[]5 木马的攻击与防治.pptVIP

5 木马的攻击与防治 5.1 木马概述 特洛伊木马的故事是在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。后人常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。特洛伊木马也是著名电脑木马程序的名字。 完整的木马程序一般由两个部分组成：一个是服务器程序（被控制端），一个是控制器程序（控制端）。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。 木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。 特洛伊木马是如何启动的？ 作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探索新的自启动技术，并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中，用户执行该程序时，则木马自动发生作用。当然，更加普遍的方法是通过修改Windows系统文件和注册表达到目的。 5.2 木马驻留位置 开始-运行-输入msconfig。 1.在Win.ini中启动在Win.ini的【windows】字段中有启动命令“load＝”和“run＝”，在一般情况下 “＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:windowsfile.exe load=c:windowsfile.exe要小心了，这个file.exe很可能是木马哦 。 2.在System.ini中启动 System.ini位于Windows的安装目录下，其【boot】字段的shell=Explorer.exe是木马喜欢的隐藏加载之所。 木马通常的做法是将该字段变为这样:shell=Explorer.exefile.exe 。注意这里的 file.exe 就是木马服务端程序! 另外，在System.ini中的【386Enh】字段，要注意检查在此段内的“driver＝路径程序名”这里也有可能被木马所利用。再有，在System.ini中的【mic】、【drivers】、【drivers32】这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。 也可以在“启动”项中禁止木马或病毒运行。 3.利用注册表加载运行 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion 下有run开始的键值，看有无异常程序运行 4.在Autoexec.bat和Config.sys中加载运行 在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。 5.启动组 木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。 在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shellFoldes ,右边startup 值等于C:\Documents and Settings\Administrator\「开始」菜单\程序\启动。  6.捆绑文件 实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。或者木马的主人在网页上放置恶意代码，引诱用户点击，用户点击后就会中木马病毒。 5.3 木马的功能（根据冰河木马总结功能） 1．远程监控 　　 可以控制对方的鼠标、键盘和监视对方屏幕。（局域网适用） 2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息； 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操