木马初探-防病毒讲座之特洛伊木马原理分析

1、木马初探-防病毒讲座之特洛伊木马原理分析讲座大纲 1. 特洛伊的故事2.木马的宏观状况3. 木马的工作原理 3.1 木马启动 3.2 木马隐藏 3.3 木马伪装 3.4 木马注入 3.5 木马种类 4. 使用C#实现简单的木马程序 5. 木马程序的防范2什么是木马这不是小鸡吃米图吗？古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后

2、来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。3木马的发展第一阶段 最初网络还处于以UNIX平台为主的时期，木马就产生了，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。第二阶段 随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使用者不用懂太多的专业知识就可以熟练木马，相对的木马入侵事件也频繁出现，而且木马的功能已日趋完善，对服务端的破坏也更大了。 木马发展到今天，已经无所不

3、极，一旦被木马控制，你的电脑将毫无秘密可言。4木马的宏观状况之数量年上半年中国电脑病毒疫情及互联网安全报告A:国内受感染的电脑超过万台，与去年同期相比增长了.，其中被感染的计算机中遭受过木马病毒攻击的比例占到.。B:年上半年，金山毒霸共截获新增病毒样本总计,种，比去年同期迅速增加了。其中木马病毒新增数占总病毒新增数的.，高达种。C:值得人们留意的是，网页挂木马问题在年上半年出现了爆炸式的增长。专家表示，网页挂木马不光是在一些疏于防范的网站，很多安全措施做得很好的网站也被挂上木马。你的电脑没有中毒还叫电脑吗？5木马的宏观状况之灾区2007年病毒重灾区排行版：广东首当其冲，“中招”机器高达，其次：

4、此外，报告还显示出一个新的趋势，年出现了大量新（变种）病毒。单一病毒感染的计算机数量不再是衡量其危害的标准，频繁生成的变种有效加速了病毒的传播。浙江8%江苏8%上海8%四川7%山东7%北京6%6木马的宏观状况之趋势趋势 动机：自我炫耀 收集敏感或有价值的信息 目标：到处蔓延 针对性攻击最受欢迎的攻击对象 网络游戏成为木马的主要目标 木马病毒野心膨胀，直指网络银行7木马的宏观状况之网银1三年600倍每月160 8木马的宏观状况之蔓延利益的驱使带毒网站数量众多QQ 尾巴为木马传播推波助澜 黑客网站对木马明码标价 百度等服务平台助长蔓延态势法律的不健全9木马的工作原理目标和手段 A：有什么信息好偷（

5、编写动机） B：怎样偷得到（传播手段）原理 1:如何注入 2:如何启动 3:运行时如何隐藏 4:文件如何伪装10木马的工作原理之启动1：在Win.ini中启动 在Win.ini的windows字段中有启动命令load和run，在一般情况下 后面是空白的，如果有后跟程序，比方说是这个样子： run=c:windowsfile.exe load=c:windowsfile.exe 要小心了，这个file.exe很可能是木马哦。 类似的还有：System.ini，Autoexec.bat，Config.sys，Winstart.bat，*.INI （配置文件）11木马的工作原理之启动2.利用注册表加

6、载运行 记录到注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中，更高级的木马还会注册为系统的“服务”程序，以上这几种启动方式都可以在“系统配置实用程序”(在“开始运行”中执行“Msconfig”)的“启动”项和“服务”项中找到它的踪迹。12木马的工作原理之启动3.启动组 木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为

7、C:Windowsstart menuprogramsstartup, 在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftwindowsCurrentVersionExplorershell 要注意经常检查启动组哦! 13木马的工作原理之启动4.修改文件关联 比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. 冰河就是通过修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值，将 C:WINDOWSN

8、OTEPAD.EXE%l改为 C:WINDOWSSYSTEMSYSEXPLR.EXE%l，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了. 好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP.COM等都是木马的目标，要小心搂。 14木马的工作原理之启动5.捆绑文件 实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Wi

9、ndows启动均会启动木马。15木马的工作原理之隐藏在任务栏里和服务管理器中隐藏 如果在windows的任务栏里出现一个莫名其妙的图标，傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以C#为例。在C#中，只要把form的ShowInTaskBar属性设置为False Ctrl+Alt+Del后,在应用程序中可以看见一个木马程序在运行，那么这肯定不是什么好木马。所以，木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为 系统服务“就可以轻松地骗过去。在C#中，只要把form的WindowState属性设置为Minimized16木马的工作原理之伪装修

10、改图标捆绑文件:捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)出错显示:如 文件已破坏，无法打开!之类的信息自我销毁:弥补木马的一个缺陷木马更名:例如改为window.exe，不告诉你这是木马的话，敢删除吗?还有的就是更改一些后缀名，比如把dll改为dl等，不仔细看的，你会发现吗? 17木马的工作原理之注入开山文件合并器工具：这样的绑定都已经很容易被杀毒软件检测出来用RAR文件进行打包 1：双击打开RAR文件 2：进入“高级自解压选项”进行设置 3：切换到“常规”标签，进入“安装程序”设置。 4：接着切换到“模式”标签，分别选中”隐藏启动对话框“和”覆盖所有文件“选项。 5：文本和

11、图标标签中给自解压文件替换一个图表18木马种类破坏型密码发送型远程访问型键盘记录木马 DOS攻击木马代理木马 FTP木马程序杀手木马反弹端口型木马19木马传播把木马文件改成BMP文件，然后配合你机器里的DEBUG来还原成EXE，网上存在该木马20% 下载一个TXT文件到你机器，然后里面有具体的FTP-作，FTP连上他们有木马的机器下载木马，网上存在该木马20%也是最常用的方式，下载一个HTA文件，然后用网页控件解释器来还原木马。该木马在网上存在50%以上采用JS脚本，用VBS脚本来执行木马文件，该型木马偷QQ的比较多，偷传奇的少，大概占10%左右20木马制作之组成 一个完整的木马系统由硬件部分

12、，软件部分和具体连接部分组成。 硬件部分 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。 软件部分 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。具体连接部分 通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口.21木马制作之知识点文件操作（C#）多线程（C#）网络连接（WinForm）注册表的操作（ WinForm ）22木马预防增强全民防范意识你根本没有打开浏览器，而览浏器突然自己打开，弹出来一些广告窗口你正在操作电脑，突然一个警告框或者是询问框弹出来，问一些你从来没有在电脑上接触过的间题。 你的Windows系统配置老是自动莫名其妙地被更改。比如屏保显示的文字，时间和日期，声音大小，鼠标灵敏度，还有CD-ROM的自动运行配置。 硬盘老没缘由地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象。23木马预防锁定注册表:这样木马就没有办法进行注册表的操作,导致木马的很多功能实现不了.windowscomma