백도어 트로이 목마란 무엇인가요?
백도어 트로이 목마(이하 트로이 목마)는 영어로 '트로이 목마'라고 하는데, 그 이름은 그리스 신화에 나오는 트로이 목마에서 따온 것이다. 원격제어 기반의 해킹툴. 트로이 목마는 해커가 수행하는 다양한 공격에서 선구적인 역할을 합니다. 트로이 목마는 클라이언트/서비스 모델에 속합니다. 클라이언트와 서버라는 두 부분으로 나누어집니다. 원칙은 한 호스트가 서비스(서버)를 제공하고 다른 호스트가 서비스(클라이언트)를 수신한다는 것입니다. 서버는 일반적으로 수신을 위해 기본 포트를 엽니다. 클라이언트가 서버의 이 포트에 연결 요청을 하면 서버의 해당 프로그램이 자동으로 실행되어 클라이언트의 요청에 응답합니다. 이 프로그램을 데몬이라고 합니다. 유명한 Trojan Glacier를 예로 들면, 제어되는 터미널은 서버로 간주될 수 있으며, 제어되는 터미널은 클라이언트입니다. 서버 프로그램 G_Server.exe는 데몬 프로세스이고 G_Client.exe는 클라이언트 애플리케이션입니다.
백도어 트로이 목마를 숨기는 방법:
트로이 목마를 더 잘 이해하기 위해 트로이 목마를 숨기는 주요 방법을 살펴보겠습니다. 1. 이를 숨기는 방법은 다음과 같습니다. 작업 표시줄이 가장 기본입니다. 설명할 수 없는 아이콘이 Windows 작업 표시줄에 나타나면 바보라면 무슨 일이 일어나고 있는지 이해할 것입니다. VB에서는 양식의 Viseble 속성이 False로 설정되고 ShowInTaskBar가 False로 설정되어 있으면 프로그램이 작업 표시줄에 나타나지 않습니다. 2. 작업 관리자에서 숨기기 실행 중인 프로세스를 보는 가장 쉬운 방법은 나타나는 작업 관리자에서 ctrl+alt+del을 누르는 것입니다. ctrl+alt+del을 누른 후 실행 중인 트로이 목마가 보이면 이는 확실히 좋은 트로이 목마가 아닙니다. 따라서 트로이 목마는 작업 관리자에 나타나지 않도록 자신을 위장하기 위해 가능한 모든 수단을 시도합니다. 트로이 목마는 스스로를 "시스템 서비스"로 설정함으로써 쉽게 속일 수 있다는 사실을 발견했습니다. 따라서 ctrl+alt+del을 눌러 트로이 목마를 찾는 것은 비현실적입니다. 3. 포트 기계에는 65536개의 포트가 있습니다. 이렇게 많은 포트에 주의를 기울이시겠습니까? 트로이 목마는 귀하의 포트에 큰 관심을 기울입니다. 조금만 주의를 기울이면 대부분의 트로이 목마가 사용하는 포트가 1024 이상이고 그 추세가 점점 커지고 있다는 것을 어렵지 않게 발견할 수 있습니다. 물론 1024 이하의 포트를 점유하는 트로이 목마도 있습니다. 그러나 이러한 포트는 일반적으로 사용되는 포트이므로 이러한 포트를 점유하면 시스템 이상이 발생할 수 있습니다. 이 경우 트로이 목마는 쉽게 노출됩니다. 트로이 목마가 점유하고 있는 일부 포트를 알고 있고 이러한 포트를 자주 검색할 수도 있지만 이제 트로이 목마는 모두 포트 수정 기능을 제공합니다. 65536개의 포트를 검색할 시간이 있습니까? 4. 트로이 목마의 로딩 방법이 숨겨져 있습니다. 트로이 목마의 로딩 방법은 온갖 종류가 있다고 할 수 있습니다. 그러나 서로 다른 경로는 동일한 목표로 이어지며 모두 동일한 목표, 즉 트로이 목마의 서버 프로그램을 실행할 수 있도록 하는 것입니다. 트로이 목마가 변장을 추가하지 않는 경우. 그냥 이게 트로이 목마라고만 말하면 실행하면 이상할 것 같아요. 웹 사이트 상호 작용이 지속적으로 발전함에 따라 JavaScript, VBScript, ActiveX, XLM 등 점점 더 많은 것들이 트로이 목마의 전파 매체가 될 수 있습니다. www의 거의 모든 새로운 기능은 트로이 목마의 급속한 진화로 이어질 것입니다. 5. 트로이 목마 이름 지정 트로이 목마 서버 프로그램 이름을 지정하는 데에도 많은 지식이 있습니다. 변경하지 않는 경우 원래 이름을 사용하세요. 이것이 트로이 목마 프로그램이라는 것을 모르는 사람이 있을까요? 그래서 트로이 목마의 이름도 이상하다. 하지만 대부분은 시스템 파일명과 유사한 이름으로 변경되어 있습니다. 시스템 파일에 대해 충분히 알지 못하면 위험할 수 있습니다. 예를 들어 일부 트로이 목마는 이름을 window.exe로 변경합니다. 자신이 트로이 목마임을 알리지 않으면 삭제하시겠습니까? 또 다른 일은 dll을 dl로 변경하는 등 일부 접미사 이름을 변경하는 것입니다. 주의 깊게 보지 않으면 찾을 수 있습니까? 6. 최신 스텔스 기술 현재는 위에서 일반적으로 사용되는 스텔스 기술 외에도 더 새롭고 더 은밀한 방법이 등장했습니다. 즉, 가상장치 드라이버(vxd)를 수정하거나 동적링크라이브러리(DLL)를 수정하는 것이다.
이 방법은 일반적인 방법과 다릅니다. 기본적으로 원래의 트로이 목마 모드(리스닝 포트)를 제거하고 시스템 기능을 대체하는 방법(vxd 또는 DLL 파일 다시 작성)을 사용합니다. DLL을 수정하고 모든 함수 호출을 필터링합니다. 일반적으로 사용되는 호출의 경우 함수 전달자를 사용하여 이를 대체된 시스템 DLL로 직접 전달합니다. 사전에 합의된 일부 특별한 상황에서는 DLL이 일부 해당 작업을 수행합니다. 실제로 이러한 트로이 목마는 대부분 DLL을 사용하여 모니터링합니다. 제어 터미널의 연결 요청이 발견되면 스스로 활성화되고 정상적인 트로이 목마 작업을 수행하는 프로세스에 연결됩니다. 이것의 장점은 새 파일이 추가되지 않고, 새 포트를 열 필요가 없으며, 새 프로세스가 생성되지 않으며, 일반적인 방법으로는 트로이 목마가 정상적으로 작동하는 동안에는 거의 증상이 없으며 일단 트로이 목마가 발생하면 탐지할 수 없다는 것입니다. 제어 종료는 제어 터미널이 특정 메시지를 보낸 후 숨겨진 프로그램이 즉시 작동을 시작합니다.