《特洛伊木马概述》PPT课件.ppt

特洛伊木马概述,木马概述,木马全称为特洛伊木马，它是一种表面上做一件事情，而实际上是在不为人知的情况下，做一些用户所不希望的事情的软件。,木马的特性,隐蔽性,一般的木马会以捆绑方式装到目标电脑上，而捆绑方式、捆绑位置、捆绑程序等则可以由黑客自己确定，既可以捆绑到启动程序上，也可以捆绑到一般常用程序上，位置的多变使得木马具有很强的隐蔽性。,潜伏性,木马程序一般不会在已经被感染的电脑上作什么破坏的操作，而是尽量地将自己隐藏起来，不让用户觉察到木马的存在，从而得以偷偷地做一些用户不希望的事情。,再生性,木马被发现后，表面上是被删除了，但后备的木马会在一定的条件下重新生成被删除的文件。,木马的基本原理,两个执行文件：客户端程序服务器端程序,客户端程序是安装在攻击者（黑客）方的控制台，它负责远程遥控指挥。,服务器端程序即是木马程序，它被隐藏安装在被攻击（受害）方的电脑上。,木马攻击的第一步：把木马服务程序植入攻击对象,攻击者需要通过木马对他人电脑系统进行攻击，第一步就是把木马的服务程序植入到被攻击的电脑里面。如果电脑没有联网，那么是不会受到木马的侵扰的，因为木马程序不会主动攻击和传染到这样的电脑中。,木马攻击的第二步：把主机信息发送给攻击者,在一般情况下，木马被植入被攻击的主机后，会通过一定的方式把主机的信息，如IP地址、软件的端口、主机的密码等，发送给攻击者。,木马的启动1、在Win.ini中启动2、在System.ini中启动3、通过启动组实现启动4、修改文件关联5、捆绑文件6、反弹技术,木马的种类1、破坏型2、密码发送型3、远程访问型4、键盘记录型5、DoS攻击型6、代理型7、FTP木马8、程序杀手型,木马的入侵,现在木马主要是使用欺骗的方法通过电子邮件发送、文件下载把木马执行文件植入被攻击者的电脑系统的。入侵的方式可以是：,1、发送给被攻击方一封带附件的电子邮件,2、捆绑到一些网站提供下载的软件中,3、通过Script、Active和ASP、CGI交互脚本植入,4、利用浏览器或系统中的漏洞植入,木马入侵的方法：捆绑、冒名、伪装成文件,将一个木马和一个损坏的zip（或rar）文件捆绑在一起，然后将捆绑后的文件扩展名设置为zip，这样该文件图标就是zip图标了，打开这个文件时看到的现象跟打开损坏的zip文件一样，但此时木马已经得以运行了。,冒名可以是QQ冒名和邮件冒名。QQ冒名则必须选盗得一个QQ号，然后使用这个号码给好友发送木马程序。如果是邮件冒名，则是用匿名邮件向别人发木马附件。,伪装成文件是利用很多人都有连续点击文件夹的习惯，把木马文件伪装成文件夹图标。,木马的防范,1、使用病毒防火墙或木马监控程序并及时升级,2、不要轻易打开来历不明的电子邮件附件,3、及时升级浏览器软件、电子邮件软件,4、到大型的网站上下载软件，下载后先进行杀毒,5、显示所有文件的扩展名,Happy99木马的清除,Happy99是通过发送电子邮件与张贴文章将自身发送到新闻组，让使用者无意中成为该木马的传播者。当收件人执行含有Happy99.exe的文件时，会看到有美丽的焰火表演的画面，同时Happy99在后台更改用户操作系统的数据。此时Happy99已在设定追踪电子邮件及新闻组活动的运作，经修改后，它不会直接造成用户文件的数据破坏，但当用户发送电子邮件或到新闻讨论区张贴文章时，它便会自动附上Happy99.exe文件。如此一传十、十传百地达到大量入侵的目的。,清除步骤：,1、资源管理器中的WindowsSystem32目录下检查有没有ska.exe、ska.dll和wsock32.ska这3个文件。,2、先删除ska.exe和ska.dll两个文件，然后将wsock32.ska更名为wsock32.dll，然后删除之。,3、重启电脑。,BackOrifice木马的清除,BackOrifice是功能最全的TCP/IP架构的木马工具，它可以搜索被攻击者的信息、执行系统命令、修改客户端的电脑注册表、重新设置机器、重新定向网络的客户端/服务器应用程序等。黑客利用该木马成为被攻击机器的超级用户，几乎电脑的所有操作都可由BackOrifice远程控制。,清除步骤：,1、打开注册表编辑器，展开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices，若此键中存在Umgr32.exe键值，则将其删除。,2、在资源管理器中删除c:windowsSystem中的Umgr32.exe文件。,冰河木马的清除,”冰河“是国内最著名的木马，它主要用于远程监控，其功能是可以自动跟踪目标机器的屏幕变化，记录各种口令信息，获得限制目标机器系统的功能、远程文件和注册表操作等。,清除步骤：,1、打开注册表编辑器，展开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionRunServices，若其中存在kerne132.exe键值，则将其删除。,2、打开资源管理器，执行“工具”“文件夹选项”，选择“文件类型”选项卡，在已注册的文件类型列表中找到“TXT文本文档”，从“详细信息”中查看其“打开方式”有无变化（一般为记事本文件）。如果不是，则单击“高级”，删除“操作”列表中的open选项。,3、重启电脑进入DOS，删除c:windowssystem32下的kerne132.exe和sysxplr.exe文件。,“广外女生”木马的清除,”广外女生“是广东外语外贸大学“广外女生”网络小组的作品，它的破坏性很大，基本功能有：,文件上传功能可以上传、下载、删除、改名、设置属性，建立文件夹和运行指定文件等。,注册表操作功能全面模拟Windows的注册表编辑器，让远程注册表编辑有如在本地操作一样。,屏幕控制功能可以自定义图片的质量来减少传输的时间，在局域网或高网速地方可以全屏操作对方的鼠标和键盘。,远程任务管理可以直观地浏览远程的窗口，杀掉对方窗体中的控件。,“广外女生”有一个其他木马不具备的功能，就是它的服务器端程序被执行后，自动检查进程中是否含有金山毒霸、防火墙、瑞星、实时监控、天网、kill、lockdown等字样，如果发现就会终止该进程，也就是说广外女生木马可以使防火墙完全失去作用。广外女生使用6267端口号。,“广外女生”木马的清除,1、启动电脑进入DOS模式，进入c:windowssystem32目录，删除其中的Diagcfg.exe文件。,2、进入c:windows目录，将regedit.exe改名成为,3、重启电脑进入windows模式，打开注册表编辑器，展开HKEY_CLASSES_ROOTexefileshellopencommand，将默认值改为1.,4、将HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中的DiagnosticConfiguration项删除。,5、进入c:windows目录，将改名为regedit.exe。,“黑洞2001”木马的清除,黑洞2001可以中止被控端的防火墙，当黑洞2001在受控端机上运行后，会在c:windowssystem下生成两个文件：S_Server.exe和Windows.exe。黑洞2001使用的端口号为2001。,1、打开注册表编辑器，展开HKEY_CLASSES_ROOTexefileshellopencommand和HKEY_LOCAL_MACHINESoftwareClassestxtfileshellopencommand键，将其中默认值由S_Sever.exe%1改为c:WindowsNOTEPAD.EXE%1。,2、将HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices分支下的串值Windows删除。,3、重启电脑进入DOS，删除c:windowssystem32目录下的文件S_Sever.exe和Windows.exe.,木马清除软件简介,1、木马终结者,2、木马克星IParmor,3、TheCleaner,4、奇虎360安全卫士,5、超级巡警,6、超级兔子,习题,填空题,1、特洛伊木马程序表面上执行正常的操作，但实际上隐藏着一些可以控制用户电脑系统、危害系统安全的破坏性指令。,2、木马具有很强的隐蔽性，还有很强的潜伏性和再生性。,3、“广外女生”木马有一个其他大多数木马不具备的功能，就是在它的服务端程序被执行后，自动检查进程中是否含有金山毒霸、防火墙、瑞星、实时监控、天网、kill、lockdown等字样，如果发现就会终止该进程，也就是说广外女生木马可以使防火墙完全失去作用。,4、黑洞2001木马是国产木马，也可以终止被控端的防火墙，它也使用默认的连接端口，端口号为2001,5、特洛依木马虽然不像电脑病毒那样会到处传染，但其危害性是非常大的，其原因是：难以发现、通常以二进制形式潜伏，无法直观显示、可作用于许多机器。,6、几种常见的木马入侵方法有：捆绑、冒名、伪装成文件。,习题,选择题,1、在命令提示符下输入_后按回车键，可以查看当前与本机建立的所有连接。,A.NetneoB.netstatC.PingD.NetAno,2、_只借助电子邮件及新闻组的传送而在网上遨游，但并不感染任何被攻击者硬盘中的其他文件，也没有其他侵害作用。,A.Happy99木马B.BackOrifice2000木马C.黑洞2001D.广外女生,3、下面防范木马的方法中哪个是错的：_,A.使用病毒防火墙或木马监控程序并及时升级,B.不要随便从一些网站上下载软件，最好到信誉好、比较大的网站上去下载，并在安装前先用杀病毒软件进行检查,C.经常检查系统文件、注册表及端口信息,D.最好将Windows隐藏文件后缀名的设置改为隐藏所有文件的扩展名,习题,填空题,1、木马一般有两个执行文件：客户端程序和服务器端程序。,2、木马的检测有动态检测和静态检测两种方式。,3、Happy99是通过发送电子邮件与张贴文章将自身发送到新闻组，让使用者无意中成为该木马的传播者。,4、“冰河”是国外最著名的木马，它主要用于远程监控，其功能是可以自动跟踪目标机器的屏幕变化，记录各种口令信息，或者限制目标机器系统功能、远程文件和注册表操作等。,5、电子邮件的附件是木马程序传播的主要途径，所以不要轻信、打开来历不明的电子邮件附件。,6、在资源管理器中删除c:windowssystem32中的Umgr32.exe文件即可将BackOrifice2000木马删除。,