特洛伊木馬類型及隱藏技術(shù)

特洛伊木馬類型
1、遠(yuǎn)程控制型
????? 這類木馬目前應(yīng)用的比較多,它可以通過木馬控制端連接運(yùn)行服務(wù)器端的計(jì)算機(jī),并對(duì)其進(jìn)行遠(yuǎn)程操作,如:復(fù)制.刪除文件,擊鍵記錄,查詢密碼,修改注冊(cè)表,上傳.下載.打開文件,進(jìn)程控制,屏幕跟蹤等等,各軟件功能不盡相同,但是大同小異。這種類型的木馬的代表作品有:BO,冰河，NETSPY,SUB7等等。?
2、運(yùn)行與服務(wù)器的后門類
????? 這種木馬的編制和運(yùn)用比較復(fù)雜，一般用c語言編制源碼，在UNIX或LINUX及兼容系統(tǒng)上實(shí)現(xiàn)編譯。它的作用一般是在服務(wù)器系統(tǒng)進(jìn)程中創(chuàng)建帳號(hào)或提高權(quán)限，或者打開某項(xiàng)服務(wù)。這種木馬程序一般針對(duì)不同的服務(wù)器系統(tǒng)和漏洞自己編制。
?3、信息竊取型
?????? 這類木馬一般沒有控制端,只有一個(gè)服務(wù)器端配置器。 當(dāng)它在計(jì)算機(jī)上運(yùn)行后, 就會(huì)偷偷的記錄本機(jī)的各種密碼, 如: OICQ密碼,E-MAIL密碼,FTP密碼等等,并且將這些密碼定時(shí)發(fā)送到指定的電子郵箱中。當(dāng)然,某些控制類型的木馬也有這項(xiàng)功能,只不過做的不很專業(yè)。這類的木馬有盜取OICQ密碼的GOP,綜合型的SendMe,廣外幽靈等等,不過由于網(wǎng)上免費(fèi)的SMTP服務(wù)最近要密碼驗(yàn)證了,所以有一部分失效了。

特洛伊木馬的隱藏技術(shù)
1、木馬的啟動(dòng)方式?
?????? 捆綁啟動(dòng)
2、木馬在硬盤上的位置?
?????? 保存在系統(tǒng)目錄下
3、木馬的文件名
?????? 與系統(tǒng)文件名稱相似
4、木馬的文件屬性?
????? 隱含文件和DLL文件及系統(tǒng)文件屬性
5、木馬的圖標(biāo)
????? 通用圖標(biāo)?
6、木馬開放的端口?
????? 隨機(jī)端口
7、木馬運(yùn)行時(shí)的隱蔽?
?????? 沒有窗口，沒有狀態(tài)
8、木馬在內(nèi)存中的隱蔽?
?????? 沒有進(jìn)程顯示

木馬的發(fā)展趨勢(shì)
1、跨平臺(tái)性
????? 跨操作系統(tǒng)
2、模塊化設(shè)計(jì)
????? 木馬的功能實(shí)現(xiàn)可組裝可拆卸，可定制。
3、病毒型木馬
???? 和病毒一樣，采用交叉式迅速大規(guī)模擴(kuò)散，并且運(yùn)行方式越來越隱蔽，可能通過瀏覽一個(gè)html頁面即可把木馬植入你的主機(jī)。
4、無連接木馬
?? 傳統(tǒng)的TCP端對(duì)端連接會(huì)被拋棄，采用ICMP形式的控制通信，拋棄端口，利用系統(tǒng)內(nèi)核。
5、無進(jìn)程執(zhí)行
???? 木馬的執(zhí)行一函數(shù)的形式實(shí)現(xiàn)，沒有可顯示的進(jìn)程。
6、反向連接式通信
???? 服務(wù)段訪問控制端的端口，繞過防火墻。

木馬的防御與查殺
1、檢查系統(tǒng)進(jìn)程
2、檢查注冊(cè)表、服務(wù)和INI文件
3、掃描端口
????? 檢查開放的可疑端口
4、監(jiān)視網(wǎng)絡(luò)通信
????? 利用嗅探器監(jiān)視通信
5、分析可疑文件
6、安裝殺毒軟件和防火墻