第12章 特洛伊木马

1、2本章内容主要是特洛伊木马的知识，包括：本章内容主要是特洛伊木马的知识，包括：q 木马的概念木马的概念q 木马的危害木马的危害q 木马的隐藏和传播技术木马的隐藏和传播技术q 典型木马分析与防范措施典型木马分析与防范措施3通过本章学习，了解特洛伊木马病毒的概念、攻通过本章学习，了解特洛伊木马病毒的概念、攻击隐藏技术、防范措施等，了解如何解决处理计算机击隐藏技术、防范措施等，了解如何解决处理计算机木马病毒。木马病毒。古希腊传说，特洛伊王子帕里斯访问希腊，诱惑走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作

2、退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。5特洛伊木马(Trojan)病毒：是指隐藏在正常程序中的一段具有特殊功能的恶意代码是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序6特洛伊木马程序往往表面上看起来特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未无害，但是会执行一些未预料或未经授权，通常是恶意的操作。经授权，通常是恶意的操作。 一个完整的木马程序由两部分组成7 第一代木马 ：伪装型病毒 通过伪装成一个合法性程序诱骗用户上当 第二代木马 ：AIDS型木马 利用现实生

3、活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾8 第三代木马：网络传播型木马 随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还添加了“后门”和击键记录等功能。 所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。 击键记录的功能功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。9 破坏型 密码发送型 远程访问型 键盘记

4、录木马 DoS攻击木马 代理木马 FTP木马 程序杀手木马 反弹端口型木马11 破坏并且删除文件 删除DLL、INI、EXE文件12 查找相关密码 发送指定邮件（控制者）获取密码的方法： 搜索密码文件 记录键盘操作 暴力破译加密文件13 只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。 利用程序可以实现观察“受害者”正在干什么 可用于计算机远程监控和远程排错等操作14 记录受害者的键盘敲击并且在LOG文件里查找密码 随着Windows启动 同时具有邮件发送功能15 入侵一台机器 将该计算机做为DoS攻击的平台，也称为肉鸡 攻击者可以利用它来攻击一台又一台计算机，给

5、网络造成很大的伤害和带来损失 邮件炸弹木马一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止16 黑客在入侵的同时掩盖自己的足迹 给被控制的肉鸡种上代理木马 攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序17 功能就是打开21端口，等待用户连接 对端口进行加密，只有攻击者本人才知道正确的密码，从而进入对方计算机18 关闭对方机器上运行的防木马程序 让其他的木马更好地发挥作用。19 服务端 (被控制端)使用主动端口 客户端 (控制端)使用被动端口 木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的

6、主动端口;为了隐蔽起见，控制端的被动端口一般开在 80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。20 在任务管理器里隐藏 任务管理器中查看不到木马进程 木马将自己设成“系统服务” 在任务栏里隐藏 通过VB编程中属性设置实现自身不出现在任务栏中 端口修改 使用非常用端口，或高位端口 自己修改端口22 隐藏通讯 占领 80HTTP端口 收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序 隐藏加载方式在Win.ini

7、中启动在System.ini中启动利用注册表加载运行在Autoexec.bat和Config.sys中加载运行在Winstart.bat中启动启动组*.INI修改文件关联捆绑文件23 最新隐身技术 修改虚拟设备驱动程序(VXD) 修改动态链接库 (DLL) 将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤 优势：没有增加新的文件不需要打开新的端口没有新的进程产生24 捆绑欺骗 把木马服务端和某个游戏/软件捆绑成一个文件 通过即时通讯工具、邮件、下载工具等渠道发送出去 钓鱼欺骗（Phishing） 构造一个链接或者一个网页 利用社会工程学欺骗方法 欺骗用户输入某些个人，隐私信息，

8、然后窃取个人隐私 漏洞攻击 利用操作系统和应用软件的漏洞进行的攻26 网页挂马 网页挂马就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机27 框架嵌入式网络挂马 将网页木马利用frame语句加载到任意网页中28 解释：在打开插入该句代码的网页后，就也就打开了http:/ js调用型网页挂马 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术29 http:/ 攻击者直接将网页木马加载到图片中30 http:/ 注：当用户打开http:/ 用户从互联网下载免费软件1）使用正版防毒软件

9、，并及时更新防毒病毒码；2）及时打上系统和软件补丁；3）不要访问色情、黑客等不良网站；4）不要轻易相信“朋友”发来的链接和程序，对于下载的软件应该先查毒，然后才能运行；5）陌生人的邮件勿轻易打开；6）定期更新密码，尤其是银行账号、游戏账号等的密码；7) 使用防毒软件定期扫描系统。对于企业用户而言还应做好以下几点：1）加强网络管理，关闭不必要的网络端口和应用；2）使用网络版的防毒软件，可以进行全网管理；3）加强用户安全意识教育；4）做好安全监控和病毒事件应急响应；5）监控Web服务器是否挂马，有条件者可以寻求专业防毒机构和专业人士的支持。331、以下对特洛伊木马的概念描述正确的是_A,.特洛伊木

10、马不是真正的网络威胁，只是一种游戏B.特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。C.特洛伊木马程序的特征很容易从计算机感染后的症状上进行判断D.中了特洛伊木马就是指安装了木马的客户端程序，若你的电脑被安装了客户端程序，则拥有相应服务器端的人就可以通过网络控制你的电脑。2、网络传播型木马的特征有很多，请问哪个描述是正确的_A.利用现实生活中的邮件进行散播, 不会破坏数据，但是他将硬盘加密锁死B.兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥，同时他还添加了“后门”和击键记录等功能C.通过伪装成一

11、个合法性程序诱骗用户上当D.通过消耗内存而引起注意3、有记录在线离线刻录特征的木马属于哪种特洛伊木马_A.代理木马 B.键盘记录木马 C.远程访问型 D.程序杀手木马4、特洛伊木马与远程控制软件的区别在于木马使用了什么技术_A.远程登录技术 B.远程控制技术 C.隐藏技术 D.监视技术5、哪种木马隐藏技术的特点是没有增加新文件、不打开新的端口，没有生成新的进程的情况下进行危害_A.修改动态链接库加载 B.捆绑文件C.修改文件关联 D.利用注册表加载6、每种网络威胁都有其目的性，那么网络钓鱼发布者想要实现什么目的_A.破坏计算机系统B.单纯的对某网页进行挂马C.体现黑客的技术D.窃取个人隐私信息7、什么是网页挂马_A.攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机B.黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高C.把木马服务端和某个游戏/软件捆绑成一个文件通过QQ/MSN或邮件发给别人，或者通过制作BT木马