Programación realista del Bloc de notas
El "caballo de Troya" se conoce como "caballo de Troya". Se dice que el nombre proviene del mito griego "El caballo de Troya masacra la ciudad". Había un ejército en la antigua Grecia que asedió Troya y no pudo capturarla durante mucho tiempo. Entonces alguien propuso un plan para hacer un caballo de madera de dos pies de altura, pretendiendo ser el dios caballo de guerra, y dejar que los soldados se escondieran en el enorme caballo de madera. El ejército fingió retirarse y abandonó el caballo de Troya a las puertas de Troya. Después de escuchar la noticia de la autorización, la ciudad arrastró el "Caballo de Troya" a la ciudad como un extraño trofeo, y toda la ciudad bebió y se divirtió. A medianoche, cuando los soldados y civiles de la ciudad dormían, los soldados escondidos en el caballo de madera abrieron la puerta secreta, nadaron por la cuerda, abrieron la puerta de la ciudad y prendieron fuego por todas partes. La emboscada fuera de la ciudad entró en tropel y el ejército estaba dentro de la ciudad, quemando, matando y saqueando Troya. Las generaciones posteriores llamaron a este gran caballo de Troya "Caballo de Troya". Ahora el programa hacker toma prestado su nombre, que significa "una vez penetrado, habrá un sinfín de problemas".
Un programa troyano completo generalmente consta de dos partes: el programa servidor y el programa controlador. "Caballo de Troya" se refiere a un programa de servidor que tiene un caballo de Troya instalado. Si su computadora tiene un programa de servidor instalado, alguien con el programa controlador puede controlar su computadora a través de la red y hacer lo que quiera. En este momento, varios archivos y programas de su computadora, así como el número de cuenta y la contraseña utilizados en su computadora, no son seguros.
Los programas troyanos no son virus, pero cada vez más software antivirus nuevo ha comenzado a detectar y eliminar algunos caballos de Troya, por lo que mucha gente llama a los programas troyanos virus piratas.
Explica el principio del caballo de Troya en detalle
Presenta el principio y las características del programa del caballo de Troya, así como la situación del sistema después de que el caballo de Troya es atacado...
Cita:
¿Cómo se inicia un caballo de Troya?
Como excelente caballo de Troya, la función de inicio automático es esencial para garantizar que el caballo de Troya no pierda completamente su función debido a su operación de apagado. Debido a que esta tecnología es tan importante, muchos programadores investigan y exploran constantemente nuevas tecnologías de inicio automático y, a menudo, hacen nuevos descubrimientos. Un ejemplo típico es agregar caballos de Troya a programas que los usuarios ejecutan con frecuencia (como explorer.exe). Cuando el usuario ejecute este programa, el caballo de Troya entrará en vigor automáticamente. Por supuesto, el método más común es modificar los archivos y el registro del sistema de Windows para lograr el propósito. Hoy en día, los métodos más utilizados incluyen principalmente los siguientes:
1. Iniciar desde Win.ini
En el campo [Windows] de Win.ini, está el comando de inicio "cargar". =" y "ejecutar==". Normalmente, "=" está en blanco. Por ejemplo, si hay un programa después, se verá así:
run=c:\windows\file.exe
load=c:\windows\file.exe
Cuidado, este archivo.exe puede ser un caballo de Troya.
2. Inicie en System.ini.
System.ini se encuentra en el directorio de instalación de Windows y shell=Explorer.exe en su campo [boot] es la ubicación de carga oculta favorita del troyano. Lo que suelen hacer los troyanos es cambiarlo a algo como esto: shell = explorer.exe. Tenga en cuenta que file.exe aquí es un programa de servidor troyano.
Además, en el campo [386Enh] del sistema, cabe señalar que el "controlador = = ruta \ nombre del programa" en esta parte también puede ser utilizado por los troyanos. Además, entre los tres campos [mic], [drivers] y [drivers32] en System.ini, estas secciones también desempeñan el papel de cargar controladores, pero también son un buen lugar para agregar caballos de Troya. Ya deberías saberlo y prestarle atención.
3. Utilice el registro para cargar y ejecutar
Como se muestra en la siguiente figura, la ubicación del registro es el lugar favorito para que los troyanos se escondan y carguen. Eche un vistazo rápido para ver si hay un programa debajo.
4. Cargue y ejecute Autoexec.bat y Config.sys
Tenga en cuenta que estos dos archivos en el directorio raíz de la unidad c también pueden iniciar troyanos. Sin embargo, este método de carga generalmente requiere que el usuario final del control establezca una conexión con el servidor y cargue el archivo con el mismo nombre en el servidor para cubrir los dos archivos, y este método no es muy encubierto. Es fácil de descubrir, por lo que rara vez se cargan troyanos en Autoexec.bat y Conpings, pero no deben tomarse a la ligera.
5. Comience con Winstart.bat
Winstart.bat es un archivo por lotes especial como Autoexec.bat, que Windows puede cargar y ejecutar automáticamente. La mayoría de las veces lo generan automáticamente las aplicaciones y ventanas. Después de ejecutar la ventana de generación automática, después de ejecutar Win.com y la mayoría de los controladores se truncan.
Inicie la ejecución (esto se puede entender presionando la tecla F8 durante el inicio y luego seleccionando el modo de inicio que rastrea el proceso de inicio paso a paso). Debido a que la función de Autoexec.bat puede ser reemplazada por Witart.bat, el troyano se puede cargar y ejecutar como en Autoexec.bat, y el peligro proviene de esto.
6. Grupo de inicio
Aunque los troyanos no están muy ocultos en el grupo de inicio, de hecho es un buen lugar para la carga y ejecución automática, por lo que todavía hay troyanos a los que les gusta quedarse. aquí. La carpeta correspondiente al grupo de inicio es C:\Windows\start menu\Programs\startup y la ubicación en el registro es HKEY_current_user\software\Microsoft\Windows\current version\Explorer\shell.
carpetas Inicio = "c:\windows\Menú Inicio\Programas\Inicio". ¡Presta atención para consultar el grupo de emprendimiento con frecuencia!
7.*. El nombre del sufijo del archivo de configuración de inicialización
Es decir, el archivo de configuración de inicio de la aplicación puede utilizar estos archivos para iniciar las características del programa. El nombre del sufijo tiene el mismo nombre que el comando de inicio del troyano. El archivo se carga en el servidor para sobrescribir el archivo con el mismo nombre, iniciando así el troyano. Inicie solo una vez: en winint.ini (más para la instalación).
8. Modificar asociaciones de archivos
Modificar asociaciones de archivos es un método común utilizado por los troyanos (principalmente los troyanos nacionales, la mayoría de los troyanos extranjeros no tienen esta función). Por ejemplo, en circunstancias normales, el archivo TXT se abre como un archivo Notepad.EXE, pero una vez que se elimina el troyano asociado al archivo, el archivo TXT se abre como un programa troyano. Por ejemplo, el famoso glaciar Troy en China hace esto. "Glacier" es abrir la aplicación "C:\WINDOWS\NOTEPAD.EXE" Bloc de notas modificando el valor clave en HKEY_class_ROOT\txt file\wheel\open\command, como la famosa alarma doméstica HKEY-class-ROOT\txt e \shell\open\commandT, modifique el valor de la clave en "C:\WINDOWS\NOTEPAD.EXE%l" a "c:\Windows\system\sysexplr.EXE%l". De esta manera, una vez que se hace doble clic en un archivo TXT, el Bloc de notas, que originalmente se usaba para abrir el archivo, ahora se convierte en un programa troyano. ¡Qué cruel! Tenga en cuenta que no sólo los archivos TXT son objetivos, sino también otros troyanos como ZIP.COM, HTM, EXE, etc., así que tenga cuidado.
Para hacer frente a este tipo de caballo de Troya, sólo puede comprobar con frecuencia la clave principal HKEY_C\shell\open\command para ver si el valor de su clave es normal.
9. Archivo de paquete
Para lograr esta condición de activación, el extremo de control y el servidor han establecido una conexión a través de un caballo de Troya, y luego el usuario del extremo de control utiliza una herramienta de software. para combinar el archivo del caballo de Troya con La aplicación se vincula y luego se carga en el servidor para sobrescribir el archivo fuente, de modo que incluso si se elimina el troyano, el troyano se instalará siempre que se ejecute la aplicación vinculada al troyano. Al vincularse a una aplicación, como un archivo del sistema, se iniciará un troyano cada vez que se inicie Windows.
10. Modo de conexión activa del troyano antirrebote
Hemos dicho antes que el troyano de puerto de rebote es opuesto al troyano general. Su servidor (extremo controlado) se comunica activamente con el cliente. (El extremo controlado) establece una conexión y el puerto de escucha generalmente se abre a 80. Sin las herramientas adecuadas y una rica experiencia, es realmente difícil evitarlo. Un representante típico de este tipo de caballo de Troya es el "ladrón de Internet". Debido a que este tipo de troyano también necesita crear un valor clave en el registro, no es difícil encontrarlo. Al mismo tiempo, el último firewall Skynet (hemos mencionado el tercer punto), por lo que siempre que preste atención, también podrá encontrarlo cuando el servidor ladrón de red se conecte activamente.
Cita:
Cómo ocultar caballos de Troya
1. Ocultar en la barra de tareas
Este es el método de ocultación más básico. Si aparece un icono inexplicable en la barra de tareas de Windows, un tonto entenderá lo que está pasando. Es fácil ocultarse en la barra de tareas mientras se programa. Tomemos VB como ejemplo. En VB, siempre que la propiedad Visible de from esté configurada en false y False, y ShowInTaskBar esté configurada en False, el programa no aparecerá en la barra de tareas.
2. Ocultar en el Administrador de tareas
La forma más sencilla de ver los procesos en ejecución es mostrar el Administrador de tareas presionando Ctrl+Alt+Supr. Si presiona Ctrl+Alt+Supr y ve un troyano ejecutándose, definitivamente no es un buen troyano. Por lo tanto, el troyano hará todo lo posible por disfrazarse para no aparecer en el administrador de tareas. Troy Hawes descubrió que presentarse como un "servicio del sistema" podía engañarlo fácilmente.
Por lo tanto, no es realista esperar encontrar el caballo de Troya presionando Ctrl+Alt+Supr.
3. Puertos
Una máquina tiene 65536 puertos. ¿Prestarás atención a tantos puertos? Troy está muy preocupado por tu puerto. Si prestas un poco de atención, no es difícil encontrar que los puertos utilizados por la mayoría de los troyanos están por encima de 1024 y la tendencia va en aumento. Por supuesto, también hay troyanos que ocupan puertos por debajo de 1024, pero estos puertos se usan comúnmente y ocuparlos puede causar anomalías en el sistema. En este caso, el troyano puede quedar expuesto fácilmente. Quizás conozca algunos puertos ocupados por troyanos y pueda escanearlos con frecuencia, pero ahora los troyanos brindan funciones de modificación de puertos. ¿Tienes tiempo para escanear los puertos 65.536?
Comunicación oculta
La comunicación oculta también es uno de los métodos que suelen utilizar los troyanos. Después de que se ejecuta cualquier troyano, debe comunicarse con el atacante, ya sea a través de una conexión instantánea, como si el atacante se conectara directamente al host del troyano implantado a través del cliente o mediante comunicación indirecta. Por ejemplo, a través del correo electrónico, un caballo de Troya envía información confidencial desde un host comprometido a un atacante. En la actualidad, la mayoría de los troyanos suelen residir en puertos superiores a 1024 y son difíciles de detectar después de ocupar el host. Algunos troyanos elegirán algunos puertos de uso común, como el 80 y el 23. Existe un troyano muy avanzado que aún puede entregar solicitudes HTTP normales al servidor web después de ocupar el puerto HTTP 80, y solo llama al programa troyano después de recibir algunos paquetes de datos especialmente acordados.
5. Ocultar el modo de carga oculto
Los troyanos se pueden cargar de diversas formas. Pero diferentes enfoques conducen al mismo objetivo: permitirle ejecutar un programa de servidor troyano. Si el caballo de Troya no se disfraza, te diré que es un caballo de Troya y te sorprenderá que pueda correr. Con el progreso continuo de la evasión de URL interactiva, cada vez más cosas pueden convertirse en medios de difusión de troyanos. Casi todas las características nuevas de WWW conducirán a la rápida evolución de los troyanos.
6. La última tecnología sigilosa
En la era Win9x, el simple hecho de registrarse como proceso del sistema puede desaparecer de la barra de tareas, pero hoy en día prevalece Windows 2000. Este enfoque fracasó estrepitosamente. El registro como proceso del sistema no solo se puede ver en la barra de tareas, sino que también puede controlar directamente la parada del servicio. Ejecutar (curioso, el troyano está controlado por el cliente). No se puede engañar al omnipresente Admlin utilizando formularios o consolas ocultos (debe saber que en NT, el administrador puede ver todos los procesos). Después de estudiar las ventajas de otro software, Troy descubrió que la tecnología trampa utilizada por el software de localización chino en Windows era muy adecuada para Troy.
Este es un enfoque más nuevo y sutil. Los troyanos se cargan modificando un controlador de dispositivo virtual (VXD) o una biblioteca de cumplimiento dinámico (DLL). Este método es diferente del método general. Básicamente, elimina el puerto de escucha del modo troyano original y adopta el método de reemplazar funciones del sistema (reescribir archivos vxd o DLL). El troyano reemplazará la DLL modificada con una DLL conocida por el sistema y filtrará todas las llamadas a funciones. Para llamadas de uso común, use la función reenviador para reenviar directamente a la DLL del sistema reemplazada y realizar algunas operaciones correspondientes. De hecho. En este caso especial previamente acordado, la DLL generalmente solo usará la DLL para monitorear. Una vez que se descubre una solicitud para controlar el terminal, se activará y lo vinculará a un proceso para realizar operaciones troyanos normales. El beneficio de esto es que no es necesario agregar nuevos archivos, no es necesario abrir nuevos puertos, no se requieren nuevos procesos y no se puede monitorear mediante métodos convencionales. En funcionamiento normal, el caballo de Troya casi no se paraliza. Después de que el extremo de control del caballo de Troya envía información específica al extremo controlado, el programa oculto comienza a ejecutarse inmediatamente.
Cita:
Características del caballo de Troya
1. Incluyendo programas normales Cuando los usuarios ejecutan programas normales, los inician ellos mismos en caso de que algunas operaciones no funcionen. completado que perjudica al usuario, esto está oculto.