《特洛伊木马概述》ppt课件.ppt

特洛伊木马概述,木马概述,木马全称为特洛伊木马，它是一种表面上做一件事情，而实际上是在不为人知的情况下，做一些用户所不希望的事情的软件木马的特性,隐蔽性,一般的木马会以捆绑方式装到目标电脑上，而捆绑方式、捆绑位置、捆绑程序等则可以由黑客自己确定，既可以捆绑到启动程序上，也可以捆绑到一般常用程序上，位置的多变使得木马具有很强的隐蔽性潜伏性,木马程序一般不会在已经被感染的电脑上作什么破坏的操作，而是尽量地将自己隐藏起来，不让用户觉察到木马的存在，从而得以偷偷地做一些用户不希望的事情再生性,木马被发现后，表面上是被删除了，但后备的木马会在一定的条件下重新生成被删除的文件木马的基本原理,两个执行文件：客户端程序 服务器端程序,客户端程序是安装在攻击者（黑客）方的控制台，它负责远程遥控指挥服务器端程序即是木马程序，它被隐藏安装在被攻击（受害）方的电脑上木马攻击的第一步：把木马服务程序植入攻击对象,攻击者需要通过木马对他人电脑系统进行攻击，第一步就是把木马的服务程序植入到被攻击的电脑里面如果电脑没有联网，那么是不会受到木马的侵扰的，因为木马程序不会主动攻击和传染到这样的电脑中木马攻击的第二步：把主机信息发送给攻击者,在一般情况下，木马被植入被攻击的主机后，会通过一定的方式把主机的信息，如IP地址、软件的端口、主机的密码等，发送给攻击者。

木马的启动 1、在Win.ini中启动 2、在System.ini中启动 3、通过启动组实现启动 4、修改文件关联 5、捆绑文件 6、反弹技术,木马的种类 1、破坏型 2、密码发送型 3、远程访问型 4、键盘记录型 5、DoS攻击型 6、代理型 7、FTP木马 8、程序杀手型,木马的入侵,现在木马主要是使用欺骗的方法通过电子邮件发送、文件下载把木马执行文件植入被攻击者的电脑系统的入侵的方式可以是：,1、发送给被攻击方一封带附件的电子邮件,2、捆绑到一些网站提供下载的软件中,3、通过Script、Active和ASP、CGI交互脚本植入,4、利用浏览器或系统中的漏洞植入,木马入侵的方法：捆绑、冒名、伪装成文件,将一个木马和一个损坏的zip（或rar）文件捆绑在一起，然后将捆绑后的文件扩展名设置为zip，这样该文件图标就是zip图标了，打开这个文件时看到的现象跟打开损坏的zip文件一样，但此时木马已经得以运行了冒名可以是冒名和邮件冒名冒名则必须选盗得一个号，然后使用这个号码给好友发送木马程序如果是邮件冒名，则是用匿名邮件向别人发木马附件伪装成文件是利用很多人都有连续点击文件夹的习惯，把木马文件伪装成文件夹图标。

木马的防范,1、使用病毒防火墙或木马监控程序并及时升级,2、不要轻易打开来历不明的电子邮件附件,3、及时升级浏览器软件、电子邮件软件,4、到大型的网站上下载软件，下载后先进行杀毒,5、显示所有文件的扩展名,Happy 99木马的清除,Happy 99是通过发送电子邮件与张贴文章将自身发送到新闻组，让使用者无意中成为该木马的传播者当收件人执行含有Happy 99.exe的文件时，会看到有美丽的焰火表演的画面，同时Happy 99在后台更改用户操作系统的数据此时Happy 99已在设定追踪电子邮件及新闻组活动的运作，经修改后，它不会直接造成用户文件的数据破坏，但当用户发送电子邮件或到新闻讨论区张贴文章时，它便会自动附上Happy 99.exe文件如此一传十、十传百地达到大量入侵的目的清除步骤：,1、资源管理器中的Windows\System32目录下检查有没有ska.exe、ska.dll和wsock32.ska这3个文件2、先删除ska.exe和ska.dll两个文件，然后将wsock32.ska更名为wsock32.dll，然后删除之3、重启电脑Back Orifice木马的清除,Back Orifice 是功能最全的TCP/IP架构的木马工具，它可以搜索被攻击者的信息、执行系统命令、修改客户端的电脑注册表、重新设置机器、重新定向网络的客户端/服务器应用程序等。

黑客利用该木马成为被攻击机器的超级用户，几乎电脑的所有操作都可由Back Orifice远程控制清除步骤：,1、打开注册表编辑器，展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices，若此键中存在Umgr32.exe键值，则将其删除2、在资源管理器中删除c:\windows\System中的Umgr32.exe文件冰河木马的清除,”冰河“是国内最著名的木马，它主要用于远程监控，其功能是可以自动跟踪目标机器的屏幕变化，记录各种口令信息，获得限制目标机器系统的功能、远程文件和注册表操作等清除步骤：,1、打开注册表编辑器，展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\RunServices，若其中存在kerne132.exe键值，则将其删除2、打开资源管理器，执行“工具”“文件夹选项”，选择“文件类型”选项卡，在已注册的文件类型列表中找到“TXT文本文档”，从“详细信息”中查看其“打开方式”有无变化（一般为记事本文件）。

如果不是，则单击“高级”，删除“操作”列表中的open选项3、重启电脑进入DOS，删除c:\windows\system32下的kerne132.exe和sysxplr.exe文件广外女生”木马的清除,”广外女生“是广东外语外贸大学“广外女生”网络小组的作品，它的破坏性很大，基本功能有：,文件上传功能 ——可以上传、下载、删除、改名、设置属性，建立文件夹和运行指定文件等注册表操作功能——全面模拟Windows的注册表编辑器，让远程注册表编辑有如在本地操作一样屏幕控制功能 ——可以自定义图片的质量来减少传输的时间，在局域网或高网速地方可以全屏操作对方的鼠标和键盘远程任务管理 ——可以直观地浏览远程的窗口，杀掉对方窗体中的控件广外女生”有一个其他木马不具备的功能，就是它的服务器端程序被执行后，自动检查进程中是否含有金山毒霸、防火墙、瑞星、实时监控、天网、kill、lockdown等字样，如果发现就会终止该进程，也就是说广外女生木马可以使防火墙完全失去作用广外女生使用6267端口号广外女生”木马的清除,1、启动电脑进入DOS模式，进入c:\windows\system32目录，删除其中的Diagcfg.exe文件。

2、进入c:\windows目录，将regedit.exe改名成为,3、重启电脑进入windows模式，打开注册表编辑器，展开HKEY_CLASSES_ROOT\exefile\shell\open\command，将默认值改为1.,4、将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中的Diagnostic Configuration项删除5、进入c:\windows目录，将改名为regedit.exe黑洞2001”木马的清除,黑洞2001可以中止被控端的防火墙，当黑洞2001在受控端机上运行后，会在c:\windows\system下生成两个文件：S_Server.exe和Windows.exe黑洞2001使用的端口号为20011、打开注册表编辑器，展开HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command键，将其中默认值由S_Sever.exe%1改为c:\Windows\NOTEPAD.EXE%1。

2、将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices分支下的串值Windows删除3、重启电脑进入DOS，删除c:\windows\system32目录下的文件S_Sever.exe和Windows.exe.,木马清除软件简介,1、木马终结者,2、木马克星IParmor,3、The Cleaner,4、奇虎360安全卫士,5、超级巡警,6、超级兔子,习题,填空题,1、特洛伊木马程序表面上执行正常的操作，但实际上隐藏着一些可以控制用户电脑系统、危害系统安全的破坏性指令2、木马具有很强的隐蔽性，还有很强的潜伏性和再生性3、“广外女生”木马有一个其他大多数木马不具备的功能，就是在它的服务端程序被执行后，自动检查进程中是否含有金山毒霸、防火墙、瑞星、实时监控、天网、kill、lockdown等字样，如果发现就会终止该进程，也就是说广外女生木马可以使防火墙完全失去作用4、黑洞2001木马是国产木马，也可以终止被控端的防火墙，它也使用默认的连接端口，端口号为2001,5、特洛依木马虽然不像电脑病毒那样会到处传染，但其危害性是非常大的，其原因是：难以发现、通常以二进制形式潜伏，无法直观显示、可作用于许多机器。

6、几种常见的木马入侵方法有：捆绑、冒名、伪装成文件习题,选择题,1、在命令提示符下输入______后按回车键，可以查看当前与本机建立的所有连接A. Netneo B.netstat C. Ping D. NetAno,2、________只借助电子邮件及新闻组的传送而在网上遨游，但并不感染任何被攻击者硬盘中的其他文件，也没有其他侵害作用A. Happy 99木马 B.Back Orifice 2000木马 C.黑洞2001 D. 广外女生,3、下面防范木马的方法中哪个是错的：_______,A. 使用病毒防火墙或木马监控程序并及时升级,B. 不要随便从一些网站上下载软件，最好到信誉好、比较大的网站上去下载，并在安装前先用杀病毒软件进行检查,C. 经常检查系统文件、注册表及端口信息,D. 最好将Windows隐藏文件后缀名的设置改为隐藏所有文件的扩展名,习题,填空题,1、木马一般有两个执行文件：客户端程序和服务器端程序2、木马的检测有动态检测和静态检测两种方式3、Happy 99 是通过发送电子邮件与张贴文章将自身发送到新闻组，让使用者无意中成为该木马的传播者。

4、“冰河”是国外最著名的木马，它主要用于远程监控，其功能是可以自动跟踪目标机器的屏幕变化，记录各种口令信息，或者限制目标机器系统功能、远程文件和注册表操作等5、电子邮件的附件是木马程序传播的主要途径，所以不要轻信、打开来历不明的电子邮件附件6、在资源管理器中删除c:\windows\system32中的Umgr32.exe文件即可将Back Orifice 2000木马删除。