文档介绍:网络攻防
古希腊传说,特洛伊王子访问希腊,诱走了王后,希腊人因此远征特洛伊。围攻9年后无果,后来希腊将领献了一计,把一批勇士埋伏在一匹巨大的木马腹内,佯作退兵。特洛伊人以为退兵,把木马作为战利品搬入城中。到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士攻下城池。后来,常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。
一、认识木马
英文名称:
Trojan horse、Trojan
定义:
一种秘密潜伏的能够通过远程网络进行控制的恶意程序。控制者可以控制被植入木马的计算机,是恶意攻击者进行窃取信息的工具。
1、特洛伊木马组成
控制端程序:用于远程控制。
服务端程序:即在目标系统的后台运行实现监控程序,该服务端程序运行一次即自动安装。
2、木马工作过程
第一步是将特洛伊木马的服务端程序植入被攻击的系统。攻击者可能通过电子邮件附件、网页代码、下载软件、系统漏洞等方式进行植入。
3、特洛伊木马特性
具有自动运行性。
具备自动恢复功能
能自动打开特别的端口
自我销毁
特洛伊木马没有复制能力
4、特洛伊木马的种类
1)远程控制类特洛伊木马
它是目前最广泛的一种特洛伊木马,只要目标系统上运行了服务端程序,就可以在该系统上开启特定的端口,这样攻击者就很容易知道服务端系统的IP地址和打开的端口,从而攻击者就可以通过控制端程序实现远程控制。
2)信息窃取类特洛伊木马
带有记录键盘输入功能,并猜测和查找密码。它通常都会随着系统启动而启动,可以记录系统离线和在线时通过键盘输入的内容,这一功能将有助于分析出登录网上银行和通信工具所使用的口令。它通常会通过电子邮件的方式将记录下来的信息发到控制端。
3)破坏类特洛伊木马
目的就是要破坏目标系统。这类特洛伊木马有的会破坏和删除系统文件,如:可以自动删除DLL、INI和EXE等类型文件。
4)端口反弹类特洛伊木马
通常情况下,防火墙对由外到内的入站连接进行严格限制,但对由内到外的出站连接却疏于防范。由于这一原因,很多远程控制类特洛伊木马的控制端程序无法主动连接到服务端。而端口反弹类木马与一般的木马相反,它的服务端会主动连接控制端程序。服务端会定时监测控制端的存在,如有发现会立即主动连接控制端。
安徽新华电脑专修学院
5、冰河木马简介
1)冰河的功能
它是国内著名的远程控制类特洛伊木马,运行于Win平台。它的主要功能包括:
自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)
记录各种口令:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息,。
获取系统信息、限制系统功能、远程文件操作、注册表操作、发送信息。
安徽新华电脑专修学院
2)冰河的组成
:服务端程序,即在目标系统的后台运行实现监控程序,该服务端程序运行一次即自动安装。
:控制端程序,用于远程控制。
3)启用冰河
通过文件管理器远程管理被监控端的文件
安徽新华电脑专修学院
6、特洛伊木马的防范措施
特洛伊木马的防范是指在特洛伊木马尚未入侵或刚刚入侵时,就拦截、阻止其入侵或立即报警。由于特洛伊木马都具有一定的隐蔽性和自动保护功能,清除相对较为复杂,因此防范显得尤其重要。
不随意下载使用非法游戏软件和***
不随意浏览不明网页
不随意打开来历不明的邮件
不接收不明内容的信息
使用杀毒软件
升级系统补丁程序,及时修补漏洞和关闭可疑的端口
安装360木马防火墙