上游充通大学 远程控制、木马与病毒 SHANGHAI JLAO TONG UNIVERSITY 木马和控制软件 ·目的不同 ·有些木马具有控制软件的所有功能 ·是否隐藏 木马和普通病毒 ·传播性(木马不如病毒) o 两者相互融合 ·木马程序YAI采用了病毒技术 ·“红色代码”病毒已经具有木马的远程控制功能 信息安全工程学院
信息安全工程学院 远程控制、木马与病毒 木马和控制软件 • 目的不同 • 有些木马具有控制软件的所有功能 • 是否隐藏 木马和普通病毒 • 传播性(木马不如病毒) • 两者相互融合 • 木马程序YAI采用了病毒技术 • “红色代码”病毒已经具有木马的远程控制功能
上浒充通大学 木马的发展趋势 SHANGHAI JLAO TONG UNIVERSITY 跨平台性 ©模块化设计 更新更强的感染(传播、植入)模式 即时通知 更强更多的功能 信息安全工程学院
信息安全工程学院 木马的发展趋势 跨平台性 模块化设计 更新更强的感染(传播、植入)模式 即时通知 更强更多的功能
上游充通大学 SHANGHAI JLAO TONG UNIVERSITY 木马的关键技术 信息安全工程学院
信息安全工程学院 木马的关键技术
上游充通大学 技术进展 SHANGHAI JLAO TONG UNIVERSITY 历史上概括为4个阶段: 第一阶段主要实现简单的密码窃取、发送等功能,没 有什么特别之处。 第二阶段在技术上有了很大的进步,主要体现在隐藏 控制等方面。国内冰河可以说是这个阶段的典型代表 之一。 第三阶段在数据传递技术上做了不小的改进,出现了 基于ICMP协议的木马,这种木马利用ICMP协议的畸 形报文传递数据,增加了查杀的难度。 信息安全工程学院
信息安全工程学院 技术进展 历史上概括为4个阶段: • 第一阶段主要实现简单的密码窃取、发送等功能,没 有什么特别之处。 • 第二阶段在技术上有了很大的进步,主要体现在隐藏、 控制等方面。国内冰河可以说是这个阶段的典型代表 之一。 • 第三阶段在数据传递技术上做了不小的改进,出现了 基于ICMP协议的木马,这种木马利用ICMP协议的畸 形报文传递数据,增加了查杀的难度
上游充通大学 SHANGHAI JLAO TONG UNIVERSITY ·第四阶段在进程隐藏方面做了非常大的改动,采用了 内核插入式的嵌入方式,利用远程插入线程技术嵌入 DLL线程,或者挂接PSAPI实现木马程序的隐藏。即 使在Vindows NT/2K下,这些技术都达到了良好的隐 藏效果。 ·相信,第五代木马的技术更加先进。 信息安全工程学院
信息安全工程学院 • 第四阶段在进程隐藏方面做了非常大的改动,采用了 内核插入式的嵌入方式,利用远程插入线程技术嵌入 DLL线程,或者挂接PSAPI实现木马程序的隐藏。即 使在Windows NT/2K下,这些技术都达到了良好的隐 藏效果。 • 相信,第五代木马的技术更加先进