计算机木马病毒介绍课件PPT.pptx

第五章
计算机木马病毒介绍
计算机木马病毒介绍专家讲座
第1页
木马病毒基础
木马病毒定义
3000多年前特洛伊王国及古希腊战争把战场上巨大木马带回自己王国而带来沦陷
在Internet网络上下载应用程序或游戏中,包含了能够控:\windows\start menu\programs\startup）
计算机木马病毒介绍专家讲座
第8页
木马开启方式
7*.INI（即应用程序开启配置文件，控制端利用这些文件能开启程序特点，将制作好带有木马开启命令同名文件上传到服务端覆盖这同名文件，这么就能够到达开启木马目标。只开启一次方式：）
8修改文件关联
修改文件关联是木马惯用伎俩，，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开（冰河木马）（htm\exe\zip\.com）
对付这类木马，只能经常检验HKEY_C\shell\open\command主键，查看其键值是否正常
9捆绑文件
控制端和服务端已经过木马建立连接
控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这么即使木马被删除，只要运行捆绑木马应用程序，木马又会安装上去
计算机木马病毒介绍专家讲座
第9页
木马开启方式
10反弹端口型木马主动连接
服务端主动与客户端建立连接，监听端口普通开80，在没有适当工具，丰富经验极难防范，如：网络神偷 ，要在注册表中建立键值
11另一个鲜为人知开启方式，是在开始—运行—，设置用户添加自动开启程序，假如刚才添加是木马程序，那么一个“隐形”木马就这么诞生了。因为用这种方式添加自开启程序在系统“系统配置实用程序”找不到，在注册表中也是找不到
12还有一个不需要经过开启项也能到达跟随系统开启卑鄙手法，那就是“系统路径遍历优先级坑骗”
在系统搜寻一个不带路径信息文件时遵照一个“从外到里”规则，它会由系统所在盘符根目录开始向系统目录深处递进查找，而不是准确定位。
这种手法常被用于“”因为不论哪个windows版本开启项里，它都是没有设置路径
计算机木马病毒介绍专家讲座
第10页
木马种类
破坏型
惟一功效就是破坏而且自动删除文件,(DLL、INI、EXE)
密码发送型
找到隐藏密码并把它们发送到指定邮箱。
密码存在电脑中
密码记忆功效
黑客软件长久潜伏统计操作者键盘操作，从中寻找有用密码
远程访问型
最广泛是特洛伊马，只需有些人运行了服务端程序，假如客户端知道服务端IP地址，就能够实现远程控制，实现观察“受害者”正在干什么，
程序中用UDP协议
键盘统计木马
统计受害者键盘敲击而且在LOG文件里查找密码
伴随WINDOWS开启而开启，
有在线和离线统计选项，
对于这种类型木马，邮件发送功效也是必不可少
计算机木马病毒介绍专家讲座
第11页
木马种类
DoS攻击木马
入侵一台计算机种上DoS攻击木马，此机成为日后DoS攻击最得力助手
控制肉鸡数量越多，你发动DoS攻击取得成功率就越大
这类木马不表达在被感染计算机，而是表达在攻击者能够利用它来攻击一台又一台计算机，给网络造成伤害和带来损失
类似DoS木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题信件，对特定邮箱不停地发送邮件，一直到对方瘫痪，不能接收邮件为止
计算机木马病毒介绍专家讲座
第12页
木马种类
代理木马
对被控制肉鸡种上代理木马，让其变成攻击者发动攻击跳板就是代理木马最主要任务
经过代理木马，攻击者能够在匿者情况下用Telnet,ICQ,IRC等程序，从而隐蔽自己踪迹。
FTP木马
惟一功效就是打开21端口，等候用户连接，新FTP木马还加上了密码功效，只要攻击者本人才知道正确密码，从而进入对方计算机
程序杀手木马
程序杀手木马功效就产关闭对方机器上运行这类程序，让其它木马更加好地发挥作用
反弹端口型木马
在分析防火墙特征后发觉，进严出松规则
这类木马服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口；为了隐蔽起见，控制端被动端口普通开在80，即使用户使用扫描软件检验自己端口，发觉类似TCP UserIP:1026 ControllerIP:80ESTABLISHED情况，稍微疏忽一点，你就会认为是自己在浏览网页
计算机木马病毒介绍专家讲座
第13页
木马采取伪装方法
修改图标
有意伪装成XT。HTML等你可能认为对系统没有危害文件图标，诱惑你打开
以JPG或其它图片格式木马，不经意间执行了
捆绑文件
捆绑在安装程序上，安装程序运行时，木马在用户毫无觉察情况下，偷偷地进入了系统，普通捆绑