反弹式木马(0906)-

发布时间:

选题二:
反弹式木马

一、 什么是木马
木马,全称特洛伊木马(Trojan horse)是一种基于“客户机/服务器”模式的远程控制程序。它让用户的机器运行服务器程序,这个服务器程序会在用户的计算机上打开监听端口,而给黑客入侵打开一扇进出的门,然后黑客就可以利用木马客户端入侵用户的计算机系统。
常见的木马有:网购木马、456游戏木马、连环木马、QQ粘虫木马、代理木马等等。比如:“食人鱼”网购木马,可以在系统无保护的情况下,轻易篡改交易信息,使买家要购买的东西没有支付,却替木马作者购买了游戏或者手机充值卡,所以我们网购时须特别谨慎才行。
二、什么是反弹式木马
随着防火墙技术的提高和发展,基于IP包过滤规则来拦截木马程序可以很有效地防止外部连接,因此黑客在无法取得连接的情况下,又发明了所谓的“反弹式木马”利用防火墙对内部发起的连接请求无条件信任的特点,假冒是系统的合法网络请求来取得对外的端口,再连接到木马的客户端,从而窃取用户计算机的资料同时遥控计算机本身。大名鼎鼎的“网络神偷”和“灰鸽子”就是这样一类木马。肉鸡
三、反弹式木马工作原理
常见的普通木马,是驻留在用户计算机里的一段服务程序,
- 1 -
而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口,打开用户计算机的连接资源。一旦攻击者所掌握的客户程序发出请求,木马便和他连接起来,将用户的信息窃取出去。
可见,此类木马的最大弱点在于攻击者必须由外向内和用户主机建立连接,木马才能起作用。所以在对外部连接审查严格的防火墙下,这样的木马很难工作起来。
而反弹式木马在工作原理上与常见的木马不一样。区别 由于反弹式木马使用的是系统信任的端口,系统会认为木马是普通应用程序,而不对其连接进行检查。防火墙在处理内部发出的连接时,也就信任了反弹木马。

1.反弹式木马一般工作原理图 四、常见传播方式
1.系统漏洞。只要你的电脑接入了网络,黑客就可以通过网络扫描程序找到你的电脑,然后再通过系统漏洞直接进入到你的电脑,在你的电脑中偷偷安装上木马程序,让你不知不觉中招。
2.文件捆绑。就是将木马程序捆绑在正常的程序或文件中,
- 2 -
当别人下载并运行后,被捆绑木马的程序也已经悄悄运行了,起到了很好的迷惑作用,黑客通常会将木马程序捆绑在一个广为传播的热门软件上来诱使他人下载,并把它放到下载网站或网站论坛中使其在网络上传播。著名的国产木马“冰河”和“双十二猎手”木马和就是通过此类方式传播。
3.文件伪装。比如,修改木马程序的图标文件名或后缀名,使它看起来与另外一个正常文件别无二样,而且为了让人容易接受,常常会伪装成热门文件来诱使对方打开,最常用的传播方式就是通过电子邮件QQ等即时通讯软件来传播,很多朋友对电子邮件的附件和QQ好友发送的文件会毫不犹豫的点击接受,就这样因为一时粗心大意中了木马。QQ粘虫木马通常会伪装成各种QQ好友发送的文件来诱使你中招。
4.网页传播。黑客会将制作好的木马程序放到网页中,当人们在浏览这些网页时,木马程序会通过系统软件的漏洞自动安装,或是以浏览该网页必须的插件等名义诱骗用户点击安装等方式偷偷安装到别人的电脑中,让人防不胜防。下载者”木马就是通过网站挂码来传播的一种木马。
四、防范措施
1.新安装的电脑系统应先安装防病毒软件和网络防火墙后再连接上网,并及时给系统打补丁,第一时间消除系统漏洞。
2.安装个人防火墙,开启“内墙”防护模式。专门对付存在于用户计算机内部的各种不法程序对网络的应用。从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。


- 3 -
目前常见的个人防火墙有天网个人防火墙、瑞星个人防火墙、360木马防火墙、江民黑客防火墙、费尔个人防火墙等等。
3.不要从非正规网站上下载和执行不可靠的程序和文件,成每次下载文件后都先用防病毒软件查杀的习惯。
4.建立良好的安全习惯,不打开可疑的邮件,不轻易接收来QQMSN等即时通讯软件传送的文件。不轻易点击网友发来的网址和浏览不正规的网站。
5.适当关闭或删除系统中不需要的服务,安装专业的防病毒软件进行实时监控,平时上网的时候一定要打开防病毒软件的实时监控功能。



- 4 -

什么是木马?
木马,全称特洛伊木马(Trojan horse)是一种基于“客户机/服务器”模式的远程控制程序。它让用户的机器运行服务器程序,这个服务器端的程序会在用户的计算机上打开监听端口,从而给黑客入侵用户计算机打开一扇进出的门,然后黑客就可以利用木马的客户端入侵用户的计算机系统。
一般木马和反弹式木马的区别?
简单说,在应用端口上,一般木马利用的是特定端口。反弹式木马用的是常用端口。
与黑客建立链接的时候,一般木马是从内到外,反弹式木马从外到内。 杀病毒软件工作原理:特征码查毒方案和人工解毒方案并行。 要怎么编写一个木马?
1.确定编写木马的程序语言,比如C++还是JAVA等等。 2.确定实现功能。比如盗号木马,远程控制木马,网页木马等等。 3.确定连接方式,主动连接还是被动连接 4.木马的隐藏,包括隐藏进程和通信方式。 5.加壳,就是加密木马,减少木马体积。 网络防火墙和个人防火墙的区别?
网络防火墙简称防火墙可分为软件防火墙、硬件防火墙及芯片级防火墙,我们常说的个人防火墙就是一种软件防火墙。



- 5 -

1.我们都知道,一个完整的“木马” 包括两部分:客户端和服务器端。植入你的电脑的是它的“服务器端”部分,而黑客利用“客户端”部分来操控你的电脑。 2.当我们的电脑中了一般的木马程序后,会被动打开一个或几个特定端口。然后客户端通过服务器端的信息反馈向服务器端发出连接请求,但是因为防火墙对外部连接请求审核特别严格,这个非法请求被拦在墙外,客户端就很难穿过防火墙,与服务器端取得连接。 3.而当我们的电脑中了反弹式木马后,它会利用正常端口,比如说80端口(提供HTTP服务)或21端口(FTP服务),去读取外部一个网站或FTP上的指定文件,并通过特定计算,计算出木马客户端的网址和端口,然后再向客户端发出请求,因为这个请求是由内向外,防火墙也就信任了,这样就与木马客户端建立了连接,从而达到控制目的。

- 6 -

反弹式木马(0906)-

推荐内容

相关推荐