特洛伊木马
1. 定义:
是寄宿在计算机里的一种非授权的远程控制程序,通过网络控制用户计算机系统,窃取用户私密信息并反馈给攻击者,造成用户的信息损失、系统损坏甚至瘫痪。
2. 木马的组成
- 硬件部分:控制端、服务端、Internet
- 软件部分:控制端程序、木马程序、木马配置程序
- 连接部分:控制、服务端IP, 控制、服务端Port
3. 基本特征
- 隐蔽性
- 首要的特征
- 是木马和远程控制软件的最主要的区别:不在任务栏产生图标,不在任务管理器中。
- 自动运行性
- 潜入启动文件、启动组、注册表中
- 欺骗性
- 命名方式:字母“l”与数字“1”、字母“o”与数字“0”
- 相同系统文件名却不同路径
- 常用图标 Zip ;文件扩展名dll,sys
- 具备自动回复功能
- 功能的特殊性
- 扫描目标机器IP, 远程注册表操作、锁定鼠标等功能。
4. 木马的分类
5. 远程控制、木马与病毒的区别
6. 木马的工作流程
7. 木马的关键技术
7.1 植入技术
7.2 自启动技术
7.3 隐藏技术
-
反弹式木马技术
-
ICMP方法隐藏连接
-
隐藏端口
-
Windows NT进程的隐藏
8. 感染木马的现象
9. 常见杀除木马的方法
- BO2000
- NetSpy
- Happy99
- 冰河
- Nethief