电脑专家,请回答!!
它是通过键盘记录的。
但是,普通病毒会破坏文件,感染程序。
你说的应该是一匹特洛伊马吧~
特洛伊马的原则:
马侵的工作原理
在介绍木马的工作原理之前,我们要提前说明一些木马的基础知识,因为下面有很多地方会提到这些内容。一个完整的特洛伊木马系统由硬件部分、软件部分和特定连接部分组成...
木马入侵的工作原理
木马入侵的工作原理
在介绍木马的工作原理之前,我们要提前说明一些木马的基础知识,因为下面有很多地方会提到这些内容。一个完整的特洛伊木马系统由硬件部分、软件部分和特定连接部分组成。
(1)硬件部分:建立特洛伊马连接所必需的硬件实体。控制终端:远程控制服务器的一方。服务器:被控制终端远程控制的一方。互联网:从控制终端到服务终端进行远程控制和数据传输的网络载体。
(2)软件部分:实现远程控制所必需的软件程序。控制终端程序:控制终端用来远程控制服务器的程序。特洛伊木马程序:潜入服务器并获取其操作权限的程序。特洛伊配置程序:设置端口号、触发条件、特洛伊名称等的程序。让它在服务器中隐藏得更好。
(3)具体连接部分:通过互联网在服务器和控制终端之间建立特洛伊马通道的必要元素。控制端IP和服务端IP:控制端和服务端的网络地址,也是特洛伊马进行数据传输的目的地。控制端口,特洛伊木马端口:控制端和服务端的数据入口,通过它数据可以直接到达控制端程序或木马程序。
利用特洛伊作为黑客工具进行网络入侵大致可以分为六个步骤。让我们根据这六个步骤来阐述特洛伊马的进攻原理。
(一)配置特洛伊马
一般来说,一个设计良好的特洛伊有一个特洛伊配置程序。从具体的配置内容来看,主要是实现以下两个功能:
(1)特洛伊伪装:为了在服务器上尽可能隐藏特洛伊,特洛伊配置器会使用各种伪装方法,比如修改图标、绑定文件、自定义端口、自毁等。
(2)信息反馈:特洛伊配置程序会设置信息反馈的方式或地址,如设置邮箱、IRC号、ICO号等。
(2)传播木马
1,传播方式:木马的传播方式主要有两种:一种是通过电子邮件,控制终端以附件的形式发送特洛伊程序,收件人只要打开附件系统就会感染木马;另一个是软件下载。一些不正规网站打着提供软件下载的名义,将木马绑定到软件安装程序中。下载后,这些程序一运行就会自动安装木马。
2.伪装模式:鉴于木马的危害性,很多人还是有一定的木马知识的,对木马的传播起到了一定的抑制作用,这是木马的设计者不愿意看到的。因此,他们开发了各种功能来伪装木马,以降低用户的警惕性,欺骗用户。主要有以下六个方面:
(1)修改图标:当你在电子邮件的附件中看到这个图标时,你会认为它是一个文本文件吗?但是我要告诉你,它也可能是一个木马程序。现在有木马可以把特洛伊木马服务器程序的图标变成HTML、TXT、ZIP等各种文件的图标这一点相当混乱,但目前提供该功能的木马并不多见,这种伪装也并非无懈可击,无需整天提心吊胆,疑神疑鬼。
(2)绑定文件:这种伪装意味着特洛伊木马被绑定到一个安装程序上。当安装程序运行时,特洛伊木马会在用户不知情的情况下偷偷进入系统。至于捆绑的文件,一般都是可执行文件(即EXE、COM之类的文件)。
(3)错误显示:稍微有点特洛伊知识的人都知道,如果打开一个文件没有任何反应,那很可能是特洛伊程序,特洛伊的设计者也意识到了这个缺陷,所以特洛伊提供了一个叫错误显示的功能。当服务器用户打开木马程序时,会弹出一个错误提示框(当然这是假的)。错误内容可以自由定义,大部分都会定制成“文件损坏,无法打开!”这样的信息,当服务器用户相信它的时候,特洛伊马已经悄悄地入侵了系统。
(4)定制端口:很多老特洛伊的端口都是固定的,这给判断是否感染木马带来了方便。只要查看具体端口就知道感染了哪些木马,所以现在很多新木马都增加了自定义端口的功能,控制端用户可以选择1024-65535之间的任意端口作为特洛伊端口(一般不选择1024以下的端口)
(5)自毁:这个功能是为了弥补特洛伊马的一个缺陷。我们知道,当服务器用户打开一个包含特洛伊木马的文件时,特洛伊木马会将自身复制到WINDOWS的系统文件夹中(在C:WINDOWS或C:WINDOWSSYSTEM目录下)。一般来说,系统文件夹中的特洛伊马文件原件和特洛伊马文件的大小是一样的(捆绑文件的特洛伊马除外),所以被特洛伊马打过的朋友只需要在最近收到的信件和下载的软件中找到特洛伊马原件,然后根据特洛伊马原件的大小去系统文件夹中找到大小相同的文件,判断哪一个是特洛伊马。特洛伊的自毁功能意味着安装特洛伊后,原有的特洛伊文件会被自动销毁,因此服务器用户很难找到特洛伊的来源,不借助工具杀死特洛伊也很难删除特洛伊。
(6)特洛伊重命名:安装在系统文件夹中的木马文件名一般都是固定的,根据一些查杀木马的文章在系统文件夹中寻找具体的文件即可。你可以知道你中了什么木马。所以现在很多木马允许控制端的用户自由定制安装的特洛伊文件名,这就很难确定被感染的特洛伊的类型。
(3)运行特洛伊马:服务器用户运行特洛伊马或绑定特洛伊马的程序后,会自动安装特洛伊马。先把自己复制到WINDOWS的system文件夹下(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表、启动组、非启动组设置特洛伊的触发条件,这样就完成了特洛伊的安装。安装后,您可以启动特洛伊马。
(1)特洛伊马被触发条件激活。触发条件是指启动特洛伊马的条件,一般出现在以下八个地方:
首先是注册表:打开HKEY _ local _ MachinesoftWaremicrosoft Windows current version下的Run和RunServices五个键值,寻找可能用来启动特洛伊的键值。
二、win.ini:c:Windows目录下有一个配置文件win . ini,以文本方式打开。在[windows]字段中,有启动命令load=和run=,一般为空。如果有一个启动程序,它可能是一匹特洛伊马。
三、system.ini: c:有一个配置文件系统。ini文件,该文件以文本形式打开。在[386Enh]、[mic]和[drivers32]中都有命令行,在这里可以找到特洛伊马的启动命令。
第四,Autoexec.bat和config . sys:c盘根目录下的这两个文件也可以启动木马。但这种加载方式一般需要控制端的用户与服务器建立连接,然后将同名文件上传到服务器,以覆盖两个文件。
第五*。INI:应用程序的启动配置文件。控制终端利用这些文件可以启动程序的特性,将与特洛伊启动命令同名的文件上传到服务器,以覆盖同名文件,从而启动特洛伊。
六、注册表:打开HKEY _类_根文件类型shellopencommand的主键,检查其键值。比如国内的特洛伊“冰川”就是修改HKEY _ CLASSES _ rootxtxxfileshelopencommand下的键值,把“C: Windows记事本。EXE% 1 "转换为" C:Windows systemysexplr。Exe% 1。这时,你双击一个TXT文件后,原来是用记事本打开文件的。还要注意的是,不仅是TXT文件,通过修改HTML、EXE、ZIP等文件的启动命令键值,也可以启动木马。唯一的区别在于“文件类型”主键的不同。TXT是txtfile,ZIP是WINZIP,可以试着找一下。
第七,绑定文件:要实现这个触发条件,控制端和服务器首先要通过一个特洛伊马建立连接,然后控制端的用户用工具软件将特洛伊马文件和一个应用程序绑定,然后上传到服务器覆盖原文件,这样即使删除了特洛伊马,只要运行绑定特洛伊马的应用程序,就会重新安装特洛伊马。
第八,启动菜单:在“开始-程序-开始”选项下,也可能有特洛伊马的触发条件。
(2)特洛伊马的奔跑过程。特洛伊激活后,它进入内存并打开预定义的特洛伊端口,准备与控制终端建立连接。此时,服务器用户可以在MS-DOS模式下键入NETSTAT -AN来检查端口状态。一般来说,个人电脑脱机时不会打开端口。如果有端口打开,要注意是否感染了木马。
在上网的过程中,你必须打开一些端口来下载软件、发送信件、在线聊天等。以下是一些常用的端口:
①1-1024之间的端口:这些端口称为保留端口,专门用于一些外部通信程序,如FTP使用21,SMTP使用25,POP3使用110等。只有少数特洛伊木马会将保留端口用作特洛伊端口。
②1025以上的连续端口:上网时浏览器会打开多个连续端口将文字和图片下载到本地硬盘,这些端口都是1025以上的连续端口。
③端口4000:这是OICQ的通讯端口。
④端口6667:这是IRC的通讯端口。除了上述端口,基本可以排除。如果发现其他端口打开,尤其是数值较大的端口,就要怀疑是否感染了木马。当然,如果木马有自定义端口的功能,任何端口都可能是特洛伊端口。
(D)信息泄露:一般来说,设计良好的特洛伊马具有信息反馈机制。所谓信息反馈机制,是指特洛伊马安装成功后,会收集服务器的一些软硬件信息,通过E-MAIL、IRC或ICO通知控制端用户。
(5)建立连接:木马连接的建立首先要满足两个条件:一是服务器上已经安装了木马程序;第二,控制终端和服务器必须在线。在此基础上,控制终端可以通过特洛伊端口与服务器建立连接。
假设A机是控制终端,B机是服务器,A机需要知道B机的特洛伊端口和IP地址,才能与B机建立连接,由于特洛伊端口是A机预设的,是已知项,所以最重要的是如何获取B机的IP地址..获取B机IP地址的方式主要有两种:信息反馈和IP扫描。让我们来关注一下IP扫描。因为B机安装了木马程序,它的特洛伊端口7626是开放的,所以现在A机只需要扫描IP地址段中端口7626是开放的主机。假设机器B的IP地址是202.102.47.56,当机器A扫描这个IP,发现它的端口7626是开放的,那么这个IP就会被添加到列表中。此时,A机可以通过特洛伊木马控制终端程序向B机发送连接信号,B机中的木马程序收到信号后会立即响应。当机器A收到响应信号时,它会打开一个端口1031,与机器B的特洛伊马端口7626建立连接,然后一个特洛伊马连接就真正建立起来了。值得一提的是,扫描整个IP地址段显然是费时费力的。一般来说,控制终端首先通过信息反馈获得服务器的IP地址。因为拨号上网的IP是动态的,也就是用户每次上网的IP是不一样的,但是这个IP是在一定范围内变化的。B机的IP是202.102.47.56。那么电脑B的IP范围是202.102.000 . 000-202.102.255 . 255,所以控制终端每次搜索这个IP地址段就能找到电脑B。
(6)远程控制:特洛伊连接建立后,控制端口和特洛伊端口之间会有一个通道。控制终端上的控制终端程序可以通过这个通道与服务器上的木马程序取得联系,通过木马程序远程控制服务器。下面介绍一下控制终端可以享有的具体控制权,远远大于你的想象。
(1)窃取密码:所有明文,*或缓存在缓存中的密码都可以被木马检测到。另外,很多木马还提供了按键记录功能,会记录服务器的每一次按键,所以一旦有特洛伊入侵,密码就会被轻易窃取。
(2)文件操作:控制终端可以通过远程控制对服务器上的文件进行删除、新建、修改、上传、下载、运行、更改属性等操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可以随意修改服务器注册表,包括删除、新建或修改主键、子项和键值。通过该功能,控制终端可以禁止使用服务器上的软驱和光驱,锁定服务器上的注册表,并将服务器上特洛伊马的触发条件设置得更加隐蔽,以进行一系列高级操作。
(4)系统操作:该内容包括重启或关闭服务器的操作系统、断开服务器的网络连接、控制服务器的鼠标和键盘、监控服务器的桌面操作、查看服务器进程等。控制终端甚至可以随时向服务器发送信息。想象一下,服务器桌面上突然弹出一段文字是多么的恐怖。
电汇
第四,黑客是怎么骗你处决特洛伊马的?
现在大部分上网的朋友都很警惕,想骗他们处决特洛伊马是很难的。因为特洛伊马出现了这么久,人们的耳朵都有老茧了,可以说是谈“马”了。即使不是计算机专家,看到exe文件也不会轻易“招惹”它,所以中标的几率会相对降低。对此,黑客们不甘寂寞,挑战和刺激是他们在黑客世界里所渴望的。
1,伪装成图像文件
首先,黑客最常使用的方法是诱骗他人执行木马,即把木马变成图片文件,比如照片等。应该说这是最不合逻辑的方法,但却是最受欢迎的方法,有效又实用。
只要入侵者装扮成女生,把服务器程序的文件名(比如sam.exe)改成“类似”的图像文件的名字,然后假装给受害者发照片,受害者就会立即执行。为什么这是一个不合逻辑的方法?图像文件的扩展名不能是。exe,而特洛伊的扩展名基本上必须是。exe。明眼人一看就知道有问题,一般人看到是exe文件就不会接收。能做些什么?其实方法很简单。他只需要把文件名,比如“sam.exe”改成“sam.jpg”,那么在传输的时候,对方只会看到sam.jpg。到了对方电脑,很多人不会注意到扩展问题,因为windows默认不显示扩展,而恰好你的电脑设置了隐藏扩展,那么你只会看到sam.jpg,被骗是必然的。
还有一个问题就是特洛伊本身没有图标,但是在电脑里会显示一个windows预置的图标,别人看到就知道了!但是入侵者还是有办法把文件换成“马甲”,就是修改文件图标。修改文件图标,如下所示:
1)比如下载一个叫IconForge的软件安装。
2)执行程序,然后按文件>打开
3)在文件类型中选择exe类。
4)在File > Open中加载预先制作好的图标(可以用绘图软件或者专门制作图标的软件制作,也可以在网上找)。
5)然后按文件>保存即可。
这样,最后的结果是一个看起来像jpg或其他图片格式的特洛伊马,许多人会无意中执行它。
2、合并程序作弊
通常,有经验的用户不会混淆图像文件和可执行文件,所以许多入侵者简单地将特洛伊马称为应用程序:反正他们都使用exe作为扩展名。然后他们用诡计欺骗受害者,比如新游戏,万能的黑客程序等。,以便让受害者立即执行。而木马程序执行后一般没有任何反应,所以在沉默中,很多受害者认为文件在传输过程中被破坏,不予理会。
如果有比较细心的用户,以上方法可能会让他们产生不好的怀疑,于是衍生出一些法术程序。一个马赛克程序可以把两个或两个以上的可执行文件(exe文件)合并成一个文件,然后只需要执行这个马赛克文件,两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如wrap.exe)与一个木马程序组合在一起,wrap.exe会在组合文件执行时正常执行,受害者也会在不知情的情况下偷偷执行木马程序。Joiner是其中最常用的软件。因为它的欺骗性更强,使得安装特洛伊马的一举一动都不着痕迹,是非常危险的黑客工具。让我们看看它是如何工作的:
在过去,许多可以结合两个程序的软件被黑客使用,但大多数都已被各大杀毒软件归类为病毒,它们有两个突出的问题,即:
(1)组合文件太大。
(2)只能合并两个执行文件。
正因为如此,黑客们抛弃了它,转向了一个更简单、更强大的软件,那就是Joiner。这款软件不仅缩小了组合软件的大小,还可以在用户执行后立即收到一条icq消息,告诉你对方已经招到了对方的IP。更重要的是,这款软件可以将图像文件、音频文件和可执行文件结合在一起,使用起来相当方便。
首先,解压缩Joiner,然后执行Joiner。在程序的屏幕中,有“第一个可执行文件:”和“第二个文件:”两项,在这两行的右边分别有一个文件夹图标,用来选择要合并的文件。
下面还有一个用于启用icq通知空间。如果选中,当另一方执行文件时,它将收到来自另一方的ICQ Web消息,其中将包含另一方的ip。当然,接收信息的ICQ号要填在下面的ICQ号里。但是打开这个功能,合并后的文件会比较大。
最后,按“Join”,在Joiner的文件夹里,会出现一个Result.exe的文件。文件名是可以改的,所以这个“混血儿”的隐蔽性不言而喻。
3.用Z文件伪装加密程序。
Z-file伪装加密软件是台湾省华顺科技的产品。文件压缩加密后,以bmp图像文件格式显示(扩展名为bmp,执行后为普通图像)。设计这个软件的初衷只是为了加密数据,这样即使电脑被入侵或者非法使用,也不容易泄露你的机密数据。但如果到了黑客手里,就可能成为入侵他人的帮凶。用户将把特洛伊马程序和小游戏结合起来,然后用Z-file加密,将这种“混合物”发送给受害者。因为它看起来像一个图像文件,受害者往往不这样认为。打开之后只是一个大概的图片。最可怕的是,连杀毒软件都检测不到特洛伊马甚至病毒!当受害者的警惕性解除后,让他解压,用WinZip执行“伪装”(比如有个小礼物送给他),这样就可以成功安装特洛伊了。如果入侵者有机会使用受害者的电脑(比如对电脑进行现场维护),只要事先发出了“混血儿”,就可以直接用Winzip解压安装。因为上门维修是徒手使用他的电脑,受害人绝对不会怀疑他的电脑里被植入了什么东西,时间也不长,30秒就够了。即使他在受害者面前“光明正大”地操作,也未必能看到这些黑手在做什么。特别是由于“混血儿”可以躲过杀毒程序的检测,如果其中含有一触即发的病毒,一旦被压缩,后果将不堪设想。
4、伪装成应用程序扩展组件
这种特洛伊是最难识别的。黑客通常会将木马写入任何类型的文件(如dll、ocx等。)然后把它们挂在一个很有名的软件里,比如OICQ。因为OICQ本身有一定的知名度,没有人会怀疑它的安全性,更不用说检查它是否有太多的文件。当受害者打开OICQ时,这个有问题的文件将同时被执行。这种方式比使用组合程序有一个更大的优势,就是不需要修改入侵者的登录文件,以后特洛伊每次打开OICQ都会同步运行,相比一般的特洛伊可以说是“踏雪无痕”。更有甚者,这些入侵者大多是特洛伊马作家。只要稍加改动,就会衍生出一匹新的特洛伊马,所以即使它是一个病毒软件也没有办法杀死它。