⽹络安全之⽊马的⼯作原理及其攻击步骤
1 ⽊马的⼯作原理
客户端/服务端之间采⽤TCP/UDP的通信⽅式,攻击者控制的是相应的客户端程序,服务器端程序是⽊马程序,⽊马程序被植⼈到毫不知情的⽤户的计算机中。以“⾥应外合”的⼯作⽅式⼯作,服务程序通过打开特定的端⼝并进⾏监听,这些端⼝好像“后门”⼀样,所以,也有⼈把特洛伊⽊马叫做后门⼯具。攻击者所掌握的客户端程序向该端⼝发出请求( Connect Request),⽊马便与其连接起来。攻击者可以使⽤控制器进⼈计算机,通过客户端程序命令达到控制服务器端的⽬的。
2 ⽊马攻击步骤
计算机的工作原理1配置⽊马
⼀般来说,⼀个设计成熟的⽊马都有⽊马配置程序,从具体的配置内容看,主要是为了实现以下两个功能。
**(1)⽊马伪装:**⽊马配置程序为了在服务器端尽可能隐藏好,会采⽤多种伪装⼿段,如修改图标、捆绑⽂件、定制端⼝、⾃我销毁等。**(2)信息反馈:**⽊马配置程序会根据信息反馈的⽅式或地址进⾏设置,如设置信息反馈的邮件地址、IRC号、ICQ号等。
2 传播⽊马
配置好⽊马后,就要传播出去。⽊马的传播⽅式主要有:控制端通过E-mail将⽊马程序以附件的形式夹在邮件中发送出去,收信⼈只要打开附件就会感染⽊马;软件下载,⼀些⾮正规的⽹站以提供软件下载为名义,将⽊马捆绑在软件安装程序上,下载后,只要运⾏这些程序,⽊马就会⾃动安装;通过QQ等通信软件进⾏传播;通过病毒的夹带把⽊传播出去。
3 启动⽊马
⽊马程序传播给对⽅后,接下来是启动⽊马。⼀种⽅式是被动地等待⽊马或捆绑⽊马的程序被主动运⾏,这是最简单的⽊马。⼤多数⾸先将⾃⾝复制到Windows的系统⽂件夹中(C:Windows或C:\Windows\system32⽬录下),然后写⼈注册表启动组,⾮启动组中设置好⽊马的触发条件,这样⽊马的安装就完成了。⼀般系统重新启动时⽊马就可以启动,然后⽊马打开端⼝,等待连接。
4 建⽴连接
⼀个⽊马连接的建⽴必须满⾜两个条件:⼀是服务器端已安装了⽊马程序;⼆是控制 端、服务器端都要在线。在此基础上控制端可以通讨⽊马端⼝与服务器端建⽴连接。控制端可以根据提前配置的服务器地址、定制端⼝来建⽴连接;或者是⽤扫描器,根据扫描结果中检测哪些计算机的某个端⼝开放,
从⽽知道该计算机⾥某类⽊马的服务器端在运⾏,然后建⽴连接;或者根据服务器端主动发回来的信息知道服务器端的地址、端⼝,然后建⽴连接。
5 远程控制
前⾯的步骤完成之后,就是最后的⽬的阶段,对服务器端进⾏远程控制,实现窃取密码、⽂件操作、修改注册表、锁住服务器端及系统操作等。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论