***基礎知識系列之認清***的原理
一、基礎知識
在介紹***的原理之前有一些***構成的基礎知識我們要事先加以說明,因爲下面有很多地方會提到這些內容。
一個完整的***系統由硬件部分、軟件部分和具體連接部分組成。
1.硬件部分
建立***連接所必須的硬件實體。
控制端:對服務端進行遠程控制的一方。
服務端:被控制端遠程控制的一方。
INTERNET:控制端對服務端進行遠程控制,數據傳輸的網絡載體。
2.軟件部分
實現遠程控制所必須的軟件程序。
控制端程序:控制端用以遠程控制服務端的程序。
***程序:潛入服務端內部,獲取其操作權限的程序。
***配置程序:設置***程序的端口號,觸發條件,***名稱等,使其在服務端藏得更隱蔽的程序。
3.具體連接部分
通過INTERNET在服務端和控制端之間建立一條***通道所必須的元素。
控制端IP,服務端IP:即控制端,服務端的網絡地址,也是***進行數據傳輸的目的地。
控制端端口,***端口:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或***程序。
二、特洛伊***的***步驟
用***這種***工具進行網絡***,從過程上看大致可分爲六步,下面我們就按這六步來詳細闡述***的***原理。
1. 配置***
一般來說一個設計成熟的***都有***配置程序,從具體的配置內容看,主要是爲了實現以下兩方面功能:
(1)***僞裝:***配置程序爲了在服務端儘可能好的隱藏***,會採用多種僞裝手段,如修改圖標、捆綁文件、定製端口、自我銷燬等等。
(2)信息反饋:***配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址、IRC號、ICQ號等。
2. 傳播***
(1)傳播方式
***的傳播方式主要有兩種:一種是通過E-MAIL,控制端將***程序以附件的形式夾在郵件中發送出去,收信人只要打開附件系統就會感染***;另一種是軟件下載,一些非正規的網站以提供軟件下載爲名義,將***捆綁在軟件安裝程序上,下載後,只要一運行這些程序,***就會自動安裝。
(2)僞裝方式
鑑於***的危害性,很多人對***知識還是有一定了解的,這對***的傳播起了一定的抑制作用,這是***設計者所不願見到的。因此他們開發了多種功能來僞裝***,以達到降低用戶警覺,欺騙用戶的目的。一般來說有以下幾種:
◆修改圖標
也許你會在E-MAIL的附件中看到一個很平常的文本圖標,但是我不得不告訴你,這也有可能是個***程序,現在已經有***可以將***服務端程序的圖標改成HTML、TXT、ZIP等各種文件的圖標,這有相當大的迷惑性,但是目前提供這種功能的***還不多見,並且這種僞裝也不是無懈可擊的,所以不必整天提心吊膽、疑神疑鬼的。
◆捆綁文件
這種僞裝手段是將***捆綁到一個安裝程序上,當安裝程序運行時,***在用戶毫無察覺的情況下,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件,即EXE、COM一類的文件。
◆出錯顯示
有一定***知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個***程序,***的設計者也意識到了這個缺陷,所以已經有***提供了一個叫做出錯顯示的功能。當服務端用戶打開***程序時,會彈出一個錯誤提示框——這當然是假的,錯誤內容可自由定義,大多會定製成一些諸如“文件已破壞,無法打開的!”之類的信息,當服務端用戶信以爲真時,***卻悄悄侵入了系統。
◆定製端口
很多老式的***端口都是固定的,這給判斷是否感染了***帶來了方便,只要查一下特定的端口就知道感染了什麼***,所以現在很多新式的***都加入了定製端口的功能,控制端用戶可以在1024——65535之間任選一個端口作爲***端口。一般不選1024以下的端口,這樣就給判斷所感染***類型帶來了麻煩。
◆自我銷燬
這項功能是爲了彌補***的一個缺陷。我們知道當服務端用戶打開含有***的文件後,***會將自己拷貝到WINDOWS的系統文件的C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下,一般來說原***文件和系統文件夾中的***文件的大小是一樣的,捆綁文件的***除外。那麼中了***的朋友只要在近來收到的信件和下載的軟件中找到原***文件,然後根據原***的大小去系統文件夾找相同大小的文件, 判斷一下哪個是***就行了。而***的自我銷燬功能是指安裝完***後,原***文件將自動銷燬,這樣服務端用戶就很難找到***的來源,在沒有查殺***的工具幫助下,就很難刪除***了。
◆***更名
安裝到系統文件夾中的***的文件名一般是固定的,那麼只要根據一些查殺***的文章,按圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼***。所以現在有很多***都允許控 制端用戶自由定製安裝後的***文件名,這樣很難判斷所感染的***類型了。
3.運行***
服務端用戶運行***或捆綁***的程序後,***就會自動進行安裝。首先將自身拷貝到WINDOWS的系統文件夾中C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下。然後在註冊表、啓動組、非啓動組中設置好***的觸發條件,這樣***的安裝就完成了。安裝後就可以啓動***了。
由觸發條件激活***
觸發條件是指啓動***的條件,大致出現在下面八個地方:
◆註冊表
打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個以Run和RunServices主鍵,在其中尋找可能是啓動***的鍵值。
◆WIN.INI
C:\WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在windows字段中有啓動命令load=和run=,在一般情況下是空白的,如果有啓動程序,可能是***。
◆SYSTEM.INI
C:\WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在386Enh、mic、drivers32中有命令行,在其中尋找***的啓動命令。
◆Autoexec.bat和Config.sys
在C盤根目錄下的這兩個文件也可以啓動***。但這種加載方式一般都需要控制端用戶與服務端建立連接後,將已添加***啓動命令的同名文件上傳到服務端覆蓋這兩個文件才行。
◆*.INI
即應用程序的啓動配置文件,控制端利用這些文件能啓動程序的特點,將製作好的帶有***啓動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啓動***的目的了。
![]()
![]()
◆註冊表
打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個例子,國產***“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將“C:\WINDOWS \NOTEPAD.EXE %1”改爲“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”,這時你雙擊一個TXT文件後,原本應用NOTEPAD打開文件的,現在卻變成啓動***程序了。還要說明的是不光是TXT文件,通過修改HTML、EXE、ZIP等文件的啓動命令的鍵值都可以啓動***,不同之處只在於“文件類型”這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以試着去找一下。
![]()
◆捆綁文件
實現這種觸發條件首先要控制端和服務端通過***建立連接,然後控制端用戶用工具軟件將***文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使***被刪除了,只要運行捆綁了***的應用程序,***又會被安裝上去了。
◆啓動菜單
在“開始—程序—啓動”選項下也可能有***的觸發條件。
推薦專欄更多
掃一掃,領取大禮包
Ctrl+Enter 發佈
發佈
取消