莆田学院网络技术教研室第5章网络后门与网络隐身5.1木马攻击5.2网络后门5.3清除攻击痕迹莆田学院网络技术教研室概述本章主要介绍网络后门与网络隐身技术,主要包括木马、后门和清除攻击痕迹等。这个技术与方法都是黑客攻击常用的技术方法。莆田学院网络技术教研室5.1木马攻击5.1.1木马概述特洛伊木马简称木马,英文叫做“Trojanhorse”,其名称取自希腊神话的特洛伊木马记。古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵,如图5.1所示。特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。莆田学院网络技术教研室5.1木马攻击特洛伊木马简称木马,英文叫做“Trojanhorse”。莆田学院网络技术教研室5.1木马攻击利用计算机程序漏洞入侵后窃取文件,多不会直接对电脑造成危害,而以控制为主,这样的程序被称为木马。木马的特点:木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。隐蔽性是指木马的设计者为了防止木马被发现,会用多种手段隐藏木马;非授权性是指一旦客户端与服务器端连接后,客户端将享有服务器端大部分操作权限,包括修改文件、修改注册表、控制鼠标、键盘等。莆田学院网络技术教研室5.1木马攻击木马的组成:木马一般由两个程序组成,一个是客户端,另一个是服务器端。如果要给别人的计算机种植木马,则受害者一方运行的是服务器端程序,而自己使用的是客户端来控制受害者机器。木马程序客户端(client)——控制端(黑客)服务器端(server)——受控端(受害者)莆田学院网络技术教研室5.1木马攻击木马的运行过程:木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下,键入netstat-an查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,就要注意是否感染木马了。莆田学院网络技术教研室5.1木马攻击木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。莆田学院网络技术教研室5.1木马攻击1.密码发送型木马密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的Windows重启时重启,而且它们大多数使用25端口发送E-mail。2.键盘记录型木马键盘记录型木马非常简单,它们只做一件事情,就是记录受害者的键盘敲击,并且在LOG文件里做完整的记录。这种特洛伊木马随着Windows的启动而启动,知道受害者在线并且记录每一件事。莆田学院网络技术教研室5.1木马攻击3.毁坏型木马毁坏型木马的唯一功能是毁坏并且删除文件。这使它们非常简单,并且很容易被使用。它们可以自动地删除用户计算机上的所有的.DLL、INI或EXE文件。4.FTP型木马FTP型木马打开用户计算机的21端口(FTP所使用的默认端口),使每一个人都可以用一个FTP客户端程序不用密码连接到该计算机,并且可以进行最高权限的上传下载。莆田学院网络技术教研室5.1木马攻击木马常用的欺骗方法如下:1.捆绑欺骗:把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人。2.危险下载点:攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载;或直接将木马改名上载到FTP网站上,等待别人下载。3.文件夹惯性点击:把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹。莆田学院网络技术教研室5.1木马攻击木马常用的欺骗方法如下:4.zip伪装:将一个木马和一个损坏的zip包捆绑在一起,然后指定捆绑后的文件为zip图标。5.网页木马法:有的网页是自带木马的,只要打开该网页,立刻就会安装上木马。常见的木马很多,Windows下有Netbus、subsev...
