木马攻击技术的概述样本

目录一、木马概述 31.木马的定义及特征 31.1木马的定义 31.2木马的特征 32.木马的工作原理 43.木马的分类 54.木马的功能 65.木马的工作过程 7二、木马的传播方式 8三、木马的清除 9四、如何避免木马攻击 9五、结语 9六、参考文献 10前言木马技术是最常用网络袭击手段之一，它对网络环境中计算机信息资源导致了很大危害。文中简介了木马程序概念、基本原理和分类，针对常用木马袭击方式提出了某些防范办法。

木马危害，在于它可以远程控制你电脑。当你成为“肉鸡”时候，别人（控制端）就可以进入你电脑，偷看你文献、*密码、甚至用你QQ发某些乱七八糟东西给你朋友，木马大量浮现，在于它有着直接商业利益。一旦你网上银行密码被盗，哭都来不及了。正由于如此，当前木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒互相配合、相得益彰，危害越来越大。【核心词】：木马程序、袭击手段、防范技术、木马危害一、木马概述1.木马定义及特性1.1木马定义在古罗马战争中，古罗马人运用一只巨大木马，麻痹敌人，赢得了战役胜利，成为一段历史佳话。而在当今网络世界里，也有这样一种被称做木马程序，它为自己带上伪装面具，悄悄地潜入顾客系统，进行着不可告人行动。关于木马定义有诸各种，作者以为，木马是一种在远程计算机之间建立起连接，使远程计算机可以通过网络控制本地计算机程序，它运营遵循TCP/IP合同，由于它像间谍同样潜入顾客电脑，为其她人袭击打开后门，与战争中“木马”战术十分相似，因而得名木马程序。木马程序普通由两某些构成，分别是Server（服务）端程序和Client（客户）端程序。其中Server端程序安装在被控制计算机上，Client端程序安装在控制计算机上，Server端程序和Client端程序建立起连接就可以实现对远程计算机控制了。一方面，服务器端程序获得本地计算机最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本操作祈求，并由服务器端程序完毕这些祈求，也就实现了对本地计算机控制。由于木马发挥作用必要规定服务器端程序和客户端程序同步存在，因此必要规定本地机器感染服务器端程序，服务器端程序是可执行程序，可以直接传播，也可以隐含在其她可执行程序中传播，但木马自身不具备繁殖性和自动感染功能。1.2木马特性据不完全记录，当前世界上有上千种木马程序。虽然这些程序使用不同程序设计语言进行编制，在不同环境下运营，发挥着不同作用，但是它们有着许多共同特性。（1）隐蔽性隐蔽性是木马首要特性。木马类软件server端在运营时会使用各种手段隐藏自己,例如人们所熟悉修改注册表和ini文献，以便机器在下一次启动后仍能载入木马程序。普通状况下，采用简朴按“Alt+Ctrl+Del”键是不能看见木马进程。尚有些木马可以自定义通信端口，这样就可以使木马更加隐秘。木马还可以更改server端图标，让它看起来象个zip或图片文献，如果顾客一不小，就会让当。（2）功能特殊性普通，木马功能都是十分特殊，除了普通文献操作以外，尚有些木马具备搜索目的计算机中口令，设立口令，扫描IP发现中招机器，记录顾客事件，远程注册表操作，以及颠倒屏幕，锁定鼠标等功能。（3）自动运营性木马程序通过修改系统配备文献或注册表方式，在目的计算机系统启动时即自动运营或加载。（4）欺骗性木马程序要达到其长期隐蔽目，就必须借助系统中已有文献，以防被顾客发现。木马程序经常使用是常用文献名或扩展名，如“dll\win\sys\explorer等字样，或者仿制某些不易被人区别文献名，如字母“l”与数字“1”、字母“o”与数字“0”。尚有木马程序为了隐藏自己，把自己设立成一种ZIP文献式图标，当你一不小心打开它时，它就立即运营。木马编制者还在不断地研究、发掘欺骗手段，花样层出不穷，让人防不胜防。（5）自动恢复性当前，诸多木马程序中功能模块已不再是由单一文献构成，而是具备多重备份，可以互相恢复。计算机一旦感染上木马程序，想单独靠删除某个文献来清除，是不太也许。2.木马工作原理特洛伊木马（其名称取自希腊神话特洛伊木马记，如下简称木马）英文为“TrojanHorse”，是一种基于远程控制黑客工具程序。因而，查杀木马最核心还是要懂得木马工作原理。常用普通木马普通是客户端/服务端（Client/Server,C/S）模式，客户端/服务端之间采用TCP/UDP通信方式，袭击者控制相应客户端程序，服务端程序是木马程序，木马程序被植入到毫不知情顾客计算机中。以“里应外和”工作方式，服务端通过打开特定端口并进行监听，这些端口好像“后门”同样，因此，也有人把特洛伊木马叫做后门工具。袭击者所掌握客户端程序向该端口发出祈求（ConnectRequest），木马便与其连接起来。袭击者可以使用控制器进入计算机，通过客户端程序命令达到控制服务器端目。此类木马普通工作模式如下图所示。打开特定端口打开特定端口木马Server端木马木马Server端木马Client端获得连接获得连接袭击者掌握被控制端3.木马分类依照木马程序对计算机详细动作方式，可以把当前存在木马程序分为如下几类。1、远程访问型木马远程访问型木马是当前最广泛特洛伊木马。这种木马起着远程控制功能，用起来非常简朴，只需某些人运营服务端程序，同步获得她们IP地址，控制者就能任意访问被控制端计算机。这种木马可以使远程控制者在本地机器上做任意事情，例如键盘记录、上传和下载功能、发射一种“截取屏幕”等等。这种类型木马有知名BO（BackOffice）、国产冰河等。2、密码发送型木马密码发送型木马目是找到所有隐藏密码，并且在受害者不懂得状况下把它们发送到指定信箱。大多数此类木马程序不会在每次Windows重启时都自动加载，它们大多数使用25端口发送电子邮件。3、键盘记录型木马键盘记录型木马是非常简朴，它们只做一种事情，就是记录受害者键盘敲击，并且在LOG文献里做完整记录。这种木马程序随着Windows启动而启动，懂得受害者在线并且记录每一种顾客事件，然后通过邮件或其她方式发送给控制者。4、毁坏型木马大某些木马程序只窃取信息，不做破坏性事件，但毁坏型木马却以毁坏并且删除文献为己任。它们可以自动地删除受控制者计算机上所有.dll或.ini或.exe文献，甚至远程格式化受害者硬盘。毁坏型木马危害很大，一旦计算机被感染而没有即时删除，系统中信息会在顷刻间“灰飞烟灭”。5、FTP型木马FTP型木马打开被控制计算机21端口（FTP所使用默认端口），使每一种人都可以用一种FTP客户端程序来不用密码连接到受控制端计算机，并且可以进行最高权限上传和下载，窃取受害者机密文献。6、DoS袭击木马随着DoS袭击越来越广泛应用，被用作DoS袭击木马也越来越流行起来。当黑客入侵一台机器后，给她种上DoS袭击木马，那么日后这台计算机就成为黑客DoS袭击最得力助手了。黑客控制肉鸡数量越多，发动DoS袭击获得成功机率就越大。因此，这种木马危害不是体当前被感染计算机上，而是体当前黑客运用它来袭击一台又一台计算机，给网络导致很大伤害和带来损失。尚有一种类似DoS木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题信件，对特定邮箱不断地发送邮件，始终到对方瘫痪、不能接受邮件为止。7、反弹端口型木马木马开发者在分析了防火墙特性后发现：防火墙对于连入链接往往会进行非常严格过滤，但是对于连出链接却疏于防范。与普通木马相反，反弹端口型木马服务端（被控制端）使用积极端口，客户端（控制端）使用被动端口。木马定期监测控制端存在，发现控制端上线及时弹出端口积极连结控制端打开被动端口；为了隐蔽起见，控制端被动端口普通开在80，虽然顾客使用扫描软件检查自己端口时，发现类似TCPUserIP:1026ControllerIP:80ESTABLISHED状况，稍微疏忽一点，就会觉得是自己在浏览网页，由于浏览网页都会打开80端口。8、代理木马黑客在入侵同步掩盖自己足迹，谨防别人发现自己身份是非常重要，因而，给被控制肉鸡种上代理木马，让其变成袭击者发动袭击跳板就是代理木马最重要任务。通过代理木马，袭击者可以在匿名状况下使用Telnet，ICQ，IRC等程序，从而隐蔽自己踪迹。9、程序杀手木马上面木马功能虽然形形色色，但是到了对方机器上要发挥自己作用，还要过防木马软件这一关才行。常用防木马软件有ZoneAlarm,NortonAnti-Virus等。程序杀手木马功能就是关闭对方机器上运营此类程序，让其她木马更好地发挥作用4.木马功能木马程序危害是十分大，它能使远程顾客获得本地机器最高操作权限，通过网络对本地计算机进行任意操作，例如删添程序、锁定注册表、获取顾客保密信息、远程关机等。木马使顾客电脑完全暴露在网络环境之中，成为别人操纵对象。就当前浮现木马来看，大体具备如下功能：1、自动搜索已中木马计算机；2、对对方资源管理，复制文献、删除文献、查看文献内容、上传文献、下载文献等；3、远程运营程序；4、跟踪监视对方屏幕；5、直接屏幕鼠标控制，键盘输入控制；6、监视对方任务且可以中断对方任务；7、锁定鼠标、键盘和屏幕；8、远程重新启动计算机、关机；9、记录、监视按键顺序、系统信息等一切操作；10、随意修改注册表；11、共享被控制端硬盘；12、乱屏等耍弄人操作。5.木马工作过程1.配备木马普通来说，一种设计成熟木马均有木马配备程序，从详细配备内容看，重要是为了实现如下两个功能。木马伪装。木马配备程序为了在服务器端尽量隐藏好，会采用各种伪装手段，如修改图标、捆绑文献、定制端口、自我销毁等。信息反馈。木马配备程序会依照信息反馈方式或地址进行设立，如设立信息反馈邮件地址、IRC号、ICQ号等。2.传播木马配备好木马后，就要传播过去。木马传播方式重要有：控制端通过E-mail将木马程序以附件形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；软件下载，某些非正规网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要运营这些程序，木马就会自动安装；通过QQ等通信软件进行传播；通过病毒夹带把木马传播出去。3.启动木马木马程序传播给对方后，接下来是启动木马。一种方式是被动地等待木马或捆绑木马程序被积极运营，这是最简朴木马。大多数一方面将自身复制到Windows系统文献夹中（C:\WINNT,C:\WINNT\system32或C:\WINNT\temp目录下），然后写入注册表启动组，非启动组中设立好木马触发条件，这样木马安装就完毕了。普通系统重新启动时木马就可以启动，然后木马打开端口，等待连接。建立连接一种木马连接建立必要满足两个条件：一是服务器端已安装了木马程序；二是控制端、服务器端都要在线。在此基本上控制端可以通过木马端口与服务器端建立连接。控制端可以依照提前配备服务器地址、定制端口来建立连接；或者是用扫描器，依照扫描成果中检测哪些计算机某个端口开放，从而懂得该计算机里某类木马服务器端在运营，然后建立连接；或者依照服务器端积极发回来信息懂得服务器端地址、端口，然后建立连接。远程控制前面环节完毕之后，就是最后目阶段，对服务器端进行远程控制，实现窃取密码、文献操作、修改注册表、锁住服务器端以及系统操作等。二、木马传播方式⒈系统漏洞一种新安装系统在没有安装任何系统补丁和防火墙程序时,它遭受木马种植危险机率非常大.众所周知,Windows系统漏洞非常多,虽然你不做任何事只要系统连接上了网络,黑客们就可以通过网络扫描程序来找到你电脑,然后再通过系统漏洞直接进入你电脑,然后在你系统中偷偷安装上木马程序,让你在不知不觉间就中了招,成为了别人肉鸡.⒉文献捆绑这是黑客种植木马最惯用手段之一.将木马程序捆绑在正常程序或文献中,当别人下载并运营后,被捆绑木马程序和文献可以正常运营,但在运营过程中,木马程序也已经悄悄运营了,这起到了较好困惑作用.黑客普通会将木马程序捆绑到一种广为传播热门软件上来诱使她人下载,并把它放到下载网站或网站论坛中使其在网络上传播.⒊文献伪装将木马程序伪装成其他文献是黑客种植木马最简朴也是最惯用手段.例如修改木马程序图标,文献名或后缀名,使它看起来与此外一种正常文献别无二样,并且为了让人容易接受,经常会伪装成热门文献来诱使对方打开.伪装木马最惯用传播方式就是通过电子邮件和QQ等即时通讯软件来传播.诸多朋