百度一下 藏锋者 就能快速找到本站! 每日资讯归档 下载藏锋者到桌面一键访问

当前位置:主页 > 网络安全 > 特洛伊木马的隐蔽性和自动运行特征

特洛伊木马的隐蔽性和自动运行特征

所在栏目:网络安全 时间:04-30 10:50 分享:

木马程序有许多种不同的种类,如BackOrifice(BO),BackOrifice2000,Netspy,Picture,Netbus,Asylum,冰河等。这些木马软件的功能不尽相同,但一般而言,它们都有以下基本特征:

隐蔽性

木马程序的最大特性在于其隐蔽性。它的隐蔽性主要体现在以下几个方面:

1)不产生图标

木马程序设计者在设计木马程序时,在利用VB编程时,通常会把“Form”的“Visible”属性设置为“False”,把“ShowintaskBar”属性设置为“Flase”,这样木马程序在计算机系统启动时会自动运行,但不会在“任务栏”中产生图标,以达到隐藏的目的。

2)在任务管理器里隐藏

计算机用户通常通过ctrl+alt+del来查看当前正在运行的程序。木马程序通常把自己设定为“系统服务”,使其不出现在任务管理器里。因此用户很难通过ctrl+alt+del来发现木马程序。

3)端口

一台机器有65536个端口,用户很难去控制所有这些端口。在这些端口中,1024以下的端口是常用端口,如果木马程序占用这些端口就可能会造成系统无法正常运行。木马也就会很容易暴露自己。所以大多数木马使用1024以上的端口,这就使得用户难以发现这些木马。

4)木马的命名

木马用户端程序的命名也具有很大的隐蔽性。许多用户端的木马程序的名称与计算机系统文件名相差无几。比如有的木马名为window.exe,有的dll后缀改为dl。

由于绝大多数计算机用户不是电脑专家,所以根本无法发现这些隐藏的木马文件。

5)最新隐身技术

目前,除了以上所常用的隐身技术,又出现了一种更新、更隐蔽的方法,即修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同,它基本上摆脱了原有的木马模式(监听端口),而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。实际上木马程序利用DLL进行监听,一旦发现控制端的链接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。

自动运行

木马程序是一个在计算机系统启动时就自动运行的程序,所以它通常植入在计算机的启动配置文件中,如win.ini,system.ini,winstart.bat以及启动组等文件之中。

特洛伊木马的隐蔽性和自动运行特征 免费邮件订阅: 邮件订阅

图片推荐

热点排行榜

CopyRight? 2013 www.cangfengzhe.com All rights reserved