计算机病毒防治第十二讲特洛伊木马课件

1、第十二讲 特洛伊木马2本章概要本章内容主要是特洛伊木马的知识，包括：木马的概念木马的危害木马的隐藏和传播技术典型木马分析与防范措施3本章目标通过本章学习，学员应该了解特洛伊木马病毒的概念、攻击隐藏技术、防范措施等，了解如何解决处理计算机木马病毒。特洛伊木马简史特洛伊木马传说古希腊传说，特洛伊王子帕里斯访问希腊，诱惑走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。5特洛伊木

2、马病毒概念特洛伊木马(Trojan)病毒：是指隐藏在正常程序中的一段具有特殊功能的恶意代码是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序6特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。木马的组成一个完整的木马程序由两部分组成7服务器端中木马的计算机,即被控制端控制器端通过网络控制您的计算机特洛伊木马的演变第一代木马 ：伪装型病毒通过伪装成一个合法性程序诱骗用户上当第二代木马 ：AIDS型木马利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，

3、预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾8特洛伊木马的演变第三代木马：网络传播型木马随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还添加了“后门”和击键记录等功能。所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。击键记录的功能功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。9特洛伊木马简史特洛伊木马的类型破坏型密码发送型远程访问型键盘记录木马DoS攻击木马代理木马FTP木马程序杀手木马反弹端口型木马11破坏型木马破坏并且删除文件删除D

4、LL、INI、EXE文件12密码发送型查找相关密码发送指定邮件（控制者）获取密码的方法：搜索密码文件记录键盘操作暴力破译加密文件13远程访问型只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。利用程序可以实现观察“受害者”正在干什么可用于计算机远程监控和远程排错等操作14键盘记录木马记录受害者的键盘敲击并且在LOG文件里查找密码随着Windows启动同时具有邮件发送功能15DoS攻击木马入侵一台机器将该计算机做为DoS攻击的平台，也称为肉鸡攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失邮件炸弹木马一旦机器被感染，木马就会随机生成各种各样主题的

5、信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止16代理木马黑客在入侵的同时掩盖自己的足迹给被控制的肉鸡种上代理木马攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序17FTP木马功能就是打开21端口，等待用户连接对端口进行加密，只有攻击者本人才知道正确的密码，从而进入对方计算机18程序杀手木马关闭对方机器上运行的防木马程序让其他的木马更好地发挥作用。19反弹端口型木马服务端 (被控制端)使用主动端口客户端 (控制端)使用被动端口木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在 80，即使用户

6、使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。20特洛伊木马隐藏技术隐藏技术（一）在任务管理器里隐藏任务管理器中查看不到木马进程木马将自己设成“系统服务”在任务栏里隐藏通过VB编程中属性设置实现自身不出现在任务栏中端口修改使用非常用端口，或高位端口自己修改端口22隐藏技术（二）隐藏通讯占领 80HTTP端口收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序隐藏加载方式在Win.ini中启动在System.ini中启动利用注册

7、表加载运行在Autoexec.bat和Config.sys中加载运行在Winstart.bat中启动启动组*.INI修改文件关联捆绑文件23隐藏技术（三）最新隐身技术修改虚拟设备驱动程序(VXD)修改动态链接库 (DLL)将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤优势：没有增加新的文件不需要打开新的端口没有新的进程产生24特洛伊木马的传播常见传播方式（一）捆绑欺骗把木马服务端和某个游戏/软件捆绑成一个文件通过即时通讯工具、邮件、下载工具等渠道发送出去钓鱼欺骗（Phishing）构造一个链接或者一个网页利用社会工程学欺骗方法欺骗用户输入某些个人，隐私信息，然后窃取个人隐私漏

8、洞攻击利用操作系统和应用软件的漏洞进行的攻26常见传播方式（二）网页挂马网页挂马就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机27网页挂马技术（一）框架嵌入式网络挂马将网页木马利用frame语句加载到任意网页中28 解释：在打开插入该句代码的网页后，就也就打开了/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。 网页挂马技术（二）js调用型网页挂马利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术29 /gm.js就是一个js脚本文件，通过它调

9、用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了网页挂马技术（三）图片伪装挂马攻击者直接将网页木马加载到图片中30 /test.htm中的木马代码植入到test.gif图片文件中图片木马生成后，再利用代码调用执行，实例代码如： 注：当用户打开/test.htm是，显示给用户的是/test.jpg，而/test.htm网页代码也随之运行。TROJ_WIDGET.046311. 用户从互联网下载免费软件特洛伊木马防范措施防范措施1）使用正版防毒软件，并及时更新防毒病毒码；2）及时打上系统和软件补丁；3）不要访问色情、黑客等不良网站；4）不要轻易相信“朋友”发来的链接和程序，对于下载的软件应该先查毒，然后才能运行；5）陌生人的邮件勿轻易打开；6）定期更新密码，尤其是银行账号、游戏账号等的密码；7) 使用防毒软