1、远程控制型
这类木马目前应用的比较多,它可以通过木马控制端连接运行服务器端的计算机,并对其进行远程 *** 作,如:复制.删除文件,击键记录,查询密码,修改注册表,上传.下载.打开文件,进程控制,屏幕跟踪等等,各软件功能不尽相同,但是大同小异。这种类型的木马的代表作品有:BO,冰河,NETSPY,SUB7等等。
2、运行与服务器的后门类
这种木马的编制和运用比较复杂,一般用c语言编制源码,在UNIX或LINUX及兼容系统上实现编译。它的作用一般是在服务器系统进程中创建帐号或提高权限,或者打开某项服务。这种木马程序一般针对不同的服务器系统和漏洞自己编制。
3、信息窃取型
这类木马一般没有控制端,只有一个服务器端配置器。 当它在计算机上运行后, 就会偷偷的记录本机的各种密码, 如: OICQ密码,E-MAIL密码,FTP密码等等,并且将这些密码定时发送到指定的电子邮箱中。当然,某些控制类型的木马也有这项功能,只不过做的不很专业。这类的木马有盗取OICQ密码的GOP,综合型的SendMe,广外幽灵等等,不过由于网上免费的SMTP服务最近要密码验证了,所以有一部分失效了。
特洛伊木马的隐藏技术
1、木马的启动方式
捆绑启动
2、木马在硬盘上的位置
保存在系统目录下
3、木马的文件名
与系统文件名称相似
4、木马的文件属性
隐含文件和DLL文件及系统文件属性
5、木马的图标
通用图标
6、木马开放的端口
随机端口
7、木马运行时的隐蔽
没有窗口,没有状态
8、木马在内存中的隐蔽
没有进程显示
木马的发展趋势
1、跨平台性
跨 *** 作系统
2、模块化设计
木马的功能实现可组装可拆卸,可定制。
3、病毒型木马
和病毒一样,采用交叉式迅速大规模扩散,并且运行方式越来越隐蔽,可能通过浏览一个html页面即可把木马植入你的主机。
4、无连接木马
传统的TCP端对端连接会被抛弃,采用ICMP形式的控制通信,抛弃端口,利用系统内核。
5、无进程执行
木马的执行一函数的形式实现,没有可显示的进程。
6、反向连接式通信
服务段访问控制端的端口,绕过防火墙。
木马的防御与查杀
1、检查系统进程
2、检查注册表、服务和INI文件
3、扫描端口
检查开放的可疑端口
4、监视网络通信
利用嗅探器监视通信
5、分析可疑文件
6、安装杀毒软件和防火墙
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)