文档介绍：木马后门攻击技术
3. 木马后门攻击技术
木马简介
用户态正向远程控制
用户态反向远程控制
木马常用攻击技术(缓冲区溢出)
木马检测和防御
木马简介
(1) 什么是木马
木马又叫特洛伊木马,其
简称为木马,英文名称叫
做“Trojan horse”。
木马的名称来自于古希腊
传说荷马史诗中的木马计。
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
木马简介
(1)什么是木马(续)
木马通过将自身进行伪装以吸引用户执行。一旦用户误执行而感染了木马之后,攻击者就可以任意破坏、窃取用户文件,甚至远程操控用户的电脑。
目前,木马已经形成了一条集:“需求-编制-销售-传播”于一体的黑色产业链,这条黑色产业链每年有超百亿元人民币的收入。木马已成为目前危害最大的恶意软件之一。
木马简介
(2)木马分类
网络游戏木马。
网银木马。
即时通讯软件木马。
网页点击类木马。
下载类木马。
代理类木马。
木马简介
(3)木马发展历程:
第一代:简单木马窃取、然后通过电子邮件发送等。
第二代:技术上有很大改进。国内的冰河是此时期的典型代表作。
第三代:在数据传递技术方面改进,出现了ICMP木马等,利用畸形报文传递数据,增大杀毒软件查杀难度。
第四代:进程隐藏方面有了很大改进。如:内核模块、进程注入等。
木马简介
(3)木马发展(续)
第五代:驱动级木马。大量使用Rootkit技术来达到深入隐藏,并深入到内核空间。并主动对杀毒软件和网络防火墙发起攻击。
第六代:黏虫技术类型和特殊反显技术类型木马主键开始系统化。前者以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。
木马简介
(4)木马常用传播和植入技术
通过邮件植入。
通过网页植入。
通过文件捆绑植入。
利用系统漏洞植入。
利用应用软件漏洞植入。
木马简介
(5)木马自启动技术
。[Windows]字段中修改启动命令“load=”和“run=”。
修改注册表。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的主键。
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的主键。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“Run开头的某一主键”
木马简介
(5)木马自动启技术(续)
。[boot]字段“shell=”后添加受控程序路径。
修改文件关联。打开注册表,修改文件的关联属性,使得特定文件在打开时,先打开木马,再打开特定文件。
修改系统服务程序。包括独立服务和Svchost共享服务等。