트로이 목마는 무엇을 위해 사용되나요?
범주: 컴퓨터/네트워크 gt; 바이러스 백신
분석:
원리
기본 지식
트로이 목마의 원리를 소개하기에 앞서 트로이 목마에 대한 기본 지식을 미리 설명해야 하는데, 이러한 내용은 아래 여러 곳에서 언급될 것이기 때문이다.
완전한 트로이 목마 시스템은 하드웨어 부분, 소프트웨어 부분, 특정 연결 부분으로 구성됩니다.
(1) 하드웨어 부분: 트로이 목마 연결을 설정하는 데 필요한 하드웨어 개체입니다. 컨트롤러: 서버를 원격으로 제어하는 당사자입니다. 서버 : 관제단말에 의해 원격으로 제어되는 당사자. 인터넷: 제어 터미널은 서버를 원격으로 제어하고 데이터 전송을 위한 네트워크 캐리어입니다.
(2) 소프트웨어 부분: 원격 제어를 구현하는 데 필요한 소프트웨어 프로그램입니다. 제어 프로그램 : 제어가 서버를 원격으로 제어하기 위해 사용하는 프로그램. 트로이 목마 프로그램: 서버에 몰래 침입하여 운영 권한을 얻는 프로그램입니다. 트로이 목마 구성 프로그램: 트로이 목마 프로그램의 포트 번호, 발생 조건, 트로이 목마 이름 등을 설정하여 서버에서 더욱 숨겨지도록 하는 프로그램.
(3) 특정 연결 부분 : 인터넷을 통해 서버와 제어단 사이에 트로이목마 채널을 구축하기 위해 필요한 요소이다. 컨트롤러 IP, 서버 IP: 즉 제어단과 서버의 네트워크 주소이며 트로이목마가 데이터를 전송하는 목적지이기도 하다. 제어 종단 포트, 트로이 목마 포트: 즉 제어 종단과 서버 종단의 데이터 입구입니다. 이 입구를 통해 데이터는 제어 종단 프로그램이나 트로이 목마 프로그램에 직접 도달할 수 있습니다.
트로이 목마의 원리
트로이 목마를 해커 도구로 사용하여 네트워크 침입을 수행하는 과정은 대략 6단계로 나눌 수 있습니다(자세한 내용은 아래 그림 참조). 아래에서는 6단계를 거쳐 트로이 목마의 공격 원리를 자세히 설명하겠습니다.
1. 트로이 목마 구성
일반적으로 잘 설계된 트로이 목마에는 특정 구성 내용으로 볼 때 주로 다음 두 가지 기능을 달성하는 트로이 목마가 있습니다.
p>
(1) 트로이 목마 변장: 트로이 목마를 서버 측에서 최대한 숨기기 위해 트로이 목마 구성 프로그램은 아이콘 수정, 번들링 등 다양한 변장 방법을 사용합니다. 파일, 포트 사용자 정의, 자체 파괴 등 자세한 정보는 "트로이 목마 확산" 섹션에서 제공됩니다.
(2) 정보 피드백: 트로이 목마 구성 프로그램은 정보 피드백을 위한 이메일 주소, IRC 번호, ICO 번호 등을 설정하는 등 정보 피드백 방법이나 주소를 설정하여 세부 정보를 제공합니다. "정보 세부 사항은 피드백 섹션에 제공됩니다.
2. 트로이 목마의 전파
(1) 전파 방법:
트로이 목마의 전파 방법은 크게 두 가지가 있습니다. 하나는 E-MAIL을 통한 전파, 제어 터미널 수신자가 첨부 파일을 열면 시스템이 트로이 목마에 감염되고 다른 일부 비공식 웹 사이트는 소프트웨어 설치에 트로이 목마를 포함합니다. 소프트웨어 다운로드를 제공하는 이름입니다. 프로그램을 다운로드한 후 이러한 프로그램을 실행하자마자 트로이 목마가 자동으로 설치됩니다.
(2) 위장 방법:
트로이 목마의 유해성을 고려하여 많은 사람들은 여전히 트로이 목마 지식에 대해 어느 정도 이해하고 있으며 이는 트로이 목마 확산을 억제하는 효과가 있습니다. 이는 트로이 목마 설계자들이 보고 싶어하지 않는 것이므로 사용자의 주의력을 낮추고 속이기 위해 트로이 목마를 위장하는 다양한 기능을 개발했습니다.
(1) 아이콘 수정
E-MAIL 첨부파일에 이 아이콘이 보이면 텍스트 파일인 줄 아시죠? 트로이 목마 프로그램일 수도 있습니다. 트로이 목마 서버 프로그램의 아이콘을 HTML, TXT, ZIP 등 다양한 파일의 아이콘으로 변경할 수 있는 트로이 목마가 이미 존재합니다. 이는 상당히 혼란스러운데 현재로서는 없습니다. 이 기능을 제공하는 트로이 목마는 드물고 변장도 완벽하지 않으므로 하루 종일 경계하고 의심할 필요가 없습니다.
(2) 묶음 파일
이 위장 방법은 설치 프로그램이 실행되면 트로이 목마가 몰래 시스템에 침입하는 것입니다. 번들 파일은 일반적으로 실행 파일(예: EXE, COM 및 기타 파일)입니다.
(3) 오류 표시
트로이 목마에 대해 조금이라도 아는 사람이라면 파일을 열 때 응답이 없으면 트로이 목마 프로그램의 설계자일 가능성이 높습니다. 트로이 목마도 이 결함을 인지하고 일부 트로이 목마는 오류 표시라는 기능을 제공했습니다. 서버 사용자가 트로이 목마 프로그램을 열면 아래 그림과 같은 오류 프롬프트 상자가 나타납니다(물론 가짜입니다). 오류 내용은 자유롭게 정의할 수 있으며 대부분은 " 파일이 손상되어 열 수 없습니다!" 서버 사용자들이 그 정보를 사실이라고 믿었을 때, 트로이 목마가 조용히 시스템에 침입했습니다.
(4) 사용자 정의 포트
많은 구식 트로이 목마 포트가 수정되어 트로이 목마가 감염되었는지 쉽게 확인할 수 있습니다. 특정 포트만 확인하면 감염 여부를 알 수 있습니다. 어떤 종류의 트로이 목마가 있으므로 이제 많은 새로운 트로이 목마가 포트를 사용자 정의하는 기능을 추가했습니다. 제어 최종 사용자는 1024---65535 사이의 포트를 트로이 목마 포트로 선택할 수 있으므로(일반적으로 1024 미만의 포트는 선택하지 마십시오) 감염된 트로이 목마의 유형을 결정하면 문제가 발생합니다.
(5) 자멸
트로이목마의 취약점을 보완하는 기능이다. 우리는 서버 사용자가 트로이 목마가 포함된 파일을 열면 트로이 목마가 WINDOWS 시스템 폴더(C:\WINDOWS 또는 C:\WINDOWS\SYSTEM 디렉터리)에 자신을 복사한다는 것을 알고 있습니다. 폴더에 있는 트로이목마 파일의 크기는 동일하므로(파일과 함께 제공되는 트로이목마 제외) 트로이목마에 걸린 친구는 최근 받은 편지와 다운로드한 소프트웨어에서 원본 트로이목마 파일만 찾으면 되고, 그런 다음 원본 트로이 목마의 크기에 따라 시스템 파일로 이동합니다. 동일한 크기의 파일을 찾아서 어떤 파일이 트로이 목마인지 확인하면 됩니다. 트로이 목마의 자체 파괴 기능은 트로이 목마가 설치된 후 원본 트로이 목마 파일이 자동으로 파괴되어 서버 사용자가 트로이 목마의 소스를 찾기 어렵게 만드는 것을 의미합니다. 또한 도움 없이는 트로이 목마를 삭제하기도 어렵습니다. 트로이 목마 살해 도구.
(6) 트로이목마 이름 바꾸기
시스템 폴더에 설치된 트로이목마의 파일명은 일반적으로 고정되어 있으므로 트로이목마 죽이기 관련 글을 따라가서 검색해보시면 됩니다. 그림에 따른 시스템 폴더 특정 파일을 찾아보면 어떤 트로이 목마가 공격을 받았는지 확인할 수 있습니다. 따라서 이제 많은 트로이 목마는 제어 사용자가 설치 후 트로이 목마 파일 이름을 자유롭게 사용자 정의할 수 있도록 허용하므로 감염된 트로이 목마 유형을 확인하기가 어렵습니다.
3. 트로이 목마 실행
서버 사용자가 트로이 목마나 트로이 목마를 번들로 제공하는 프로그램을 실행하면 자동으로 트로이 목마가 설치됩니다. 먼저 WINDOWS 시스템 폴더(C:\WINDOWS 또는 C:\WINDOWS\SYSTEM 디렉터리)에 자신을 복사한 다음 레지스트리, 시작 그룹 및 비시작 그룹에서 트로이 목마에 대한 트리거 조건을 설정하여 트로이 목마가 설치가 완료되었습니다. 설치 후 트로이 목마를 시작할 수 있습니다. 구체적인 프로세스는 아래 그림과 같습니다.
(1) 트리거 조건에 의한 트로이 목마 활성화
트리거 조건은 다음의 조건을 참조합니다. 일반적으로 다음 8개 위치에 나타나는 트로이 목마 시작:
1. 레지스트리: HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\에서 Run 및 RunServices라는 이름의 5개 기본 키를 열고 키를 찾습니다. 트로이 목마를 시작하는 데 사용될 수 있는 값입니다.
2. WIN.INI: C:\WINDOWS 디렉터리에 win.ini 구성 파일이 있습니다. 이 파일을 텍스트 모드로 엽니다. [windows] 필드에 시작 명령 load= 및 run=이 있습니다. .전체적으로 하단이 비어있습니다. 시작프로그램이 있다면 트로이목마일 가능성이 있습니다. 3.SYSTEM.INI: C:\WINDOWS 디렉터리에 system.ini 구성 파일이 있습니다. 이를 텍스트 모드로 엽니다. [386Enh], [mic] 및 [drivers32]에 명령줄이 있습니다. 트로이 목마의 명령.
4.Autoexec.bat 및 Config.sys: C 드라이브의 루트 디렉터리에 있는 이 두 파일도 트로이 목마를 시작할 수 있습니다. 그러나 이 로딩 방법은 일반적으로 제어 사용자가 서버와 연결을 설정한 다음 트로이 목마 시작 명령을 추가한 동일한 이름의 파일을 서버에 업로드하여 이 두 파일을 덮어써야 합니다.
5.*.INI: 애플리케이션의 시작 구성 파일 제어측은 이러한 파일의 특성을 이용하여 프로그램을 시작하고 트로이 목마 시작 명령과 함께 준비된 파일을 동일한 이름으로 업로드합니다. 서버는 동일한 이름의 파일을 덮어 트로이 목마 실행 목적을 달성할 수 있습니다.
6. 레지스트리: HKEY_CLASSES_ROOT\file type\shell\open\mand 기본 키를 열고 해당 키 값을 확인합니다. 예를 들어 국내 트로이 목마 "Binghe"는 HKEY_CLASSES_ROOT\txtfile\shell\open\mand 아래의 키 값을 수정하여 "C:\WINDOWS\NOTEPAD.EXE 1"을 "C:\WINDOWS\SYSTEM\SYXXXPLR.EXE" 1로 변경합니다. ". 이때 TXT 파일을 더블클릭하면 원래는 NOTEPAD를 사용하여 파일이 열렸으나 이제는 트로이목마 프로그램이 시작됩니다. 또한 TXT 파일뿐만 아니라 HTML, EXE, ZIP 및 기타 파일의 시작 명령 키 값을 수정하여 트로이 목마를 시작할 수 있다는 점에 유의해야 합니다. 유일한 차이점은 "파일 형식"의 기본 키에 있습니다. TXT는 txtfile이고 ZIP은 WINZIP입니다. 찾아보실 수 있습니다.
7. 파일 묶음: 이 트리거 조건을 달성하려면 먼저 제어단과 서버단이 트로이 목마를 통해 연결을 설정해야 하며, 제어 최종 사용자는 도구 소프트웨어를 사용하여 트로이 목마 파일을 묶습니다. 그런 다음 서버에 업로드하여 원본 파일을 덮어쓰게 되므로 트로이 목마가 삭제되더라도 해당 트로이 목마와 함께 제공되는 응용 프로그램을 실행하면 트로이 목마가 다시 설치됩니다.
8. 시작 메뉴: "시작 --- 프로그램 --- 시작" 옵션 아래에 트로이 목마 트리거 조건이 있을 수도 있습니다.
(2) 트로이목마 실행 프로세스
트로이목마는 활성화된 후 메모리에 진입하여 미리 정의된 트로이목마 포트를 오픈하여 제어단말과의 연결을 준비한다. 이때 서버 사용자는 MS-DOS 모드에서 NETSTAT -AN을 입력하여 포트 상태를 확인할 수 있습니다. 일반적으로 개인용 컴퓨터는 오프라인일 때 포트가 열려 있지 않습니다. 트로이 목마에 감염되었는지 여부. 다음은 컴퓨터가 트로이 목마에 감염된 후 포트를 보기 위해 NETSTAT 명령을 사용하는 두 가지 예입니다.
그 중 ①은 서버와 제어 측이 연결되었을 때의 표시 상태이고, ②는 서버와 제어측은 당시에 아직 연결을 설정하지 않았습니다.
소프트웨어 다운로드, 편지 보내기, 온라인 채팅 등을 할 때 일부 포트를 열어야 합니다. 다음은 일반적으로 사용되는 포트입니다.
(1) 1--- 사이 1024 포트: 이 포트는 예약된 포트라고 하며, 21을 사용하는 FTP, 25를 사용하는 SMTP, 110을 사용하는 POP3 등과 같은 일부 외부 통신 프로그램에 특별히 사용됩니다. 소수의 트로이 목마만이 예약된 포트를 트로이 목마 포트로 사용합니다.
(2) 1025 이상의 직렬 포트: 온라인으로 웹사이트를 탐색할 때 브라우저는 텍스트와 그림을 로컬 하드 디스크에 다운로드하기 위해 여러 개의 직렬 포트를 엽니다. 이 포트는 모두 1025 이상의 직렬 포트입니다.
(3) 포트 4000 : OICQ의 통신 포트입니다.
(4) 포트 6667: IRC의 통신 포트입니다. 위의 포트 외에도 다른 포트, 특히 상대적으로 값이 큰 포트가 열려 있는 것을 발견하면 트로이 목마에 감염되었는지 의심해 보아야 합니다. 포트를 사용자 정의하면 모든 포트가 트로이 목마 포트일 수 있습니다.
4. 정보 유출:
일반적으로 잘 설계된 트로이 목마에는 정보 피드백 메커니즘이 있습니다. 소위 정보 피드백 메커니즘은 트로이 목마가 성공적으로 설치된 후 일부 서버 측 소프트웨어 및 하드웨어 정보를 수집하고 전자 메일, IRC 또는 ICO를 통해 제어 최종 사용자에게 알린다는 것을 의미합니다. 아래 사진은 일반적인 정보 피드백 이메일입니다.
이 이메일을 통해 우리는 사용된 운영 체제, 시스템 디렉터리, 하드 디스크 파티션 상태, 시스템 비밀번호 등을 포함하여 서버의 일부 소프트웨어 및 하드웨어 정보를 알 수 있습니다. 이러한 정보 중에서 가장 중요한 것은 왜냐하면 이 매개변수를 획득해야만 제어 측이 서버 측과 연결을 설정할 수 있기 때문입니다. 구체적인 연결 방법은 다음 섹션에서 설명하겠습니다.
5. 연결 설정:
이 섹션에서는 트로이 목마 연결이 설정되는 방법을 설명합니다. 트로이 목마 연결을 설정하려면 먼저 두 가지 조건을 충족해야 합니다. 첫째, 트로이 목마 프로그램이 서버에 설치되어 있어야 하며, 둘째, 제어 터미널과 서버가 모두 온라인 상태여야 합니다. 이를 기반으로 제어 단말은 트로이 목마 포트를 통해 서버와 연결을 맺을 수 있다. 설명의 편의를 위해 도표를 사용하여 설명하겠습니다.
위 그림에서 볼 수 있듯이 머신 A는 제어단이고 머신 B는 서버입니다. 머신 A가 머신 B와 연결을 설정하려면 머신의 트로이 목마 포트와 IP 주소를 알아야 합니다. 나. 트로이목마 포트는 A이기 때문에 해당 머신은 미리 설정되어 있고 알려진 항목이므로 B 머신의 IP 주소를 어떻게 얻어내느냐가 가장 중요하다. 컴퓨터 B의 IP 주소를 얻는 두 가지 주요 방법은 정보 피드백과 IP 스캐닝입니다. 전자는 이전 섹션에서 소개되었으므로 IP 스캐닝에 집중하지 않겠습니다. 머신 B에는 트로이 목마 프로그램이 탑재되어 있으므로 트로이 목마 포트 7626이 열려 있으므로 이제 머신 A는 호스트만 스캔합니다. 예를 들어, 그림에서 머신 B의 IP 주소는 202.102.47.56입니다. 머신 A가 이 IP를 스캔하여 포트 7626이 열려 있음을 발견하면 이 IP가 그러면 시스템 A는 트로이 목마의 제어 프로그램을 통해 시스템 B에 연결 신호를 보낼 수 있습니다. 시스템 B의 트로이 목마 프로그램은 신호를 받은 후 즉시 응답하며 포트 1031을 엽니다. 머신 B의 트로이 목마 포트 7626에 연결됩니다. 이때 실제로 트로이 목마 연결이 설정됩니다. 전체 IP 주소 범위를 검색하는 것은 분명히 시간이 많이 걸리고 힘들다는 점을 언급할 가치가 있습니다. 일반적으로 제어 측에서는 먼저 전화 접속 인터넷 액세스의 IP 주소를 통해 서버의 IP 주소를 얻습니다. 즉, 사용자의 IP 주소는 인터넷에 접속할 때마다 다릅니다. 하지만 이 IP는 특정 범위 내에서 변경됩니다. 그림에서 머신 B의 IP는 202.102.47.56이므로 머신의 변경 범위는 다음과 같습니다. B의 인터넷 IP는 202.102.000.000---202.102.255.255이므로 제어가 종료될 때마다 이 IP 주소 범위를 검색하면 B 머신을 찾을 수 있습니다.
6. 원격 제어:
트로이 목마 연결이 설정되면 아래 그림과 같이 제어 포트와 트로이 목마 포트 사이에 채널이 나타납니다.
제어 포트 서버의 제어 프로그램은 이 채널을 이용하여 서버의 트로이 목마 프로그램에 접속할 수 있으며, 트로이 목마 프로그램을 통해 서버를 원격으로 제어할 수 있습니다. 아래에서는 여러분이 생각하는 것보다 훨씬 더 큰, 제어 단말이 누릴 수 있는 구체적인 제어 권한을 소개하겠습니다.
(1) 비밀번호 훔치기: 일반 텍스트, * 형식 또는 CACHE에 캐시된 모든 비밀번호는 트로이 목마에 의해 감지될 수 있습니다. 또한 많은 트로이 목마는 키보드 입력을 모두 기록하는 키 입력 기록 기능도 제공합니다. 서버이므로 트로이 목마가 침입하면 비밀번호를 쉽게 도난당할 수 있습니다.
(2) 파일 작업: 제어 터미널은 원격 제어를 사용하여 서버의 파일에 대한 삭제, 생성, 수정, 업로드, 다운로드, 실행, 속성 변경 및 기타 작업을 기본적으로 수행할 수 있습니다. 이는 기본적으로 WINDOWS 모든 작업을 포함합니다. 플랫폼에서 파일 작업 기능을 수행합니다.
(3) 레지스트리 수정: 제어 측에서는 기본 키, 하위 키 및 키 값의 삭제, 생성 또는 수정을 포함하여 서버 레지스트리를 마음대로 수정할 수 있습니다. 이 기능을 통해 제어 터미널은 서버의 플로피 드라이브와 CD-ROM 드라이브의 사용을 금지하고, 서버의 레지스트리를 잠그고, 서버의 트로이 목마 발생 조건을 보다 교묘하고 일련의 고급 작업으로 설정할 수 있습니다.
(4) 시스템 작동: 이 내용에는 서버 운영체제 재시작 또는 종료, 서버 네트워크 연결 끊기, 서버의 마우스 및 키보드 제어, 서버 데스크탑 작동 모니터링, 서버 프로세스 보기 등이 포함됩니다. 제어 터미널은 언제든지 서버에 정보를 보낼 수도 있습니다. 갑자기 서버의 데스크탑에 문단이 나타날 때 그렇게 하지 않으면 놀랄 것입니다.