特洛伊木马攻击手段及防护方法

2023-11-25 理论教育版权反馈

【摘要】：特洛伊木马的攻击手段，就是将一些“后门”、“特殊通道”程序隐藏在某个软件里，使使用该软件的人无意识地中圈套，致使计算机成为被攻击、被控制的对象。现在这种木马程序逐渐被并入“病毒”的概念，大部分杀毒软件具有检查和清除“木马”的功能。BO是一个典型的黑客软件，它采用“特洛伊木马”技术，通过在电脑系统中隐藏一个会在Windows启动时悄悄执行的BO服务器程序，并用BO客户机程序来操纵你的电脑系统。

特洛伊木马的攻击手段，就是将一些“后门”、“特殊通道”程序隐藏在某个软件里，使使用该软件的人无意识地中圈套，致使计算机成为被攻击、被控制的对象。现在这种木马程序逐渐被并入“病毒”的概念，大部分杀毒软件具有检查和清除“木马”的功能。

由于木马是客户端服务器程序，所以黑客一般是利用别的途径如函件、共享将木马安放到被攻击的计算机中。木马的服务器程序文件一般位置是在C：\Windows（或WINNT）和C：\Windows（或WINNT）\System中，因为Windows的一些系统文件在这两个位置，误删了文件系统可能崩溃。

典型的木马程序有BO，NetXray，流光等。

（1）BO

BO是软件Back Orifice的简称，是由Cult Dead Cow小组制作的远程管理系统，是一个客户机/服务器应用程序，通过BO客户机程序可以监视、管理和使用其他在网络中运行的安装有BO服务器程序的网络资源。

BO是一个典型的黑客软件，它采用“特洛伊木马”技术，通过在电脑系统中隐藏一个会在Windows启动时悄悄执行的BO服务器程序，并用BO客户机程序来操纵你的电脑系统。

一旦BO服务器被安装到一台电脑上，它便会在每次计算机系统启动时运行。任务表里却找不到它，系统运行也没有什么两样，好像什么事情都没有发生过。它实际上存在于Windows的SYSTEM目录中，文件名是“.EXE”（空格.EXE），属性为隐含。(www.chuimin.cn)

BO客户机通过加密了的UDP包与BO服务器通信。要实现成功通信，BO客户机必须发送数据到BO服务器监听的端口，而且BO客户机密码必须匹配BO服务器已配置好的密码。如果不预先配置BO服务器，默认双方的端口都是31337，且不进行加密。也就是说，任何BO的默认配置的BO服务器都可以被默认配置的BO客户机检测出来。

一旦BO客户机与BO服务器通信成功，即可操纵BO服务器所在的电脑系统。

大多数杀毒软件和防黑客软件可以有效清除BO服务器程序。

（2）冰河

冰河的主要文件有两个：G_Server.exe是被监控端后台监控程序，运行一次即自动安装，可任意改名。在安装前可以先通过G_Client.exe的配置本地服务器程序功能进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等。

G_Client.exe是监控端执行程序，用于监控远程计算机和配置服务器程序。冰河软件主要用于远程监控，具体功能包括：自动跟踪目标机屏幕变化、鼠标和键盘输入的完全模拟、记录各种口令信息、获取系统信息、限制系统功能、远程文件操作、注册表操作、发送信息、点对点通信等。

特洛伊木马攻击手段及防护方法

相关推荐