문제 설명:
트로이마와 바이러스의 차이점은 무엇입니까?
얘기 좀 하자
분석:
컴퓨터 바이러스의 정의' 중화인민공화국 컴퓨터 정보 시스템 보안 규정' 은 컴퓨터 바이러스에 대한 명확한 정의를 가지고 있다. 바이러스는 "컴퓨터 프로그램에 컴파일되거나 삽입된 컴퓨터 기능이나 데이터를 파괴하고 컴퓨터 사용에 영향을 미치며 스스로 복제할 수 있는 컴퓨터 명령 또는 프로그램 코드 세트" 입니다.
둘째, 컴퓨터 바이러스의 특징컴퓨터 바이러스는 인공특제 프로그램으로, 자기복제 능력, 전염성, 잠복성, 특정 트리거성, 극심한 파괴성을 갖추고 있다.
세 가지 바이러스의 존재의 필연성: 컴퓨터 정보는 액세스, 복제 및 전파가 필요하다. 정보 형식으로서 바이러스는 번식, 감염, 파괴를 할 수 있다. 바이러스가 통제권을 얻으면 감염된 목표를 찾아 널리 전파한다.
컴퓨터 바이러스의 장기 바이러스는 종종 컴퓨터 운영 체제의 약점을 이용하여 전파한다. 시스템 보안 향상은 바이러스 예방의 중요한 측면이지만 완벽한 시스템은 없습니다. 시스템의 안전성을 높이는 것을 지나치게 강조하면 시스템이 대부분의 시간을 독에 쓰게 되고 가용성, 실용성, 사용 편의성이 상실됩니다. 한편, 정보 기밀의 요구는 사람들이 누설과 바이러스 잡는 것 중에서 선택할 수 없게 한다. 바이러스와 반바이러스는 기술적 대책으로 장기적으로 존재할 것이며, 두 기술 모두 컴퓨터 기술의 발전에 따라 장기적으로 발전할 것이다.
컴퓨터 바이러스의 발생은 갑작스럽거나 우연한 원인이 아니다. 갑작스러운 정전과 우연한 오류로 인해 컴퓨터의 디스크와 메모리에 난잡하고 무작위적인 명령어가 생성되지만, 이러한 코드는 무질서하고 혼란스럽다. 바이러스는 상대적으로 완벽하고 정교하며 엄격한 코드이며, 엄격한 순서로 조직되어 시스템 네트워크 환경에 적합하고 조화를 이룹니다. 바이러스는 우연히 형성되지 않으며 일정한 길이가 필요합니다. 이 기본 길이는 확률적이다. 바이러스는 인공적인 특수 절차이다. 유행하는 바이러스는 모두 사람이 고의로 쓴 것이다. 대부분의 바이러스는 저자 정보와 출처 정보를 찾을 수 있다. 대량의 데이터 분석 통계에 따르면 바이러스 작가의 주요 상황과 목적은 재능 있는 프로그래머들이 자신을 표현하고, 자신의 능력을 증명하고, 호기심을 위해 보복하고, 구애를 축하하고, 비밀번호를 통제하기 위해 사장에게 불만을 품는 것이다. 돈을 못 받는 소프트웨어를 위해 예약한 함정 등. 물론 일부 바이러스 연구 기관과 해커 테스트 바이러스를 포함하여 정치, 군사, 종교, 민족, 특허 수요를 위해 특별히 쓰여진 것도 있다.
컴퓨터 바이러스의 분류 여러 해 동안 컴퓨터 바이러스에 대한 연구와 과학, 시스템, 엄밀한 방법에 따라 컴퓨터 바이러스는 다음과 같이 나눌 수 있다. 컴퓨터 바이러스 속성의 방법에 따라 컴퓨터 바이러스는 다음과 같은 속성으로 분류할 수 있다.
컴퓨터 바이러스가 존재하는 매체에 따라 바이러스는 네트워크 바이러스, 파일 바이러스 및 부팅 바이러스로 나눌 수 있습니다. 네트워크 바이러스는 컴퓨터 네트워크를 통해 전파되어 네트워크의 실행 파일을 감염시킵니다. 파일 바이러스는 컴퓨터의 파일 (예: COM, EXE, DOC 등) 을 감염시킵니다. ), 부팅 바이러스 감염 하드 디스크의 부팅 섹터 (Boot) 및 시스템 부팅 섹터 (MBR), 다중 바이러스 (파일 및 부트) 감염 파일 및 부트 섹터와 같은 세 가지 상황의 혼합. 이 바이러스는 보통 복잡한 알고리즘을 가지고 있으며, 매우 많이 사용한다.
컴퓨터 바이러스 감염 방식에 따라 상주 바이러스와 비상주 바이러스로 나눌 수 있다. 상주 바이러스가 컴퓨터를 감염시킨 후 자체 메모리 상주 부분을 메모리 (RAM) 에 배치합니다. 이 프로그램 부분은 시스템 호출과 연결되어 운영 체제에 통합됩니다. 종료 또는 재시작될 때까지 활성 상태로 유지됩니다. 비상주 바이러스는 활성화될 때 컴퓨터 메모리에 감염되지 않으며, 일부 바이러스는 메모리에 작은 부분을 남기지만 이 부분을 통해 감염되지는 않습니다.
컴퓨터 바이러스의 파괴 능력에 따라 무해형은 감염 시 디스크 여유 공간을 줄이는 것 외에는 시스템에 아무런 영향을 미치지 않는다는 범주로 나눌 수 있다. 무해한 바이러스는 메모리, 이미지 표시, 소리 등을 줄일 뿐이다. 위험한 바이러스는 컴퓨터 시스템의 작동 중에 심각한 오류를 일으킬 수 있다. 매우 위험한 바이러스는 프로그램을 제거하고, 데이터를 파괴하고, 시스템 메모리 영역과 운영 체제의 중요한 정보를 지웁니다. 이러한 바이러스가 시스템에 미치는 피해는 자체 알고리즘에 위험한 호출이 있는 것이 아니라 감염될 때 예측할 수 없는 치명적인 손상을 초래할 수 있습니다. 다른 프로그램의 바이러스로 인한 오류도 파일과 섹터를 손상시킬 수 있으며, 이러한 바이러스도 파괴 능력에 따라 분류됩니다. 일부 무해한 바이러스는 이제 새로운 버전의 DOS, Windows 및 기타 운영 체제에 손상을 줄 수 있습니다. 예를 들어, 초기의 "Denzuk" 바이러스는 손상 없이 360K 디스크에서 잘 작동하지만, 나중에 고밀도 플로피 디스크에서 대량의 데이터 손실을 초래할 수 있습니다.
컴퓨터 바이러스의 구체적인 알고리즘에 따라 분류하다. 바이러스의 특정 알고리즘에 따라 바이러스는 파트너 바이러스, 파일 자체를 변경하지 않고 알고리즘에 따라 EXE 파일을 생성하는 파트너, 같은 이름의 다른 확장자 (COM) 로 나눌 수 있습니다. 예를 들면 XCOPY 입니다. EXE 의 동반자는 XCOPY.COM 입니다. 바이러스가 COM 파일에 자신을 쓸 때 EXE 파일은 변경되지 않습니다. DOS 가 파일을 로드할 때 먼저 위성을 실행한 다음 위성이 원래 EXE 파일을 로드하고 실행합니다. 웜 바이러스는 파일 및 데이터 정보를 변경하지 않고 컴퓨터 네트워크를 통해 전파됩니다. 한 시스템의 메모리에서 다른 시스템의 메모리로 네트워크를 사용하여 네트워크 주소를 계산하고 네트워크를 통해 자체 바이러스를 전송합니다. 시스템에 존재하는 경우가 있으며 일반적으로 메모리 이외의 리소스를 사용하지 않습니다. 기생 바이러스는 관련 바이러스와' 웜' 바이러스를 제외한 기생 바이러스라고 부를 수 있다. 이들은 시스템의 부트 섹터나 파일에 첨부되어 시스템의 기능을 통해 전파됩니다. 알고리즘에 따라 연습 바이러스에는 오류가 포함되어 있어 잘 전파되지 않습니다. 예를 들어 일부 바이러스는 디버깅 단계에 있습니다. 미스터리 바이러스는 일반적으로 DOS 인터럽트 및 섹터 데이터를 직접 수정하는 대신 디바이스 기술 및 파일 버퍼를 통해 내부적으로 DOS 를 수정하므로 리소스를 보고 보다 진보된 기술을 사용하기가 어렵습니다. DOS 의 유휴 데이터 영역을 사용하여 작업합니다. 돌연변이 바이러스 (유령 바이러스라고도 함) 는 복잡한 알고리즘을 사용하여 전파되는 각 사본마다 내용과 길이가 다릅니다. 그들의 일반적인 방법은 관련 없는 지시문과 변경된 바이러스체를 혼합한 디코딩 알고리즘이다.
트로이마 (이하 트로이마) 영어 이름은' 트로이의 집' 으로 그리스 신화 속 트로이마에서 따온 것이다.
원격 제어에 기반한 해커 도구로서 은폐성과 비허가성의 특징을 가지고 있다.
은폐란 트로이 디자이너가 트로이가 들키지 않도록 여러 가지 방법으로 트로이를 숨겨서 서버가 트로이에 감염된 것을 발견하더라도' 말' 을 보고 탄식할 수밖에 없다는 것이다. 그 위치를 알 수 없기 때문이다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)
권한 없음이란 제어 터미널이 서버에 연결되면 제어 터미널은 파일 수정, 레지스트리 수정, 마우스 키보드 제어 등 대부분의 서버 운영 권한을 갖게 된다는 의미입니다. 이러한 권리는 서버에 의해 부여되는 것이 아니라 트로이마 프로그램에 의해 도난당했습니다.
트로이마의 발전으로 볼 때, 기본적으로 두 단계로 나눌 수 있다.
처음에 인터넷은 아직 유닉스 플랫폼 시대에 있었고, 트로이마가 생겨났다. 당시 트로이 목마 프로그램의 기능은 비교적 간단했다. 종종 시스템 파일에 프로그램을 내장하고 점프 명령을 이용하여 트로이 목마의 기능을 수행하곤 했다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 이 시기에 트로이마의 디자이너와 사용자들은 대부분 기술자였으며, 그들은 상당한 네트워크와 프로그래밍 지식을 갖추어야 했다.
그런 다음 WINDOWS 플랫폼이 보편화되면서 그래픽 조작 기반 트로이 목마 프로그램이 등장해 사용자 인터페이스가 개선되어 사용자가 전문 지식을 많이 알지 않고도 트로이 목마를 능숙하게 조작할 수 있게 되었습니다. 상대 트로이 목마 침입도 빈번했고, 그동안 트로이 목마의 기능이 완벽해지면서 서버에 대한 피해가 더욱 커졌다.
그래서, 트로이 목마는 오늘까지 발전했고, 그것이 할 수 있는 모든 것을 해냈다. 일단 트로이 말에 의해 통제되면, 너의 컴퓨터는 비밀이 없을 것이다.
트로이마의 막대한 피해를 감안할 때, 우리는 세 부분으로 나누어 트로이마를 상세히 소개할 것이다: 원문편, 방어반격편, 정보편. 트로이 목마를 공격 수단으로 철저히 이해하시기 바랍니다.
원문
기초지식
트로이마의 원리를 소개하기 전에, 우리는 트로이마의 기초를 미리 설명해야 한다. 그 내용은 다음과 같은 여러 곳에서 언급해야 하기 때문이다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)
완전한 트로이 목마 시스템은 하드웨어 부분, 소프트웨어 부분 및 특정 연결 부분으로 구성됩니다.
(1) 하드웨어 섹션: 트로이 목마 연결을 설정하는 데 필요한 하드웨어 엔터티입니다. 제어 터미널: 원격 제어 서버 측. 서버: 제어 터미널 원격 제어 당사자. 인터넷: 제어 터미널에서 서비스 터미널까지 원격 제어 및 데이터 전송을 위한 네트워크 캐리어입니다.
(2) 소프트웨어 섹션: 원격 제어를 실현하는 데 필요한 소프트웨어 프로그램. 제어 터미널 프로그램: 제어 터미널이 원격으로 서버를 제어하는 프로그램입니다. 트로이 목마 프로그램: 서버에 잠입해 운영 권한을 얻는 프로그램. 트로이 구성기: 포트 번호, 트리거 조건, 트로이 이름 등을 설정하는 프로그램입니다. 서버에서 더 잘 숨길 수 있도록 합니다.
(3) 특정 연결 섹션: 인터넷을 통해 서버와 제어 터미널 사이에 트로이 목마 채널을 구축하는 데 필요한 요소. 제어측 IP 및 서버측 IP: 제어측과 서버측의 네트워크 주소이자 트로이마가 데이터를 전송하는 대상입니다. 제어 포트, 트로이 목마 포트: 제어 측과 서버 측의 데이터 포털로, 데이터를 통해 제어 측 프로그램이나 트로이 목마 프로그램에 직접 접근할 수 있습니다.
트로이 목마
트로이를 해커 도구로 이용한 사이버 침입은 대략 6 단계로 나눌 수 있다 (아래 그림 참조). 이 6 단계에 따라 트로이의 공격 원리를 설명하자.
1. 트로이 목마 구성
일반적으로 잘 설계된 트로이는 트로이 구성 프로그램을 가지고 있다. 구체적인 구성 내용을 보면 주로 다음 두 가지 기능을 구현합니다.
(1) 트로이 위장: 서버에서 가능한 한 트로이를 숨기기 위해 트로이 구성기는 아이콘 수정, 파일 바인딩, 포트 사용자 정의, 자폭 등 다양한 위장 방식을 사용합니다. 우리는' 전파목마' 섹션에서 자세히 소개할 것이다.
(2) 정보 피드백: 트로이 구성기는 정보 피드백을 설정하는 메일박스, IRC 번호, ICO 번호 등과 같은 정보 피드백 방법 또는 주소를 설정합니다. 자세한 내용은 "정보 피드백" 섹션에서 설명하겠습니다.
둘. 트로이 목마를 전파하다
(1) 전송 방법:
트로이 바이러스의 전파 경로는 크게 두 가지가 있다. 하나는 이메일, 제어 터미널을 통해 트로이 목마 프로그램을 첨부 파일로 보내는 것이고, 수신자는 첨부 파일 시스템을 켜면 트로이 바이러스에 감염된다. 다른 하나는 소프트웨어 다운로드입니다. 일부 비공식 사이트는 소프트웨어 다운로드를 제공한다는 이름으로 트로이 목마를 소프트웨어 설치 프로그램에 바인딩한다. 다운로드 후, 이 프로그램들은 실행되자마자 자동으로 목마를 설치한다.
(2) 위장 모드:
목마의 위험성을 감안해 많은 사람들이 목마에 대해 어느 정도 알고 있고, 목마의 전파에 어느 정도 억제작용을 하는데, 이는 목마 디자이너가 보기 싫은 것이다. 따라서 그들은 사용자의 경각심을 낮추고 사용자를 속이기 위해 트로이 목마를 위장하는 다양한 기능을 개발했다.
(1) 아이콘을 수정합니다
이메일의 첨부 파일에서 이 아이콘을 볼 때 텍스트 파일이라고 생각하십니까? 그러나 나는 그것이 트로이 목마 프로그램 일 수 있다고 말하고 싶다. 현재 트로이 목마 서버 프로그램의 아이콘을 HTML, TXT, ZIP 등 각종 파일의 아이콘으로 바꿀 수 있는 트로이 목마가 있다는 것은 상당히 혼란스럽지만, 현재 이 기능을 제공하는 목마는 흔치 않다. 이런 위장도 흠잡을 데 없는 것이 아니다. 하루 종일 조마조마할 필요가 없다.
(2) 번들 파일
이 위장 방법은 트로이 말을 설치 프로그램에 바인딩하는 것이다. 설치 프로그램이 실행되면 트로이 목마는 사용자가 모르는 사이에 시스템에 몰래 들어간다. 번들로 제공되는 파일의 경우 일반적으로 실행 파일 (예: EXE, COM 등) 입니다.
(3) 오류 표시
트로이 목마에 대해 어느 정도 알고 있는 사람들은 파일을 열어도 아무런 반응이 없다면 트로이 프로그램일 가능성이 높으며, 목마 디자이너도 이 결함을 인식하고 있기 때문에 일부 목마는 오류 표시라는 기능을 제공한다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 서버 사용자가 Muma 프로그램을 열면 다음 그림과 같은 오류 프롬프트 상자가 나타납니다 (물론 거짓). 잘못된 내용은 자유롭게 정의할 수 있으며, 대부분' 파일 손상, 열 수 없다!' 이러한 정보, 서버 사용자가 진짜라고 믿었을 때 트로이 목마는 이미 조용히 시스템을 침범했다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)
(4) 맞춤형 포트
많은 오래된 트로이 항구는 고정되어 있어서 트로이가 감염되었는지 아닌지를 판단하는 데 편리함을 가져다 주었다. 특정 포트만 확인하면 트로이가 감염된 것을 알 수 있다. 따라서 현재 많은 새 트로이 목마는 맞춤형 포트 기능을 추가하고, 컨트롤 엔드 사용자는 1024-65535 사이의 모든 포트를 트로이 포트 (일반적으로 1024 이하 포트 선택 안 함) 로 선택할 수 있다
(5) 자기 파괴
이 기능은 트로이 말의 결함을 보완하기 위한 것이다. 서버 사용자가 트로이 목마가 포함된 파일을 열면 트로이 목마가 자신을 WINDOWS 의 시스템 폴더 (C:\WINDOWS 또는 C:\WINDOWS\SYSTEM 디렉토리) 로 복제한다는 것을 잘 알고 있습니다. 일반적으로 시스템 폴더에 있는 트로이 목마 파일의 원본은 트로이 목마 파일과 크기가 같습니다 (파일을 묶은 트로이 목마 제외). 따라서 트로이 목마에 맞은 친구는 최근 받은 편지와 다운로드한 소프트웨어에서 트로이 목마 원본을 찾기만 하면 됩니다. 그런 다음 트로이 목마 원본의 크기에 따라 시스템 폴더에 가서 크기가 같은 파일을 찾으면 됩니다. 트로이의 자폭 기능은 트로이 목마가 설치되면 원래의 트로이 파일이 자동으로 파괴되기 때문에 서버 사용자가 트로이의 출처를 찾기가 어렵고, 트로이를 죽이는 도구를 이용하지 않고도 트로이를 삭제하기가 어렵다는 것을 의미한다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)
(6) 트로이 개명
시스템 폴더에 설치된 트로이 목마 파일 이름은 일반적으로 고정되어 있으므로, 트로이 목마를 조사하는 문장 몇 개에 따라 시스템 폴더에서 특정 파일을 찾기만 하면 자신이 어떤 트로이 목마를 가지고 있는지 확인할 수 있다. 따라서 현재 많은 트로이 목마는 통제측의 사용자가 자유롭게 설치한 트로이 파일 이름을 사용자 정의할 수 있도록 허용하고 있어 감염된 트로이의 유형을 결정하기가 어렵다.
세 번째 단계: 트로이 목마 실행
서버 사용자가 트로이를 실행하거나 트로이를 바인딩하는 프로그램을 실행하면 트로이가 자동으로 설치됩니다. 먼저 자신을 WINDOWS 의 시스템 폴더 (C:\WINDOWS 또는 C:\WINDOWS\SYSTEM 디렉토리) 에 복제한 다음 레지스트리, 부트 그룹, 비부트 그룹에 트로이의 트리거 조건을 설정하여 트로이 설치를 완료합니다. 설치 후 트로이 마를 시작할 수 있습니다. 구체적인 절차는 아래 그림과 같습니다.
(1) 트로이 목마는 트리거 조건에 의해 활성화됩니다
트리거 조건은 트로이 목마를 시작하는 조건이며 일반적으로 다음 8 개 장소에서 발생합니다.
1. 레지스트리: HKEY _ local _ machine \ sofare \ Microsoft \ windows \ currentversion \ 에서 Run 을 엽니다
2.win. ini:c:\ Windows 디렉토리에 텍스트로 열리는 구성 파일 win.ini 가 있습니다. [windows] 필드에는 시작 명령인 load= 및 run= 이 있습니다. 일반적으로 비어 있습니다. 만약 시동기가 있다면, 그것은 트로이 말일 것이다. 3.system.ini: C: \ 구성 파일 시스템이 있습니다. 텍스트로 열리는 ini 파일입니다. [386Enh], [mic] 및 [drivers32] 에는 트로이 목마의 시작 명령을 찾을 수 있는 명령줄이 있습니다.
4.Autoexec.bat 와 config.sys: CD 루트 아래에 있는 두 파일도 트로이 목마를 시작할 수 있습니다. 그러나 이 로드 방식은 일반적으로 제어측의 사용자가 서버에 연결을 설정한 다음 같은 이름의 파일을 서버에 업로드하여 두 파일을 덮어써야 합니다.
5.*.INI: 응용 프로그램의 시작 구성 파일입니다. 제어 터미널은 이러한 파일을 사용하여 프로그램의 특성을 시작하고 트로이 시작 명령과 이름이 같은 파일을 서버에 업로드하여 같은 이름의 파일을 덮어써서 트로이를 시작할 수 있습니다.
6. 레지스트리: 열기 HKEY _ 클래스 _ 루트 \ 파일 유형 \ 셸 \ 열기 \ 및 키 키 값 보기. 예를 들어 국내 트로이' 빙하' 는 HKEY _ classes _ root \ txtfile \ shell \ open \ mand 아래의 키 값을 수정하여' c: \ windows \ nd EXE% 1' 에서' c: \ windows \ system \ syxxplr.exe' 까지. 또한 TXT 파일뿐 아니라 HTML, EXE, ZIP 등의 시작 명령 키를 수정하여 트로이 목마를 시작할 수 있다는 점도 유의해야 합니다. 유일한 차이점은 파일 유형 기본 키의 차이입니다. TXT 는 TXTFile, ZIP 은 WINZIP 입니다. 찾아보세요.
7. 번들 파일: 이 트리거 조건을 달성하기 위해 컨트롤 측과 서버측은 먼저 트로이를 통해 연결을 설정한 다음 컨트롤 측의 사용자가 도구 소프트웨어를 사용하여 트로이 파일을 하나의 어플리케이션으로 묶은 다음 서버측에 업로드하여 원본 파일을 덮어씀으로써 트로이를 삭제해도 트로이와 번들로 제공되는 어플리케이션만 실행하면 트로이가 다시 설치됩니다.
8. 시작 메뉴: 시작-프로그램-시작 옵션 아래에 트로이마의 트리거 조건이 있을 수 있습니다.
(2) 트로이 말의 달리기 과정
트로이가 활성화되면 메모리에 들어가 미리 정의된 트로이 포트를 열어 제어 터미널과의 연결을 준비합니다. 이 시점에서 서버 사용자는 MS-DOS 모드에서 NETSTAT -AN 을 입력하여 포트 상태를 확인할 수 있습니다. 일반적으로 PC 는 오프라인일 때 포트를 열지 않습니다. 포트가 열려 있다면 트로이 목마에 감염되었는지 주의해야 한다. 다음은 컴퓨터가 트로이 목마에 감염된 후 NETSTAT 명령을 사용하여 포트를 확인하는 두 가지 예입니다.
여기서 1 은 서버와 제어 터미널 간의 연결이 설정될 때의 디스플레이 상태이며, 2 는 서버와 제어 터미널 간의 연결이 아직 설정되지 않았을 때의 디스플레이 상태입니다.
인터넷을 하는 동안 소프트웨어를 다운로드하고, 편지를 보내고, 온라인 채팅을 할 수 있는 포트를 열어야 합니다. 다음은 일반적으로 사용되는 몇 가지 포트입니다.
(1) 1- 1024 사이의 포트: 예약된 포트라고 하는 이러한 포트는 2 1 을 사용하는 FTP 와 같은 일부 외부 통신 프로그램 전용으로 사용됩니다 소수의 트로이 목마만이 예약된 포트를 트로이 포트로 사용합니다.
(2) 1025 이상 연속 포트: 인터넷 접속 시 브라우저가 여러 개의 연속 포트를 열어 문자와 사진을 로컬 하드 드라이브에 다운로드합니다. 이들 포트는 모두 1025 이상 연속 포트입니다.
(3) 포트 4000: OICQ 의 통신 포트입니다.
(4) 포트 6667: IRC 의 통신 포트입니다. 위의 포트 외에도 기본적으로 제외 할 수 있습니다. 다른 포트가 열려 있는 것을 발견하면, 특히 숫자가 큰 포트를 발견하면 목마에 감염되었는지 의심해야 한다. 물론 트로이 목마가 사용자 지정 포트 기능을 가지고 있다면 모든 포트는 트로이 포트일 수 있습니다.
넷. 정보 유출:
일반적으로 잘 설계된 목마는 모두 정보 피드백 메커니즘을 가지고 있다. 정보 피드백 메커니즘이란 트로이마가 성공적으로 설치된 후 서버에 대한 일부 하드웨어 및 소프트웨어 정보를 수집하여 e-메일, IRC 또는 ICO 를 통해 제어측 사용자에게 알리는 것을 말합니다. 다음 그림은 일반적인 정보 피드백 메일입니다.
이 메일에서 운영 체제, 시스템 카탈로그, 하드 디스크 파티션, 시스템 암호 등 서버에 대한 하드웨어 및 소프트웨어 정보를 알 수 있습니다. 이 정보 중 가장 중요한 것은 서버 IP 입니다. 제어 터미널은 이 매개변수를 통해서만 서버에 연결할 수 있기 때문입니다. 다음 섹션에서는 특정 연결 방법에 대해 설명합니다.
동사 (verb 의 약자) 는 연결을 설정합니다.
이 섹션에서는 트로이마 연결이 어떻게 설정되었는지 설명합니다. 트로이 목마 연결을 설정하려면 먼저 두 가지 조건을 충족해야 합니다. 하나는 트로이 목마 프로그램이 서버에 설치되어 있다는 것입니다. 둘째, 제어 터미널과 서버는 온라인 상태여야 합니다. 이를 바탕으로 제어 터미널은 트로이 포트를 통해 서버측과 연결할 수 있습니다. 설명하기 쉽도록, 우리는 삽화의 형식으로 설명했다.
위 그림에서 볼 수 있듯이 A 기계는 제어 터미널이고 B 기계는 서버입니다. A 기의 경우 B 기계에 연결하려면 B 기의 트로이 포트와 IP 주소를 알아야 합니다. 트로이 포트는 A 기계에 미리 설치되어 있고 알려진 항목이기 때문에 B 기계의 IP 주소를 얻는 방법이 가장 중요합니다. B 기계의 IP 주소를 얻는 방법에는 정보 피드백과 IP 스캔의 두 가지가 있습니다. 전형에 관해서는, 전절은 이미 소개한 바 있으니, 여기서는 군말을 하지 않을 것이다. 우리는 IP 스캔에 초점을 맞출 것이다. B 기계에는 트로이 목마 프로그램이 있고 트로이 포트 7626 은 열려 있기 때문에 이제 A 기계는 IP 주소 세그먼트의 포트 7626 오픈 호스트만 스캔하면 됩니다. 예를 들어 그림에서 B 기계의 IP 주소는 202. 102.47.56 입니다. 컴퓨터 A 가 IP 를 스캔하여 포트 7626 이 열려 있는 것을 발견하면 IP 가 목록에 추가됩니다. 이 시점에서 컴퓨터 A 는 트로이 제어 터미널 프로그램을 통해 컴퓨터 B 에 연결 신호를 보낼 수 있으며, 컴퓨터 B 의 트로이 프로그램은 신호를 받으면 즉시 응답합니다. 컴퓨터 A 가 응답 신호를 받으면 임의 포트 103 1 을 열어 컴퓨터 B 의 트로이 포트 7626 에 연결합니다. 이제 컴퓨터 b 가 트로이 포트 7626 에 연결됩니다. 흥미롭게도, 전체 IP 주소 세그먼트를 스캔하는 것은 분명히 시간이 많이 걸리고 힘든 일이다. 일반적으로 제어 터미널은 먼저 정보 피드백을 통해 서버의 IP 주소를 얻습니다. 전화 접속 인터넷의 IP 는 동적입니다. 즉, 사용자가 매번 인터넷을 할 때마다 IP 는 다르지만, 이 IP 는 일정 범위 내에서 변합니다. 컴퓨터 B 의 IP 는 그림과 같이 202.438+002.47.56 입니다. 그런 다음 컴퓨터 B 의 IP 범위는 202.102.000.000-202.102.255.255 이므로 제어 터미널은 이 IP 주소 세그먼트를 검색할 때마다 컴퓨터 B 를 찾을 수 있습니다.
자동사 원격 제어:
트로이 목마 연결이 설정되면 제어 포트와 트로이 목마 포트 사이에 다음과 같은 채널이 나타납니다.
제어 터미널의 제어 터미널 프로그램은 이 채널을 통해 서버의 트로이 목마 프로그램과 연락하고 트로이 목마 프로그램을 통해 원격으로 서버를 제어할 수 있습니다. 다음은 제어 단말기가 누릴 수 있는 구체적인 통제권을 당신의 상상보다 훨씬 더 많이 소개하겠습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 제어명언)
(1) 비밀번호 도용: 모든 일반 텍스트, * 또는 캐시에 캐시된 비밀번호를 트로이 목마에서 감지할 수 있습니다. 또한 많은 트로이 목마는 서버의 모든 키를 기록하는 키 기록 기능을 제공하므로 트로이 침입이 발생하면 비밀번호를 쉽게 훔칠 수 있습니다.
(2) 파일 조작: 제어 터미널은 삭제, 새로 만들기, 수정, 업로드, 다운로드, 실행 및 서버의 파일 소유권을 원격으로 제어할 수 있으며 기본적으로 WINDOWS 플랫폼의 모든 파일 조작 기능을 포함합니다.
(3) 레지스트리 수정: 제어부는 키, 하위 및 키 값 삭제, 생성 또는 수정을 포함하여 서버 레지스트리를 자유롭게 수정할 수 있습니다. 이 기능을 통해 제어 터미널은 서버의 플로피 및 옵티컬 드라이브 사용을 금지하고, 서버의 레지스트리를 잠그며, 트로이 말의 트리거 조건을 서버에 더욱 은밀하게 설정할 수 있습니다.
(4) 시스템 운영: 서버 운영 체제 재시작 또는 종료, 서버 네트워크 연결 해제, 서버 마우스 및 키보드 제어, 서버 데스크톱 작업 모니터링, 서버 프로세스 확인 등이 포함됩니다. 제어 터미널은 언제든지 서버에 메시지를 보낼 수도 있습니다. 서버 바탕 화면에 갑자기 한 마디가 튀어나온 것이 이상하지 않다고 생각해 보세요.