null第四节 特洛伊木马第四节 特洛伊木马—欺骗与隐藏本节主要
内容
财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容
本节主要内容一、特洛伊木马及其特点
二、特洛伊木马的功能与实现
三、特洛伊木马的植入和隐藏技术
四、特洛伊木马的查杀
五、木马的新技术特洛伊木马词源特洛伊木马词源特洛伊木马(Trojan Horse)简称木马。词语来源于古希腊的神话故事“木马记”。特洛伊木马特洛伊木马在网络安全领域中,特洛伊木马通常攻击者所使用的远程控制程序。
隐蔽性和非授权性是木马的两大特点微软被黑事件微软被黑事件2000年10月底,微软公司承认,有黑客利用一种名为QAZ的木马闯入微软内部网络,并获取了正在开发中的软件部分源码第四节 特洛伊木马第四节 特洛伊木马一、特洛伊木马及其特点
二、特洛伊木马的功能与实现
三、特洛伊木马的植入和隐藏技术
四、特洛伊木马的查杀
五、木马的新技术木马功能木马功能收集密码或密码文件
收集系统关键信息
远程文件操作
远程控制
其它的特殊功能网络连接的实现网络连接的实现基于远程控制的木马在本质上仍然是一种基于客户/服务器的程序控制的实现控制的实现特洛伊的各种功能:包括文件管理、远程控制等则由Win32 API函数完成
所谓Win32 API,是指Windows应用程序编程接口(Application Programming Interface),因为运行在32位Windows操作系统而得名第四节 特洛伊木马第四节 特洛伊木马一、特洛伊木马及其特点
二、特洛伊木马的功能与实现
三、特洛伊木马的植入和隐藏技术
四、特洛伊木马的查杀
五、木马程序的新特点木马植入木马植入伪装和诱骗
邮件
共享磁盘伪装伪装把木马编写成看似其它有用的程序
使用文件合并技术将木马和其它程序捆绑到一起演示:伪装木马演示:伪装木马使用文件合并工具伪装木马邮件邮件在电子邮件客户程序中,为了方便用户,一般都会有地址簿功能
有些木马利用地址簿,将自身作为邮件附件发送给地址簿中的联系人。发信人和收信人之间的信任关系,使得木马有更多的机会得到运行共享目录共享目录Windows使用磁盘和目录共享实现主机间的文件、打印机共享的能力
有些木马会查阅主机是否共享有其它机器的目录,如果有则将自己复制到该目录中QAZ木马的植入技术分析QAZ木马的植入技术分析最初QAZ可能作为邮件附件,通过欺骗用户植入对方主机。QAZ运行后,会首先重命名Notepad.exe为Note.com,并生成新的含木马功能的Notepad.exe
QAZ还利用共享磁盘在局域网的内部传播。它查找共享同一个网络硬盘的个人系统,然后寻找Windows文件夹,感染该系统下Notepad.exe文件木马隐身木马隐身所谓隐身是指木马为了保护自己,所应用的尽量使主机用户无法发现木马的技术木马的隐身技术包括木马的隐身技术包括程序启动的隐身
服务端进程的隐身
网络连接的隐身程序启动的隐身程序启动的隐身Win.ini、System.ini
启动组和
计划
项目进度计划表范例计划下载计划下载计划下载课程教学计划下载
任务
在注册表中添加启动项
通过其它应用程序的配置文件加载进程的隐身进程的隐身使用隐蔽性、欺骗性强的进程名称
隐藏程序窗口
隐藏任务列表网络连接隐身网络连接隐身将服务端的侦听端口置于高端
在植入木马后,可以重新设置侦听的端口本节主要内容本节主要内容一、特洛伊木马及其特点
二、特洛伊木马的功能与实现
三、特洛伊木马的植入和隐藏技术
四、特洛伊木马的查杀
五、木马程序的新特点发现木马发现木马提高安全意识
使用查杀木马的软件
查看TCP和UDP连接
端口扫描
防火墙 演示:查看端口演示:查看端口使用netstat 命令、fport、ActivePorts查看本机端口本节主要内容本节主要内容一、特洛伊木马及其特点
二、特洛伊木马的功能与实现
三、特洛伊木马的植入和隐藏技术
四、特洛伊木马的查杀
五、木马程序的新特点木马技术的发展木马技术的发展进程隐身
端口隐身
避开防火墙进程隐身进程隐身编写成为动态链接库,使用rundll32程序加载
替换Windows系统动态链接库
使用远程线程插入技术,将木马插入到系统已有进程(如explorer.exe)中运行端口隐身端口隐身寄生
端口复用技术
潜伏
使用ICMP协议启动
使用ICMP协议通讯避开防火墙避开防火墙反弹端口反弹端口反弹端口由木马端程序反向连接控制端程序避开防火墙避开防火墙反弹端口
通过中间服务器中转命令和命令结果