“木马行为分析”报告 一、 木马程序概述 在计算机领域中,木马是一类恶意程序。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 (1)硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。木马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 (3)具体连接部分:通过INTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。 1、木马的定义 木马是隐藏在合法程序中的未授权程序,这个隐藏的程序完成用户不知道的功能。当合法的程序被植入了非授权代码后就认为是木马。木马是一个用以远程控制的c/s 程序,其目的是不需要管理员的准许就可获得系统使用权。木马种类很多,但它的基本构成却是一样的,由服务器程序和控制器程序两部分组成。它表面上能提供一些有用的,或是仅仅令人 感 兴 趣 的功能,但在内部还 有不为人 所知的其他功能,如拷贝文件或窃取你的密码等。严格意义上来说,木马不能算是一种病毒,但它又和病毒一样,具有隐蔽性、非授权性以及危害性等特点,因此也有不少人称木马为黑客病毒。 2、木马的分类 木马的种类很多,主要有以下几种: 其一,远程控制型,如冰河。远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。 其二,键盘记录型。键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG 文件里进行完整的记录,然后通过邮件或其他方式发送给控制者。 其三,密码发送型。密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱 。这类木马程序大 多不会 在每 次 都 自 动 加 载 ,一般 都 使用 25 端口 发送电 子 邮件。 其四 ,反 弹 端口 型。反 弹 端口 ...