목마의 역사에 대하여
원격 제어 기반 해커 도구로서 은폐성과 비허가성을 갖추고 있습니다.
은폐성이란 트로이 목마 디자이너가 트로이 목마가 발견되지 않도록 다양한 방법으로 트로이 목마를 숨기는 것을 말한다. 그래서 서비스측은 트로이 목마에 감염된 것을 발견하더라도 정확한 위치를 확인할 수 없기 때문에' 말' 을 보고 탄식할 수밖에 없다. < P > 비허가성이란 제어측이 서버측에 연결되면 파일 수정, 레지스트리 수정, 마우스 제어, 키보드 등 서버측에서 부여한 것이 아니라 트로이 목마 프로그램을 통해 훔친 서버 운영 권한의 대부분을 누릴 수 있다는 뜻입니다.
목마의 발전을 보면 기본적으로 두 단계로 나눌 수 있다. < P > 초기 네트워크는 유닉스 플랫폼 위주의 시기였다. 트로이 목마는 당시 트로이 목마 프로그램의 기능이 비교적 간단했다. 종종 시스템 파일에 프로그램을 내장하고 점프 지시로 일부 트로이 목마의 기능을 수행하는데, 이 시기에 트로이 목마의 디자이너와 사용자들은 대부분 기술자들이어서 상당한 네트워크와 프로그래밍 지식을 갖추고 있어야 했다.
이후 WINDOWS 플랫폼이 보편화되면서 일부 그래픽 기반 트로이 목마 프로그램이 등장해 사용자 인터페이스가 개선되면서 사용자는 많은 전문 지식을 이해하지 않고도 능숙하게 트로이 목마를 조작할 수 있고, 상대 트로이 목마 침입 사건도 빈번하게 발생하며, 이 기간 동안 트로이 목마의 기능이 개선되면서 서버측에 대한 피해도 커지고 있다. < P > 그래서 목마가 오늘날까지 발전해 온 것은 이미 무궁무진하다. 일단 목마에 의해 통제되면, 너의 컴퓨터는 비밀이 전혀 없을 것이다. < P > 트로이 목마의 엄청난 위험성을 감안하면 원칙편, 방어와 반격편, 자료편 3 부로 트로이 목마를 상세히 소개하며 트로이 목마의 이런 공격 수단에 대한 철저한 이해를 바랍니다. < P > 원리편 < P > 기초지식 < P > 트로이 목마의 원리를 소개하기 전에 트로이 목마 구성의 기초지식을 미리 설명해야 한다. 아래 많은 곳에서 이런 내용을 언급할 수 있기 때문이다. < P > 완전한 트로이 목마 시스템은 하드웨어 부분, 소프트웨어 부분 및 특정 연결 부분으로 구성됩니다.
(1) 하드웨어 섹션: 트로이 목마 연결을 설정하는 데 필요한 하드웨어 엔터티. 제어측: 서버측에 대한 원격 제어를 하는 쪽입니다. 서버 측: 제어 측에서 원격으로 제어되는 측. 인터넷: 제어측에서 서버측에 대한 원격 제어, 데이터 전송을 위한 네트워크 캐리어.
(2) 소프트웨어 섹션: 원격 제어를 실현하는 데 필요한 소프트웨어 프로그램. 제어측 프로그램: 제어측에서 서버측을 원격으로 제어하는 프로그램입니다. 트로이 목마 프로그램: 서버 내부에 잠입해 운영 권한을 얻는 프로그램. 트로이 목마 구성자: 트로이 목마 프로그램의 포트 번호, 트리거 조건, 트로이 목마 이름 등을 설정하여 서버측에서 더 은밀한 프로그램을 숨기도록 합니다.
(3) 특정 연결 섹션: 인터넷을 통해 서버측과 제어측 사이에 트로이 목마 채널을 만드는 데 필요한 요소. 제어측 IP, 서버측 IP: 제어측, 서버측의 네트워크 주소, 트로이 목마가 데이터를 전송하는 대상입니다. 제어 포트, 트로이 목마 포트: 제어 포트, 서버 측 데이터 입구, 이 입구를 통해 데이터는 제어 측 프로그램 또는 트로이 목마 프로그램에 직접 접근할 수 있습니다.
트로이 목마 원리
트로이 목마 같은 해커 도구를 이용한 네트워크 침입은 과정상 대략 6 단계 (구체적으로 아래 그림 참조) 로 나눌 수 있으며, 이 6 단계에 따라 트로이 목마의 공격 원리를 상세히 설명하겠습니다.
1. 트로이 목마 구성
일반적으로 잘 설계된 트로이 목마에는 트로이 목마 구성 프로그램이 있으며, 구체적인 구성 내용을 보면 주로
(1) 트로이 목마 위장: 트로이 목마 구성 프로그램은 서버측에서 가능한 한 좋은 숨겨진 트로이 목마를 위해 다양한 위장 수단을 사용합니다
(2) 정보 피드백: 트로이 목마 구성 프로그램은 정보 피드백의 이메일 주소 설정, IRC 번호, ICO 번호 등과 같은 정보 피드백 방법 또는 주소를 설정합니다. 자세한 내용은 "정보 피드백" 섹션에서 자세히 설명합니다.
2. 전파목마
(1) 전파 방식:
목마의 전파 방식 크게 두 가지가 있다 다른 하나는 소프트웨어 다운로드입니다. 일부 비공식 웹사이트는 소프트웨어 다운로드를 제공한다는 이름으로 소프트웨어 설치 프로그램에 목마를 묶어 다운로드한 후 이 프로그램만 실행하면 트로이 목마가 자동으로 설치됩니다.
(2) 위장 방식:
트로이 목마의 위험성을 감안하여 많은 사람들이 트로이 목마 지식에 대해 어느 정도 알고 있으며, 이는 트로이 목마 전파를 억제하는 역할을 합니다. 이는 트로이 목마 디자이너가 원하지 않는 것이기 때문에, 그들은 다양한 기능을 개발하여 트로이 목마를 위장하여 사용자의 경각심을 낮추고 사용자를 속이는 목적을 달성했습니다.
(a) 아이콘 수정
e-메일 첨부 파일에서 이 아이콘을 볼 때 텍스트 파일로 간주됩니까? 하지만 이것은 트로이 목마 프로그램일 수도 있고, 현재 트로이 목마 서버 프로그램의 아이콘을 HTML,TXT, ZIP 등 각종 파일의 아이콘으로 바꿀 수 있는 트로이 목마가 있어 상당히 현혹적이지만, 현재 이런 기능을 제공하는 목마는 아직 드물고, 이런 위장도 빈틈이 없기 때문에 하루 종일 조마조마조마할 필요가 없다. < P > (2) 파일 번들 < P > 이 위장 수단은 트로이 목마를 하나의 설치 프로그램에 묶어 설치 프로그램이 실행되는 동안 사용자가 모르게 시스템에 몰래 들어가는 것이다. 번들로 제공되는 파일은 일반적으로 실행 파일 (예: EXE,COM 과 같은 파일) 입니다. < P > (3) 오류 표시 < P > 특정 트로이 목마 지식을 가진 사람들은 파일을 열어도 아무런 반응이 없다는 것을 알고 있다. 이는 트로이 목마 프로그램일 가능성이 높으며, 트로이 목마 디자이너도 이 결함을 깨닫고, 이미 트로이 목마가 오류 표시라는 기능을 제공한다는 것을 알고 있다. 서비스 측 사용자가 목마 프로그램을 열면 다음 그림과 같은 오류 프롬프트 상자 (물론 거짓) 가 팝업되고 오류 내용은 자유롭게 정의할 수 있으며 대부분 "파일이 손상되어 열 수 없습니다!" 와 같은 사용자 정의될 수 있습니다. 이런 정보, 서비스측 사용자가 진짜라고 믿었을 때 목마는 조용히 시스템에 침입했다.
(4) 맞춤형 포트
많은 구형 트로이 목마 포트가 고정되어 있어 트로이 목마에 감염되었는지 여부를 쉽게 확인할 수 있으며, 특정 포트만 확인하기만 하면 어떤 트로이 목마에 감염되었는지 알 수 있어 많은 신형 트로이 목마가 맞춤형 포트 기능을 추가해 제어측 사용자가 124-65535 중 하나를 선택할 수 있다
(e) 자가 파괴
이 기능은 트로이 목마의 결함을 보완하기 위한 것입니다. 우리는 서버 사용자가 트로이 목마가 포함된 파일을 열면 트로이 목마가 자신을 WINDOWS 의 시스템 폴더 (C:WINDOWS 또는 C:WINDOWSSYSTEM 디렉토리) 로 복사한다는 것을 알고 있습니다. 일반적으로 원본 트로이 목마 파일과 시스템 폴더에 있는 트로이 목마 파일의 크기가 같습니다 (파일을 묶은 트로이 목마 제외). 트로이 목마의 자기 파괴 기능은 목마를 설치한 후 원목마 파일이 자동으로 파괴되는 것을 의미하며, 이를 통해 서비스측 사용자는 목마의 출처를 찾기가 어렵고, 목마를 조사하는 도구 없이는 목마를 삭제하기가 매우 어렵다는 것을 알 수 있다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 목마, 목마, 목마, 목마, 목마)
(6) 트로이 목마 이름 바꾸기
시스템 폴더에 설치된 트로이 목마의 파일 이름은 일반적으로 고정되어 있으므로, 트로이 목마를 조사하는 문장 중 일부를 기준으로 시스템 폴더에서 특정 파일을 찾아 어떤 트로이 목마가 있는지 확인할 수 있다. 따라서 현재 제어측 사용자가 설치 후 트로이 목마 파일 이름을 자유롭게 사용자 정의할 수 있는 트로이 목마가 많기 때문에 감염된 트로이 목마 유형을 판단하기가 어렵다.
3. 트로이 목마
서버 사용자가 트로이 목마 또는 번들 목마 프로그램을 실행하면 트로이 목마가 자동으로 설치됩니다. 먼저 자신을 WINDOWS 의 시스템 폴더 (C:WINDOWS 또는 C:WINDOWSSYSTEM 디렉토리 아래) 에 복사한 다음 레지스트리, 시작 그룹, 비시작 그룹에 트로이 목마의 트리거 조건을 설정하여 트로이 목마 설치를 완료합니다. 설치 후 트로이 목마를 시작할 수 있습니다. 구체적인 절차는 다음과 같습니다.
(1) 트리거 조건으로 트로이 목마 활성화
트리거 조건은 트로이 목마를 시작하는 조건이며, 대략 8 개 장소에 나타납니다.
1. 레지스트리: HKEY _ local _ macal 열기
2.WIN.INI:C:WINDOWS 디렉토리에 텍스트로 열리는 구성 파일 win.ini 가 있고, [windows] 필드에 시작 명령 load= 및 run= 이 있으며 일반적으로 비어 있습니다 3.SYSTEM.INI:C:WINDOWS 디렉토리에 구성 파일 system.ini 가 있습니다. 텍스트로 열립니다. [386Enh],[mic], [drivers32] 에 명령줄이 있습니다
4.Autoexec.bat 및 Config.sys: CD 루트 아래에 있는 두 파일 모두 트로이 목마를 시작할 수 있습니다. 그러나 이러한 로드 방식은 일반적으로 제어측 사용자가 서버측과 연결을 설정한 후 트로이 목마 시작 명령이 추가된 동일한 이름의 파일을 서버측에 업로드하여 두 파일을 덮어써야 합니다.
5.*.INI: 응용 프로그램의 시작 구성 파일이며, 이 파일들은 프로그램을 시작할 수 있는 기능을 이용하여 트로이 목마 시작 명령이 있는 동일한 이름의 파일을 서버에 업로드하여 같은 이름의 파일을 덮어씀으로써 시작 목마의 목적을 달성할 수 있습니다.
6. 레지스트리: HKEY_CLASSES_ROOT 파일 유형 ₩ \shellopencommand 키를 열고 키 값을 확인합니다. 예를 들어 국산목마' 빙하' 는 HKEY _ classes _ root xtfileshellopencommand 아래의 키 값을 수정하여' C :WINDOWS NOTEPAD.EXE %1' 을 또한 TXT 파일뿐 아니라 HTML, EXE, ZIP 등의 파일 시작 명령의 키 값을 수정하여 트로이 목마를 시작할 수 있습니다. 단,' 파일 유형' 이라는 키의 차이만 제외하면 TXT 는 txtfile,ZIP 는 WINZIP 입니다. 한번 찾아보세요.
7. 번들 파일: 이러한 트리거 조건을 달성하기 위해서는 먼저 제어측과 서버측이 트로이 목마를 통해 연결을 설정한 다음, 제어측 사용자가 도구 소프트웨어를 사용하여 트로이 목마 파일을 한 어플리케이션에 묶은 다음 서버에 업로드하여 원본 파일을 덮어씀으로써 트로이 목마가 삭제되더라도 트로이 목마가 묶인 어플리케이션을 실행하면 트로이 목마가 다시 설치됩니다.
8. 시작 메뉴:' 시작-프로그램-시작' 옵션에서도 트로이 목마에 대한 트리거 조건이 있을 수 있습니다.
(2) 트로이 실행 프로세스
트로이 목마가 활성화되면 메모리에 들어가 미리 정의된 트로이 목마 포트를 열어 제어측과의 연결을 준비합니다. 이때 서버 사용자는 MS-DOS 에서 NETSTAT -AN 을 입력하여 포트 상태를 볼 수 있습니다. 일반 PC 는 오프라인 상태에서는 포트가 열리지 않습니다. 포트가 열려 있으면 트로이 목마에 감염되었는지 주의해야 합니다. 다음은 컴퓨터가 트로이 목마에 감염된 후 NETSTAT 명령을 사용하여 포트의 두 가지 인스턴스를 보는 것입니다. < P > 여기서 ① 는 서버측에서 제어측과 연결이 설정되었을 때의 디스플레이 상태입니다. ② 는 서버측과 제어측이 아직 연결되지 않았을 때의 디스플레이 상태입니다. < P > 인터넷 접속 중 소프트웨어 다운로드, 편지 보내기, 인터넷 채팅 등은 반드시 일부 포트를 열어야 한다. 다음은 몇 가지 일반적인 포트다. < P > (1) 1--124 사이의 포트: 이 포트들은 예약된 포트라고 하며, SMTP 사용 21 과 같은 일부 대외 통신 프로그램용으로 쓰인다 소수의 트로이 목마만이 예약된 포트를 트로이 목마 포트로 사용합니다.
(2)125 이상 연속 포트: 인터넷을 통해 웹 사이트를 방문할 때 브라우저가 여러 개의 연속 포트를 열어 텍스트를 다운로드합니다. 사진은 125 이상 연속 포트입니다.
(3)4 포트: OICQ 의 통신 포트입니다.
(4)6667 포트: IRC 의 통신 포트입니다. 위에서 언급한 포트는 기본적으로 제외될 수 있습니다. 다른 포트가 열려 있는 경우, 특히 숫자가 큰 포트가 있다면 트로이 목마에 감염되었는지 의심해야 합니다. 물론 트로이 목마가 맞춤형 포트를 가지고 있다면 어떤 포트라도 트로이 목마 포트가 될 수 있습니다.
4. 정보 유출:
일반적으로 잘 설계된 트로이 목마에는 정보 피드백 메커니즘이 있습니다. 정보 피드백 메커니즘이란 목마가 성공적으로 설치된 후 일부 서버측의 하드웨어 및 소프트웨어 정보를 수집하고 E-메일, IRC 또는 ICO 를 통해 제어측 사용자에게 알리는 것을 말합니다. < P > 피드백 정보에서 제어부는 사용 중인 운영 체제, 시스템 디렉토리, 하드 디스크 파티션 상태, 시스템 암호 등 서버측의 일부 하드웨어 및 소프트웨어 정보를 알 수 있습니다. 이 정보 중 가장 중요한 것은 서버측 IP 입니다. 이 매개변수만 얻어야만 제어측이 서버측과 연결할 수 있기 때문입니다. 구체적인 접속 방법은 다음 섹션에서 설명하겠습니다.
5. 연결 설정:
섹션에서는 트로이 목마 연결이 어떻게 설정되었는지 설명합니다. 트로이 목마 연결 구축은 먼저 두 가지 조건을 충족해야 합니다. 하나는 서버측에 트로이 목마 프로그램이 설치되어 있다는 것입니다. 두 번째는 제어단이고, 서버측은 모두 온라인이어야 한다. 이를 바탕으로 제어단은 트로이 목마 포트를 통해 서비스측과 연결할 수 있다. < P > A 기계가 제어측, B 기계가 서버측이라고 가정하면 A 기의 경우 B 기계에 연결하려면 B 기계의 트로이 목마 포트와 IP 주소를 알아야 합니다. 트로이 목마 포트는 A 기계가 미리 미리 설정한 것으로 알려진 항목이므로 가장 중요한 것은 B 기계의 IP 주소를 얻는 방법입니다. B 기계의 IP 주소를 얻는 방법은 주로