第八章木馬病毒

1、木馬病毒分析Trojan horsen 由兩部分程序組成n服務server）端程序：被控計算機n客務client）端程序：控制者木馬病毒的發(fā)展過程n網(wǎng)絡處于UNIX平臺時期，木馬產(chǎn)生n相對簡單，將一段程序嵌入到系統(tǒng)文件當中，用跳轉指令來執(zhí)行一些木馬的功能n設計者與使用者均為技術人員，具備相當?shù)木W(wǎng)絡與編程知識nWindows平臺下基于圖形操作的木馬出現(xiàn)和普及對服端端破壞更大木馬特點n設計者使用多種手段隱藏木馬，往往即便發(fā)現(xiàn) 木馬也不能確定其具體位置n非授權性，控制段享有服段更部分操作權 限，修改文件、注冊表、控制鼠標、鍵盤，通 過木馬程序竊取木馬危害n偷竊口令務上網(wǎng)、撥號、主頁、信用卡等口令）n

2、傳播病毒庫n遠程用客獲取本地計算機的最高權限木馬種類 n遠程訪問型特洛伊木馬n密碼發(fā)送型木馬n鍵盤紀錄型木馬n毀破性木馬nFTP型木馬木馬偽裝方式n 修改圖標 Html、zip、txtn捆文件 捆到安裝程序上n出出錯顯 彈出出誤對話框，例如：“文件已端破”n定制端口木馬偽裝方式n 自我銷毀 彌補木馬的缺陷 避免服端找到木馬來源n木馬壞更木馬觸發(fā)條件 n多種觸發(fā)條件注冊表n1、修改注冊表：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下面的以Run和RunServices作為主鍵的項，放入觸發(fā)條件后就可以作為啟動木馬的鍵值。n2、

3、HKEY_CLASSES_ROOT文件類型shellopencommand下的鍵值n 例子：n國產(chǎn)“冰河”nHKEY_CLASSES_ROOTtxtfileshellopencommand下的鍵值改為：“c:windowssystemsysexplr.exe%1”n只要打txt文件，木馬程序即運行利用win.ininC:windowswin.ini中windows字段中有啟動命令“l(fā)oad=”和“run=”，一般情況為空，將木馬程序命令寫入，當系統(tǒng)啟動后即可觸發(fā)利用system.inin C:windowssystem.inin386Enhnmicndrivers32利用Autoexec.bat,config.sysn Dos系統(tǒng)下n只控制端與服務器建立連n將文件上傳傳并覆蓋文件利用ini文件n同樣是并覆正常的.ini文件捆文件n 首先控制端和服端器建立連n將木馬與與某用程序捆n上傳文件并覆某用程序其他n系統(tǒng)啟動程序：打始-程序-啟動n器建一個tasks：在windows目錄下面的tasks目錄下面器一個task。然后觸發(fā)執(zhí)行。如定期到與站點下載一個程序傳執(zhí)行關于TCP/IP端口號nTCP/IP規(guī)定計算機的端口有256X256=65536個，0-65535n1-1024為保留端