一、简介:
木马:
特洛伊木马(以下简称木马), 英文叫做“ Trojan House", 是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马, 这样服务端即使发现感染了木马, 由于不能确定其具体位置,往往只能望“ 马” 兴啋所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表, 控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
特洛伊木马叫做后门工具
特征:
每个木马所打开的端口不同, 根据端口号, 可以识别不同的木马,但是, 有些木马的端口号是可以改变的,通过控制器可以将端口号改变
木马启动: 一般在注册表启动组中
木马需要在内存中
木马会打开特别的端口进行数据传输
组成:
特洛伊木马: 服务器,控制器
如果你的电脑上安装了服务器, 那么黑客就可以使用控制器进入你的电脑。新安装的电脑是没有木马存在的,一般黑客要想你安装上木马的办法是写信给你,告诉你有一个很好的软件,你运行以后没有什么反应,这时候,木马已经安装到你的电脑中了。
木马程序的启动
木马为了能在每次电脑开机的时候进入内存发挥作用, 主要手法是加载到注册表的启动组中,也有些会捆绑到其他程序中附带进入内存,这些被捆绑程序可以在电脑启动的时候由Windows自动运行的,也可以由用户自己需要而运行的。
数据的窃取
当木马在你的电脑中存在的时候, 黑客就可以通过控制器命令木马做事情了。这些命令足在网络上传递的, 需要遵守TCP/IP 协议。TCP/IP协议规定电脑的端口有256 X 256=65536个, 在0-65535号端口中, 木马打开其中一个或者几个端口,黑客所使用的控制器就是通过木马的端口进入你的电脑的。
分类:
(1)破坏型:破坏并且删除文件,与计算机病毒有些相似
(2)密码发送型:找到目标机的隐藏密码,并发送到指定的信箱
(3)远程访问型:在受害者主机上运行一个服务端,监听某个特定端口;入侵者则使用木马的客户端连接到该端口上,向服务端发送各种指令,访问受害者计算机资源
(4)键盘记录型:记录受害者的键盘敲击并且在LOG 文件里查找密码,会自动将密码发送到黑客指定的邮箱
(5)DoS攻击型:会占用带宽攻击其他服务器,同时影响自身业务的正常运行
(6)FTP木马:打开21 端口,攻击者通过端口访问计算机
(7)反弹端口型:专业级远程文件访问工具,利用它可实现对本地及远程驱动器进行包括文件删除、复制、移动、修改在内的各种操作,而且可以任意修改驱动器属性、修改文件属性。
(8)代理型:给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板,具有自动下载木马病毒的功能,病毒可以根据病毒编者指定的网址下载木马病毒或其他恶意软件,还可以通过网络和移动存储介质传播
(9)程序杀手型:关闭对方机器上运行的防木马软件
二、危害
简述:
与普通远程控制软件一个不同点在于,木马实现的远程控制功能更为丰富,其不仅能够实现一般远程控制软件的功能,还可以破坏系统文件、记录键盘动作、盗取密码、修改注册表和限制系统功能等。还可能会使用你的机器去攻击别人。
入侵步骤:
配置木马(伪装木马:修改图标、捆绑文件、出错显示、定制端口、自我销毁)→传播木马(通过Email或者捆绑软件下载)→运行木马(自动安装、自启动、触发式激活木马)→信息泄漏(E-mail、IRC 或ICQ 的方式把你的信息泄露出去)→建立连接→远程控制
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
