一种特殊的病毒—特洛伊木马 (Trojan horse) 上海交通大学信息安全工程学院
一种特殊的病毒——特洛伊木马 (Trojan horse) 上海交通大学信息安全工程学院
《特洛伊木马》电影图片
《特洛伊木马》电影图片
本章的学习目标 掌握特洛伊木马的概念 了解木马技术的发展趋势 掌握木马开发实例 理解木马的关键技术 掌握木马攻击的方法 ·掌握木马防范方法
本章的学习目标 • 掌握特洛伊木马的概念 • 了解木马技术的发展趋势 • 掌握木马开发实例 • 理解木马的关键技术 • 掌握木马攻击的方法 • 掌握木马防范方法
章节主要内容 1木马的概述 ·2木马程序的开发实例 ·3木马程序的关键技术 4木马攻击的清除及其相关经验 ·5木马检测及清除代码
章节主要内容 • 1 木马的概述 • 2 木马程序的开发实例 • 3 木马程序的关键技术 • 4 木马攻击的清除及其相关经验 • 5 木马检测及清除代码
特洛伊木马( Trojan Horse) 一是一种与远程计算机之间建立起连接,使远程 计算机能够通过网络控制用户计算机系统并且 可能造成用户的信息损失、系统损坏甚至瘫痪 的程序。 木马的组成 硬件:控制端、服务端、 Internet 软件:控制端程序、木马程序、木马配置程序 连接:控制、服务端P,控制、服务端Port
• 特洛伊木马(Trojan Horse) – 是一种与远程计算机之间建立起连接,使远程 计算机能够通过网络控制用户计算机系统并且 可能造成用户的信息损失、系统损坏甚至瘫痪 的程序。 • 木马的组成 – 硬件:控制端、服务端、Internet – 软件:控制端程序、木马程序、木马配置程序 – 连接:控制、服务端IP, 控制、服务端Port
流行木马的基本特征 1、隐蔽性是其首要的特征 木马和远程控制软件的最主要区别 不产生图标 不出现在任务管理器中 2、它具有自动运行性 一启动文件、启动组、注册表
流行木马的基本特征 • 1、隐蔽性是其首要的特征 – 木马和远程控制软件的最主要区别 – 不产生图标 – 不出现在任务管理器中。 • 2、它具有自动运行性 – 启动文件、启动组、注册表
·3、木马程序具有欺骗性 名字方式:字母“与数字“1”、字母“o”与数字“0 相同文件名但不同路径 常用图标:zip 4、具备自动恢复功能(高级技术) 5、能自动打开特别的端口 6、功能的特殊性 搜索缓存中的口令、设置口令、扫描目标机器的P地址、 进行键盘记录、远程注册表的操作、以及锁定鼠标等 功能 ·7、黑客组织趋于公开化
• 3、木马程序具有欺骗性 • 名字方式:字母“l”与数字“1”、字母“o”与数字“0” • 相同文件名但不同路径 • 常用图标:Zip • 4、具备自动恢复功能(高级技术) • 5、能自动打开特别的端口 • 6、功能的特殊性 – 搜索缓存中的口令、设置口令、扫描目标机器的IP地址、 进行键盘记录、远程注册表的操作、以及锁定鼠标等 功能 • 7、黑客组织趋于公开化
木马的分类 1、远程控制型木马 BO和冰河 2、发送密码型木马 ·3、键盘纪录型木马 破坏型木马 ·5、FTP型木马
木马的分类 • 1、远程控制型木马 – BO和冰河 • 2、发送密码型木马 • 3、键盘纪录型木马 • 4、破坏型木马 • 5、FTP型木马
远程控制、木马与病毒 木马和控制软件 目的不同 有些木马具有控制软件的所有功能 是否隐藏 木马和普通病毒 传播性(木马不如病毒) 两者相互融合 ·木马程序YA采用了病毒技术 “红色代码”病毒已经具有木马的远程控制功能
远程控制、木马与病毒 • 木马和控制软件 – 目的不同 – 有些木马具有控制软件的所有功能 – 是否隐藏 • 木马和普通病毒 – 传播性(木马不如病毒) – 两者相互融合 • 木马程序YAI采用了病毒技术 • “红色代码”病毒已经具有木马的远程控制功能
木马的发展方向 1、跨平台性 2、模块化设计 3、更新更强的感染模式 ·4、即时通知 ·5、更强更多的功能
木马的发展方向 • 1、跨平台性 • 2、模块化设计 • 3、更新更强的感染模式 • 4、即时通知 • 5、更强更多的功能
