win.ini
有一个配置文件里C: Windows目录。它以文本形式打开。在Windows字段中,有启动
命令加载和运行。一般来说,它是空白的。如果有启动程序,它可能是特洛伊木马程序。
-文字
有一个配置文件ini C: Windows目录。它以文本形式打开。在386enh,MIC和drivers32,那里是一个命令行查找木马启动命令。
Autoexec.bat和Config.sys
C根目录中的两个文件也可以启动特洛伊木马程序,但是这种加载方式通常需要控制终端用户和服务器之间的连接。
上传到特洛伊木马程序的同名文件后,将两个文件上传到服务器端。
* * INI
也就是说,
应用程序的启动配置文件。控制端通过使用这些文件启动程序的特性,将与木马启动命令产生的同名文件上传到服务端以覆盖同名文件,从而达到启动木马的目的。
注册表
打开hkey_classes_root
文件类型壳休憩命令查看其主键和键值。例如,国产木马冰河关键是要修改hkey_classes_root txtfile 壳休憩命令,C: Windows 记事本1 .exe %;C: Windows 系统 sysexplr .exe % 1变化;当你
双击一个txt文件,记事本打开文件的原始应用程序,现在却变成了一个木马程序的开始。同时注意txt不仅是一个文件exe,启动命令,修改HTML,关键的拉链和其他文件,可以启动木马,唯一不同的是,文件类型;的关键
区别是txtfile TXT,ZIP是WinZip,我们可以尝试找到A.
捆绑文件
触发条件必须首先控制客户端与服务器端通过木马建立连接,然后控制终端用户的软件工具将木马文件和应用程序捆绑在一起,然后上传到服务器覆盖原文件,这样即使木马被删除了,只要捆绑的应用程序木马运行,木马将安装。这个.
开始菜单 在启动程序;mdash;mdash;开始;也有可能是一个木马的触发条件下的
选项。