木马的特点 隐蔽性强: 木马有很强的隐蔽性,在 Windows中,如果某个 程序出现异常,用正常的手段不能退出的时候, 采取的办法是按“Ctrl+At+De键,跳出 个窗口找到需要终止的程序,然后关闭它。 早期的木马会在按“Ctrl+At+De显露出 来,现在大多数木马已经看不到了。所以只能 采用内存工具来看内存中是否存在木马 功能特殊:
6 木马的特点 隐蔽性强: 木马有很强的隐蔽性,在Windows中,如果某个 程序出现异常,用正常的手段不能退出的时候, 采取的办法是按“Ctrl+Alt+Del”键,跳出一 个窗口,找到需要终止的程序,然后关闭它。 早期的木马会在按“Ctrl+Alt+Del”显露出 来,现在大多数木马已经看不到了。所以只能 采用内存工具来看内存中是否存在木马。 功能特殊:
五、特洛伊木马 潜伏能力强:表面上的木马被发现并删除以后,后备的 木马在一定的条件下会跳出来 Glacier(冰河)有两个服务器程序,挂在注册表的启动组 中的是c: WIndows System Kernel32eXe,当电脑启动 时装入内存,这是表面上的木马;另一个是: WIndows ISystemlSysexplr.exe,也在注册表中,它修改了文本文件 的关联,当点击文本文件的时候,它就启动了,它会检查 Keme32.eXe是不是存在。当 Kernel32.exe被删除以后, 如果点击了文本文件,那么这个文本文件照样运行,而 Sysexplr.exe被启动了。 Sysexplr:exe会再生成一个 Kerne32.exe
7 五、特洛伊木马 潜伏能力强:表面上的木马被发现并删除以后,后备的 木马在一定的条件下会跳出来。 Glacier(冰河)有两个服务器程序,挂在注册表的启动组 中的是C:\Windows\System\Kernel32.exe,当电脑启动 时装入内存,这是表面上的木马;另一个是:\Windows \System\Sysexplr.exe,也在注册表中,它修改了文本文件 的关联,当点击文本文件的时候,它就启动了,它会检查 Kernel32.exe是不是存在。当Kernel32.exe被删除以后, 如果点击了文本文件,那么这个文本文件照样运行,而 Sysexplr.exe被启动了。Sysexplr.exe会再生成一个 Kernel32.exe
木马的分类 远程访问型 密码发送型 键盘记录型 毁坏型:删除文件 FTP型:打开目标机21端口,上传、下载 木马发展趋势 与病毒结合,使之具有更强感染特性; 跨平台型 模块化设计:组件 即时通知
8 ◼ 木马的分类 ✓ 远程访问型 ✓ 密码发送型 ✓ 键盘记录型 ✓ 毁坏型:删除文件 ✓ FTP型:打开目标机21端口,上传、下载 ◼ 木马发展趋势 ✓ 与病毒结合,使之具有更强感染特性; ✓ 跨平台型; ✓ 模块化设计:组件; ✓ 即时通知
五、特洛伊木马 特洛伊木马启动方式 自动启动:木马一般会存在三个地方注册表、 WIn. InI、 system. ini,因为电脑启动的时候,需要装载这三个文 件。在 autoexec bat、 config.sys、启动组中易被发现 捆绑方式启动:木马 phAse1.0版本和 NetBus1.53版本 就可以以捆绑方式装到目标电脑上,它可以捆绑到启动程 序或一般常用程序上 捆绑方式是一种手动的安装方式。非捆绑方式的木马因 为会在注册表等位置留下痕迹,所以,很容易被发现,而捆 绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑 程序等,位置的多变使木马有很强的隐蔽性。 修改文件关联。如用木马取代 notepad.exe来打开txt文件⊕
9 特洛伊木马启动方式 五、特洛伊木马 自动启动:木马一般会存在三个地方:注册表、win.ini、 system.ini,因为电脑启动的时候,需要装载这三个文 件。在autoexec.bat、config.sys、启动组中易被发现。 捆绑方式启动:木马phAse 1.0版本和NetBus 1.53版本 就可以以捆绑方式装到目标电脑上,它可以捆绑到启动程 序或一般常用程序上。 捆绑方式是一种手动的安装方式。非捆绑方式的木马因 为会在注册表等位置留下痕迹,所以,很容易被发现,而捆 绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑 程序等,位置的多变使木马有很强的隐蔽性。 修改文件关联。如用木马取代notepad.exe来打开txt文件
五、特洛伊木马 木马服务器存放位置及文件名 木马的服务器程序文件一般位置是在 c: windows和c: windowsIsystem中,因为 windows的一些系统文件在这两个位置。 木马的文件名总是尽量和 windows的系统文件 接近,比如木马 Sub seven1.7版本的服务器文 件名是c: windows KErnel16DL,而 windows 由一个系统文件是 c: windows Kernel32DLL, 删除 KERNEL32.DL会让机器瘫痪。木马 Subseven1.5版本服务器文件名是 c: Windows window. exe,少一个s
10 木马服务器存放位置及文件名 五、特洛伊木马 木马的服务器程序文件一般位置是在 c:\windows 和 c:\windows\system 中 , 因 为 windows的一些系统文件在这两个位置。 木马的文件名总是尽量和windows的系统文件 接近, 比如木马SubSeven 1.7版本的服务器文 件名是c:\windows\KERNEL16.DL,而windows 由一个系统文件是c:\windows\KERNEL32.DLL, 删 除 KERNEL32.DLL 会 让 机 器 瘫 痪 。 木 马 SubSeven 1.5 版本服务器文件名是 c:\windows\window.exe, 少一个s