目录
- 特洛伊木马概念与分类
- 特洛伊木马运行机制
- 特洛伊木马植入技术
- 特洛伊木马隐藏技术
- 特洛伊木马存活技术
- 特洛伊木马防范技术
- Rootkit是什么?
特洛伊木马概念与分类
病毒不具备传播能力,但是蠕虫具备
特洛伊木马运行机制
木马攻击过程主要分为五个部分:
·① 寻找攻击目标。攻击者通过互联网或其他方式搜索潜在的攻击目标。
② 收集目标系统的信息。获取目标系统的信息主要包括操作系统类型、网络结构、应用软件、用户习惯等。
③ 将木马植入目标系统。攻击者根据所搜集到的信息,分析目标系统的脆弱性,制定植入木马策略木马植入的途径有很多,如通过网页点击、执行电子邮件附件等
④ 木马隐藏。为实现攻击意图,木马设法隐蔽其行为,包括目标系统本地活动隐藏和远程通信隐藏
⑤ 攻击意图实现,即激活木马,实施攻击。木马植入系统后,待触发条件满足后,就进行攻击破坏活动,如窃取口令、远程访问、删除文件等。
特洛伊木马植入技术
木马植入是木马攻击目标系统最关键的一步,被动植入,它指的是通过人工干预的方式,才能将木马安装到目标程序当中
主动植入是无需受害者的操作
特洛伊木马隐藏技术
为了逃避我们安全的检测,需要甚法隐藏木马的一些行为或者踪迹,常见的隐藏方法有:文件隐藏、进程隐藏、通信连接隐藏
通信的隐藏方法:①通信内容加密技术 ②通信端口复用技术 ③网络隐蔽通道
特洛伊木马存活技术
特洛伊木马的存活能力取決于网络木马逃避安全监测的能力
特洛伊木马防范技术
防范木马监测与预警、通信阻断、系统加固及修复、应急管理等技术综合使用
早期的木马它的通信端口是固定的,现在的木马使用的是动态端口,把通信注入到常见的80端口
一些木马会经常去修改我们的文件,像system32目录下面的一些系统文件
执行一条指令,会加一,正常系统,比如说一排50条指令就执行完了,有安装木马的系统,它执行同样的指令,可能需要200条指令,多出来的50条指令就是隐藏的木马
Rootkit是什么?
Rootkit源于UNIX系统,Root指拥有所有特权的管理员,Kit是管理工具,由此可以认为Rootkit就是而已获取管理员特权的工具,可以利用其越权。
Rootkit是一种通过修改操作系统内核或更改指令执行路径,来隐藏系统对象(包括文件、进程、驱动、注册表项、开放端口和网络连接等),以逃避或者规避标准系统机制的程序。