Red de conocimiento informático - Descarga de software - ¿Cuál es el principio general actual de la eliminación del comando floral?

¿Cuál es el principio general actual de la eliminación del comando floral?

En el ámbito informático, es una herramienta de piratería basada en control remoto, que tiene las características de ocultación y no autorización.

El llamado ocultamiento significa que para evitar que el troyano sea descubierto, los diseñadores del troyano utilizarán varios medios para ocultarlo, incluso si se descubre que el servidor está en peligro. infectado con el troyano, sólo puede sentirse decepcionado porque no se puede determinar su ubicación específica.

El llamado no autorizado significa que una vez que el terminal de control está conectado al servidor, el terminal de control tendrá la mayoría de los derechos operativos del servidor, incluida la modificación de archivos, la modificación del registro, el control del mouse y el teclado, etc. , y estos derechos no los otorga el servidor, sino que los roba el programa troyano.

Desde la perspectiva del desarrollo del caballo de Troya, se puede dividir básicamente en dos etapas.

Al principio, la red todavía estaba en la era de la plataforma UNIX y surgieron los caballos de Troya. En ese momento, las funciones de los programas troyanos eran relativamente simples. A menudo incrustaban un programa en archivos del sistema y utilizaban instrucciones de salto para realizar algunas funciones del troyano. Durante este período, la mayoría de los diseñadores y usuarios de troyanos eran personal técnico, que debía tener conocimientos considerables de redes y programación.

Luego, con la creciente popularidad de la plataforma WINDOWS, han aparecido algunos programas troyanos basados ​​en operaciones gráficas. La mejora de la interfaz de usuario permite a los usuarios operar caballos de Troya de manera competente sin tener demasiados conocimientos profesionales. Las intrusiones de caballos de Troya relativamente frecuentes también aparecen con frecuencia y, debido a que las funciones de los caballos de Troya se vuelven cada vez más perfectas durante este período, causan un daño mayor al servidor.

Así que, a medida que el caballo de Troya se ha desarrollado hasta el día de hoy, ha hecho todo lo que puede. Una vez que un caballo de Troya se apodere de ella, su computadora ya no tendrá secretos.

2. Principio del caballo de Troya

En vista del enorme daño del caballo de Troya, presentaremos el caballo de Troya en detalle en tres partes: texto original, defensa y contraataque, e información. Espero que todos tengan un conocimiento sólido de los caballos de Troya como medio de ataque.

1. Conocimientos básicos

Antes de presentar los principios de los caballos de Troya, debemos explicar algunos conocimientos básicos de los caballos de Troya de antemano, porque hay muchos lugares para mencionar estos contenidos a continuación.

Un sistema troyano completo consta de una parte de hardware, una parte de software y una parte de conexión específica.

(1) Parte de hardware: la entidad de hardware necesaria para establecer una conexión troyana. Terminal de control: La parte que controla remotamente el servidor. Servidor: La parte controlada remotamente por el terminal de control. Internet: Portador de red para control remoto y transmisión de datos desde el terminal de control al terminal de servicio.

(2) Parte de software: el programa de software necesario para realizar el control remoto. Programa de terminal de control: el programa utilizado por el terminal de control para controlar remotamente el servidor. Caballo de Troya: programa que se infiltra en un servidor y obtiene acceso a sus operaciones. Programa de configuración de troyanos: un programa que establece números de puerto, condiciones de activación, nombres de troyanos, etc. Hazlo mejor oculto en el servidor.

(3) Parte específica de conexión: los elementos necesarios para establecer un canal troyano entre el servidor y el terminal de control a través de Internet. IP de control e IP del servidor: Las direcciones de red del control y del servidor también son los destinos para la transmisión de datos por parte de los caballos de Troya. Puerto de control, puerto del caballo de Troya: la entrada de datos del extremo de control y del extremo del servidor, a través de la cual los datos pueden llegar directamente al programa del extremo de control o al programa del caballo de Troya.

El uso de Trojan como herramienta de piratas informáticos para llevar a cabo una intrusión en la red se puede dividir aproximadamente en seis pasos (consulte la figura a continuación para obtener más detalles). Expongamos los principios del ataque de los troyanos basándonos en estos seis pasos.

1. Configurar el caballo de Troya

En general, un troyano bien diseñado tiene un programa de configuración de troyano. A juzgar por el contenido de configuración específico, implementa principalmente las dos funciones siguientes:

(1) Camuflaje de troyano: para ocultar el troyano lo mejor posible en el servidor, el programa de configuración de troyano utilizará varios métodos de camuflaje. Por ejemplo, modificar iconos, vincular archivos, personalizar puertos, autodestruirse, etc. Cubriremos esto en detalle en la sección "Propagación de troyanos".

(2) Comentarios de información: el programa de configuración del troyano establecerá el método o la dirección de los comentarios de información, como configurar la dirección de correo electrónico, el número de IRC, el número de ICO, etc. para los comentarios de información. Cubriremos los detalles en la sección "Comentarios".

En segundo lugar, difundir el caballo de Troya.

(1)Método de transmisión:

Hay dos formas principales de propagar virus troyanos: una es a través del correo electrónico y el terminal de control envía el programa troyano como un archivo adjunto al destinatario. Simplemente abrir el sistema de archivos adjuntos infectará el virus troyano; el otro son las descargas de software. Algunos sitios web informales vinculan troyanos a programas de instalación de software con el pretexto de proporcionar descargas de software. Después de la descarga, estos programas instalarán automáticamente el troyano tan pronto como se ejecuten.

(2) Modo de camuflaje:

En vista de la nocividad de los troyanos, muchas personas todavía tienen cierta comprensión de los troyanos, lo que tiene un cierto efecto inhibidor sobre la propagación de los troyanos. Esto es un troyano. El diseñador no quiere verlo. Por lo tanto, desarrollaron varias funciones para disfrazar los troyanos para reducir la vigilancia de los usuarios y engañarlos.

(1) Modificar el ícono

Cuando ves este ícono en un archivo adjunto de correo electrónico, ¿crees que es un archivo de texto? Pero te digo que podría ser un troyano. Ahora existen troyanos que pueden cambiar los íconos de los programas de servidor troyanos en íconos de varios archivos como HTML, TXT, ZIP, etc. Esto es bastante confuso, pero actualmente no hay muchos troyanos que proporcionen esta función, y este disfraz no es Impecable y no requiere modificación. El cielo se llena de miedo y sospecha.

(2) Archivo de paquete

Este método de disfraz consiste en vincular el caballo de Troya a un programa de instalación. Cuando se ejecuta el instalador, el troyano se cuela en el sistema sin que el usuario lo sepa. En cuanto a los archivos incluidos, generalmente son archivos ejecutables (es decir, EXE, COM y otros archivos).

(3) Visualización de errores

Cualquiera que tenga cierto conocimiento sobre los caballos de Troya sabe que si no hay respuesta al abrir un archivo, probablemente se trate de un programa troyano. Los caballos de Troya también son conscientes de este defecto y algunos troyanos proporcionan una función llamada visualización de errores. Cuando el usuario del servidor abre el programa Muma, aparecerá un cuadro de mensaje de error como el que se muestra a continuación (por supuesto que es falso). El contenido del error se puede definir libremente y la mayoría de ellos se personalizarán con un mensaje como "¡El archivo está dañado y no se puede abrir!". Cuando el usuario del servidor cree que es cierto, el caballo de Troya ha invadido silenciosamente el sistema.

(4) Puertos personalizados

Muchos puertos troyanos antiguos están reparados, lo que facilita determinar si el troyano está infectado. Solo necesita verificar un puerto específico para saber con qué está infectado el troyano, por lo que ahora muchos troyanos nuevos han agregado la función de personalizar el puerto. Los usuarios en el lado de control pueden elegir cualquier puerto entre 1024-65535 como puerto del troyano (generalmente). no elija 1024 Los siguientes puertos) para determinar el estado de infección.

(5)Autodestrucción

Esta función es para compensar un defecto del caballo de Troya. Sabemos que cuando un usuario del servidor abre un archivo que contiene un caballo de Troya, el caballo de Troya se copiará a sí mismo en la carpeta del sistema WINDOWS (en el directorio C:WINDOWS o C:WINDOWSSYSTEM). En términos generales, el tamaño del archivo troyano original en la carpeta del sistema y el archivo troyano son los mismos (excepto el archivo troyano incluido), por lo que los amigos que han sido atacados por troyanos solo necesitan verificar las cartas recibidas recientemente y los archivos descargados. Busque el caballo de Troya original en el software y luego vaya a la carpeta del sistema para buscar archivos del mismo tamaño según el tamaño del caballo de Troya original para determinar cuál es el caballo de Troya. La función de autodestrucción del troyano significa que después de instalar el troyano, el archivo troyano original se destruirá automáticamente. Por lo tanto, es difícil para los usuarios del servidor encontrar el origen del troyano y es difícil eliminarlo sin utilizar el troyano. herramientas para matar.

(6) Cambio de nombre del troyano

Los nombres de los archivos troyanos instalados en la carpeta del sistema generalmente son fijos, por lo que solo necesita buscar en la carpeta del sistema de acuerdo con algunos artículos sobre cómo eliminar troyanos. Con archivos específicos puede determinar qué troyanos le han atacado. Por lo tanto, muchos troyanos ahora permiten a los usuarios en el lado de control personalizar libremente los nombres de los archivos troyanos instalados, lo que dificulta determinar el tipo de troyano infectado.

Paso 3: ejecutar el troyano

Después de que el usuario del servidor ejecute el troyano o el programa que lo vincula, el troyano se instalará automáticamente. Primero cópiese a la carpeta del sistema de WINDOWS (directorio C:WINDOWS o C:WINDOWSSYSTEM) y luego configure las condiciones de activación del troyano en el registro, el grupo de inicio y el grupo que no es de inicio, completando así la instalación del troyano.

Una vez completada la instalación, puede iniciar el caballo de Troya. El proceso específico es el siguiente:

①El caballo de Troya se activa automáticamente.

La situación que comienza en Troy generalmente aparece en los siguientes seis lugares:

1. Registro: abra los cinco valores clave de Run y ​​RunServices en HKEY_Local_machinesoftwaremicrosoftwindowscurentversion y busque claves que puedan utilizarse para iniciar el troyano.

2.win.ini:c: hay un archivo de configuración win.ini en el directorio de Windows, que se puede abrir en modo texto. En el campo [Windows], hay comandos de inicio cargar = y ejecutar =, que generalmente están vacíos. Si hubiera un iniciador, podría ser un caballo de Troya. 3.system.ini: C: Hay un sistema de archivos de configuración. ini, que se abre como texto. Hay líneas de comando en [386Enh], [mic] y [drivers32] donde se puede encontrar el comando de inicio del troyano.

4.Autoexec.bat y config. Estos dos archivos en el directorio raíz de la unidad sys:c también pueden iniciar troyanos. Sin embargo, este método de carga generalmente requiere que el usuario en el extremo de control establezca una conexión con el servidor y luego cargue el archivo con el mismo nombre en el servidor para sobrescribir los dos archivos.

5.*.INI: Archivo de configuración de inicio de la aplicación. El terminal de control utiliza la función de estos archivos para iniciar el programa y carga el archivo con el mismo nombre que el comando de inicio del troyano al servidor para sobrescribir el archivo con el mismo nombre e iniciar el troyano.

6. Menú Inicio: Puede haber condiciones de activación del caballo de Troya en la opción "Inicio-Programas-Inicio".

②El caballo de Troya se activa mediante un disparador.

1. Registro: abra la clave principal HKEY_Class_RootFileType\shellopencommand para ver su valor de clave. Por ejemplo, el troyano doméstico "glaciar" modifica el valor clave en HKEY_Class_root. Después de abrir el archivo TXT, resulta que el archivo se abre con el Bloc de notas. También debe tenerse en cuenta que no solo el archivo TXT, sino también el archivo. El troyano se puede iniciar modificando el valor clave del comando de inicio de HTML, EXE, ZIP y otros archivos. La única diferencia es que la clave principal "Tipo de archivo" es diferente. TXT es TXTFile y ZIP es WINZIP. it.

2. Archivo de paquete: para realizar esta condición de activación, el extremo de control y el extremo del servidor se han establecido a través de un Trojan Connect, y luego el usuario final de control utiliza una herramienta de software para agrupar el troyano. archivo con una aplicación y luego lo carga en el servidor para sobrescribir el archivo original. De esta manera, incluso si se elimina el troyano, siempre que se ejecute la aplicación incluida con el troyano, el troyano se reinstalará

3. Reproducción automática: la reproducción automática se usó originalmente para CD-ROM. Cuando se inserta un disco de película en la unidad óptica, el sistema reproducirá automáticamente su contenido. Esta es la intención original de la especificación del archivo AutoRun. Modifique la línea de apertura en AutoRun.inf para especificar el programa que se ejecutará durante la reproducción automática. Más tarde, alguien lo usó para crear una ejecución automática en la partición del disco USB o del disco duro y especificó un programa troyano. Abrir. De esta manera, cuando abra la partición del disco duro o del disco USB, se activará la ejecución del programa troyano.

Los autores del troyano todavía están buscando "oportunidades". Este es solo un ejemplo, y hay lugares donde se puede iniciar continuamente.

(2) El proceso de ejecución del caballo de Troya

Después de activar el troyano, ingresa. la memoria y abre el puerto troyano predefinido. Prepárese para establecer una conexión con el terminal de control. En este punto, el usuario del servidor puede escribir NETSTAT -AN en modo MS-DOS para verificar el estado del puerto. Cuando la computadora personal esté desconectada, preste atención a si está abierta o infectada con un caballo de Troya.

Los siguientes son dos ejemplos del uso del comando NETSTAT para verificar el puerto después de que la computadora está infectada con troyanos:

Donde ① es el estado de visualización cuando se establece la conexión entre el servidor y el terminal de control, ② es el estado entre el servidor y el terminal de control Muestra el estado cuando la conexión aún no se ha establecido.

En el proceso de navegación por Internet, debes abrir algunos puertos para descargar software, enviar cartas, chatear online, etc. Los siguientes son algunos puertos de uso común:

(1) Puertos entre 1 y 1024: estos puertos se denominan puertos reservados y se usan especialmente para algunos programas de comunicación externos, como FTP que usa 21 y SMTP que usa 25. usando 110 POP3, etc. Sólo unos pocos troyanos utilizan puertos reservados como puertos troyanos.

(2) Puertos serie superiores a 1025: al navegar por Internet, el navegador abrirá varios puertos serie para descargar texto e imágenes al disco duro local. Todos estos puertos son puertos serie superiores a 1025.

(3) Puerto 4000: Este es el puerto de comunicación de OICQ.

(4) Puerto 6667: Este es el puerto de comunicación de IRC. A excepción de los puertos mencionados anteriormente, básicamente se pueden descartar. Si descubre que hay otros puertos abiertos, especialmente puertos con valores mayores, debe sospechar si está infectado con un troyano. Por supuesto, si el troyano tiene la función de personalizar puertos, cualquier puerto puede ser un puerto de troyano.

Cuatro. Fuga de información

En términos generales, los troyanos bien diseñados tienen mecanismos de retroalimentación de información. El llamado mecanismo de retroalimentación de información significa que después de que el caballo de Troya se haya instalado exitosamente, recopilará cierta información de software y hardware del servidor y notificará al usuario final del control a través de CORREO ELECTRÓNICO, IRC o ICO.

A partir de la información de retroalimentación, el terminal de control puede conocer cierta información de software y hardware del servidor, incluido el sistema operativo, el directorio del sistema, la partición del disco duro, la contraseña del sistema, etc. Entre esta información, la IP del servidor es la más importante, pues sólo obteniendo este parámetro el terminal de control puede establecer conexión con el servidor. Explicaremos el método de conexión específico en la siguiente sección.

Verbo (abreviatura de verbo) para establecer una conexión

En esta sección explicamos cómo se establece una conexión troyana. Para establecer una conexión con el caballo de Troya, primero se deben cumplir dos condiciones: primero, el programa del caballo de Troya se ha instalado en el servidor; segundo, el terminal de control y el servidor deben estar en línea; De esta forma, el terminal de control puede establecer una conexión con el servidor a través del puerto troyano.

Supongamos que la máquina A es el terminal de control y la máquina B es el servidor. La máquina A necesita conocer el puerto troyano y la dirección IP de la máquina B para poder establecer una conexión con la máquina B. Desde el puerto troyano. Está preestablecido por la máquina A, son elementos conocidos, por lo que lo más importante es cómo obtener la dirección IP de la máquina B. Hay dos formas principales de obtener la dirección IP de la máquina B: retroalimentación de información y escaneo de IP. En cuanto al primero, se introdujo en la sección anterior, por lo que no entraré en detalles aquí. Nos centraremos en el escaneo de IP. Debido a que la máquina B tiene un programa troyano, su puerto troyano 7626 está abierto, por lo que ahora la máquina A solo necesita escanear los hosts con el puerto 7626 abierto en el segmento de dirección IP. Por ejemplo, la dirección IP de la máquina B en la imagen es 202.102.47.56. Cuando la computadora A escanea la IP y descubre que su puerto 7626 está abierto, la IP se agregará a la lista. En este momento, la computadora A puede enviar una señal de conexión a la computadora B a través del programa de terminal de control troyano. El programa troyano en la computadora B responderá inmediatamente después de recibir la señal. Cuando la computadora A recibe la señal de respuesta, abrirá un puerto aleatorio 1031 para establecer una conexión con el puerto troyano 7626 de la computadora B. En este punto, la computadora B se conectará con el puerto troyano 7626. Vale la pena mencionar que escanear todo el rango de direcciones IP obviamente requiere mucho tiempo y es laborioso. En términos generales, el terminal de control primero obtiene la dirección IP del servidor a través de retroalimentación de información. Porque la IP para el acceso telefónico a Internet es dinámica, es decir, la IP que utilizan los usuarios para acceder a Internet es diferente cada vez, pero esta IP cambia dentro de un cierto rango. Como se muestra en la figura, la IP de la computadora B es 202.438+002.47.56. Entonces el rango de IP de la computadora B es 202.102.000.000-202.102.255, por lo que el terminal de control puede encontrar la computadora B cada vez que busca este segmento de dirección IP.

Verbo intransitivo control remoto

Una vez establecida la conexión troyana, aparecerá un canal entre el puerto de control y el puerto troyano.

El programa del terminal de control en el terminal de control puede contactar al programa troyano en el servidor a través de este canal y controlar remotamente el servidor a través del programa troyano. A continuación se presentan los derechos de control específicos que puede disfrutar el terminal de control, que son mucho mayores de lo que imagina.

(1) Robo de contraseñas: los troyanos pueden detectar todo el texto sin formato* o las contraseñas almacenadas en caché. Además, muchos troyanos también proporcionan una función de grabación de pulsaciones de teclas, que registrará cada pulsación de tecla en el servidor, de modo que una vez que un troyano invade, la contraseña puede ser robada fácilmente.

(2) Operación de archivos: el terminal de control puede eliminar, crear, modificar, cargar, descargar, ejecutar, cambiar propiedad y otras operaciones en archivos en el servidor a través de control remoto, cubriendo básicamente todas las operaciones en WINDOWS. Funciones de operación de archivos de la plataforma.

(3) Modificar el registro: el extremo de control puede modificar el registro del servidor a voluntad, incluida la eliminación, creación o modificación de claves primarias, subclaves y valores de clave. A través de esta función, el terminal de control puede prohibir el uso de la unidad de disquete y de la unidad de CD-ROM en el servidor, bloquear el registro en el servidor y configurar las condiciones de activación del caballo de Troya en el servidor para que estén más ocultas.

(4) Operación del sistema: este contenido incluye reiniciar o apagar el sistema operativo del servidor, desconectar la conexión de red del servidor, controlar el mouse y el teclado del servidor, monitorear las operaciones del escritorio del servidor, ver los procesos del servidor, etc. El terminal de control puede incluso enviar información al servidor en cualquier momento. Imagínese, no es sorprendente que de repente aparezca un párrafo en el escritorio del servidor.

Los caballos de Troya y los virus son programas artificiales y virus informáticos. ¿Por qué mencionar únicamente el caballo de Troya? Como todos sabemos, la función de los virus informáticos en el pasado era en realidad dañar y destruir los datos de una computadora. Además de la destrucción, el resto no es más que intimidación y extorsión por parte de algunos fabricantes de virus para conseguir determinados fines o lucir su tecnología. A diferencia de los caballos de Troya, los caballos de Troya se utilizan para espiar a otros abiertamente y robar contraseñas y datos de otras personas, como robar contraseñas de administrador y contraseñas de subred para destruirlas. O, por diversión, roban contraseñas de Internet y las utilizan para otros fines, como cuentas de juegos, cuentas de acciones o incluso cuentas bancarias en línea. , para lograr el propósito de asomarse a la privacidad de otras personas y obtener beneficios económicos. Por lo tanto, los caballos de Troya son más útiles que los primeros virus informáticos y pueden lograr directamente el propósito del usuario. Muchos desarrolladores de programas con motivos ocultos escriben una gran cantidad de programas intrusivos con el fin de robar y monitorear las computadoras de otras personas. Esta es también la razón por la cual una gran cantidad de caballos de Troya están inundando Internet. En vista de estos enormes peligros de los troyanos y sus diferentes propiedades de los primeros virus, los troyanos pertenecen a una categoría de virus, pero deben separarse de los tipos de virus. Se les conoce independientemente como programas "troyanos".

En términos generales, para un programa de software antivirus, si su programa de eliminación de troyanos puede eliminar un determinado caballo de Troya, entonces su propio programa antivirus ordinario también puede eliminar este caballo de Troya, porque en el caballo de Troya Hoy en día, cuando los troyanos están por todas partes, diseñar una herramienta para eliminar troyanos específicamente para troyanos puede mejorar la calidad del producto de este software antivirus y ser de gran beneficio para su reputación. De hecho, el software antivirus común contiene la función de detectar y eliminar troyanos. Si la gente dice que un determinado software antivirus no tiene un programa para detectar y eliminar troyanos, entonces el fabricante del software antivirus parece un poco culpable, a pesar de que su software antivirus común ciertamente tiene la función de detectar y eliminar troyanos. .

Otro punto es que separar el programa troyano de comprobación y eliminación por separado puede mejorar la eficiencia de la comprobación y eliminación. En la actualidad, muchos programas de eliminación de troyanos en el software antivirus solo detectan y eliminan troyanos y no verifican los códigos de virus en las bases de datos de virus de uso común. Es decir, cuando los usuarios ejecutan el programa de eliminación de troyanos, el programa solo llama a los datos. la biblioteca de códigos troyanos, que mejoró enormemente la detección y la velocidad de eliminación de troyanos. Sabemos que la velocidad de detección de virus comunes es relativamente lenta. Porque ahora hay demasiados virus. Cada archivo debe probarse con miles de códigos troyanos, además de casi 65438+ millones de códigos de virus conocidos, ¿no es muy lento? ¿Se mejoran la eficiencia y la velocidad al omitir las pruebas de códigos de virus comunes? En otras palabras, el programa de eliminación de troyanos que viene con muchos programas antivirus solo mata troyanos y, por lo general, no mata virus, mientras que el programa de eliminación de virus normal que viene con ellos puede eliminar tanto virus como troyanos.

Avisar a los usuarios al cargar, como Tiny, SSM, etc. , para que podamos prevenir eficazmente los troyanos DLL maliciosos.

Recuerda adoptar

Soy la OUA