컴퓨터 트로이 목마 소개

트로이목마(이하 트로이목마)는 영어로 트로이목마(Trojanhouse)라고 하는데, 그 이름은 그리스 신화에 나오는 트로이목마에서 따온 것이다. 트로이 목마는 해커가 수행하는 다양한 공격에서 선구적인 역할을 합니다. 컴퓨터 트로이 목마에 대해 자세히 소개하겠습니다!

컴퓨터 트로이 목마 소개:

1. 트로이 목마의 위험성

트로이 목마는 많은 인터넷 사용자에게 낯설지 않습니다. 단순성, 사용 용이성 및 효율성으로 인해 해커가 선호하는 원격 제어 도구입니다. 컴퓨터가 트로이목마에 감염되면, 상대방은 자신의 컴퓨터에 있는 파일을 업로드 및 다운로드할 수 있고, 개인 파일을 엿볼 수 있으며, 귀하의 각종 비밀번호와 비밀번호 정보를 훔칠 수 있습니다. ? 모든 비밀이 남에게 노출되는데, 프라이버시는 이제 그만!

트로이 목마도 해커 침입에 빼놓을 수 없는 도구다. 지난해 10월 28일, 미국 마이크로소프트(MS) 포털 사이트에 해커가 침입했는데, QAZ라는 트로이목마가 해당 사이트의 내부 정보 중 일부를 전송한 사건이 발생했다. 거대 마이크로소프트의 체면을 잃게 만드는 것은 바로 이 작은 QAZ입니다!

대다수의 네티즌들에게 더 친숙한 트로이 목마는 국산 소프트웨어 Binghe입니다. Glacier는 Huang Xin이 개발한 무료 소프트웨어입니다. Glacier가 나온 후 간단한 조작 방법과 강력한 제어 능력으로 인해 "Binghe"에 대한 이야기가 바뀌는 지점에 도달했다고 할 수 있습니다.

2. 트로이 목마 원리

트로이 목마는 클라이언트/서비스 모델에 속합니다. 클라이언트와 서버라는 두 부분으로 나누어집니다. 원칙은 한 호스트가 서비스(서버)를 제공하고 다른 호스트가 서비스(클라이언트)를 수신한다는 것입니다. 일반적으로 서버인 호스트는 수신을 위해 기본 포트를 엽니다. 클라이언트가 서버의 이 포트에 연결 요청을 하면 서버의 해당 프로그램이 자동으로 실행되어 클라이언트의 요청에 응답합니다. 이 프로그램을 데몬이라고 합니다. 유명한 Trojan Glacier를 예로 들면, 제어되는 터미널은 서버로 간주될 수 있으며, 제어되는 터미널은 클라이언트입니다. 서버 프로그램 G_Server.exe는 데몬 프로세스이고 G_Client.exe는 클라이언트 애플리케이션입니다.

트로이 목마를 더 잘 이해하기 위해 트로이 목마를 숨기는 주요 방법을 살펴보겠습니다.

1.) 작업 표시줄에 숨기기

이것이 가장 기본이다. 설명할 수 없는 아이콘이 Windows 작업 소스에 나타나면 어떤 바보라도 무슨 일이 일어나고 있는지 이해할 것입니다. VB에서는 양식의 Viseble 속성이 False로 설정되고 ShowInTaskBar가 False로 설정되어 있으면 프로그램이 작업 표시줄에 나타나지 않습니다.

　2.) 작업 관리자에서 숨기기

실행 중인 프로세스를 보는 가장 쉬운 방법은 나타나는 작업 관리자에서 Ctrl Alt Del을 누르는 것입니다. Ctrl Alt Del을 누른 후 실행 중인 트로이 목마를 볼 수 있다면 이는 확실히 좋은 트로이 목마가 아닙니다. 따라서 트로이 목마는 작업 관리자에 나타나지 않도록 자신을 위장하기 위해 가능한 모든 수단을 시도합니다. 트로이 목마는 자신을 '시스템 서비스'로 설정해 쉽게 속일 수 있다는 사실을 발견했다. 따라서 Ctrl Alt Del을 눌러 트로이 목마를 찾을 것이라고 기대하는 것은 비현실적입니다.

3.) 포트

시스템에는 65536개의 포트가 있습니다. 그렇게 많은 트로이 목마가 포트에 큰 관심을 기울이겠습니까? 조금만 주의를 기울이면 대부분의 트로이 목마가 사용하는 포트가 1024 이상이고 그 추세가 점점 커지고 있다는 것을 어렵지 않게 발견할 수 있습니다. 물론 1024 이하의 포트를 점유하는 트로이 목마도 있습니다. 그러나 이러한 포트는 일반적으로 사용되는 포트이므로 이러한 포트를 점유하면 시스템 이상이 발생할 수 있습니다. 이 경우 트로이 목마는 쉽게 노출됩니다.

일부 트로이 목마가 사용하는 포트를 알고 있을 수도 있고 이러한 포트를 자주 검색할 수도 있지만 이제 트로이 목마는 모두 포트 수정 기능을 제공합니다.

4.) 트로이 목마를 로드하는 방법은 무엇입니까? 은폐됨

트로이 목마가 로드되는 방식은 온갖 이상하다고 할 수 있습니다. 그러나 이들 모두는 트로이 목마의 서버 프로그램을 실행할 수 있도록 한다는 동일한 목표로 이어집니다. 트로이 목마가 변장을 추가하지 않는 경우. 그냥 이게 트로이 목마라고만 말하면 실행하면 이상할 것 같아요. 웹사이트의 대화형 프로세스가 지속적으로 발전함에 따라 javascript, VBscript, ActiveX, XLM 등 점점 더 많은 것들이 트로이 목마의 전파 매체가 될 수 있습니다. www의 거의 모든 새로운 기능은 트로이 목마의 빠른 진화로 이어질 것입니다.

5.) 트로이 목마 명명

트로이 목마 서버 프로그램 명명에 대해서도 많은 지식이 있습니다. 변경하지 않는 경우 원래 이름을 사용하세요. 이것이 트로이 목마 프로그램인지 모르는 사람이 있을까요? 그래서 트로이 목마의 이름도 매우 이상합니다. 하지만 대부분은 시스템 파일명과 유사한 이름으로 변경되어 있습니다. 시스템 파일에 대해 충분히 알지 못하면 위험할 수 있습니다. 예를 들어, 일부 트로이 목마는 이름을 window.exe로 변경합니다. 자신이 트로이 목마임을 알리지 않으면 감히 삭제하시겠습니까? 다른 일부는 dll을 dl로 변경하는 등 일부 접미사 이름을 변경합니다. 자세히 살펴보지 않으면 찾을 수 있을까요?

6.) 최신 스텔스 기술

현재 위에서 일반적으로 사용되는 스텔스 기술 ​​외에도 더 새롭고 더 은밀한 기술이 있습니다. 방법이 등장했습니다. 즉, 가상장치 드라이버(vxd)를 수정하거나 동적링크라이브러리(DLL)를 수정하는 것이다. 이 방법은 일반적인 방법과 다르며 기본적으로 원래의 Trojan 모드? Listening 포트를 제거하고 시스템 기능을 대체하는 방법(vxd 또는 DLL 파일을 다시 작성)을 사용합니다. DLL을 수정하고 모든 함수 호출을 필터링합니다. 일반적으로 사용되는 호출의 경우 함수 전달자를 사용하여 이를 대체된 시스템 DLL로 직접 전달합니다. 사전 동의된 일부 특수 상황의 경우 DLL은 일부 해당 작업을 수행합니다. 실제로 이러한 트로이 목마는 대부분 DLL을 사용하여 모니터링합니다. 제어 터미널의 연결 요청이 발견되면 스스로 활성화되고 정상적인 트로이 목마 작업을 수행하는 프로세스에 연결됩니다. 이것의 장점은 새로운 파일이 추가되지 않고, 새로운 포트를 열 필요도 없고, 새로운 프로세스도 없으며, 기존의 방법으로는 탐지할 수 없다는 점입니다. 트로이 목마는 정상 작동 중에는 증상이 거의 없으며 일단 트로이 목마의 제어가 종료되면 탐지할 수 없습니다. 제어 단말이 특정 메시지를 보낸 후 숨겨진 프로그램이 즉시 작동을 시작합니다.

3. 트로이 목마 예방 도구

트로이 목마를 예방하려면 방화벽 소프트웨어와 다양한 해킹 방지 소프트웨어를 사용하여 인터넷에 마지노 방어선을 구축할 수 있습니다. 인터넷은 훨씬 더 안전해질 것입니다.

인터넷에는 많은 방화벽 소프트웨어가 있습니다. "Skynet Firewall Personal Edition"을 사용하는 것이 좋습니다. 완전히 무료인 소프트웨어로, 설치가 완료되면 쉴드 다이어그램으로 바뀌어 작업이 시작되는 시스템 트레이로 축소됩니다. 해커의 침입이 있을 경우 항상 자동으로 모니터링됩니다. 경보를 울리고 침입자의 IP 주소를 표시합니다.

마우스로 방패 아이콘을 두 번 클릭하면 Skynet 콘솔이 팝업됩니다. 콘솔에는 "일반 설정", "고급 설정", "보안 설정", "탐지"의 5가지 옵션이 있습니다. " 및 "정보" 라벨. "일반 설정" 탭을 클릭하면 LAN 보안 설정과 인터넷 보안 설정이라는 두 개의 창이 표시됩니다. 슬라이더를 드래그하여 보안 수준을 별도로 설정할 수 있습니다.

일반 사용자는 "중간"을 선택하는 것이 좋습니다(모든 TCP 포트 서비스를 닫지만 UDP 포트 서비스는 여전히 열려 있으며, 다른 사용자는 포트 취약점을 통해 침입할 수 없으며, 거의 모든 블루 스크린 공격 및 정보 유출 문제를 차단하며, 그렇지 않습니다. 일반 네트워크 소프트웨어 사용에 영향을 미칩니다)

콘솔에서 "고급 설정"을 클릭하면 연결된 "ICMP", "IGMP", "TCP 모니터링" 및 "UDP 모니터링"을 취소할지 수동으로 선택할 수 있습니다 네트워크 및 "NET BIOS" 옵션에 적용됩니다. 누군가 인터넷 서핑 후 귀하의 컴퓨터에 연결하려고 하면 Skynet Firewall이 자동으로 이를 차단하고 동시에 콘솔의 "보안 기록"에 커넥터의 IP, 프로토콜, 소스 포트 및 방화벽이 수행한 작업은 시간 기록과 같은 공격 정보가 표시됩니다.

콘솔의 '탐지' 및 '정보' 탭에는 주로 보안 취약점에 대한 설명, 방화벽 소프트웨어 버전 번호, 등록자 번호 및 기타 정보가 있습니다. 공격을 받고 있고 즉시 네트워크 연결을 끊고 싶다면 콘솔에서 "중지"를 클릭하세요.

4. 트로이 목마 탐지 및 제거

트로이 목마 탐지 및 제거는 자동과 수동의 두 가지 방법으로 수행할 수 있습니다. 트로이 목마를 삭제하는 가장 쉬운 방법은 바이러스 백신 소프트웨어를 자동으로 설치하는 것입니다. 이제 많은 바이러스 백신 소프트웨어가 인터넷에서 가장 만연한 트로이 목마를 삭제할 수 있습니다. Kingsoft Antivirus 또는 Security Star XP를 설치하는 것이 좋습니다.

대부분의 경우 바이러스 백신 소프트웨어의 업그레이드는 트로이 목마의 출현보다 느리기 때문에 수동으로 확인하고 죽이는 방법을 배우는 것이 매우 필요합니다. 방법은 다음과 같습니다.

1.) 레지스트리 확인

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion 및 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion을 살펴보세요. 모두 ?로 끝납니다. 실행? 처음에 키 값 이름, 그 아래에 의심스러운 파일 이름이 있습니까? 있는 경우 해당 키 값을 삭제한 후 해당 애플리케이션을 삭제해야 합니다.

　2.) 스타트업 그룹을 확인하세요

스타트업 그룹에 트로이목마가 숨겨져 있으면 별로 숨어있지는 않지만, 확실히 자동로딩 및 실행하기에는 좋은 곳이므로 여기에 머물고 싶어하는 트로이 목마가 여전히 있습니다. 시작 그룹에 해당하는 폴더는 C:\windows\startmenu\programs\startup이고 레지스트리에서의 해당 위치는 다음과 같습니다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

FoldersStartup= "C :\windows\startmenu\programs\startup". 이 두 곳을 자주 확인하세요!

3.) Win.ini와 System.ini도 트로이목마가 좋아하는 숨겨진 곳이니 주의하세요

, Win 일반적인 상황에서는 .ini의 [Windows] 섹션에 로드 및 실행 후 프로그램이 없습니다. 있을 경우 주의해서 System.ini의 [boot] 섹션에 있는 프로그램을 확인하세요. Explorer.exe 뒷면도 트로이 목마를 로드하기에 좋은 곳이므로 여기도 주의하세요. 다음과 같이 표시되면: Shell=Explorer.exewind0ws.exe, wind0ws.exe는 아마도 트로이 목마 서버 프로그램일 가능성이 높습니다. 빨리 확인하세요!

4.) 아래 나열된 파일을 자주 확인하세요. 여기에 트로이 목마가 숨겨져 있을 가능성이 높기 때문입니다.

C:\windows\winstart.bat, C:\windows\ wininit.ini, Autoexec.bat.

5.) EXE 파일로 시작된 경우 이 프로그램을 실행하여 트로이 목마가 메모리에 로드되었는지, 포트가 열려 있는지 확인합니다.

그렇다면 해당 파일이 트로이목마 프로그램을 시작하거나 해당 파일이 트로이목마 프로그램과 함께 번들로 포함되어 있다는 의미이므로 다른 해당 프로그램을 찾아 다시 설치해야 한다.

6.) 트로이 목마를 시작하는 방법은 항상 존재하며 특정 상황에서만 시작됩니다.