恶意代码防范技术笔记（五）

特洛伊木马

1. 定义：
是寄宿在计算机里的一种非授权的远程控制程序，通过网络控制用户计算机系统，窃取用户私密信息并反馈给攻击者，造成用户的信息损失、系统损坏甚至瘫痪。

2. 木马的组成

• 硬件部分：控制端、服务端、Internet
• 软件部分：控制端程序、木马程序、木马配置程序
• 连接部分：控制、服务端IP, 控制、服务端Port

3. 基本特征

1. 隐蔽性
   • 首要的特征
   • 是木马和远程控制软件的最主要的区别：不在任务栏产生图标，不在任务管理器中。
2. 自动运行性
   • 潜入启动文件、启动组、注册表中
3. 欺骗性
   • 命名方式：字母“l”与数字“1”、字母“o”与数字“0”
   • 相同系统文件名却不同路径
   • 常用图标 Zip ；文件扩展名dll，sys
4. 具备自动回复功能
5. 功能的特殊性
   • 扫描目标机器IP， 远程注册表操作、锁定鼠标等功能。

4. 木马的分类

5. 远程控制、木马与病毒的区别

6. 木马的工作流程

7. 木马的关键技术

7.1 植入技术

7.2 自启动技术

7.3 隐藏技术

• 反弹式木马技术
  
  

• ICMP方法隐藏连接
  

• 隐藏端口
  

• Windows NT进程的隐藏
  

8. 感染木马的现象

9. 常见杀除木马的方法

1. BO2000
2. NetSpy
3. Happy99
4. 冰河
5. Nethief

10. 预防措施