文档介绍：Trojan木马技术
沈传宁@
本次讲座内容
什么是Trojan木马
木马分类
木马传播
木马加载方式
木马的隐藏、伪装方式
木马的检测及查杀、防御
木马实例:灰鸽子病毒查杀、钓鱼式攻击
什么是木马?
RFC1244(Request ments:1244)
A Trojan Horse program can be a program that does something useful, or merely something interesting. It always does something unexpected, like steal passwords or copy files without your knowledge。
特洛伊木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道其他的功能,例如在你不了解的情况下拷贝文件或窃取你的密码。
分类
远程控制
密码窃取
为完成特定任务设计的木马
分类-远程控制
客户机请求
服务器响应
客户端
服务端
分类-密码窃取
MSN
ICQ
Mail
……
Oh, I know your password!
键盘记录
查找log文件
查找内存
……
分类-为特定任务而设计
为完成特定任务而设计。
1)拒绝服务攻击
2)窃取文件
3)执行破坏功能
4) ……
工作已经预置在程序中,不需要控制
例如:试卷大盗会自动搜索受害者计算机,查找文件名中有“考题”、“考卷”、“试卷”等等字样的文档,自动发送到指定邮箱
一般不返回信息或资料:
除窃取数据木马返回窃取数据外,一般不返回其他数据,例如破坏型木马不会返回是否破坏成功,破坏结果等
传播-主动攻击
获得上传文件权限,
上传木马程序
控制远程系统
Web方式
计划任务
注册表
攻击者
……
被攻击者
传播-邮件
发送木马邮件
控制远程系统
系统漏洞
用户警惕性
欺骗性内容
攻击者
……
被攻击者
传播-伪装
出错显示:
用户打开某个带木马的程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开!”之类的信息,当用户信以为真时,木马在后台执行。
自我销毁:
木马在执行前,将自己拷贝到Windows的系统文件夹中。等执行完成后木马将文件自动删除。
木马更名:
木马改名为系统文件类似的文件名,。更改一些后缀名,比如把dll改为dl等。