2024信息系统项目管理师视频教程
126873 人在学
专题课程
在我们的电脑杀毒软件当中基本都有木马查杀这一个选项,相信大家也都有对电脑进行过木马查杀。但也有相当一部分人是不清楚木马是什么的,接下来我们就说说这个木马究竟是怎么回事吧。
特洛伊木马(简称木马)名字的由来是出自于古希腊的一场战役传说,它是指通过特定的程序(木马程序)来控制另一台计算机,其实质只是一个网络客户/服务程序。
在之前木马并没有受到反恶意软件厂商的重点关注,主要是因为木马本身不以破坏目标计算机系统为主要目标,同时在主机间没有感染力。但随着网络的迅速发展,木马的发展也呈现出越来越激烈的趋势,它的危害性也愈发地强大起来,甚至超过了病毒,因此木马也越来越受到关注了。
木马的发展
木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了六代的改进:
第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。
第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。
第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。
第四代, 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。
第五代,驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BiOS,并且很难查杀。
第六代,随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。
木马的特性
木马具有以下6个特性:
1.包含干正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性。
它的隐蔽性主要体现在以下两个方面:
(1)不产生图标
(2)木马程序自动在任务管理器中隐藏,并以"系统服务"的方式欺骗操作系统。
2.具有自动运行性。
3.包含具有未公开并且可能产生危险后果的功能的程序。
4.具备自动恢复功能。
5.能自动打开特别的端口。
6、功能的特殊性。
木马的分类
与计算机病毒和网络蠕虫相比,特洛伊木马不能进行自我传播。按照木马的行为和功能特征,特洛伊木马又可以分为多种,如远程控制型木马、信息窃取型木马、破坏型木马等。
1.远远程控制型木马
程控制型木马一般都有客户端和服务端两个执行程序,其中客户端程序用于攻击者远程控制己植入木马的计算机,或者获取来自被植入木马主机的数据,服务端程序就是在用户计算机中的木马程序。
通过远程控制型木马,黑客可以远程管理目标主机的文件系统、服务、注册表,可以进行屏幕控制、摄像头监视、麦克风监昕、键盘记录,也可以通过远程shell进行命令操作或进一步植入功能更加强大的第三方恶意软件等。黑客通过远程计算机控制植入"木马"的电脑,就像使用自己的电脑一样,这对于网络个人用户来说是极其可怕的。典型的远程控制型木马有冰河、网络神偷、广外女生、网络公牛、黑洞、上兴、彩直[桥、Posion-îvy 、PCShare、灰鸽子等。
2.信息获取型木马
信息获取型木马则以获取受害者电脑上相关个人信息为主要目的,最典型的就是各类盗号木马。但其服务端与客户端交互性不如远程控制型木马强,攻击者与受害者之间的网络通信以信息传输为主。
3.破坏型木马
破坏型木马则以对本地或远程主机系统中的数据破坏、资源消耗为主。譬如,Trojan-DDoS 、Trojan-Ransom、Trojan-ArcBomb等可以归于这一类别。
木马的防御
想要对木马进行防御,主要的方法为以下两个:
1.木马查杀(查杀软件很多,有些病毒软件都能杀木马)
2.防火墙(分硬件和软件)家里面的就用软件好了,如果是公司或其他地方就硬件和软件一起用。
基本能防御大部分木马,但是的软件都不是万能的,还要学点专业知识,有了这些,你的电脑就安全多了。
木马作为恶意软件中最重要的其中一类一直都是人们关注的焦点,其目的往往都是获取经济、政治利益,这就使得我们不得忽略它,要不然一不经意间就因它而有所损失了。
想要学习更多关于计算机的网络课程吗?课课家教育可以为大家提供各种由名师教学的网络课程,总有一款是你的菜哦,快来加入我们吧!
粤公网安备44010602001432号