计算机木马分析.ppt

、并改名备份的文件:后缀为:、exe、ini、vxd、dll如:、、、、、、、、、……特洛伊木马主要内容:木马的概念表现症状木马常用的攻击手段如何避免木马的入侵典型木马程序的清除方法常用工具软件木马的定义:木马是一种与远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开***,与战争中的“木马”战术十分相似,因而得名。一、木马的概念:组成Server(运行于被控制计算机上)Client(安装在控制计算机上)一个木马工作首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端、服务端都要在线。二、表现症状:1、通常表现为蓝屏然死机;2、CD-ROM莫名其妙地自己弹出;3、鼠标左右键功能颠倒或者失灵或文件被删除;4、时而死机,时而又重新启动;5、在没有执行什么操作的时候,却在拼命读写硬盘;6、系统莫明其妙地对软驱进行搜索;7、没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;8、用CTRL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多等等。2、木马的特性:蔽性(通过修改注册表和ini文件;任务管理器中看不到木马进程;自定义通信端口;修改Server端土标,看起来像压缩文件或图形文件)功能特殊性(搜索口令、设置口令、扫描IP发现中招的机器、记录用户事件、颠倒屏幕、锁定鼠标、修改注册表)自动运行性(修改配置文件和注册表,系统启动时自行启动)欺骗性(使用常见的文件名和扩展名)自动恢复性(多重备份、相互恢复)能自动打开特别的端口(根据TCP/IP协议,每台电脑可以有256乘以256扇门,也即从0到65535号“门)黑客组织趋于公开化一些常用的端口:(1)1---1024之间的端口:保留端口,是专给一些对外通讯的程序用的,如FTP:21,SMTP:25,POP3:110等。只有很少木马会用保留端口作为木马端口的。(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字、图片到本地硬盘上,这些端口都是1025以上的连续端口。(3)4000端口:这是OICQ的通讯端口。(4)6667端口:这是IRC(在线聊天系统)的通讯端口。除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,就要怀疑是否感染了木马。