트로이마란 무엇입니까?
원격 제어에 기반한 해커 도구로서 은폐성과 비허가성의 특징을 가지고 있다.
은폐란 트로이의 디자이너가 트로이가 발견되지 않도록 여러 가지 방법으로 트로이를 숨겨서 서버가 트로이에 감염된 것을 발견하더라도' 말' 을 보고 탄식할 수밖에 없다. 정확한 위치를 확인할 수 없기 때문이다.
권한 없음이란 제어 터미널이 서버에 연결되면 제어 터미널은 파일 수정, 레지스트리 수정, 마우스 키보드 제어 등 대부분의 서버 운영 권한을 갖게 된다는 의미입니다. 이러한 권리는 서버에 의해 부여되는 것이 아니라 트로이마 프로그램에 의해 도난당했습니다.
트로이마의 발전으로 볼 때, 기본적으로 두 단계로 나눌 수 있다.
처음에 인터넷은 아직 유닉스 플랫폼 시대에 있었고, 트로이마가 생겨났다. 당시 트로이 목마 프로그램의 기능은 비교적 간단했다. 종종 시스템 파일에 프로그램을 내장하고 점프 명령을 이용하여 트로이 목마의 기능을 수행하곤 했다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 이 시기에 트로이마의 디자이너와 사용자들은 대부분 기술자였으며, 그들은 상당한 네트워크와 프로그래밍 지식을 갖추어야 했다.
그런 다음 WINDOWS 플랫폼이 보편화되면서 그래픽 조작 기반 트로이 목마 프로그램이 등장해 사용자 인터페이스가 개선되어 사용자가 전문 지식을 많이 알지 않고도 트로이 목마를 능숙하게 조작할 수 있게 되었습니다. 상대 트로이 목마 침입도 빈번했고, 그동안 트로이 목마의 기능이 완벽해지면서 서버에 대한 피해가 더욱 커졌다.
그래서, 트로이 목마는 오늘까지 발전했고, 그것이 할 수 있는 모든 것을 해냈다. 일단 그것이 트로이마에 의해 통제되면, 너의 컴퓨터는 비밀이 없을 것이다.
트로이마의 막대한 피해를 감안할 때, 우리는 세 부분으로 나누어 트로이마를 상세히 소개할 것이다: 원문편, 방어반격편, 정보편. 트로이 목마를 공격 수단으로 철저히 이해하시기 바랍니다.
원문
기초지식
트로이마의 원리를 소개하기 전에, 우리는 트로이마의 기초를 미리 설명해야 한다. 그 내용은 다음과 같은 여러 곳에서 언급해야 하기 때문이다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)
완전한 트로이 목마 시스템은 하드웨어 부분, 소프트웨어 부분 및 특정 연결 부분으로 구성됩니다.
(1) 하드웨어 섹션: 트로이 목마 연결을 설정하는 데 필요한 하드웨어 엔터티입니다. 제어 터미널: 원격 제어 서버 측. 서버: 제어 터미널 원격 제어 당사자. 인터넷: 제어 터미널에서 서비스 터미널까지 원격 제어 및 데이터 전송을 위한 네트워크 캐리어입니다.
(2) 소프트웨어 섹션: 원격 제어를 실현하는 데 필요한 소프트웨어 프로그램. 제어 터미널 프로그램: 제어 터미널이 원격으로 서버를 제어하는 프로그램입니다. 트로이 목마 프로그램: 서버에 잠입해 운영 권한을 얻는 프로그램. 트로이 구성기: 포트 번호, 트리거 조건, 트로이 이름 등을 설정하는 프로그램입니다. 서버에서 더 잘 숨길 수 있도록 합니다.
(3) 특정 연결 섹션: 인터넷을 통해 서버와 제어 터미널 사이에 트로이 목마 채널을 구축하는 데 필요한 요소. 제어측 IP 및 서버측 IP: 제어측과 서버측의 네트워크 주소이자 트로이마가 데이터를 전송하는 대상입니다. 제어 포트, 트로이 목마 포트: 제어 터미널과 서버의 데이터 입구를 제어하여 제어 터미널 프로그램이나 트로이 목마 프로그램에 직접 접근할 수 있습니다.
트로이 목마
트로이를 해커 도구로 이용한 사이버 침입은 대략 6 단계로 나눌 수 있다 (아래 그림 참조). 이 6 단계에 따라 트로이의 공격 원리를 설명하자.
1. 트로이 목마 구성
일반적으로 잘 설계된 트로이는 트로이 구성 프로그램을 가지고 있다. 구체적인 구성 내용을 보면 주로 다음 두 가지 기능을 구현합니다.
(1) 트로이 위장: 서버에서 가능한 한 트로이를 숨기기 위해 트로이 구성기는 아이콘 수정, 파일 바인딩, 포트 사용자 정의, 자폭 등 다양한 위장 방식을 사용합니다. 우리는' 전파목마' 섹션에서 자세히 소개할 것이다.
(2) 정보 피드백: 트로이 구성기는 정보 피드백을 설정하는 메일박스, IRC 번호, ICO 번호 등과 같은 정보 피드백 방법 또는 주소를 설정합니다. 자세한 내용은 "정보 피드백" 섹션에서 설명하겠습니다.
둘. 트로이 목마를 전파하다
(1) 전송 방법:
트로이 바이러스의 전파 경로는 크게 두 가지가 있다. 하나는 이메일, 제어 터미널을 통해 트로이 목마 프로그램을 첨부 파일로 보내는 것이고, 수신자는 첨부 파일 시스템을 켜면 트로이 바이러스에 감염된다. 다른 하나는 소프트웨어 다운로드입니다. 일부 비공식 사이트는 소프트웨어 다운로드를 제공한다는 이름으로 트로이 목마를 소프트웨어 설치 프로그램에 바인딩한다. 다운로드 후, 이 프로그램들은 실행되자마자 자동으로 목마를 설치한다.
(2) 위장 모드:
목마의 위험성을 감안해 많은 사람들이 목마에 대해 어느 정도 알고 있고, 목마의 전파에 어느 정도 억제작용을 하는데, 이는 목마 디자이너가 보기 싫은 것이다. 따라서 그들은 사용자의 경각심을 낮추고 사용자를 속이기 위해 트로이 목마를 위장하는 다양한 기능을 개발했다.
(1) 아이콘을 수정합니다
이메일의 첨부 파일에서 이 아이콘을 볼 때 텍스트 파일이라고 생각하십니까? 그러나 나는 그것이 트로이 목마 프로그램 일 수 있다고 말하고 싶다. 현재 트로이 목마 서버 프로그램의 아이콘을 HTML, TXT, ZIP 등 각종 파일의 아이콘으로 바꿀 수 있는 트로이 목마가 있다는 것은 상당히 혼란스럽지만, 현재 이 기능을 제공하는 목마는 흔치 않다. 이런 위장도 흠잡을 데 없는 것이 아니다. 하루 종일 조마조마할 필요가 없다.
(2) 번들 파일
이 위장 방법은 트로이 말을 설치 프로그램에 바인딩하는 것이다. 설치 프로그램이 실행되면 트로이 목마는 사용자가 모르는 사이에 시스템에 몰래 들어간다. 번들로 제공되는 파일의 경우 일반적으로 실행 파일 (예: EXE, COM 등) 입니다.
(3) 오류 표시
트로이 목마에 대해 어느 정도 알고 있는 사람들은 파일을 열어도 아무런 반응이 없다면 트로이 프로그램일 가능성이 높으며, 목마 디자이너도 이 결함을 인식하고 있기 때문에 일부 목마는 오류 표시라는 기능을 제공한다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 서버 사용자가 Muma 프로그램을 열면 다음 그림과 같은 오류 프롬프트 상자가 나타납니다 (물론 거짓). 잘못된 내용은 자유롭게 정의할 수 있으며, 대부분' 파일 손상, 열 수 없다!' 이러한 정보, 서버 사용자가 진짜라고 믿었을 때 트로이 목마는 이미 조용히 시스템을 침범했다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)
(4) 맞춤형 포트
많은 오래된 트로이 항구는 고정되어 있어서 트로이가 감염되었는지 아닌지를 판단하는 데 편리함을 가져다 주었다. 특정 포트만 확인하면 트로이가 감염된 것을 알 수 있다. 따라서 현재 많은 새 트로이 목마는 맞춤형 포트 기능을 추가하고, 컨트롤 엔드 사용자는 1024-65535 사이의 모든 포트를 트로이 포트 (일반적으로 1024 이하 포트 선택 안 함) 로 선택할 수 있다
(5) 자기 파괴
이 기능은 트로이 말의 결함을 보완하기 위한 것이다. 서버 사용자가 트로이 목마가 포함된 파일을 열면 트로이 목마가 자신을 WINDOWS 의 시스템 폴더 (C:WINDOWS 또는 C:WINDOWSSYSTEM 디렉토리 아래) 로 복제한다는 것을 잘 알고 있습니다. 일반적으로 시스템 폴더에 있는 트로이 목마 파일의 원본과 트로이 목마 파일의 크기는 동일합니다 (파일을 묶은 트로이 목마 제외). 따라서 트로이 목마에 맞은 친구는 최근 받은 편지와 다운로드한 소프트웨어에서 트로이 목마 원본을 찾기만 하면 됩니다. 그런 다음 트로이 목마 원본의 크기에 따라 시스템 폴더에 가서 크기가 같은 파일을 찾아 어느 것이 트로이마인지 판단하면 됩니다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 트로이의 자폭 기능은 트로이 목마가 설치되면 원래의 트로이 파일이 자동으로 파괴되기 때문에 서버 사용자가 트로이의 출처를 찾기가 어렵고, 트로이를 죽이는 도구를 이용하지 않고도 트로이를 삭제하기가 어렵다는 것을 의미한다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)
(6) 트로이 개명
시스템 폴더에 설치된 트로이 목마 파일 이름은 일반적으로 고정되어 있으므로, 트로이 목마를 조사하는 문장 몇 개에 따라 시스템 폴더에서 특정 파일을 찾기만 하면 자신이 어떤 트로이 목마를 가지고 있는지 확인할 수 있다. 따라서 현재 많은 트로이 목마는 통제측의 사용자가 자유롭게 설치한 트로이 파일 이름을 사용자 정의할 수 있도록 허용하고 있어 감염된 트로이의 유형을 결정하기가 어렵다.
세 번째 단계: 트로이 목마 실행
서버 사용자가 트로이를 실행하거나 트로이를 바인딩하는 프로그램을 실행하면 트로이가 자동으로 설치됩니다. 먼저 자신을 WINDOWS 의 시스템 폴더 (C:WINDOWS 또는 C:WINDOWSSYSTEM 디렉토리) 에 복제한 다음 레지스트리, 시작그룹, 시작그룹에 트로이의 트리거 조건을 설정하여 트로이 설치를 완료합니다. 설치 후 트로이 마를 시작할 수 있습니다. 구체적인 절차는 아래 그림과 같습니다.
(1) 트로이 목마는 트리거 조건에 의해 활성화됩니다
트리거 조건은 트로이 목마를 시작하는 조건이며 일반적으로 다음 8 개 장소에서 발생합니다.
1. 레지스트리: HKEY _ local _ machinesoftwaremicrosoftwindowscurentversion 에서 Run 및 RunServices 의 5 개 키 값을 열어 트로이를 시작한 것일 수 있는 키 값을 찾습니다
2.win. ini:c:Windows 디렉토리에 구성 파일 win.ini 가 있어 텍스트로 열립니다. [windows] 필드에는 시작 명령인 load= 및 run= 이 있습니다. 일반적으로 비어 있습니다. 만약 시동기가 있다면, 그것은 트로이 말일 것이다. 3.system.ini: C: 구성 파일 시스템이 있습니다. 텍스트로 열리는 ini 파일입니다. [386Enh], [mic] 및 [drivers32] 에는 트로이 목마의 시작 명령을 찾을 수 있는 명령줄이 있습니다.
4.Autoexec.bat 와 config.sys: CD 루트 아래에 있는 두 파일도 트로이 목마를 시작할 수 있습니다. 그러나 이 로드 방식은 일반적으로 제어측의 사용자가 서버에 연결을 설정한 다음 같은 이름의 파일을 서버에 업로드하여 두 파일을 덮어써야 합니다.
5.*.INI: 응용 프로그램의 시작 구성 파일입니다. 제어 터미널은 이러한 파일을 사용하여 프로그램의 특성을 시작하고 트로이 시작 명령과 이름이 같은 파일을 서버에 업로드하여 같은 이름의 파일을 덮어써서 트로이를 시작할 수 있습니다.
6. 레지스트리: 키 값을 보려면 HKEY _ 클래스 _ 루트 파일 유형 \ shellopencommand 키를 엽니다. 예를 들어 국내 트로이의' 빙하' 는 HKEY _ 클래스 _ 루트 XFileShelopenCommand 아래의 키 값을 수정하여' C: Windows 메모장' 을 수정하는 것이다. EXE% 1 "에서" C: Windows 시스템 SYXXXPLR 까지. Exe% 1 입니다. 이때 TXT 파일을 두 번 클릭하면 메모장으로 파일을 열 수 있습니다. 또한 TXT 파일뿐 아니라 HTML, EXE, ZIP 등의 시작 명령 키를 수정하여 트로이 목마를 시작할 수 있다는 점도 유의해야 합니다. 유일한 차이점은 파일 유형 기본 키의 차이입니다. TXT 는 TXTFile, ZIP 은 WINZIP 입니다. 찾아보세요.
7. 번들 파일: 이 트리거 조건을 달성하기 위해 제어측과 서버측은 트로이를 통해 연결을 설정한 다음 제어측 사용자가 도구 소프트웨어를 사용하여 트로이 파일을 하나의 어플리케이션과 함께 묶은 다음 서버측에 업로드하여 원본 파일을 덮어씀으로써 트로이를 삭제해도 트로이와 번들로 제공되는 어플리케이션만 실행하면 트로이가 다시 설치됩니다.
8. 시작 메뉴: 시작-프로그램-시작 옵션 아래에 트로이마의 트리거 조건이 있을 수 있습니다.
(2) 트로이 말의 달리기 과정
트로이가 활성화되면 메모리에 들어가 미리 정의된 트로이 포트를 열어 제어 터미널과의 연결을 준비합니다. 이 시점에서 서버 사용자는 MS-DOS 모드에서 NETSTAT -AN 을 입력하여 포트 상태를 확인할 수 있습니다. 일반적으로 PC 는 오프라인일 때 포트를 열지 않습니다. 포트가 열려 있다면 트로이 목마에 감염되었는지 주의해야 한다. 다음은 컴퓨터가 트로이 목마에 감염된 후 NETSTAT 명령을 사용하여 포트를 확인하는 두 가지 예입니다.
여기서 1 은 서버와 제어 터미널 간의 연결이 설정될 때의 디스플레이 상태이며, 2 는 서버와 제어 터미널 간의 연결이 아직 설정되지 않았을 때의 디스플레이 상태입니다.
인터넷을 하는 동안 소프트웨어를 다운로드하고, 편지를 보내고, 온라인 채팅을 할 수 있는 포트를 열어야 합니다. 다음은 일반적으로 사용되는 몇 가지 포트입니다.
(1) 1- 1024 사이의 포트: 예약된 포트라고 하는 이러한 포트는 2 1 을 사용하는 FTP 와 같은 일부 외부 통신 프로그램 전용으로 사용됩니다 소수의 트로이 목마만이 예약된 포트를 트로이 포트로 사용합니다.
(2) 1025 이상 연속 포트: 인터넷 접속 시 브라우저가 여러 개의 연속 포트를 열어 문자와 사진을 로컬 하드 드라이브에 다운로드합니다. 이들 포트는 모두 1025 이상 연속 포트입니다.
(3) 포트 4000: OICQ 의 통신 포트입니다.
(4) 포트 6667: IRC 의 통신 포트입니다. 위의 포트 외에도 기본적으로 제외 할 수 있습니다. 다른 포트가 열려 있는 것을 발견하면, 특히 숫자가 큰 포트를 발견하면 목마에 감염되었는지 의심해야 한다. 물론 트로이 목마가 사용자 지정 포트 기능을 가지고 있다면 모든 포트는 트로이 포트일 수 있습니다.
넷. 정보 유출:
일반적으로 잘 설계된 목마는 모두 정보 피드백 메커니즘을 가지고 있다. 정보 피드백 메커니즘이란 트로이마가 성공적으로 설치된 후 서버에 대한 일부 하드웨어 및 소프트웨어 정보를 수집하여 e-메일, IRC 또는 ICO 를 통해 제어측 사용자에게 알리는 것을 말합니다. 다음 그림은 일반적인 정보 피드백 메일입니다.
이 메일에서 운영 체제, 시스템 카탈로그, 하드 디스크 파티션, 시스템 암호 등 서버에 대한 하드웨어 및 소프트웨어 정보를 알 수 있습니다. 이 정보 중 가장 중요한 것은 서버 IP 입니다. 제어 터미널은 이 매개변수를 통해서만 서버에 연결할 수 있기 때문입니다. 다음 섹션에서는 특정 연결 방법에 대해 설명합니다.
동사 (verb 의 약자) 는 연결을 설정합니다.
이 섹션에서는 트로이마 연결이 어떻게 설정되었는지 설명합니다. 트로이 목마 연결을 설정하려면 먼저 두 가지 조건을 충족해야 합니다. 하나는 트로이 목마 프로그램이 서버에 설치되어 있다는 것입니다. 둘째, 제어 터미널과 서버는 온라인 상태여야 합니다. 이를 바탕으로 제어 터미널은 트로이 포트를 통해 서버측과 연결할 수 있습니다. 설명하기 쉽도록, 우리는 삽화의 형식으로 설명했다.
위 그림에서 볼 수 있듯이 A 기계는 제어 터미널이고 B 기계는 서버입니다. A 기의 경우 B 기계에 연결하려면 B 기의 트로이 포트와 IP 주소를 알아야 합니다. 트로이 포트는 A 기계에 미리 설치되어 있고 알려진 항목이기 때문에 B 기계의 IP 주소를 얻는 방법이 가장 중요합니다. B 기계의 IP 주소를 얻는 방법에는 정보 피드백과 IP 스캔의 두 가지가 있습니다. 전형에 관해서는, 전절은 이미 소개한 바 있으니, 여기서는 군말을 하지 않을 것이다. 우리는 IP 스캔에 초점을 맞출 것이다. B 기계에는 트로이 목마 프로그램이 있고 트로이 포트 7626 은 열려 있기 때문에 이제 A 기계는 IP 주소 세그먼트의 포트 7626 오픈 호스트만 스캔하면 됩니다. 예를 들어 그림에서 B 기계의 IP 주소는 202. 102.47.56 입니다. 컴퓨터 A 가 IP 를 스캔하여 포트 7626 이 열려 있는 것을 발견하면 IP 가 목록에 추가됩니다. 이 시점에서 컴퓨터 A 는 트로이 제어 터미널 프로그램을 통해 컴퓨터 B 에 연결 신호를 보낼 수 있으며, 컴퓨터 B 의 트로이 프로그램은 신호를 받으면 즉시 응답합니다. 컴퓨터 A 가 응답 신호를 받으면 임의 포트 103 1 을 열어 컴퓨터 B 의 트로이 포트 7626 에 연결합니다. 이제 컴퓨터 b 가 트로이 포트 7626 에 연결됩니다. 흥미롭게도, 전체 IP 주소 세그먼트를 스캔하는 것은 분명히 시간이 많이 걸리고 힘든 일이다. 일반적으로 제어 터미널은 먼저 정보 피드백을 통해 서버의 IP 주소를 얻습니다. 전화 접속 인터넷의 IP 는 동적입니다. 즉, 사용자가 매번 인터넷을 할 때마다 IP 는 다르지만, 이 IP 는 일정 범위 내에서 변합니다. 그림과 같이 B 기계의 IP 는 202.438+002.47.56 입니다. 그런 다음 컴퓨터 B 의 IP 범위는 202.102.000.000-202.102.255.255 이므로 제어 터미널은 이 IP 주소 세그먼트를 검색할 때마다 컴퓨터 B 를 찾을 수 있습니다.
자동사 원격 제어:
트로이 목마 연결이 설정되면 제어 포트와 트로이 목마 포트 사이에 다음과 같은 채널이 나타납니다.
제어 터미널의 제어 터미널 프로그램은 이 채널을 통해 서버의 트로이 목마 프로그램과 연락하고 트로이 목마 프로그램을 통해 원격으로 서버를 제어할 수 있습니다. 다음은 제어 단말기가 누릴 수 있는 구체적인 통제권을 당신의 상상보다 훨씬 더 많이 소개하겠습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 제어명언)
(1) 비밀번호 도용: 모든 일반 텍스트, * 또는 캐시에 캐시된 비밀번호를 트로이 목마에서 감지할 수 있습니다. 또한 많은 트로이 목마는 서버의 모든 키를 기록하는 키 기록 기능을 제공하므로 트로이 침입이 발생하면 비밀번호를 쉽게 훔칠 수 있습니다.
(2) 파일 작업: 제어 터미널은 원격 제어를 통해 서버의 파일을 삭제, 새로 만들기, 수정, 업로드, 다운로드, 실행, 소유권 변경 등의 작업을 수행할 수 있으며 기본적으로 WINDOWS 플랫폼의 모든 파일 작업 기능을 포함합니다.
(3) 레지스트리 수정: 제어부는 키, 하위 및 키 값 삭제, 생성 또는 수정을 포함하여 서버 레지스트리를 자유롭게 수정할 수 있습니다. 이 기능을 통해 제어 터미널은 서버의 플로피 및 옵티컬 드라이브 사용을 금지하고, 서버의 레지스트리를 잠그며, 트로이 말의 트리거 조건을 서버에 더욱 은밀하게 설정할 수 있습니다.
(4) 시스템 운영: 서버 운영 체제 재시작 또는 종료, 서버 네트워크 연결 해제, 서버 마우스 및 키보드 제어, 서버 데스크톱 작업 모니터링, 서버 진행 상황 확인 등이 여기에 포함됩니다. 제어 터미널은 언제든지 서버에 메시지를 보낼 수도 있습니다. 서버 바탕 화면이 갑자기 한 단락 밖으로 튀어나올 때 이상하지 않다고 생각해 보십시오.
트로이마와 바이러스는 모두 인공프로그램과 컴퓨터 바이러스이다. 왜 트로이마를 단독으로 언급해야 합니까? 우리 모두 알고 있듯이, 과거에 컴퓨터 바이러스의 역할은 실제로 컴퓨터의 데이터를 파괴하고 파괴하는 것입니다. 파괴를 제외하고, 다른 것은 어떤 목적을 달성하거나 자신의 기술을 과시하기 위한 일부 바이러스 제작자들의 억지력과 협박에 불과하다. 트로이 목마와는 달리, 트로이 목마는 적나라하게 다른 사람을 정탐하고, 다른 사람의 비밀번호와 데이터를 훔치는 데 사용된다. 예를 들면 관리자 비밀번호-서브넷 비밀번호를 훔쳐 파괴한다. 또는 재미를 위해 인터넷 비밀번호를 도용하여 게임 계좌, 주식 계좌, 심지어 온라인 은행 계좌 등 다른 용도로 사용할 수도 있습니다. , 다른 사람들의 사생활을 엿보고 경제적 이익을 얻는 목적을 달성하십시오. 따라서 트로이 목마의 역할은 초기 컴퓨터 바이러스보다 더 유용하며 사용자의 목적을 직접 달성할 수 있습니다! 다른 사람의 컴퓨터를 훔치고 감시하기 위해 대량의 침입 프로그램을 작성하는 데 심혈을 기울인 많은 프로그램 개발자들이 현재 많은 목마가 인터넷을 가득 채우고 있는 이유이기도 하다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 목마, 트로이, 트로이, 목마) 트로이 목마의 이러한 엄청난 위험성과 초기 바이러스와의 다양한 성질을 감안할 때, 트로이 목마는 바이러스의 한 범주에 속하지만 바이러스 유형과는 별도로 분리해야 한다. 이들은 독립적으로' 목마' 프로그램이라고 불린다.
일반적으로, 바이러스 백신 프로그램, 만약 그것의 트로이 사살프로그램이 어떤 트로이 말을 죽일 수 있다면, 그 자신의 일반 바이러스 프로그램도 반드시 이 트로이 말을 죽일 수 있을 것이다. 트로이 목마가 범람하는 오늘, 특별히 트로이 사살도구를 설계하여 이 바이러스 백신 소프트웨어의 제품 등급을 높일 수 있고, 그것의 명성에 큰 도움이 될 수 있기 때문이다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 트로이 목마명언) 사실 흔히 볼 수 있는 바이러스 백신 소프트웨어에는 모두 목마를 조사하는 기능이 포함되어 있다. 바이러스 백신 소프트웨어가 목마를 검사하는 프로그램이 없다고 하면, 그 바이러스 백신 소프트웨어 업체는 다소 허심탄회해 보일 것이다. 비록 그것의 일반적인 바이러스 백신 소프트웨어는 당연히 목마를 검사하는 기능을 가지고 있다. (윌리엄 셰익스피어, 백신, 백신, 백신, 백신, 백신, 백신, 백신
또 한 가지 더, 목마 살인 절차를 따로 분리하면 살인 효율을 높일 수 있다. 현재 많은 바이러스 백신 소프트웨어의 목마 살살 프로그램은 모두 목마만 조사하고, 자주 사용하는 바이러스 라이브러리의 바이러스 코드를 검사하지 않는다. 즉, 사용자가 목마 살살 프로그램을 실행할 때, 프로그램은 목마 코드 라이브러리의 데이터만 호출하여 목마의 살살 속도를 크게 높였다. 우리는 일반적인 바이러스의 살인 속도가 비교적 느리다는 것을 안다. 왜냐하면 지금은 바이러스가 너무 많기 때문이다. 각 파일은 수천 개의 트로이 목마 코드 테스트와 거의 65438+ 백만 개의 알려진 바이러스 코드를 거쳐야합니다. 매우 느리지 않습니까? 일반적인 바이러스 코드 테스트를 생략하여 효율성과 속도를 높입니까? 즉, 많은 바이러스 백신 소프트웨어와 함께 제공되는 트로이 채살 프로그램은 목마만 죽이고, 보통 바이러스를 죽이지 않는 반면, 자신이 가지고 있는 일반 바이러스 채살 프로그램은 바이러스와 목마를 모두 죽이는 것이다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)
스텔스 트로이 말의 시동 방식을 폭로하다
잘 알려진 트로이 목마 프로그램은 일반적으로 시작 메뉴에서 시작 항목을 로드하여 레지스트리에 [HKEY _ 현재 _ 사용자 \ 소프트웨어 \ Microsoft \ Windows \ 현재 버전 \ 실행] 항목과 [HKEY] 항목을 기록합니다
또 다른 잘 알려지지 않은 시작 방법은' 시작 → 실행' 에서' Gpedit.msc' 를 실행하는 것이다. 그룹 정책을 켜면 로컬 컴퓨터 정책에 컴퓨터 구성과 사용자 구성이라는 두 가지 옵션이 있음을 알 수 있습니다. 사용자 구성 → 템플릿 관리 → 시스템 → 로그인을 확장하고 "사용자가 로그인할 때 이 프로그램 실행" 하위 항목을 두 번 클릭하여 속성을 설정하고 "설정" 항목에서 "사용" 항목을 선택한 다음 "표시" 버튼을 클릭하여 팝업합니다.
시작해야 하는 파일 표면을 추가합니다.
컴퓨터를 다시 시작하면 로그인할 때 추가한 프로그램이 자동으로 시작됩니다. 만약 네가 단지 트로이 말을 추가했다면,' 보이지 않는' 트로이 말이 탄생했다. 이렇게 추가된 자체 부트 프로그램은 시스템의 시스템 구성 유틸리티에서 찾을 수 없고 잘 알려진 레지스트리 항목에서도 찾을 수 없기 때문에 매우 위험합니다.
이렇게 추가된 부트 로더는 레지스트리에 기록되어 있지만 레지스트리의 [HKEY _ 현재 _ 사용자 \ 소프트웨어 \ Microsoft \ Windows \ 현재 버전 \ 실행] 및 [HKEY _ 로컬 _ 시스템 \ 소프트웨어 \ 만약 당신의 컴퓨터가 트로이 목마에 이식되었다고 의심된다면, 찾을 수 없다면, 레지스트리의 [HKEY _ 현재 _ 사용자 \ 소프트웨어 \ Microsoft \ Windows \ 현재 버전 \ 정책 \ 탐색기 \ 실행] 항목에서 찾아보거나
트로이 네트워크 버스 v. 1.60 중국어 설명
개요
이 프로그램은 원격 제어 관리 도구이자 LAN 이나 글로벌 인터넷에서 친구를 즐겁게 하는 소프트웨어이다.
장치
NetBus 는 서버와 클라이언트로 구성됩니다. 서버는 오락을 원하는 사람의 컴퓨터에 설치해야 한다. 클라이언트는 너에게 속하고 통제된다.
대상 컴퓨터를 만드는 좋은 프로그램.
대상 컴퓨터의 아무 곳에나 NetSever server Patch.exe (이름 변경 가능) 를 놓고 실행합니다. 기본적으로 Windows 에 설치됩니다.
컴퓨터가 켜지면 자동으로 실행됩니다. 자신의 컴퓨터에 NetSever 클라이언트를 설치합니다. NetBus 를 시작하고 선택한 도메인 이름이나 IP 주소에 연결합니다.
주소); 패치가 이미 연결된 대상 컴퓨터에서 실행 중이라면 즐기자!
참고: 패치가 실행되는 것을 볼 수 없습니다. Windows 가 시작되고 숨겨질 때 자동으로 실행됩니다.
네트워크 버스 및 패치는 TCP/IP 프로토콜을 사용합니다. 따라서 주소에 도메인 이름이나 IP 번호가 있습니다. Netbus 는 "연결" 버튼을 사용하여 사용자와 누군가를 연결합니다.
작업 에너지
* CD-ROM 을 한 번 또는 간헐적으로 켜고 끕니다.
* 선택한 이미지를 표시합니다. 이미지 파일에 대한 경로가 없으면 Pacth 의 디렉토리에서 찾을 수 있습니다. BMP 및 JPG 형식이 지원됩니다.
* 마우스 버튼 전환-마우스 오른쪽 버튼을 마우스 왼쪽 버튼으로 변경합니다.
* 선택한 응용 프로그램을 시작합니다.
* 선택한 사운드 파일을 재생합니다. 사운드 파일에 대한 경로가 없으면 Pacth 의 디렉토리에서 찾을 수 있습니다. WAV 형식을 지원합니다.
* 선택한 마우스 좌표를 클릭하여 대상 컴퓨터에서도 마우스를 실행할 수 있습니다.
* 스크린에 대화 상자를 표시하면 그 답이 컴퓨터로 돌아옵니다.
* 시스템 종료, 사용자 레코드 삭제 등
* 기본 웹 브라우저를 사용하여 선택한 URL 을 찾아봅니다.
* 키보드로 입력한 정보를 대상 컴퓨터의 활성 응용 프로그램으로 보냅니다!
* 상대방의 키보드 입력 정보를 듣고 컴퓨터로 반송합니다.
* 화면 비우기! (연결 속도가 느린 경우 비활성화됨).
* 대상 컴퓨터로부터 정보를 얻습니다.
* 대상 컴퓨터에 파일을 업로드하십시오! 이 기능을 사용하면 최신 버전의 패치를 업로드할 수 있습니다.
* 볼륨을 높이거나 낮춥니다.
* 마이크 바람 소리를 녹음하고 돌려 보내십시오.
* 키를 한 번 누르면 매번 소리가 납니다.
* 대상에 있는 모든 파일을 다운로드하고 삭제합니다. 대상 컴퓨터의 하드 드라이브에서 선택한 파일을 다운로드/삭제할 수 있습니다.
* 키보드 비활성화 기능.
* 비밀번호 보호 관리.
* 시스템의 디스플레이, 충돌 및 창을 중앙 집중화합니다.
이러한 기능 중 일부는 실행 시 몇 초 지연될 수 있습니다.
연결
연결 버튼에는 네트워크 버스 컴퓨터의 IP 주소를 스캔하는 좋은 기능이 있습니다. 연결되면 스캔을 중지합니다. IP 스캔.
매개 변수는 xx.xx.xx.xx+xx 등입니다.
127.0.0. 1+15 검색할 IP 주소 범위는127.0.0./입니다