木马讲析PPT
等持用户连接。 7)反弹端口型木马;防火墙对于接入的链接往往会进行非常严格的过滤,但
对于接出的链接却疏于防范。和一般的木马相反,反弹端口型木马的服务端 (被控制端)往往使用主动的端口,客户端(控制端)使用被动端口。 9)程序杀手木马
4)键盘记录木马:这种木马随着Windows的启动而启动,记录受害者的键盘 敲击并在LOG文件里查找密码。它有在线和离线记录两种选项,可以分别记录 用户在线和离线状态下敲击键盘时的按键情况,也就是说在目标电脑上按过 什么键,都可以从记录中知道,并从中找出密码信息,甚至是信用卡账号。
5)DoS 攻击木马 6)FTP 木马:这种木马是最简单而古老的木马,它惟一功能就是打开21端口
(1)破坏型:这种木马惟一的功能就是破坏并删除文件,它们 能够删除目标机的上DLL、INI、EXE文件、电脑一旦被感染其安全 性就会受到严重威胁。 2)密码发送型:这种木马可能找到目标机的隐藏密码,在受害 者不知道的情况下,把它们发送到指定的信箱。
3)远程访问型:人运行了服务端的程序,客户端通过扫描等手段得到服务端的IP 地址,就可以实现远程控制。
基本功能:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入。
2.记录各种口令信息
3.获取系统信息
4.限制系统功能
5.远程文件操作
6.注册表操作
7.发送信息
8.点对点通讯
原理:
如果激活了冰河木马的服务端程序G-Server.exe, 那么它将在目标计算机的C:\Windows\ system目录下生成两个可执行文件: Kernel32.exe和Sysexplr.exe。如果你仅仅是找到 并删除Kernel32.exe,并不能像你想象的那样已 经清除了冰河木马,只要你打开任何一个文本 文件,Sysexplr.exe就会被激活,它会再次生成 一个Kernel32.exe,这就导致了冰河木马的屡删 不止。了解了这些之后我们就可以在计算机系
基本概念:
木马,其实质只是一个网络客户/服务程序,网络客户/服务模式 的原理是一台主机提供服务(服务器),另一台主机接受服务(客户 机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请 求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到 了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端 则是一台客户机,G_server.exe是守护进程, G_client是客户端应用 程序。
统没有被感染时针对冰河木马的感染原理对其 进行免疫。
一:冰河木马是正向远控,灰鸽子是反向远控, 两种上线方式不同
二:冰河木马是用C++Builder写的,灰鸽子是 Delphi语言
三:灰鸽子”是2001年出现的,采用Delphi编 写,最早并未以成品方式发布,更多的是以技 术研究的姿态,采用了源码共享的方式出。
众所周知,木马对电脑有着强大的控制能力。木马都有一个客户 端和一个服务端,一旦木马的服务端被植入了计算机,那么木马 客户端的拥有者就可以像操作自己的机器一样控制你的计算机, 因而利用木马进行入侵也就成为很多入侵者非常喜欢的方式。如 果我们能采用某种办法阻止木马的植入,就可以防患于未然,将 可能的损失降到最低。
成员:李茂军 何帆 罗岩松 罗小静
灰鸽子与冰河原理的区别? 其他木马的分类?
基本概念:
是一个集多种控制方法于一体的木马病毒,一旦 用户电脑不幸感染,可以说用户的一举一动都在 黑客的监控之下,要窃取账号、密码、照片、重 要文件都轻而易举。
基本功能:灰鸽子客户端和服务端都是采用
Delphi编写。黑客利用客户端程序配置出服务端 程序。可配置的信息主要包括上线类型(如等待 连接还是主动连接)、主动连接时使用的公网IP (域名)、连接密码、使用的端口、启动项名称、 服务名称,进程隐藏方式,使用的壳,代理,图 标等等
原理:
此类软件被统称为远程控制类软件(或黑客软 件、木马软件),它们均为 C/S 结构 (Client/Server,客户机/服务器)。软件分为客 户端与服务端两部分,客户端即为控制端(由 控制者使用),服务端为被控制端(由被控制 者使用),依据服务端运行时是否会显示明显 的运行标志(即对方是否知道它运行有服务 端),可分为正邪两派,邪派就是传说中的黑 客软件、特洛伊木马程序,是各大杀毒软件 的首要目标。同类软件原理服务端运行后, 会在本机打开一个网络端口监听客户端的连 接(时刻等待着客户端的连接),连接建立后, 客户端可用这个通道向服务端发送命令并接 收返回数据,即可实现远程访问
所有的木马病毒要成功地运行,都要具备两个条件,这也就成为了它们的 共同的弱点:第一,需要向目标计算机植入木马服务端程序;第二,需要 激活木马服务端程序
针对木马病毒的弱点,我们的目标就是要破坏其中的一个木马要运行成功 的条件,这样就能使木马无法运行,从而达到免疫的效果。木马病毒首先 要在目标计算机中植入木马服务端程序文件,在Windows操作系统中是不 允许在同一目录下创建两个文件名完全相同的文件的,我们可以根据对木 马感染的案例进行分析,然后在要植入木马文件的所有位置都放上一个与 木马文件完全同名的0字节文件,然后对这些文件的各项参数进行设置, 这样,木马病毒在植入时就会因为不能修改文件而失败。也就相当于免疫 方法中的感染标识免疫,文件夹中已经存在相同文件名的文件则标志着已 经被感染,所以木马服务端就不会被“二次种植”,从而避免了木马的感 染。
