特洛伊木马的发展和分类
特洛伊木马是一种后门程序,黑客可以通过它窃取用户私人信息甚至远程控制用户电脑。特洛伊木马全称特洛伊木马。它的名字来源于古希腊神话中的《特洛伊木马记》。公元前12世纪,希腊向特洛伊宣战,这场战争持续了10年没有胜利。最后,希腊军队假装撤退,在特洛伊城外留下了许多巨大的特洛伊人。这些木马是中空的,里面装有希腊最好的战士。希腊人假装撤退后,特洛伊人把这些特洛伊人作为战利品带进城里。那天晚上,希腊士兵从特洛伊木马中出来,和城外的希腊军队一起占领了特洛伊城。这就是特洛伊木马名字的由来。因此,木马通常伪装成合法程序植入系统,从而对系统安全构成威胁。一个完整的木马程序一般由两部分组成,一部分是服务器控制的程序,另一部分是客户端控制的程序。黑客主要利用植入目标主机的客户端控制程序来控制目标主机。
(1)特洛伊木马技术的发展
从木马技术的发展来看,基本可以分为四代。
第一代木马功能单一,只实现简单的密码窃取和发送等。在隐藏和通信方面没有什么特别之处。
第二代木马在隐藏、自启动、操控服务器等方面有了很大的进步。第二代国外代表木马是BOZ000和Sub7。冰川可以说是中国木马的典型代表之一。可以操作注册表实现自动运行,可以通过设置程序为系统进程来伪装隐藏。
第三代木马在数据传输技术上有了根本性的进步,出现了ICMP等特殊消息类型的木马,增加了查杀的难度。这一代木马在进程隐藏方面也做了很大的改进,采用了内核插入的嵌入方式,利用远程线程插入技术嵌入DLL线程,从而实现木马的隐藏,达到良好的隐藏效果。
第四代木马实现了与病毒的紧密结合,直接利用操作系统的漏洞实现感染传播的目的,而不是像之前的木马一样欺骗用户主动激活。代表性的第四代木马有磁盘驱动器、机器狗木马等。
(2)特洛伊木马程序的分类
根据木马程序在电脑上的具体动作,目前的木马程序可以分为以下五类。
1)遥控类型
远程控制木马是现在使用最广泛的木马,具有远程监控功能,使用简单。只要被控主机接入网络,并与控制端的客户端程序建立网络连接,控制器就可以随意访问被控计算机。在控制端的控制下,这个木马可以在受控主机上做任何事情,比如键盘录音、文件上传/下载、截屏、远程执行等。
2)密码发送类型
发送密码木马的目的是在没有用户的情况下,找出所有隐藏的密码,发送到指定的邮箱的知识。大多数情况下,这些木马不会在每次Windows系统重启时自动加载,大多使用25端口发送电子邮件。
3)键盘记录类型
键盘木马非常简单。他们只做一件事,那就是记录用户的键盘敲击,并在日志文件中做完整的记录。该木马会随着Windows系统的启动而自动加载,并能感知受害主机在线,记录下每一个用户事件,然后通过邮件或其他方式将用户事件发送给控制器。
4)破坏类型
大多数特洛伊木马程序只窃取信息,并不不做破坏性事件,但破坏性木马以破坏、删除文件为己任。他们可以自动删除所有。ini或者。exe文件,甚至远程格式化被控主机的硬盘,使被控主机上的所有信息被销毁。总之,这种木马的目标只有一个,就是尽可能破坏被感染的系统,使其瘫痪。
5)FTP类型
Type FTP木马会打开受控主机系统的21号端口(FTP服务使用的默认端口),让每个人都可以使用一个FTP客户端程序,在没有密码的情况下连接到受控主机系统,然后以最高权限上传下载文件,窃取受害系统的机密文件。
根据木马的网络连接方向,木马可分为以下两类。
正向连接:发起连接的方向是从控制端到受控端。这种技术被早期木马广泛使用,但其缺点是无法通过防火墙发起连接。
反向连接型:发起连接的方向是从受控端到受控端,主要是为了解决由内向外无法发起连接的问题而出现的。它已被较新的特洛伊木马广泛采用。
根据木马使用的架构,木马可以分为四类。
C/S架构:这种架构是常见的服务器和客户端的传统架构,一般以客户端为控制端,服务器为受控端。编程时,如果采用反接技术,客户端(即控制端)会采用socket编程的服务器端方法,而服务器(即受控端)会采用Socket编程的客户端方法。
B/S架构:这种架构是常见的网页木马使用的方式。通常在B/S架构下,服务器上传网页木马,控制者可以使用浏览器访问相应的网页,从而控制服务器。
C/P/S架构:这里的P是代理的意思,也就是在这个架构中使用代理。当然,要实现正常通信,代理必须由木马作者编程,然后才能实现一次转换通信。这种架构的出现主要是为了适应一个内网对另一个内网的控制。不过这个架构的木马还没找到。
B/S/B架构:这种架构的出现也是为了适应一个内网对另一个内网的控制。当受控端和受控端都打开浏览器浏览该服务器上的网页时,一端成为受控端,另一端成为受控端。国外已经出现了这种架构的木马。
根据木马的不同形式,木马可分为以下几种:
传统EXE程序文件木马:这是最常见、最常见的木马,也就是以an运行的木马。目标计算机中的. exe文件。
传统的DLL/VXD木马:这些木马可以不要自己跑。它们必须通过系统启动或其他程序运行,或者通过Rundi132.exe运行。
关联DLL木马:这种木马本质上还是DLL木马,只是会替换某个系统的DLL文件,并重新命名。
嵌入式木马:这类木马利用远程缓冲区溢出的入侵方式,远程将木马代码写入当前正在运行的程序的内存中,然后通过改变事故处理方式运行木马代码。这项技术很难操作。
木马:即脚本设计的木马。这种木马可以通过利用IE等的漏洞嵌入目标主机。并广为传播。
溢出木马:结合了缓冲区溢出攻击和木马的木马。它的实现有很多特点和优点,属于一种新型的木马。
另外,根据隐藏方式,木马可分为以下几类:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏、内核模块隐藏和协同隐藏。隐藏技术是木马的关键技术之一,直接决定了木马的生存能力。木马和远程控制程序的主要区别在于它的隐蔽性,这是木马长期生存的关键。
(3)木马的功能
木马的功能可以归纳为以下五种。
1)管理远程文件
管理受控主机的系统资源,如复制文件、删除文件、查看文件和上传/下载文件。
2)开放未经授权的服务。
为远程计算机安装常用网络服务,为黑客或其他非法用户服务。比如被木马设置为FTP文件服务器的电脑,可以为客户端提供FTP文件传输服务和开放文件共享服务,黑客就可以轻易获取用户的信息硬盘。
3)监控远程屏幕
实时捕捉屏幕图像,可以将捕捉到的图像保存为图片文件;实时监控远程用户的当前操作。
4)控制远程计算机
通过命令或远程监控窗口直接控制远程计算机。比如控制远程电脑执行程序,打开文件或者对其他电脑发起攻击。
5)窃取数据
以窃取数据为目的,不破坏计算机本身的文件和数据,不妨碍系统的正常工作。它以系统用户难以察觉的方式向外界传输数据,典型代表就是键盘鼠标操作记录木马。编辑AJX
标签:木马文件程序