编者按 本文介绍了特洛伊木马的运行原理、行为特征及其危害,介绍了几种防范木马的基本方法与常用工具。
什么是特洛伊木马?
特洛伊木马,是一种基于远程控制的黑客工具。其本质上属于客户机/服务器应用程序,由两部分组成,一个是服务器端程序(服务端),一个是客户端程序(控制端)。如果你的电脑受到木马攻击,黑客便可通过客户端程序经由TCP/IP网络进入并远程控制你的微机。
木马的安装和启动
木马一般都以文件下载的方式下载传播,不知名的可执行程序和非正规网站上的一些安装程序都可能带有木马。只要一运行这些程序,木马就会自动安装。木马首先将自身拷贝到Windows的系统文件夹中,然后设置好触发条件,安装就完成了。木马是由其在安装过程中设定的触发条件启动的,启动木马的条件,大致出现在下面几个地方:
(1)WIN.INI C:\Windows目录下,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。
(2)SYSTEM.INI C:\Windows目录下,用文本方式打开,在[386Enh],[mic],[drivers32]中有命令行,在其中寻找木马的启动命令。
(3)*.INI 即应用程序的启动配置文件,这些文件能启动程序,把有木马启动命令的同名文件上传到服务端覆盖,就可以达到启动木马的目的。
一旦满足触发条件,木马就被激活,开启事先定义的木马端,准备与客户端建立连接。
木马的运行原理
如果木马只是被激活,而没有上网,木马是不会构成危害的。但是,你一旦上网,黑客便可通过客户端程序经由TCP/IP网络与在你的微机中运行的木马建立连接,从而窃取信息,控制机器。具体的连接过程如下图:
如图所示A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。所谓信息反馈是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-Mail,IRC等方式告知控制端用户。另一种获取方法是IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,A机只要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中。这时A机就可以通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即做出响应,A机收到响应的信号后,开启一个随机端口1031与B机的木马端口7626建立连接,这时一个木马连接真正建立。
木马连接建立后,控制端上的客户端程序与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制:
(1) 窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到。
(2)文件操作:控制端可藉由远程控制对服务端上的文件进行几近所有功能的操作。
(3)修改注册表:控制端可任意修改服务端注册表。
(4)系统操作:包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标,键盘,监视服务端桌面操作,查看服务端进程等。
1
2
下一页>>
