黑客攻击之特洛伊木马.ppt

黑客攻击之特洛伊木马简介 主讲:张林
什么是木马?
一种秘密潜伏的能够通过远程网络进行控制的恶意程序。
特点:
隐蔽性:防止木马被发现,多种手段服务端具体位置,望“马”兴叹
非授权性:连接成功控制端将享有服务端的大部分操作权限
传染性:入侵成功自我复制传播
破坏性:对操作系统的运行造成不同程度的影响
1. Windows启动时运行的程序(、、)
2. 采用服务器/客户机的运行方式
构成
控制端程序:控制端用以远程控制服务端的程序
木马程序:潜入服务端内部,获取其操作权限的程序
木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序
流程/方式
一:配置
(1)木马伪装:服务端隐藏木马
伪装手段如修改图标,捆绑文件,定制端口,自我销毁,自动拷贝
(2)信息反馈:信息反馈的方式或地址进行设置
设置信息反馈的邮件地址,IRC号,ICO号等等
流程/方式
二:传播
木马具有多种传播方式
(1)通过E-MAIL附件(点击附件)
(2)非法恶意软件下载(捆绑在软件安装程序)
(3)QQ等即时通讯工具附件信息
流程/方式
三:运行
(1)运行载体-->自动安装
自身拷贝至系统文件夹中
(2) 设置触发条件(注册表,启动组) (“c:\windows\ %1”,而是改为“ %1”。)
(3) 触发-->启动
流程/方式
四,链接控制
信息反馈机制:服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户
(同时在线/木马端口,保留端口,浏览端口数值较大怀疑)
流程/方式
可以干些啥?
窃取口令/密码:(*形式或缓存中的)
系统操作:操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,控制端甚至可以随时给服务端发送信息)