木马和后门
特洛伊木马了它的名字从旧的神话故事,对如何希腊人给他们的敌人一个巨大的木制马作为礼物战争期间。
敌人接受了这份礼物,并带他们到自己的王国,并在夜间,希腊士兵悄悄走出了马匹,并攻击城市,完全克服它。
特洛伊木马是一种未经授权的程序包含在一个合法程序。 这种未经授权的程序履行职责不明,由用户。 一个合法的程序,已被变造的,由安置未经授权码以内;本守则履行职责不明,由用户。
工作:
木马来了两个部分,客户端部分和服务器部分。 当受害者运行服务器及其机器,黑客会,然后用客户端连接到该服务器,并开始使用木马。 tcp / ip协议是通常的协议类型作为一种通信技术,但一些职能木马使用udp协议等。 当服务器正在运行于受害人的计算机后,将(通常)试图隐瞒某处对计算机,开始听取对一些港口( s )的来袭连接的攻击,修改注册表和/或使用其他一些汽车起动方法。
它的必要为攻击者知道事主的ip地址连接到他/她的机器。 许多木马都特性,如邮件受害者的知识产权,以及信息处理,攻击者途经的icq或体育馆。 这是用来当受害人动态ip这意味着每一次当你连接到互联网上,你得到一个不同的ip (大部分的拨号用户有此) 。
大部分的木马使用自动启动的方法,务求甚至当你关闭你的电脑,他们就能够重新启动,并再次使黑客进入你的机器。 新的自动起动方法及其他花招发现的所有时间。 该品种做起,从"参与"木马到一些可执行文件,你用很多时候喜欢explorer.exe ,举例来说,并前往著名的方法一样,修改系统文件或注册表。 系统文件位于windows目录,并在这里都很短,解释其滥用袭击者:
-自动启动文件夹-自动启动文件夹是位于在c : \ w i ndows\开始菜单\程序\启动,正如其名称所显示自动启动,一切有5 1厘米长。
-补丁-视窗系统档案利用负载=t r ojan.exe和运行=t r ojan.exe执行木马
-s ystem.ini-利用壳牌=e x plorer.exetr ojan.exe结果,在执行的每一个文件后e x plorer.exe
-w ininit.ini-设置-项目都使用它多半;一旦而言,它的被自动删除,这是很得心应手,为木马重新启动
-w instart.bat-作为一个正常蝙蝠档案木马是补充as @trojan.exe隐瞒其执行从用户
-使用a utoexec.bat-这是一个do s的自启动文件,并用它作为自动起动法像这样->是c : \ t r o jan.exe
-c onfig.sys文件-也可以被用来作为一个自启动方法木马
-探险家初创-是一个自启动方法wi ndows95下, 9 8 ,我和若c : \ e x plorer.exe存在,它将会立刻启动,而不是通常在c : \ w i ndows\e x plorer.exe,这是与会代表的共同途径来档案。
注册通常使用于各种汽车起动方法。 这里有一些已知的方法:
[ hkey_local_machine \软件\微软\窗户\当前版本\运行]
"信息" =的" c : \目录\ trojan.exe "
[ hkey_local_machine \软件\微软\窗户\ currentversion \ runonce ]
"信息" =的" c : \目录\ trojan.exe "
[ hkey_local_machine \软件\微软\窗户\ currentversion \ heap ]
"信息" =的" c : \目录\ trojan.exe "
[ hkey_local_machine \软件\微软\窗户\ currentversion \ runservicesonce ]
"信息=的" c : \目录\ trojan.exe "
[ hkey_current_user \软件\微软\窗户\当前版本\运行]
"信息" =的" c : \目录\ trojan.exe "
[ hkey_current_user \软件\微软\窗户\ currentversion \ runonce ]
"信息" =的" c : \目录\ trojan.exe "
-注册空壳开放
[在hkey_classes_root \ exefile \壳牌\公开\指挥]
[ hkey_local_machine \软件\班级\ exefile \壳牌\公开\指挥]
一个关键与价值" % 1 % * "应该放在那里,如果有一些可执行文件放在那里,它会被处死,每次你打开一个二进制文件。 这在以往是这样的: trojan.exe " % 1 % * " ;这将重新启动该木马。
-i cq的净检测方法
[ hkey_current_user \软件\变形杆菌\ icq的\代理商\程序\ ]
这主要包括了所有的文件,将被处决,如果icq的侦测互联网接入服务。 正如你能明白,这篇专题icq的,是很得心应手,但它的经常滥用攻击等。
-a ctivex组件
[ hkey_local_machine \软件\微软\积极设置\安装组件\ keyname ]
stubpath = c的: \目录\ trojan.exe
这是最常见的自启动方法使用windows系统文件, windows注册表。
特洛伊木马病毒变异
1 。远程访问特洛伊
这些很可能是大多数上市使用木马,只因为他们给了攻击者的力量做更多的事情,对受害者的机器比受害人本身,而站在机器。 大部分这些木马往往是一个组合的其他变异你看过下文。 构思这些木马是为了让攻击者完全获得别人的机器,因此,查阅档案,私人交谈中,会计数据等。
2 。 密码发送木马
为了这些木马是扯裂所有缓存密码,并寻求其他的密码,你正在进入,然后把他们送到一个特定的电子邮件地址,在未经用户看见什么。 密码icq的,体育馆,和ftp , http或任何其他应用需要一个用户进入一个登录密码被发回给攻击者的电子邮件地址,这在大多数情况下是设在一些免费的网络为基础的电子商务邮件提供商。 他们大多不重新启动时, windows是装,因为我们的构想是多地收集有关信息,受害人的机器密码,马克原木, icq的交谈和邮件;但它依赖于需求的攻击,以及具体的情况。
3 。 按键记录程序
这些木马是记录击键的受害人,然后让攻击者寻找密码或其它敏感数据在日志文件。 他们大多是来与这两项职能一样在线和离线记录。 当然,他们可以被配置
发送日志文件到一个特定的电子邮件地址,每天都在发生。
4 。 破坏性
唯一的功能,这些木马都是为了破坏和删除文件。 这使它们非常简单,易于使用。 他们能自动删除你所有的核心系统文件(例如: 。戴尔。在。 exe文件,可能是其他人)在你的机器上。 木马是被激活的攻击者或有时作品就像一个逻辑炸弹,并开始对一个特定一天,并在特定的时间。
5 。拒绝服务( dos )攻击木马
这些木马越来越受欢迎,这些日子,留下后门,攻击者有权拒绝服务攻击的开始,如果有足够的受害者当然。 其主要思想是,如果你有200 adsl用户感染,并开始攻击受害人,同时,这将产生大量的交通(较当时受害人的带宽,在大多数情况下)和其接入到互联网,将被关闭。 wintrinoo是一种拒绝服务攻击的工具,这已成为真正受欢迎,最近,如果攻击者已感染了许多adsl用户,主要的互联网网站可以关闭了作为一个结果,正如我们已经看到它发生在过去数个月。
另一种变异一个dos的木马是邮件炸弹木马,其主要目的是感染尽可能多的机器能,并同时攻击特定的电子邮件地址/地址随机科目和内容,而不能过滤。
6 。代理/温木马
有趣的特点实施,在许多木马是把受害者的电脑变成代理/温服务器提供给整个世界,或给攻击者只。 它的使用,为无名氏的telnet , icq的,体育馆等,并同时注册域名与盗窃得来的信用卡,并为许多其他非法活动。 这使攻击者完全匿名和机会,尽一切可能从你的计算机的话,他/她得到了举世瞩目的追查线索还给你。
7 。 ftp的木马
这些木马可能是最简单的,并种过时,他们唯一做的是开放港口21个(港口为ftp的转移) ,让每个人都连接到你的机器,还是只攻击。 新的版本有密码保护,所以只有一个受感染的,你可以连接到你的电脑。
8 。软件检测杀手
有这样的功能,建成了一些特洛伊木马病毒,但也有单独的节目将杀死的zonealarm ,诺顿防病毒以及其他许多(流行anti-virus/firewall )计划,即保护你的机器。 当他们是残疾人,攻击者将有机会充分获得你的机器,以执行一些非法活动,用你的电脑来攻击他人,而且往往消失。 即使你可以看到这些节目,是没有工作或运作得当,它会带你一些时间来清除木马,安装了这款新软件,配置,并取回在网上与一些安全感。
我怎样才能得到感染
以下是如何获得感染木马:
一日的icq
第2体育馆
三实习
四物理访问
五浏览器和电子邮件软件缺陷
6日的netbios (档案)
木马程式:木马可分为:
1 。后门
2 。一般木马
3 。常任秘书长(工务木马
4 。 clicker的木马
5 。木马下载
6 。木马滴管
7 。木马委托书
8 。木马间谍
9 。木马发出通知
10 。 arcbombs
后门
今天后门是最危险的类型的木马和最普遍的现象。 这些木马都是远程管理事业,打开受感染的机器,以外部控制通过局域网或互联网。 这些功能在以同样的方式作为法律远程管理程序所使用的系统管理员。 这使它们很难detect.the唯一的区别,依法行政的手段和后门,就是后门安装,并已展开毫不知情或同意用户的受害机器。 一旦后门推出,它可以监控本地系统未经使用者的知识;往往走后门,不会可见,在日志的积极方案。
一旦远程管理utilitiy已成功地安装和运行了,直接受害者机是敞开的。
后门功能可以包括:
1 。发送/接收文件
2 。发射/删除档案
3 。执行档案
4 。展示通知
5 。删除数据
6 。重启机器
或者换句话说,后门都用病毒作者发现和下载机密资料,执行恶意代码,破坏数据,包括机在bot网络等等。 总之,后门结合的功能大多数其他类型的木马,在一个封装中。
后门有一个特别危险的子类:变种可以宣传像蠕虫。 唯一不同的是蠕虫程序在宣传不断,而这些'移动'后门散播后,才具体指挥,从'师父' 。
一般木马
这种松散的类别,包括各种木马程序,以致破坏受害者机器或威胁数据完整性,或损及运作的受害机器。
多用途木马,也包括在这一组,因为有些病毒作者创造多功能木马,而不是木马套折。
常任秘书长(工务木马
这个家庭的木马偷窃密码,通常系统的密码,从受害人的机器。 他们寻找系统文件,其中包含机密信息,如密码以及互联网接入的电话号码,然后发送这一信息,以一个电子邮件地址编码进入人体的木马。 届时检索, '师父'或用户的非法程序。
一些常任秘书长(工务木马窃取其他类型的信息,例如:
系统中的细节(内存,硬盘空间,操作系统详情)
本地的电子邮件客户端
ip地址
登记详情
密码上线游戏
木马-美国在线是常任秘书长(工务木马说,盗取密码,为美国在线(美国在线) ,他们都包含在一个小组群体,因为他们是如此之多。
clicker的木马
这个家庭的木马重定向受害者机器,向指定的网站,或其他互联网上的资源。 clicker的要么派遣必要的命令到浏览器或更换系统文件的地方标准的互联网网址存放(如'东道主'文件,在微软视窗) 。
clicker的使用:
1 。为了提高命中率计数的一个特定网站作广告用途
2 。举办一个dos攻击一个特定的服务器或网站
3 。带领受害人向被感染的资源,如机器会不会遭其它恶意攻击(病毒或木马)
木马下载
这个家庭的木马下载和安装新的恶意软件或广告软件对受害者机器。 该下载器则推出了新的恶意攻击或登记册,它让autorun根据当地作业系统的要求。 所有这一切都做了毫不知情或同意的用户。
姓名和所在的恶意软件被下载到要么编码成木马或下载指定网站或其他互联网的地点。
木马滴管
这些木马被用来安装其它恶意攻击者对受害者的机器,没有知识的用户。 滴管安装及其有效载荷要么没有展示任何通知,或展示虚假信息的一个错误是一个归档文件,或在作业系统。 该种新的恶意攻击是下跌到了指定地点就在本地磁盘上,然后启动。
滴管通常结构如下:
该滴管功能包含代码安装和执行所有的有效载荷档案。
在大多数情况下,有效载荷包含其他木马和至少一个骗局:笑话,游戏,图形等等。 该骗局,是为了分散对用户或证明,这项活动所带来的滴管是无害的,而实际上掩盖的安装危险的有效载荷。
黑客利用这类节目达到两个目标 :
隐藏或蒙面安装的其他木马或病毒
诱骗防毒解决方案,这是不能分析所有元件
木马委托书
这些木马功能作为一个代理服务器,并提供匿名访问因特网,从受害者的机器。 今天,这些木马十分流行,与垃圾邮件制造者,他们总是需要更多的机器,为大众邮购。 病毒编码常常包括木马-委托书中的木马包装和销售网络被感染的机器,以垃圾邮件发送者。
木马间谍
这一系列产品包括各种间谍程式及关键伐木工,所有这些跟踪和节省用户的活动对受害者机器,然后再提出这一信息向船长。
木马-间谍,搜集各种资料,包括:
1 。击键
2 。截图
3 。原木的积极申请
4 。其他用户行动
这些木马是最常用来窃取银行和其他金融信息,以支持网上欺诈行为。
木马发出通知
这些木马告知, '师父'在大约一个受感染的机器。 通知者证实,一台机器已经成功地感染,并派员了解ip地址,开放的端口号码,电子邮件地址等的受害机器。 这一信息可以通过电子邮件,向船长的网页,或icq的。
通知者通常包含在一个木马'包' ,并只用于通知主人相信一个木马已成功地安装在受害者机器。
arcbombs
这些木马都是旧档案加密,以破坏德压缩机时,它试图打开受感染的存档文件。 受害人机器将缓慢或碰撞时,木马炸弹爆炸,或磁盘将充满荒谬的数据。 arcbombs是特别危险的服务器,尤其是当来袭的数据是初步自动处理:在这种情况下,一个arcbomb可以坠毁服务器。
有三种类型的arcbombs :
1 。不正确头,在电影资料馆,
2 。重复数据
3 。一系列完全相同的档案资料馆。
一个不正确存档头或毁损的数据既可以令德压缩机崩溃时,开幕式和拆包被感染的档案。
一个大文件包含重复的数据,可装入一个非常小档案: 5千兆字节,将200 kb的时候,包装用rar和480 kb的zip压缩格式。
此外,特殊技术存在收拾大量的完全相同的档案在一个文档中,没有太大的影响大小的档案本身:举例来说,是有可能包10100完全相同的档案转换成30 kb的rar文件或者230 kb的zip文件。
间谍软件和广告软件:
间谍软件和广告软件形式的特洛伊木马。
间谍软件发挥有用的功能,并安装程序,可以监测使用受害者的电脑为目的的营销,以用户。
广告程序是类似间谍洁具节目中,除新增的软件安装显示广告讯息直接向用户。
-------------------------------------------------- ---------------------------------------
音乐:
苏哈斯德赛正与马恒达科技有限公司,印度浦那作为一个软件开发者。
他的贡献确实的工作,在生物识别技术的安全域和他的项目工作,对"生物智能卡的rfid linux集群"已被广泛认可的话-
1 。 第11次ieee的实时及嵌入式系统研讨会召开的,地点是在加州。
2 。 伊萨2004年世博会,有一个安全举行的记者招待会上德克萨斯州。
3 。 电子商务智能, 2005年,智能卡创新研讨会上,法国。
他执笔的许多研究论文,文章和特点,为被誉为国际和全国性会议,期刊,诉讼程序和门户网站。 他的工作在rfid已荣幸为" intech " ,这是一个全球性的自动化学报在德克萨斯州。 他能达成desai.suhas @ gmail.com或suhasde@techmahindra.com