1 / 19

系統安全

系統安全. 特 洛伊木馬 資工三丙 江偉獻 林承漢. 簡介. 1. 木馬的基本工作原理 2. 木馬是如何啟動的呢 ? 3. 木馬的運行 4. 木馬的種類 5. 自己查殺木馬的簡易方法. 木馬基本工作原理. 木馬程式其實就是一個 Client/ Server 程式 利用一些欺騙的手法讓受害者執行 Server 程式 攻擊者即可透過 Client 程式連線到受害者電腦. 木馬是如何啟動的呢 ?. 通常欺騙使用者啟動的手法: 1. 修改圖示 2. 郵件附件下載 3. 軟體下載 4. 假裝更新檔 5.Windows 系統漏洞.

domani
Download Presentation

系統安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 系統安全 特洛伊木馬 資工三丙 江偉獻 林承漢

  2. 簡介 • 1.木馬的基本工作原理 • 2.木馬是如何啟動的呢? • 3.木馬的運行 • 4.木馬的種類 • 5.自己查殺木馬的簡易方法

  3. 木馬基本工作原理 • 木馬程式其實就是一個Client/ Server程式 • 利用一些欺騙的手法讓受害者執行Server程式 • 攻擊者即可透過Client程式連線到受害者電腦

  4. 木馬是如何啟動的呢? 通常欺騙使用者啟動的手法: • 1.修改圖示 • 2.郵件附件下載 • 3.軟體下載 • 4.假裝更新檔 • 5.Windows系統漏洞

  5. 木馬是如何啟動的呢? 當木馬第一次啟動後,之後就會自動啟動,不會因為你的一次關機而失去作用。 普遍的方法是通過修改Windows系統檔和註冊表達到自動啟動:

  6. 1.在Win.ini中啟動 在Win.ini的[windows]欄位中有啟動命令"load="和"run=",在一般情況下 "="後面是空白的,如果有後跟程式,比方說是這個樣子:run=c:\windows\file.exe load=c:\windows\file.exe file.exe 很可能就是木馬

  7. 2.在System.ini中啟動System.ini位於Windows的安裝目錄下,其[boot]欄位的shell=Explorer.exe是木馬喜歡的隱藏載入之所,木馬通常的做法是將該何變為這樣:shell=Explorer.exefile.exe。注意這裏的file.exe就是木馬服務端程式!2.在System.ini中啟動System.ini位於Windows的安裝目錄下,其[boot]欄位的shell=Explorer.exe是木馬喜歡的隱藏載入之所,木馬通常的做法是將該何變為這樣:shell=Explorer.exefile.exe。注意這裏的file.exe就是木馬服務端程式!

  8. 3.利用註冊表載入運行 大部分木馬都載入註冊表: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run

  9. 打開 HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值 將“C :\WINDOWS \NOTEPAD.EXE %1”改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”,這時你雙擊一個TXT檔後,原本應用NOTEPAD打開檔的,現在卻變成啟動木馬程式了。還要說明的是不光是TXT檔,通過修改HTML,EXE,ZIP等檔的啟動命令的鍵值都可以啟動木馬,不同之處只在於“檔類型”這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以試著去找一下。

  10. 4.木馬與系統程式綁在一起 比如常用到的Explorer.exe,只要Explorer.exe一運行,木馬也就啟動了。這種木馬可以感染可執行檔案,有點像病毒了。由手工删除檔案的方法處理木馬後,一執行Explorer.exe,木馬又得以重生!這時要删除木馬就得連Explorer.exe檔案也給删除掉,再跟别人相同作業系统版本的電腦中將該文件Copy過來就可以了。

  11. 5.修改虛擬設備驅動程式(VXD)或修改動態 連結檔 (DLL)來載入木馬。 木馬會將修改後的DLL替換系統已知的DLL,並對所有的函數調用進行過濾。對於常用的調用,使用函數轉發器直接轉發給被替換的系統DLL,對於一些相應的操作。實際上。這樣的事先約定好的特種情況,DLL會執行一般只是使用DLL進行監聽,一旦發現控制端的請求就啟動自身,綁在一個進程上進行正常的木馬操作。這樣做的好處是沒有增加新的檔,不需要打開新的埠,沒有新的Process,使用常規的方法監測不到它。

  12. 木馬的運行 • 一般來說,木馬都有一個資訊回饋機制。所謂資訊回饋機制是指木馬成功安裝後會收集一些服務端的軟硬體資訊,並通過E-MAIL,IRC或ICO的方式告知控制端用戶。 傳送受害者的IP Address 開啟的port 使控制端可以連線至受害者

  13. 木馬連接建立後,控制端埠和木馬埠之間將會出現一條通道。木馬連接建立後,控制端埠和木馬埠之間將會出現一條通道。 控制端上的控制端程式可藉這條通道與服務端上的木馬程式取得聯繫,並通過木馬程式對服務端進行遠端控制。下面我們就介紹一下控制端具體能享有哪些控制許可權,這遠比你想像的要大。

  14. (1)竊取密碼: 很多木馬還提供有擊鍵記錄功能,它將會記錄服務端每次敲擊鍵盤的動作,所以一旦有木馬入侵, 密碼將很容易被竊取 • (2)檔案操作: 基本涵蓋了WINDOWS平臺上所有的檔案操作功能

  15. (3)修改註冊表:控制端可任意修改服務端註冊表,包括刪除,新建或修改主鍵,子鍵,鍵值 • (4)系統操作: 包括重啟或關閉服務端作業系統,斷開服務端網路連接,控制服務端的滑鼠,鍵盤,監視服務端桌面操作,查看服務端行程等

  16. 木馬的種類 1.破壞型 2.密碼發送型 3.遠端存取型 4.鍵盤記錄木馬 5. DoS攻擊木馬 6.代理木馬

  17. 自己查殺木馬 • 利用msconfig工具檢查System.ini 檔案 • 利用msconfig工具檢查win.ini檔案 • 利用msconfig工具檢查”啟動項目”

  18. 自己查殺木馬 • 利用regedit工具查看註冊表 • 利用PID查殺木馬的小方法 (適用於明顯的木馬程式) 1.在工作管理員發現一個很佔用資源的程式 2.選擇 檢視->欄位 把PID的值秀出來 3.使用命令提示字元 netstat –ano –p tcp 4. 尋找是否有相同PID的程式在進行網路活動

  19. 使用防毒軟體除木馬 • 1.掃毒: 特洛伊木馬移除軟體: Trojan Remover 免費惡意程式移除軟體: Spybot-S&D 免費的線上掃毒 2.清除掃毒軟體無法刪除的病毒檔 : 移除被鎖定的檔案: Unlocker

More Related