木马讲座

ACCPV4.0木马初探----防病毒讲座之特洛伊木马原理分析范伟禄ACCPV4.02讲座大纲1.特洛伊的故事2.木马的宏观状况3.木马的工作原理3.1木马启动3.2木马隐藏3.3木马伪装3.4木马注入3.5木马种类4.使用C#实现简单的木马程序5.木马程序的防范ACCPV4.03什么是木马这不是小鸡吃米图吗？古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。ACCPV4.04木马的发展第一阶段最初网络还处于以UNIX平台为主的时期，木马就产生了，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。第二阶段随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使用者不用懂太多的专业知识就可以熟练木马，相对的木马入侵事件也频繁出现，而且木马的功能已日趋完善，对服务端的破坏也更大了。木马发展到今天，已经无所不极，一旦被木马控制，你的电脑将毫无秘密可言。ACCPV4.05木马的宏观状况之数量《２００７年上半年中国电脑病毒疫情及互联网安全报告》A:国内受感染的电脑超过７５０万台，与去年同期相比增长了１２.２％，其中被感染的计算机中遭受过木马病毒攻击的比例占到９１.３５％。B:２００７年上半年，金山毒霸共截获新增病毒样本总计１１,１４７４种，比去年同期迅速增加了２３％。其中木马病毒新增数占总病毒新增数的６８.７１％，高达７６５９３种。C:值得人们留意的是，网页挂木马问题在２００７年上半年出现了爆炸式的增长。专家表示，网页挂木马不光是在一些疏于防范的网站，很多安全措施做得很好的网站也被挂上木马。你的电脑没有中毒还叫电脑吗？ACCPV4.06木马的宏观状况之灾区2007年病毒重灾区排行版：广东首当其冲，“中招”机器高达１１％，其次：此外，报告还显示出一个新的趋势，２００７年出现了大量新（变种）病毒。单一病毒感染的计算机数量不再是衡量其危害的标准，频繁生成的变种有效加速了病毒的传播。浙江8%江苏8%上海8%四川7%山东7%北京6%ACCPV4.07木马的宏观状况之趋势趋势动机：自我炫耀收集敏感或有价值的信息目标：到处蔓延针对性攻击最受欢迎的攻击对象网络游戏成为木马的主要目标木马病毒野心膨胀，直指网络银行ACCPV4.08木马的宏观状况之网银1三年600倍每月160ACCPV4.09木马的宏观状况之蔓延利益的驱使带毒网站数量众多QQ尾巴为木马传播推波助澜黑客网站对木马明码标价百度等服务平台助长蔓延态势法律的不健全ACCPV4.010木马的工作原理目标和手段A：有什么信息好偷（编写动机）B：怎样偷得到（传播手段）原理1:如何注入2:如何启动3:运行时如何隐藏4:文件如何伪装ACCPV4.011木马的工作原理之启动1：在Win.ini中启动在Win.ini的[windows]字段中有启动命令'load＝'和'run＝'，在一般情况下'＝'后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exeload=c:\windows\file.exe要小心了，这个file.exe很可能是木马哦。类似的还有：System.ini，Autoexec.bat，Config.sys，Winstart.bat，*.INI（配置文件）ACCPV4.012木马的工作原理之启动2.利用注册表加载运行记录到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项中，更高级的木马还会注册为系统的“服务”程序，以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中找到它的踪迹。ACCPV4.013木马的工作原理之启动3.启动组木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\startmenu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell要注意经常检查启动组哦!ACCPV4.014木马的工作原理之启动4.修改文件关联比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的.'冰河'就是通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将'C:\WINDOWS\NOTEPAD.EXE%l'改为'C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l'，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了.好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP.COM等都是木马的目标，要小心搂。ACCPV4.015木马的工作原理之启动5.捆绑文件实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。ACCPV4.016木马的工作原理之隐藏在任务栏里和服务管理器中隐藏如果在windows的任务栏里出现一个莫名其妙的图标，傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以C#为例。在C#中，只要把form的ShowInTaskBar属性设置为FalseCtrl+Alt+Del后,在应用程序中可以看见一个木马程序在运行，那么这肯定不是什么好木马。所以，木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为'系统服务“就可以轻松地骗过去。在C#中，只要把form的WindowState属性设置为MinimizedACCPV4.017木马的工作原理之伪装修改图标捆绑文件:捆绑的文件一般是可执行文件(即EXE、COM一类的文件)出错显示:如‘文件已破坏，无法打开!’之类的信息自我销毁:弥补木马的一个缺陷木马更名:例如改为window.exe，不告诉你这是木马的话，敢删除吗?还有的就是更改一些后缀名，比如把dll改为dl等，不仔细看的，你会发现吗?ACCPV4.018木马的工作原理之注入开山文件合并器工具：这样的绑定都已经很容易被杀毒软件检测出来用RAR文件进行打包1：双击打开RAR文件2：进入“高级自解压选项”进行设置3：切换到“常规”标签，进入“安装程序”设置。4：接着切换到“模式”标签，分别选中”隐藏启动对话框“和”覆盖所有文件“选项。5：文本和图标标签中给自解压文件替换一个图表ACCPV4.019木马种类破坏型密码发送型远程访问型键盘记录木马DOS攻击木马代理木马FTP木马程序杀手木马反弹端口型木马ACCPV4.020木马传播把木马文件改成BMP文件，然后配合你机器里的DEBUG来还原成EXE，网上存在该木马20%下载一个TXT文件到你机器，然后里面有具体的FTP^-^作，FTP连上他们有木马的机器下载木马，网上存在该木马20%也是最常用的方式，下载一个HTA文件，然后用网页控件解释器来还原木马。该木马在网上存在50%以上采用JS脚本，用VBS脚本来执行木马文件，该型木马偷QQ的比较多，偷传奇的少，大概占10%左右ACCPV4.021木马制作之组成一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。硬件部分控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。软件部分控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。具体连接部分通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口.ACCPV4.022木马制作之知识点文件操作（C#）多线程（C#）网络连接（WinForm）注册表的操作（WinForm）ACCPV4.023木马预防增强全民防范意识你根本没有打开浏览器，而览浏器突然自己打开，弹出来一些广告窗口你正在操作电脑，突然一个警告框或者是询问框弹出来，问一些你从来没有在电脑上接触过的间题。你的Windows系统配置老是自动莫名其妙地被更改。比如屏保显示的文字，时间和日期，声音大小，鼠标灵敏度，还有CD-ROM的自动运行配置。硬盘老没缘由地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象。ACCPV4.024木马预防锁定注册表:这样木马就没有办法进行注册表的操作,导致木马的很多功能实现不了.windows\command\debug.exe和windows\ftp.exe改名或删除经常清理临时文件夹和IE方法:假如你中了smss.exe这个木马,文件保存在C:\indows目录下,首先结束木马程序smss.exe,然后在C:\windows目录下创建一个名的smss.exe并设置为只读属性.(2000/XPNTFS的磁盘格式的话那就更好,可以用“安全设置”设置为读取)这样木马没了,以后也不会在感染了.