木马病毒的原理及特征分析特洛伊木马的定义特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。 控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。他由黑客通过种种途径植入并驻留在目标计算机里。木马可以随计算机自动启动并在某一端口进行侦听，在对目标计算机的的数据、资料、动作进行识别后，就对其执行特定的操作，并接受“黑客”指令将有关数据发送到“黑客大本营”。 这只是木马的搜集信息阶段，黑客同时可以利用木马对计算机进行进一步的攻击！这时的目标计算机就是大家常听到的“肉鸡”了！ 2．特洛伊木马病毒的危害性常见的特洛伊木马，例如BackOrifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。 由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到100KB至300KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10KB到30KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。BackOrifice是一个远程访问特洛伊木马的病毒，该程序使黑客可以经TCP/IP网络进入并控制windows系统并任意访问系统任何资源，通过调用cmd.exe系统命令实现自身的功能，其破坏力极大。 SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。 SubSeven还具有其他功能：攻击者可以远程交换鼠标按键，关闭/打开CapsLock、NumLock和ScrollLock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机 在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。 该软件主要用于远程监控，自动跟踪目标机屏幕变化等。冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。 1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）； 2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息； 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制； 5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；常见的特洛伊木马特洛伊木马的定义特洛伊木马的结构特洛伊木马的基本原理特洛伊木马的基本原理特洛伊木马的基本原理特洛伊木马的基本原理特洛伊木马的传播方式特洛伊木马技术的发展木马的高级技术驻留在内存内核模式病毒检测方法病毒的隐藏技术进程隐藏通过DLL实现进程隐藏特洛伊DLL动态嵌入技术远程线程技术动态嵌入的实现文件隐藏加壳通信隐藏网络隐蔽通道使用TCP协议隐蔽通信--反向连接技术使用TCP协议隐蔽通信--反向连接技术使用UDP协议通信用ICMP来通信利用ICMP协议建立秘密通道基于嗅探原理的通信木马的通信特征木马的通信特征图例攻击特征outbreak特征控制命令特征^_^谢谢！此课件下载可自行编辑修改，供参考！ 感谢您的支持，我们努力做得更好！