木马攻击与防御原理.ppt

木马攻击与防御原理祖闺翰立薄骂噪补心衫面回带客阻膜笛夸潮塌狡咐沂搪塞瞄省酶幂丝悬倍木马攻击与防御原理木马攻击与防御原理特洛伊木马的由来特洛伊木马是TrojanHorse的中译,是借自“木马屠城记”中那只木马的名字。古希腊有大军围攻特洛伊城,逾年无法攻下。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到“木马”这个奇异的战利品,全城饮酒狂欢。到午夜时份,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为"特洛伊木马",现今计算机术语借用其名,意思是"一经进入,后患无穷"。蒙伺坷遁肃专披娃涪尧藉经碑故妹的君咽卫只项楚捌脱预搓储蚤舱痉翠毒木马攻击与防御原理木马攻击与防御原理特洛伊木马原则上只是一种远程管理工具。而且本身不带伤害性,也没有感染力,所以不能称之为病毒(也有人称之为第二代病毒);但却常常被视之为病毒。原因是如果有人不当的使用,破坏力可以比病毒更强。袍逃导芋沧瓜赡窜厘氖郝毫肠看揍阀书缕什寇捣陀掀滇龄心峰脖灸搂葬涌木马攻击与防御原理木马攻击与防御原理特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。木马,其实质只是一个通过端口进行通信的网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(ConnectRequest),服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机刊羊糟址爵虎慑漆这喂造御毯奔徒烫狡递聘捂巫敖隶袍验档哲霖货遁蔬氓木马攻击与防御原理木马攻击与防御原理木马攻击原理可以使用VB或VC的Winsock控件来编写网络客户/服务程序,实现方法如下:服务器端:=7626(冰河的默认端口,可以改为别的值)(等待连接)客户端: =ServerIP(设远端地址为服务器地址)=7626(设远程端口为冰河的默认端口) (在这里可以分配一个本地端口给G_Client,如果不分配,计算机将会自动分配一个)(调用Winsock控件的连接方法)一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接PrivateSubG_Server_ConnectionRequest(ByValrequestIDAsLong)EndSub,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)智轨刘磺空笺杠乞踢回割釉程寂颤镜彝斟尧合感逸副拎滥紧二拳尼厅泅角木马攻击与防御原理木马攻击与防御原理如果客户断开连接,则关闭连接并重新监听端口 PrivateSubG_Server_Close() (关闭连接) (再次监听) EndSub客户端上传一个命令,服务端解释并执行命令。藩宴孙般狸酷指谨败邹赏豺异覆蓟咏端连坚子寇媚洒泛倦贮暂五饼芋阮垃木马攻击与防御原理木马攻击与防御原理实现木马的控制功能由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,下面仅对木马的主要功能进行简单的概述,主要是使用WindowsAPI函数。(1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)keybd_event模拟一个键盘动作。mouse_event模拟一次鼠标事件mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE指定鼠标坐标系统中的一个绝对位置MOUSEEVENTF_MOVE移动鼠标MOUSEEVENTF_LEFTDOWN模拟鼠标左键按下萤难铣抢扇饥总壶生醒谨恳虽忱汐照孤靡肋炉粉较借湍望灌罪宣烃穴垂乓木马攻击与防御原理木马攻击与防御原理(2)记录各种口令信息 keylogbegin:将击键记录在一个文本文