马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
木马攻击原理
木马变种再多,功能再强大,整个木马病毒的体系也只分为两大部分:客户端和服务端。一般情况下黑客会使用客户端编译出一个负责其自己要求的服务器端,倘若有人运行了这个服务器端程序,则他的电脑就真的成为了黑客的服务器,任其宰割了。当然,杀毒软件和电脑使用者不会这么“笨”,它们可以通过病毒的关键码和形态上分出该程序的性质,所以黑客就需要对木马进行包装和加强——也就是伪装和变种。
特别提示:现在大部分的木马都已经采用了反弹式连接,普通防火墙很难再防御住这些木马,这主要是由于防火墙针对外部连接比较敏感,而对于内部向外连接的审查力度却小很多造成的。
原程序伪装
这种属于木马伪装中最基本的方式。以灰鸽子为例,在服务端配置的安装选项里可以更改程序的图标和释放路径,在启动设置中能够自定义注册表和服务的名称,甚至可以关联到iexplore.exe,让木马程序随时整装待命。
捆绑伪装
文件捆绑技术并不是什么新玩艺。这种技术应用在木马上的最主要原因是对上面提到的原程序伪装的延续。换句话说,上面原程序伪装了半天,用户一旦运行发现没有任何效果肯定会产生疑问,而此时如果将一个其它程序注入到木马中同时进行,就会更好的遮人耳目了。
如果我们遇到一些程序,可以使用一些查捆绑的工具(点击下载),如果查询到存在捆绑文件,还是小心为妙。
网页伪装保护
网页木马现在非常常见,因为黑客只要将木马嵌入到网页中,诱骗用户浏览该网页就可让其中招,同样类似的还有电子邮件木马,方式上二者类似。
这种木马最难防范,在主动防御技术还没有得到广泛应用之前,我们通过提升IE的安全级别,禁止脚本运行等方式来杜绝这类木马。但现在的嵌入技术包含了代码保护,所以防范起来还是不具有普遍性。 |
发表于 2007-10-15 17:46:17
发表于 2007-10-15 17:57:07
