通过OICQ、QQ等聊天工具软件传播


通过提供软件下载的网站(Web/FTP/BBS)传播


通过一般的病毒和蠕虫传播 通过带木马的磁盘和光盘进行传播
18
22:17:05
特洛伊木马技术的发展


木马的发展及成熟，大致也经历了两个阶段 Unix阶段 Windows阶段 木马技术发展至今，已经经历了4代 第一代木马
7
22:17:05
常见的特洛伊木马

对于功能比较单一的特洛伊木马，攻击 者会力图使它保持较小的体积，通常是10 KB 到30 KB，以便快速激活而不引起注意。这些 木马通常作为键记录器使用，它们把受害用户 的每一个键击事件记录下来，保存到某个隐藏 的文件，这样攻击者就可以下载文件分析用户 的操作了。
假设我们在MyFunc函数中实现了病毒的功能，那么我们不就 可以通过Rundll32来运行这个病毒了么？在系统管理员看来，进程 列表中增加的是Rundll32.exe而并不是病毒文件，这样也算是病毒 的一种简易欺骗和自我保护方法
木马病毒的原理及特征分 析
22:17:05
1
特洛伊木马的定义


特洛伊木马(Trojan Horse)，简称木马，是一 种恶意程序，是一种基于远程控制的黑客工具， 一旦侵入用户的计算机，就悄悄地在宿主计算 机上运行，在用户毫无察觉的情况下，让攻击 者获得远程访问和控制系统的权限，进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘，或窃取用户信息 古希腊特洛伊之战中利用木马攻陷特洛伊城； 现代网络攻击者利用木马，采用伪装、欺骗 (哄骗，Spoofing)等手段进入被攻击的计算机 系统中，窃取信息，实施远程监控

SubSeven还具有其他功能：攻击者可以远程交换鼠标按键， 关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用 Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动 器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计 算机
22:17:05
9
常见的特洛伊木马

木马的最终意图是窃取信息、实施远程监控 木马与合法远程控制软件(如pcAnyWhere)的主要区 别在于是否具有隐蔽性、是否具有非授权性
12
22:17:05
特洛伊木马的结构

木马系统软件一般由木马配置程序、控制程序 和木马程序(服务器程序)三部分组成
配置 控制 响应 木马程序
配置程序
控制程序 木马服务器

桌面看不到 任务管理器中不可见 文件中看不到
22:17:05
24
进程隐藏


Windows 9x中的任务管理器是不会显示服务 类进程，结果就被病毒钻了空子，病毒将自身 注册为“服务进程”，可以躲避用户的监视。 Windows2000/xp/2003等操作系统上已经无效 了，直接使用系统自带的任务管理器便能发现 和迅速终止进程运行 。
22:17:05
木 马 控 制 端 (客 户 端 )
13
特洛伊木马的基本原理

控制端 Internet 服务 运用木马实施网络入侵的基本过程 端 ①配置木马 ②传播木马 木马
③运行木马
④信息反馈
信息
⑤建立连接
⑥远程控制
22:17:05
14
特洛伊木马的基本原理

木马控制端与服务端连接的建立



控制端要与服务端建立连接必须知道服务端的木马 端口和IP地址 由于木马端口是事先设定的，为已知项，所以最重 要的是如何获得服务端的IP地址 获得服务端的IP地址的方法主要有两种：信息反馈 和IP扫描
11
特洛伊木马的定义

木马与病毒




一般情况下，病毒是依据其能够进行自我复制即传染性的特 点而定义的 特洛伊木马主要是根据它的有效载体，或者是其功能来定义 的，更多情况下是根据其意图来定义的 木马一般不进行自我复制，但具有寄生性，如捆绑在合法程 序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌 入技术寄生在合法程序的进程中 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播 等特性，但我们习惯上将其纳入广义病毒，也就是说，木马 也是广义病毒的一个子类
2
22:17:05


特洛伊木马是一种秘密潜伏的能够通过远 程网络进行控制的恶意程序。 控制者可以控制被秘密植入木马的计算 机的一切动作和资源，是恶意攻击者进行窃取 信息等的工具。他由黑客通过种种途径植入并 驻留在目标计算机里。
22:17:05
3


木马可以随计算机自动启动并在某一端 口进行侦听，在对目标计算机的的数据、资料、 动作进行识别后，就对其执行特定的操作，并 接受“黑客”指令将有关数据发送到“黑客大 本营”。 这只是木马的搜集信息阶段，黑客同时 可以利用木马对计算 机进行进一步的攻击！ 这时的目标计算机就是大家常听到的“肉鸡” 了！
21
22:17:05
内核模式病毒



WindowsNT/2K环境下第一个以内核模式驱动程序运 行，并驻留内存的寄生型病毒是Infis. Infis作为内核模式驱动程序驻留内存，并且挂钩文件 操作，它能够在文件打开时立即感染该文件。 安装程序把病毒拷贝到系统内存中，并在系统注册表 中添加该病毒的注册项。该病毒把自己的可执行代码 连同自己的PE文件头一起追加到目标文件的末尾， 然后从自己代码中提取出一个名为INF.SYS的独立驱 动程序，把这个程序保存在%SystemRoot%\ system32 \drivers目录下，修改注册表，保证下一次 系统启动时病毒也能够进入运行状态。

只是进行简单的密码窃取、发送等，没有什么特别之处 在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马 的典型代表之一 在数据传输技术上，又做了不小的改进，出现了ICMP等类型的木马， 利用畸形报文传递数据，增加了查杀的难度 在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式， 利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI(Process Status API)，实现木马程序的隐藏
22
22:17:05
检测方法


检查系统驱动程序列表中已经装入的驱动程序 的名称，如果在驱动程序列表中发现了病毒驱 动程序，说明基本上感染了病毒 病毒可能使用隐藏技术避免在驱动程序列表中 出现，需要通过计算机管理器中的驱动程序列 表。
22:17:05
23
病毒的隐藏技术


隐藏是病毒的天性，在业界对病毒的定义里，“隐蔽 性”就是病毒的一个最基本特征，任何病毒都希望在 被感染的计算机中隐藏起来不被发现，因为病毒都只 有在不被发现的情况下，才能实施其破坏行为。为了 达到这个目的，许多病毒使用了各种不同的技术来躲 避反病毒软件的检验，这样就产生了各种各样令普通 用户头痛的病毒隐藏形式。 隐藏窗口 & 隐藏进程 & 隐藏文件
22:17:05
25
通过DLL实现进程隐藏

Windows系统的另一种“可执行文件”----DLL，DLL文件没有程序 逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进 程加载并调用的。 运行DLL文件最简单的方法是利用Rundll32.exe，Rundll/Rundll32 是Windows自带的动态链接库工具，可以用来在命令行下执行动态 链接库中的某个函数，Rundll32的使用方法如下： Rundll32 DllFileName FuncName 例如我们编写了一个MyDll.dll，这个动态链接库中定义了一个 MyFunc的函数，那么，我们通过Rundll32.exe MyDll.dll MyFunc 就可以执行MyFunc函数的功能。
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
22:17:05
17
特洛伊木马的传播方式

木马常用的传播方式，有以下几种：

以邮件附件的形式传播

控制端将木马伪装之后添加到附件中，发送给收件人 在进行聊天时，利用文件传送功能发送伪装过的木马程序给对 方 木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到 其它正常文件上，用户是很难发现的，所以，有一些网站被人 利用，提供的下载软件往往捆绑了木马文件，在用户执行这些 下载的文件的同时，也运行了木马
4
22:17:05
2．特洛伊木马病毒的危害性


特洛伊木马和病毒、蠕虫之类的恶意程序 一样，也会删除或修改文件、格式化硬盘、上 传和下载文件、骚扰用户、驱逐其他恶意程序。 除此以外，木马还有其自身的特点： 窃取内容； 远程控制。
22:17:05
5
22:17:05
6
常见的特洛伊木马

22:17:05
10
常见的特洛伊木马


:17:05
灰鸽子（Hack. Huigezi）是一个集多种控制方 法于一体的木马病毒，一旦用户电脑不幸感染， 可以说用户的一举一动都在黑客的监控之下， 要窃取账号、密码、照片、重要文件都轻而易 举。 自2001年，灰鸽子诞生之日起，就被反病毒专 业人士判定为最具危险性的后门程序，并引发 了安全领域的高度关注。2004年、2005年、 2006年，灰鸽子木马连续三年被国内各大杀毒 厂商评选为年度十大病毒，灰鸽子也因此声名 大噪，逐步成为媒体以及网民关注的焦点。
22:17:05
15
特洛伊木马的基本原理
木马控制端与服务端连接的建立
22:17:05 16
特洛伊木马的基本原理

木马通道与远程控制


木马连接建立后，控制端端口和服务端木马端口之 间将会出现一条通道 控制端上的控制端程序可藉这条通道与服务端上的 木马程序取得联系，并通过木马程序对服务端进行 远程控制，实现的远程控制就如同本地操作