0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

木马程序的发展、分类和功能

如意 来源:计算机与网络安全 作者:计算机与网络安全 2021-01-03 16:40 次阅读

木马的发展与分类

木马是一种后门程序,黑客可以利用其盗取用户的隐私信息,甚至远程控制用户的计算机。木马全称特洛伊木马,其名称源于古希腊神话中的《特洛伊木马记》。在公元前12世纪,希腊向特洛伊城宣战,交战了10年也没有取得胜利。最后,希腊军队佯装撤退,并在特洛伊城外留下很多巨大的木马。这些木马是空心的,里面藏了希腊最好的战士。在希腊人佯装撤走后,特洛伊人把这些木马作为战利品拉进了城。当晚,希腊战士从木马中出来并与城外的希腊军队里应外合攻下特洛伊城,这就是特洛伊木马名称的由来。因此,特洛伊木马一般会伪装成合法程序植入系统,进而对系统安全构成威胁。完整的木马程序一般由两部分组成,一是服务器被控制端程序,二是客户端控制端程序。黑客主要利用植入目标主机的客户端控制端程序来控制目标主机。

(1)木马技术的发展

从木马技术的发展来看,其基本上可分为4代。

第1代木马功能单一,只是实现简单的密码窃取与发送等,在隐藏和通信方面均无特别之处。

第2代木马在隐藏、自启动和操纵服务器等方面有了很大进步。国外具有代表性的第2代木马有BOZ000和Sub7。冰河可以说是国内木马的典型代表之一,它可以对注册表进行操作以实现自动运行,并能通过将程序设置为系统进程来进行伪装隐藏。

第3代木马在数据传递技术上有了根本性的进步,出现了ICMP等特殊报文类型传递数据的木马,增加了查杀的难度。这一代木马在进程隐藏方面也做了很大的改进,并采用了内核插入式的嵌入方式,利用远程插入线程技术嵌入DLL线程,实现木马程序的隐藏,达到了良好的隐藏效果。

第4代木马实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必像以前的木马那样需要欺骗用户主动激活。具有代表性的等4代木马有最近新出现的磁碟机和机器狗木马等。

(2)木马程序的分类

根据木马程序对计算机的具体动作方式,可以把现在的木马程序分为以下5类。

1)远程控制型

远程控制型木马是现今最广泛的特洛伊木马,这种木马具有远程监控的功能,使用简单,只要被控制主机联入网络并与控制端客户程序建立网络连接,就能使控制者任意访问被控制的计算机。这种木马在控制端的控制下可以在被控主机上做任何事情,如键盘记录、文件上传/下载、屏幕截取、远程执行等。

2)密码发送型

密码发送型木马的目的是找到所有的隐藏密码,并且在用户不知情的情况下把它们发送到指定的邮箱。在大多数情况下,这类木马程序不会在每次Windows系统重启时都自动加载,它们大多数使用25端口发送电子邮件。

3)键盘记录型

键盘记录型木马非常简单,它们只做一件事情,就是记录用户的键盘敲击,并且在LOG文件里进行完整的记录。这种木马程序会随着Windows系统的启动而自动加载,并能感知受害主机在线,且记录每一个用户事件,然后通过邮件或其他方式将用户事件发送给控制者。

4)毁坏型

大部分木马程序只是窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动删除受控主机上所有的.ini或.exe文件,甚至远程格式化受控主机硬盘,使受控主机上的所有信息都受到破坏。总而言之,该类木马的目标只有一个,就是尽可能地毁坏受感染系统,使其瘫痪。

5)FTP型

FTP型木马会打开被控主机系统的21号端口(FTP服务所使用的默认端口),使每个人都可以用一个FTP客户端程序无需密码就能连接到被控主机系统,进而进行最高权限的文件上传和下载,窃取受害系统中的机密文件。

根据木马的网络连接方向,可以将木马分为以下两类。

正向连接型:发起连接的方向为控制端到被控制端,这种技术被早期的木马广泛采用,其缺点是不能透过防火墙发起连接。

反向连接型:发起连接的方向为被控制端到控制端,其出现主要是为了解决从内向外不能发起连接这一问题。其已经被较新的木马广泛采用。

根据木马使用的架构,木马可分为4类。

C/S架构:这种架构是普通的服务器、客户端的传统架构,一般将客户端作为控制端,服务器端作为被控制端。在编程实现的时候,如果采用反向连接的技术,那么客户端(也就是控制端)就要采用socket编程的服务器端的方法,而服务端(也就是被控制端)就要采用Socket编程的客户端的方法。

B/S架构:这种架构是普通的网页木马所采用的方式。通常在B/S架构下,服务器端被上传了网页木马,控制端可以使用浏览器来访问相应的网页,进而达到对服务器端进行控制的目的。

C/P/S架构:这里的P意为Proxy,也就是在这种架构中使用了代理。当然,为了实现正常的通信,代理也要由木马作者编程实现,进而才能实现一个转换通信。这种架构的出现,主要是为了适应一个内部网络对另外一个内部网络的控制。但是,这种架构的木马目前还没有被发现。

B/S/B架构:这种架构的出现,也是为了适应一个内部网络对另外一个内部网络的控制。当被控制端与控制端都打开浏览器浏览这个服务器上的网页时,一端就变成了控制端,而另一端就变成了被控制端。这种架构的木马已经在国外出现。

根据木马存在的形态的不同,可将木马分为以下几种:

传统EXE程序文件木马:这是最常见、最普通的木马,即在目标计算机中以.exe文件运行的木马。

传统DLL/VXD木马:此类木马自身无法运行,它们须利用系统启动或其他程序来运行,或使用Rundi132.exe来运行。

替换关联式DLL木马:这种木马本质上仍然是DLL木马,但它却会替换某个系统的DLL文件并将它改名。

嵌入式DLL木马:这种木马利用远程缓冲区溢出的入侵方式,从远程将木马代码写入目前正在运行的某个程序的内存中,然后利用更改意外处理的方式来运行木马代码。这种技术在操作上难度较高。

网页木马:即利用脚本等设计的木马。这种木马会利用IE等的漏洞嵌入目标主机,传播范围广。

溢出型木马:即将缓冲区溢出攻击和木马相结合的木马,其实现方式有很多特点和优势,属于一种较新的木马类型。

此外,根据隐藏方式,木马可以分为以下几类:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏、内核模块隐藏和协同隐藏等。隐藏技术是木马的关键技术之一,直接决定木马的生存能力。木马与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。

(3)木马的功能

木马的功能可以概括为以下5种。

1)管理远程文件

对被控主机的系统资源进行管理,如复制文件、删除文件、查看文件、以及上传/下载文件等。

2)打开未授权的服务

为远程计算机安装常用的网络服务,令它为黑客或其他非法用户服务。例如,被木马设定为FTP文件服务器后的计算机,可以提供FTP文件传输服务、为客户端打开文件共享服务,这样,黑客就可以轻松获取用户硬盘上的信息。

3)监视远程屏幕

实时截取屏幕图像,可以将截取到的图像另存为图片文件;实时监视远程用户目前正在进行的操作。

4)控制远程计算机

通过命令或远程监视窗口直接控制远程计算机。例如,控制远程计算机执行程序、打开文件或向其他计算机发动攻击等。

5)窃取数据

以窃取数据为目的,本身不破坏计算机的文件和数据,不妨碍系统的正常工作。它以系统使用者很难察觉的方式向外传送数据,典型代表为键盘和鼠标操作记录型木马。
责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    8013

    浏览量

    82209
  • 网络安全
    +关注

    关注

    9

    文章

    2916

    浏览量

    58613
  • 木马
    +关注

    关注

    0

    文章

    47

    浏览量

    13262
  • 网络攻击
    +关注

    关注

    0

    文章

    325

    浏览量

    23257
收藏 人收藏

    评论

    相关推荐

    QQ密码输入框被盗号木马屏蔽后表现如何?

    计算机后,通过以下步骤盗取QQ密码:第一步:伪造密码输入框木马程序在QQ密码输入框上粘贴了一个伪造的密码输入框,当用户在伪造的密码输入框中输入密码时,木马程序立即将用户输入的内容转移到指定的地址,从而
    发表于 02-05 11:26

    特洛伊木马隐蔽性研究

    、添加、删除文件,修改注册表,控制鼠标和键盘等,而这些权力并不是服务端赋予的,是通过木马程序窃取的。隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段来隐藏木马,这样服务端即使发
    发表于 10-10 14:29

    转帖:教你认识常见木马的所有隐藏启动方式

    Notepad.exe文件,如果一旦中了文件关联类的木马,这样打开一个txt文件,原本应该用Notepad打开该文件的,现在却变成了启动木马程序了。  解决文件的关联问题有两种方法:  ①修改注册表
    发表于 07-31 11:58

    注意了!苹果iOS越狱刷机被植木马 近10万用户中招

    近期,广州网警深入开展“安网12号”专项行动,在腾讯公司微信安全团队的支持下,打掉了一个以非法植入木马程序并推送广告牟利的团伙。此案是全国破获的首例利用木马程序非法推送广告并收集用户个人信息的案件。
    发表于 12-24 09:35 3209次阅读

    检测Rootkit木马程序方法

    随着计算机应用技术的不断发展,信息网络安全正逐渐引起人们的重视。现今,各种不同的后台程序被黑客开发出来,它们正严重威胁着网络安全。2013 年,纽约时代报刊称世界近一半的互联网用户都遭受过网络
    发表于 10-30 16:58 2次下载
    检测Rootkit<b class='flag-5'>木马程序</b>方法

    如何使用信息隐藏技术进行木马植入的方法概述

    针对互联网木马存在易被溯源追踪的问题,提出一种基于多媒体文件的新型木马方案,利用信息隐藏算法将木马程序作为秘密数据嵌入到载体图像中。渗透成功后,对盗取的数据在本地进行加密之后同样隐写到载体图像并上
    发表于 01-16 11:49 16次下载
    如何使用信息隐藏技术进行<b class='flag-5'>木马</b>植入的方法概述

    330万台老年机竟被植入木马程序获取信息

    11月27日消息,据媒体报道,330万台老年机被植入木马病毒,数以万计的公民个人信息被非法获取。
    的头像 发表于 11-27 12:03 2183次阅读

    330万台老年机被植入木马病毒,数以万计的公民个人信息被非法获取

    生的这款老年机被植入了木马程序。 经过调查发现,老年机被植入木马程序并非个例,案情指向了深圳的一家科技公司,吴某便是这家公司的负责人。 据吴某交代,公司开发了装有木马程序的移植包,与多家老年机主板生产商合作,将
    的头像 发表于 11-27 15:34 2803次阅读

    魅族回应 “暗中给手机植入木马”报道

    新闻报道,法院判决书显示,金立参股的一子公司曾与其他公司合作,将木马程序植入到约大量的金立手机中,拉活超 28 亿次。报道中还提到了魅族,称据法院查明,这家公司还和珠海市魅族科技有限公司(其旗下拥有魅族手机)合作开展过拉活业
    的头像 发表于 12-06 09:24 1922次阅读

    充电宝木马是真的吗?三类共享充电宝可能被植入木马

    官方公布的。公安部网安局官方微信号昨天发布了一则重要提醒:你常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取你的个人信息。 警方在文中表示,人流密集场所有的充电宝或免费试用,或免费赠送,但里面却
    的头像 发表于 12-07 09:24 3017次阅读

    公安部网安局官方发布:三类共享充电宝可能被植入木马程序

    12月6日消息,公安部网安局官方微信号今日发布了一则重要提醒:你常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取你的个人信息。 哪些充电宝可能存在安全隐患呢?一是商场里的可租赁移动
    的头像 发表于 12-07 14:20 1895次阅读

    金立子公司曾将木马程序植入到约2652万台金立手机中

    。 金立老板一边赌博,子公司一边给用户植入木马"拉活"赚钱? 裁判文书网11月30日公布的一则文书显示,金立控股子公司深圳市致璞科技有限公司(下称"致璞科技"),通过和其他公司合作,曾将木马程序植入到约2652万台金立手机中,以"拉
    的头像 发表于 12-07 17:04 2157次阅读

    金立手机靠“木马”牟利2785万?

    和其他公司合作,将木马程序植入到约2652万台金立手机里,短短十个月时间,非法收入2785万元。 一时间,这个隐退许久的名字再次出现在消费者面前,隐私安全也再度被网友热议。 靠着“木马”,非法敛财 在判决书里,知名“珠海小厂
    的头像 发表于 12-08 10:20 1716次阅读

    木马程序如何植入共享充电宝窃取信息

    用户对共享充电宝的涨价吐槽还未过去,近日公安部的一则共享充电宝可能被植入木马程序的提醒,再次让共享充电宝企业站在风尖浪口。
    发表于 12-10 10:29 1566次阅读

    一文详谈木马攻击原理

    木马程序是一种客户机服务器程序,典型结构为客户端/服务器(Client/Server,C/S)模式,服务器端(被攻击的主机)程序在运行时,黑客可以使用对应的客户端直接控制目标主机。操作系统用户权限
    的头像 发表于 01-04 17:02 1.7w次阅读