1. 特洛伊木马程式原理
一、 引言
特洛伊木马是 Trojan Horse 的中译,是借自"木马屠城记"中那只木马的名称。古希腊有大军围攻特洛伊城,逾年无法攻下。 有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到"木马"这个奇异的战利品,全城饮酒狂欢。 到午夜时份,全城军民尽入梦乡,匿于木马中的将士开暗门垂绳而下,开启城门及四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为"特洛伊木马",现今电脑术语借用其名,意思是"一经进入,后患无穷"。 特洛伊木马原则上它和Laplink 、 PCanywhere 等程式一样,只是一种远端管理工具。 而且本身不带伤害性,也没有感染力,所以不能称之为病毒(也有人称之为第二代病毒);但却常常被视之为病毒。原因是如果有人不当的使用,破坏力可以比病毒更强。
二、木马攻击原理
特洛伊木马是一个程式,它驻留在目标电脑里,可以随电脑自动启动并在某一连接进行侦听,在对接收的资料识别后,对目标电脑执行特定的****作。 木马,其实只是一个使用连接进行通讯的网路客户/伺服器程式。
基本概念:网路客户/伺服器模式的原理是一台主机提供伺服器(伺服端),另一台主机接受伺服器(客户端)。 作为伺服端的主机一般会开启一个预设的连接埠并进行监听(Listen),如果有客户端向伺服端的这一连接埠提出连接请求(Connect Request),伺服端上的相对应程式就会自动执行,来回覆客户端的请求。对于特洛伊木马,被控制端就成为一台伺服器。
三、特洛伊木马隐身方法
木马程式会想尽一切办法隐藏自己,主要途径有:在工作程序中隐形:将程式设为「系统伺服器」可以伪装自己。 当然它也会悄无声息地启动,木马会在每次使用者启动时自动载入伺服器端,Windows系统启动时自动载入应用程式的方法,「木马」都会用上,如:win.ini、system.ini、注册表等等都是「木马」藏身的好地方。
在win.ini档案中,在下面,「run=」和「load=」是可能载入「木马」程式的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与档案名称不是您熟悉的启动档案,电脑就可能中「木马」了。当然也得看清楚,因为好多「木马」,如「AOL Trojan木马」,它把自身伪装成command.exe档案,如果不注意可能不会发现它不是真正的系统启动档案。
MLaplink 、 PCanywhere 等程式一样,只是一种远端管理工具。 而且本身不带伤害性,也没有感染力,所以不能称之为病毒(也有人称之为第二代病毒);但却常常被视之为病毒。原因是如果有人不当的使用,破坏力可以比病毒更强。
二、木马攻击原理
特洛伊木马是一个程式,它驻留在目标电脑里,可以随电脑自动启动并在某一连接进行侦听,在对接收的资料识别后,对目标电脑执行特定的****作。 木马,其实只是一个使用连接进行通讯的网路客户/伺服器程式。
基本概念:网路客户/伺服器模式的原理是一台主机提供伺服器(伺服端),另一台主机接受伺服器(客户端)。 作为伺服端的主机一般会开启一个预设的连接埠并进行监听(Listen),如果有客户端向伺服端的这一连接埠提出连接请求(Connect Request),伺服端上的相对应程式就会自动执行,来回覆客户端的请求。对于特洛伊木马,被控制端就成为一台伺服器。
三、特洛伊木马隐身方法
木马程式会想尽一切办法隐藏自己,主要途径有:在工作程序中隐形:将程式设为「系统伺服器」可以伪装自己。 当然它也会悄无声息地启动,木马会在每次使用者启动时自动载入伺服器端,Windows系统启动时自动载入应用程式的方法,「木马」都会用上,如:win.in ..
访客只能看到部份内容,免费 加入会员 或由脸书 Google 可以看到全部内容