第十三讲计算机木马（一）.ppt

木马的入侵 木马的产生背景 木马全称“特洛伊木马”，英文名称为Trojan Horse，它来源于《荷马史诗》中描述的一个古希腊故事。 传说，有一次古希腊大军围攻特洛伊城，久攻不下。于是，一名古希腊谋士献计制造了一只高二丈的大木马，随后攻城数天之后，假装兵败，留下木马拔营而去。城中得到解围的消息，举城欢庆，并把这个奇异的战利品大木马搬入城内。当全城军民进入梦乡之时，藏于木马中的士兵从木马密门而下，打开城门引入城外的军队，攻下了特洛伊城。 木马的概述 在网络中的“特洛伊木马”没有传说中的那样庞大，它们是一段精心编写的计算机程序。 定义：特洛伊木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，它具备破坏和删除文件、发送密码、记录键盘和用户操作、破坏用户系统甚至瘫痪的功能。 木马设计者将这些木马程序插入到软件、邮件等宿主中，网络用户执行这些软件时，在毫不知情的情况下，木马就进入了他们的计算机，进而盗取数据，甚至控制系统。 木马的概述 木马可以被分成良性木马和恶性木马两种。良性的木马本身没有什么危害，关键在于控制该木马的是什么样的人。 如果是恶意的入侵者，那么木马就是用来实现入侵目的的 如果是网络管理员，那么木马就是用来进行网络管理的工具。 恶性木马则可以隶属于“病毒”家族，这种木马被设计出来的目的就是用来进行破坏与攻击的。 木马的表现 机器有时死机，有时又重新启动 在没有执行什么操作的情况下，拼命读写硬盘 系统莫明其妙地对软驱进行有哪些信誉好的足球投注网站 没有运行大的程序，而系统的速度越来越慢，系统资源占用很多 用任务管理器调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多 木马与病毒的区别 特洛伊木马与前面介绍的病毒或蠕虫是有一定的区别的 ，因为它不会自行传播 如果恶意代码将其自身的副本添加到文件、文档或者磁盘驱动器的启动扇区来进行复制，则被认为是病毒 如果恶意代码在无需感染可执行文件的情况下进行复制，那这些代码被认为是某种类型的蠕虫 如果恶意代码进行自我的复制操作，那就不是特洛伊木马 特洛伊木马的种植 木马病毒一般分成客户端和服务端两个部分。对于木马而言，它的客户端和服务端的概念与传统的网络环境的客户端和服务端的概念恰恰相反的。 要想将木马植入目标机器，首先需要进行伪装。 第一种将自己伪装成一般的软件。 第二种是把木马绑定在正常的程序上面 （winzip）。 木马进行伪装之后就可以通过各种方式进行传播了。比如，将木马通过电子邮件发送给被攻击者、将木马放到网站上供人下载、通过其它病毒或蠕虫病毒进行木马的传播等等。 特洛伊木马的行为 浏览文件系统，修改、删除、获取目标机器上的文件 查看系统的进程信息，对该系统的进程进行控制 查看系统注册表，修改系统的配置信息 截取计算机的屏幕显示，发送给客户端 记录被攻击系统的输入、输出操作，盗取密码等个人信息 控制计算机的键盘、鼠标或其它硬件设备的动作 以被攻击者的计算机为跳板，攻击网络中的其它计算机 通过网络下载新的病毒文件 木马的分类 自木马程序诞生至今，已经出现了多种类型，对它们进行完全的列举和说明是不可能的，更何况大多数的木马都不是单一功能的木马，它们往往是很多种功能的集成品，甚至有很多从未公开的功能在一些木马中也广泛地存在着。 远程控制木马 密码发送木马 键盘记录木马 破坏性质的木马 DoS攻击木马 代理木马 FTP木马 木马的发展 与病毒一样，木马也是从Unix平台上产生出来，在Windows操作系统上“发扬光大”的。 1986年出现了世界上第一个计算机木马。 1989年出现的木马更具戏剧性，它通过邮政邮件进行传播 计算机网络的快速发展给木马病毒的传播带来了极大的便利，木马的发展速度和破坏能力已经是以前的木马病毒无法比拟的了。 从木马的发展来看，大致可以将木马分成四代。 木马的发展 第一代木马功能非常简单，主要针对Unix系统，有BO、Netspy等，而且功能非常简单。 第二代木马功能大大的加强，几乎能够进行所有的操作，国外有代表性的有BO2000和Sub7，而国内几乎就是冰河的天下了。 第三代木马继续完善了连接与文件传输技术，增加了木马穿透防火墙的功能，并出现了“反弹端口”技术，如国内常见的“灰鸽子”等。 第四代木马除了完善之前几代木马的所有技术外，还增加了进程隐藏技术，使得系统对与木马的存在和入侵更加难以发现。 第二代木马 冰河与广外女生被认为是标准的第二代木马 它们功能强大，操作方便，曾经占领了国内木马的半壁江山 冰河 冰河是一款优秀的国产木马。 冰河含有两个文件： G_Server.exe：被监控端后台监控程序 G_Client.exe：监控端执行程序，用于监控远程计算机和配