文档介绍:合肥工业大学计算机与信息学院张仁斌
计算机病毒与反病毒技术
主要内容
特洛伊木马的概念
特洛伊木马的伪装方式、隐藏方式、自动启动方式
特洛伊木马的原理及其危害
特洛伊木马的自动启动技术、隐藏技术、远程监控技术
第7章特洛伊木马
特洛伊木马的定义
特洛伊木马(Trojan Horse),简称木马,是一种恶意程序,是一种基于远程控制的黑客工具,一旦侵入用户的计算机,就悄悄地在宿主计算机上运行,在用户毫无察觉的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘,或窃取用户信息
古希腊特洛伊之战中利用木马攻陷特洛伊城;现代网络攻击者利用木马,采用伪装、欺骗(哄骗,Spoofing)等手段进入被攻击的计算机系统中,窃取信息,实施远程监控
特洛伊木马概述
特洛伊木马的定义
木马与病毒
一般情况下,病毒是依据其能够进行自我复制即传染性的特点而定义的
特洛伊木马主要是根据它的有效载体,或者是其功能来定义的,更多情况下是根据其意图来定义的
木马一般不进行自我复制,但具有寄生性,如捆绑在合法程序中得到安装、启动木马的权限,DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中
木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性,但我们习惯上将其纳入广义病毒,也就是说,木马也是广义病毒的一个子类
木马的最终意图是窃取信息、实施远程监控
木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性
特洛伊木马概述
特洛伊木马的结构
木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成
特洛伊木马概述
特洛伊木马的基本原理
运用木马实施网络入侵的基本过程
特洛伊木马概述
特洛伊木马的基本原理
用netstat查看木马打开的端口
特洛伊木马概述
特洛伊木马的基本原理
木马控制端与服务端连接的建立
控制端要与服务端建立连接必须知道服务端的木马端口和IP地址
由于木马端口是事先设定的,为已知项,所以最重要的是如何获得服务端的IP地址
获得服务端的IP地址的方法主要有两种:信息反馈和IP扫描
特洛伊木马概述
特洛伊木马的基本原理
木马控制端与服务端连接的建立
特洛伊木马概述
特洛伊木马的基本原理
木马通道与远程控制
木马连接建立后,控制端端口和服务端木马端口之间将会出现一条通道
控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制,实现的远程控制就如同本地操作
特洛伊木马概述