电脑病毒和特洛伊马有什么区别?
二、计算机病毒的特点计算机病毒是人工特制的程序,具有自我复制的能力,传染性强,具有一定的潜伏性、特定的触发性和极大的破坏性。
三种病毒存在的必然性:计算机信息需要被访问、复制和传播。作为一种信息形式,病毒可以繁殖、感染和破坏。当病毒获得控制权后,它们会主动寻找被感染的目标并广泛传播。
计算机病毒的长期病毒往往利用计算机操作系统的弱点进行传播。提高系统的安全性是病毒防范的一个重要方面,但没有完美的系统。过分强调提高系统的安全性,会让系统把大部分时间花在查毒上,系统会失去可用性、实用性和易用性。另一方面,信息保密的要求让人们无法在泄密和抓病毒之间做出选择。病毒和反病毒将作为一种技术对策长期存在,两种技术都将随着计算机技术的发展而长期发展。
计算机病毒的产生并非来自突然或偶然的原因。突然断电和偶然的错误会在电脑的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的。病毒是一种相对完善、精致、严谨的代码,按照严格的顺序组织,与系统网络环境相适应、相协调。病毒不会偶然形成,需要有一定的长度。这个基本长度是概率上的。病毒是人造的特殊程序。流行的病毒都是人故意写的。大多数病毒都能找到作者信息和出处信息。根据大量的数据分析统计,病毒作者的主要情况和目的是:一些有天赋的程序员为了表现自己,证明自己的能力,为了好奇,为了报复,为了祝贺求爱,为了控制密码,对老板不满。为拿不到钱的软件预留的陷阱等等。当然也有一些是专门为政治、军事、宗教、民族、专利需求而写的,包括一些病毒研究机构和黑客测试病毒。
计算机病毒的分类根据多年对计算机病毒的研究和科学、系统、严谨的方法,计算机病毒可以分为以下几种:根据计算机病毒属性的方法,计算机病毒可以按照以下属性进行分类:
根据计算机病毒存在的介质,病毒可分为网络病毒、文件病毒和引导病毒。网络病毒通过计算机网络传播,感染网络中的可执行文件。文件病毒感染电脑中的文件(如COM、EXE、DOC等。),引导病毒感染硬盘的引导扇区(Boot)和系统引导扇区(MBR),还有这三种情况的混合,比如多病毒(文件和引导)感染文件和引导扇区。这种病毒通常有复杂的算法,并且使用非常多。
根据计算机病毒感染的方式,可分为常驻病毒和非常驻病毒。驻留病毒感染计算机后,将自己的内存驻留部分放在内存(RAM)中,这部分程序与系统调用挂钩,合并到操作系统中。它一直处于活动状态,直到关闭或重新启动。非驻留病毒在激活时不会感染电脑内存,有些病毒会在内存中留下一小部分,但并不是通过这部分感染的。
根据计算机病毒的破坏能力,可分为以下几类:无害型除了感染时减少磁盘可用空间外,对系统没有其他影响。非危害性病毒只是降低内存,显示图像,发出声音之类的。危险的病毒会在计算机系统的操作中造成严重的错误。非常危险的病毒会删除程序,破坏数据,擦除系统内存区域和操作系统中的重要信息。这些病毒对系统造成的危害并不在于它们自身的算法中存在危险的调用,而是当它们被感染时,会造成不可预知的灾难性的破坏。其他程序中的病毒引起的错误也会破坏文件和扇区,这些病毒也是根据破坏能力进行分类的。一些无害的病毒现在也可能对新版的DOS、Windows和其他操作系统造成损害。比如早期有一种“Denzuk”病毒,在360K磁盘上运行良好,没有造成任何破坏,但在后来的高密度软盘上却可能造成大量数据丢失。
根据计算机病毒的具体算法进行分类。根据病毒的具体算法,病毒可分为:伴侣病毒,不改变文件本身,根据算法产生EXE文件的伴侣,同名不同扩展名(COM)。例如,XCOPY。EXE的同伴是XCOPY.COM。当病毒将自身写入COM文件时,它不会更改EXE文件。DOS加载文件时,先执行卫星,然后卫星加载并执行原来的EXE文件。“蠕虫”病毒通过计算机网络传播,不改变文件和数据信息。它利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,通过网络发送自己的病毒。有时它们存在于系统中,一般不占用除内存以外的其他资源。寄生病毒除了伴生病毒和“蠕虫”病毒外,都可以称为寄生病毒。它们被附加到系统的引导扇区或文件中,并通过系统的功能传播。根据算法的不同,可以分为:练习病毒含有错误,不能很好的传播,比如有的病毒处于调试阶段。神秘病毒一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区在内部修改DOS,很难看到资源,使用更先进的技术。利用DOS的空闲数据区工作。变异病毒(又称幽灵病毒)使用复杂的算法,使其传播的每一份拷贝都有不同的内容和长度。他们一般的做法是一种解码算法,混合了不相关的指令和改变后的病毒体。
特洛伊马(以下简称特洛伊马)英文名叫“特洛伊之家”,名字取自希腊神话中的特洛伊马。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽,就是特洛伊的设计者为了不让特洛伊被发现,会用各种手段隐藏特洛伊,这样即使服务器发现感染了特洛伊,也只能望“马”兴叹,因为无法确定其具体位置。
所谓未授权,是指一旦控制终端与服务器连接,控制终端将享有服务器的大部分操作权限,包括修改文件、修改注册表、控制鼠标键盘等。,而这些权利不是服务器赋予的,而是被特洛伊马程序窃取的。
从特洛伊马的发展来看,基本上可以分为两个阶段。
起初,网络还处于UNIX平台时期,特洛伊马应运而生。当时木马程序的功能比较简单,往往是在系统文件中嵌入一个程序,利用跳转指令来执行一些特洛伊木马的功能。在这个时期,特洛伊马的设计者和使用者大多是技术人员,他们必须具备相当的网络和编程知识。
然后随着WINDOWS平台的日益普及,出现了一些基于图形化操作的特洛伊木马程序,用户界面的改进使得用户无需了解太多专业知识就能熟练操作木马。相对的特洛伊木马入侵也频繁出现,而且由于这段时间木马的功能日臻完善,对服务器的破坏更大。
所以,特洛伊马发展到今天,它已经做了它能做的一切。一旦它被一匹特洛伊马控制,你的电脑将没有秘密可言。
鉴于特洛伊马的巨大危害,我们将分三个部分详细介绍特洛伊马:原文篇、防御反击篇、信息篇。我希望大家对特洛伊马作为一种攻击手段有一个透彻的了解。
原文
基础知识
在介绍特洛伊马的原理之前,我们要提前说明一些特洛伊马的基础知识,因为下面有很多地方要提到这些内容。
一个完整的特洛伊木马系统由硬件部分、软件部分和特定连接部分组成。
(1)硬件部分:建立特洛伊马连接所必需的硬件实体。控制终端:远程控制服务器的一方。服务器:被控制终端远程控制的一方。互联网:从控制终端到服务终端进行远程控制和数据传输的网络载体。
(2)软件部分:实现远程控制所必需的软件程序。控制终端程序:控制终端用来远程控制服务器的程序。特洛伊木马程序:潜入服务器并获取其操作权限的程序。特洛伊配置程序:设置端口号、触发条件、特洛伊名称等的程序。让它在服务器中隐藏得更好。
(3)具体连接部分:通过互联网在服务器和控制终端之间建立特洛伊马通道的必要元素。控制端IP和服务端IP:控制端和服务端的网络地址,也是特洛伊马进行数据传输的目的地。控制端口,特洛伊木马端口:控制端和服务端的数据入口,通过它数据可以直接到达控制端程序或木马程序。
木马
利用特洛伊作为黑客工具进行网络入侵,大致可以分为六个步骤(详见下图)。让我们根据这六个步骤来阐述特洛伊的进攻原理。
1.配置特洛伊木马
一般来说,一个设计良好的特洛伊有一个特洛伊配置程序。从具体的配置内容来看,主要是实现以下两个功能:
(1)特洛伊伪装:为了在服务器上尽可能好的隐藏特洛伊,特洛伊配置程序会采用各种伪装方式,比如修改图标、绑定文件、自定义端口、自毁等。我们将在“传播木马”一节中详细介绍。
(2)信息反馈:特洛伊配置程序会设置信息反馈的方式或地址,如设置信息反馈的邮箱、IRC号、ICO号等。我们将在“信息反馈”部分介绍细节。
二。传播特洛伊木马
(1)传输方式:
特洛伊病毒的传播途径主要有两种:一种是通过电子邮件,控制终端以附件的形式发送木马程序,收件人只要打开附件系统就会感染特洛伊病毒;另一个是软件下载。一些不正规网站打着提供软件下载的名义,将木马绑定到软件安装程序中。下载后,这些程序一运行就会自动安装木马。
(2)伪装模式:
鉴于木马的危害性,很多人对木马还是有一定了解的,对木马的传播起到了一定的抑制作用,这是木马的设计者不愿意看到的。因此,他们开发了各种功能来伪装木马,以降低用户的警惕性,欺骗用户。
(1)修改图标
当你在电子邮件的附件中看到这个图标时,你会认为它是一个文本文件吗?但是我要告诉你,它可能是一个木马程序。现在有木马可以把特洛伊木马服务器程序的图标变成HTML、TXT、ZIP等各种文件的图标这一点相当混乱,但目前提供该功能的木马并不多见,这种伪装也并非无懈可击,无需整天提心吊胆,疑神疑鬼。
(2)捆绑文件
这种伪装方法是将特洛伊马绑定到一个安装程序。当安装程序运行时,特洛伊木马会在用户不知情的情况下偷偷进入系统。至于捆绑的文件,一般都是可执行文件(即EXE、COM之类的文件)。
(3)错误显示
对木马有一定了解的人都知道,如果打开一个文件没有任何反应,那很可能是一个特洛伊程序,木马的设计者也意识到了这个缺陷,所以有的木马提供了一个叫错误显示的功能。服务端用户打开Muma程序,会弹出如下图所示的错误提示框(当然是假的)。错误内容可以自由定义,大部分都会定制成“文件损坏,无法打开!”这样的信息,当服务器用户信以为真的时候,特洛伊木马已经悄悄入侵了系统。
(4)定制端口
许多老特洛伊口岸是固定的,这给判断特洛伊是否被感染带来了方便。只需检查一个具体的端口就可以知道特洛伊感染了什么,所以现在很多新木马都增加了自定义端口的功能,控制端的用户可以选择1024-65535之间的任意端口作为特洛伊端口(一般不选择1024以下的端口),从而判断感染情况。
(5)自毁
这个功能是为了弥补特洛伊马的一个缺陷。我们知道,当服务器用户打开一个包含特洛伊木马的文件时,特洛伊木马会将自身复制到WINDOWS的系统文件夹中(在C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)。一般来说,系统文件夹中的特洛伊马文件原件和特洛伊马文件是一样大的(捆绑文件的特洛伊马除外),所以被特洛伊马打过的朋友只需要在最近收到的信件和下载的软件中找到特洛伊马原件,然后根据特洛伊马原件的大小去系统文件夹中找到大小相同的文件即可。特洛伊的自毁功能是指安装木马后,原有的特洛伊文件会被自动销毁,因此服务器用户很难找到特洛伊的来源,不借助查杀特洛伊的工具也很难删除特洛伊。
(6)特洛伊改名
安装在系统文件夹中的木马文件名一般都是固定的,所以只要根据一些查杀木马的文章在系统文件夹中寻找具体的文件,就可以确定自己中了哪些木马。所以现在很多木马允许控制端的用户自由定制安装的特洛伊文件名,这就很难确定被感染的特洛伊的类型。
第三步:跑特洛伊马
在服务器用户运行特洛伊或绑定特洛伊的程序后,特洛伊将被自动安装。先把自己复制到WINDOWS的system文件夹下(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表、启动组、非启动组设置特洛伊的触发条件,这样就完成了特洛伊的安装。安装后,您可以启动特洛伊马。具体流程见下图:
(1)特洛伊马被触发条件激活
触发条件是指启动特洛伊马的条件,一般出现在以下八个地方:
1.注册表:打开HKEY _ local _ machine \ software \ Microsoft \ Windows \ Current Version \下的Run和RunServices五个主键值,找到可能用来启动特洛伊木马的键值。
2.win.ini:c:\ Windows目录下有一个配置文件win . ini,以文本方式打开。在[windows]字段中,有启动命令load=和run=,一般为空。如果有一个启动程序,它可能是一匹特洛伊马。3.system.ini: C: \有一个配置文件系统。ini文件,该文件以文本形式打开。在[386Enh]、[mic]和[drivers32]中都有命令行,在其中可以找到特洛伊马的启动命令。
4.Autoexec.bat和config . sys:c盘根目录下的这两个文件也可以启动木马。但这种加载方式一般需要控制端的用户与服务器建立连接,然后将同名文件上传到服务器,以覆盖两个文件。
5.*.INI:应用程序的启动配置文件。控制终端利用这些文件可以启动程序的特性,将与特洛伊启动命令同名的文件上传到服务器,以覆盖同名文件,从而启动特洛伊。
6.注册表:打开HKEY _类_根\文件类型\外壳\打开\命令主键查看其键值。比如国内的特洛伊《冰河》就是修改HKEY _ classes _ root \ txt file \ shell \ open \ command下的键值,把“C :\WINDOWS \NOTEPAD。EXE %1”到“c: \ Windows \ system \ syxxxplr.exe”。还要注意的是,不仅是TXT文件,通过修改HTML、EXE、ZIP等文件的启动命令键值,也可以启动木马。唯一的区别在于“文件类型”主键的不同。TXT是TXTFile,ZIP是WINZIP,可以试着找一下。
7.捆绑文件:要实现这个触发条件,控制端和服务端首先要通过一个特洛伊建立连接,然后控制端的用户用工具软件将特洛伊文件和一个应用程序捆绑,然后上传到服务端覆盖原文件,这样即使删除了特洛伊,只要运行与特洛伊捆绑的应用程序,就会重新安装特洛伊。
8.启动菜单:“开始-程序-启动”选项下可能有特洛伊马的触发条件。
(2)特洛伊马的奔跑过程
特洛伊激活后,它进入内存并打开预定义的特洛伊端口,准备与控制终端建立连接。此时,服务器用户可以在MS-DOS模式下键入NETSTAT -AN来检查端口状态。一般来说,个人电脑脱机时不会打开端口。如果有端口打开,要注意是否感染了木马。下面是计算机感染特洛伊马后使用NETSTAT命令检查端口的两个例子:
其中①是服务器和控制终端之间的连接建立时的显示状态,②是服务器和控制终端之间的连接尚未建立时的显示状态。
在上网的过程中,你必须打开一些端口来下载软件、发送信件、在线聊天等。以下是一些常用的端口:
(1) 1-1024之间的端口:这些端口称为保留端口,专门用于一些外部通信程序,比如使用21的FTP,使用25的SMTP,使用110的POP3等。只有少数特洛伊木马会将保留端口用作特洛伊端口。
(2)1025以上的连续端口:上网时浏览器会打开多个连续端口将文字和图片下载到本地硬盘,这些端口都是1025以上的连续端口。
(3)端口4000:这是OICQ的通信端口。
(4)端口6667:这是IRC的通讯端口。除了上述端口,基本可以排除。如果发现其他端口打开,尤其是数值较大的端口,就要怀疑是否感染了木马。当然,如果木马有自定义端口的功能,任何端口都可能是特洛伊端口。
四。信息泄露:
一般来说,设计良好的木马都有信息反馈机制。所谓信息反馈机制,是指特洛伊马安装成功后,会收集服务器的一些软硬件信息,通过E-MAIL、IRC或ICO通知控制端用户。下图是典型的信息反馈邮件。
从这封邮件中,我们可以知道服务器的一些软硬件信息,包括操作系统、系统目录、硬盘分区、系统密码等。在这些信息中,最重要的是服务器IP,因为只有得到这个参数,控制终端才能与服务器建立连接。我们将在下一节解释具体的连接方法。
动词 (verb的缩写)建立连接:
在本节中,我们将解释特洛伊马连接是如何建立的。建立特洛伊木马连接首先要满足两个条件:一是服务器上已经安装了木马程序;第二,控制终端和服务器必须在线。在此基础上,控制终端可以通过特洛伊端口与服务端建立连接。为了便于说明,我们用插图的形式来说明。
如上图所示,A机是控制终端,B机是服务器。对于A机来说,要和B机建立连接,需要知道B机的特洛伊端口和IP地址,因为特洛伊端口是A机事先设置好的,是已知项,所以最重要的是如何获取B机的IP地址,获取B机IP地址的方式主要有两种:信息反馈和IP扫描。至于前一种,上一节已经介绍过了,这里就不赘述了。我们将重点讨论IP扫描。因为B机有木马程序,它的特洛伊端口7626是开放的,所以现在A机只需要扫描IP地址段中端口7626开放的主机。比如图中B机的IP地址是202.102.47.56。当计算机A扫描该IP并发现其端口7626是开放的时,该IP将被添加到列表中。此时,计算机A可以通过特洛伊控制终端程序向计算机B发送连接信号,计算机B中的特洛伊程序收到信号后会立即做出响应。当计算机A收到响应信号时,它将打开一个随机端口1031,与计算机B的特洛伊端口7626建立连接。此时,计算机B将与特洛伊端口7626连接。值得一提的是,扫描整个IP地址段显然是费时费力的。一般来说,控制终端首先通过信息反馈获得服务器的IP地址。因为拨号上网的IP是动态的,也就是用户每次上网的IP是不一样的,但是这个IP是在一定范围内变化的。如图所示,计算机B的IP是202.438+002.47.56。那么电脑B的IP范围是202.102.000 . 000-202.102.255 . 255,所以控制终端每次搜索这个IP地址段就能找到电脑B。
不及物动词远程控制:
建立特洛伊马连接后,控制端口和特洛伊马端口之间将出现一个通道,如下所示。
控制终端上的控制终端程序可以通过这个通道与服务器上的木马程序取得联系,通过木马程序远程控制服务器。下面介绍一下控制终端可以享有的具体控制权,远远大于你的想象。
(1)窃取密码:所有明文,*或缓存在缓存中的密码都可以被木马检测到。另外,很多木马还提供了按键记录功能,会记录服务器的每一次按键,所以一旦有特洛伊入侵,密码就会被轻易窃取。
(2)文件操作:控制终端可以通过远程控制对服务器上的文件进行删除、新建、修改、上传、下载、运行、改变所有权等操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可以随意修改服务器注册表,包括删除、创建或修改主键、子项和键值。通过该功能,控制终端可以禁止使用服务器上的软驱和光驱,锁定服务器上的注册表,并将特洛伊马的触发条件设置在服务器上更加隐蔽。
(4)系统操作:此内容包括重启或关闭服务器操作系统、断开服务器网络连接、控制服务器鼠标和键盘、监控服务器桌面操作、检查服务器进度等。控制终端甚至可以随时向服务器发送消息。试想一下,当服务器桌面突然跳出一个段落,这并不奇怪。