第八章木马病毒分析

上传人：w*** IP属地：湖北上传时间：2023-09-03 格式：PPT 页数：20 大小：624.50KB 积分：30 举报 版权申诉

已阅读5页，还剩15页未读，继续免费阅读

版权说明：本文档由用户提供并上传，收益归属内容提供方，若内容存在侵权，请进行举报或认领

木马病毒分析

Trojanhorse

由两部分程序组成服务（server）端程序：被控计算机客户（client）端程序：控制者

木马病毒的发展过程网络处于UNIX平台时期，木马产生相对简单，将一段程序嵌入到系统文件当中，用跳转指令来执行一些木马的功能设计者与使用者均为技术人员，具备相当的网络与编程知识Windows平台下基于图形操作的木马出现和普及对服务端破坏更大了

木马特点设计者使用多种手段隐藏木马，往往即便发现木马也不能确定其具体位置非授权性，控制段享有服务段大部分操作权限，修改文件、注册表、控制鼠标、键盘，通过木马程序窃取

木马危害偷窃口令（上网、拨号、主页、信用卡等口令）传播病毒库远程用户获取本地计算机的最高权限

木马种类

远程访问型特洛伊木马密码发送型木马键盘纪录型木马毁坏性木马FTP型木马

木马伪装方式

修改图标

Html、zip、txt捆绑文件捆绑到安装程序上出错显示弹出错误对话框，例如：“文件已破坏”定制端口

木马伪装方式

自我销毁弥补木马的缺陷避免服务端找到木马来源木马更名

木马触发条件

多种触发条件

注册表1、修改注册表：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下面的以Run和RunServices作为主键的项，放入触发条件后就可以作为启动木马的键值。

2、HKEY_CLASSES_ROOT\文件类型\shell\open\command下的键值

例子：国产“冰河”

HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值改为：“c:\windows\system\sysexplr.exe%1”只要打开txt文件，木马程序即运行

利用win.iniC:\windows\win.ini中[windows]字段中有启动命令“load=”和“run=”，一般情况为空，将木马程序命令写入，当系统启动后即可触发

利用system.iniC:\windows\system.ini

[386Enh]

[mic]

[drivers32]

利用Autoexec.bat,config.sysDos系统下需要控制端与服务器建立连接将文件上传并覆盖原文件

利用ini文件同样是覆盖正常的.ini文件

捆绑文件

首先控制端和服务端建立连接将木马与某应用程序捆绑上传文件覆盖应用程序

其他系统启动程序：开始-----程序------启动建立一个tasks：在windows目录下面的tasks目录下面建一个task。然后触发执行。如定期到某站点下载一个程序并执行

关于TCP/IP端口号TCP/IP规定计算机的端口有256X256=65536个，0----655351------10

人人文库> 全部分类> 教育资料 > 中学教育

1. 本站所有资源如无特殊说明，都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2. 本站的文档不包含任何第三方提供的附件图纸等，如果需要附件，请联系上传者。文件的所有权益归上传用户所有。
3. 本站RAR压缩包中若带图纸，网页内容里面会有图纸预览，若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对用户上传分享的文档内容本身不做任何修改或编辑，并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容，请与我们联系，我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。