컴퓨터 지식 네트워크 - 컴퓨터 프로그래밍 - 트로이 목마 프로그램이란 무엇이며 그 기능은 무엇입니까?

트로이 목마 프로그램이란 무엇이며 그 기능은 무엇입니까?

트로이 목마 소개

무의식적으로 '트로이 목마'를 언급했을 때, 삼국시대 제갈량 선생이 발명한 나무소와 흐르는 말이 떠올랐다. 바이러스와 관련이 있다는 것을 알 수 없었나요? 어느 정도 이해를 한 결과 고대 그리스 병사가 트로이 목마에 숨어 적의 도시에 잠입해 적의 도시를 단번에 점령했다는 이야기에서 차용한 것으로 밝혀졌다. 원격 호스트에 침입하는 것은 공성전과 같은 방식으로 전략적으로 다릅니다. 이 설명을 통해 대부분의 친구들은 트로이 목마가 호스트에 침입하는 방식을 완전히 이해했다고 믿습니다. 트로이 목마는 컴퓨터 시스템에 몰래 침투하여 시스템이 시작될 때 서버/를 사용하여 백그라운드에서 자동으로 프로그램을 실행하는 다양한 비밀 방법을 사용합니다. 귀하가 비밀번호를 도용하기 위해 인터넷 서핑을 할 때, 하드 디스크 리소스를 찾아보거나, 파일이나 레지스트리를 수정하거나, 이메일을 엿보는 등의 작업을 할 때 귀하의 컴퓨터를 제어하기 위한 클라이언트 통신 방법.

컴퓨터가 제어되면 일반적으로 CD-ROM이 갑자기 튀어나오며 마우스 왼쪽 및 오른쪽 버튼의 기능이 반전되거나 오작동하거나 파일이 삭제됩니다. ; 작업이 수행되지 않을 때 시스템은 설명할 수 없이 플로피 드라이브를 검색하고 있지만 시스템은 점점 느려지고 있습니다. , 많은 시스템 리소스를 점유하고 있습니다. 조정하려면 CTRL + ALT + DEL을 사용하세요. 작업 목록을 확인하면 동일한 이름의 프로그램이 여러 개 실행되고 있으며 시간이 지남에 따라 그 수가 늘어날 수 있습니다.

하지만 자신의 컴퓨터가 트로이 목마 바이러스에 감염된 것으로 확인되더라도 트로이 목마 바이러스의 목적은 일반 바이러스와 매우 다르기 때문에 너무 두려워할 필요는 없다는 점을 알아야 합니다. 트로이 목마가 실행되더라도 실행되지 않을 수 있습니다. 이는 컴퓨터에 해를 끼칠 수 있습니다. 그러나 확실히 단점도 있습니다. 귀하의 인터넷 비밀번호가 다른 사람의 받은 편지함에 들어가게 되어 해커가 귀하의 인터넷 계정을 도용하고 인터넷에 액세스할 수 있습니다. 트로이 목마 프로그램도 일종의 바이러스 프로그램이지만 침입 목적이 이러한 트로이 목마 프로그램을 게시하는 사람들, 즉 해커에게 서비스를 제공하는 것이기 때문에 보다 구체적으로 해커 프로그램으로 간주됩니다.

이 문서에서는 트로이 목마의 일부 특성, 트로이 목마 침입 및 제거 방법의 몇 가지 일반적인 방법, 트로이 목마 침입을 방지하는 방법 및 여러 일반적인 트로이 목마 프로그램 제거에 대한 포괄적인 설명을 제공합니다.

트로이 목마의 기본 특성

트로이 목마는 바이러스의 일종이지만, 동시에 다양한 사람과 다양한 시기에 개발되는 다양한 유형의 트로이 목마 프로그램이 있습니다. BackOrifice(BO), BackOrifice2000, Netspy, Picture, Netbus, Asylum, Glacier 등은 모두 트로이 목마 바이러스 유형에 속합니다. 현재 널리 사용되는 트로이 목마 프로그램을 기반으로 보면 모두 다음과 같은 기본 특성을 가지고 있습니다.

1. 은폐가 주요 특징입니다.

다른 모든 바이러스와 마찬가지로 트로이 목마도 바이러스입니다. 귀하의 시스템에 숨겨져 있으며 귀하가 이를 발견하지 못하도록 가능한 모든 조치를 취할 것입니다. 많은 사람들이 트로이 목마와 원격 제어 소프트웨어에 대해 약간 혼동하고 있습니다. 앞서 말했듯이 트로이 목마 프로그램은 트로이 목마 프로그램을 통해 대상 컴퓨터에 상주한 다음 원격 제어 기능을 통해 대상 컴퓨터를 제어해야 하기 때문입니다. 사실 둘 사이의 가장 큰 차이점은 이것이다. 예를 들어, LAN 간 통신을 위한 공통 소프트웨어인 PCanywhere는 모두가 알고 있을 것입니다. PCanwhere가 서버에서 실행 중일 때 클라이언트와 서버가 성공적으로 연결된 후 클라이언트 시스템에 매우 눈길을 끄는 프롬프트가 나타납니다. 트로이 목마 소프트웨어의 서버 측은 실행 중일 때 자신을 숨기기 위해 다양한 수단을 사용합니다. 이러한 해커는 오랫동안 모든 가능한 발생 징후를 고려하여 프로그램을 종료했습니다. 예를 들어 누구나 잘 알고 있는 트로이목마는 머신이 다음 부팅 후에도 트로이목마 프로그램을 계속 로딩할 수 있도록 레지스트리와 ini 파일을 수정한다. 자체적으로 시작프로그램을 생성하지 않고 다른 프로그램에 첨부된다. exe-binder라고 하는 서버와 일반 프로그램을 하나의 프로그램으로 묶는 일부 소프트웨어는 사람들이 묶인 프로그램을 사용할 때 트로이 목마가 시스템에 침입하도록 허용할 수 있습니다. 자체적으로 변환할 수 있는 개별 트로이 목마 프로그램도 있습니다. 서버 측의 이미지 파일을 보면 트로이 목마도 시스템에 침입합니다.

숨김은 주로 다음 두 가지 측면에 반영됩니다.

a. 아이콘이 생성되지 않습니다.

시스템이 시작될 때 자동으로 실행되지만 "작업 표시줄"에는 표시되지 않습니다. "에는 아이콘이 생성되어 알기 쉽습니다. 그렇지 않으면 예리한 눈으로 반드시 찾을 수 있습니다. 작업 표시줄에서 아이콘을 숨기려면 트로이 목마 프로그램을 개발할 때 "Form"의 "Visible" 속성을 "False"로 설정하고 "ShowintaskBar" 속성을 "Flase"로 설정하기만 하면 됩니다.

b. 트로이 목마 프로그램은 작업 관리자에 자동으로 숨겨지며 운영체제를 '시스템 서비스'로 속입니다.

2. 자동으로 실행됩니다.

시스템이 시작될 때 자동으로 실행되는 프로그램이므로 win, system과 같은 시작 구성 파일에 숨겨져 있어야 합니다. ini, winstart.bat 및 시작 그룹 파일.

3. 트로이 목마 프로그램은 기만적입니다.

장기적인 은폐 목적을 달성하기 위해 트로이 목마 프로그램은 사용자가 해당 파일을 발견하지 못하도록 시스템에 있는 기존 파일을 사용해야 합니다. 용도 "dll\win\sys\explorer"와 같은 일반적인 파일 이름이나 확장자이거나 문자 "l"과 숫자 "1", 문자 "o"와 같이 구별하기 어려운 모방된 파일 이름입니다. 그리고 숫자 "0"은 기본 파일에 있는 구별할 수 없는 문자를 수정하는 경우가 많으며, 일부는 단순히 시스템 파일에 있는 파일 이름을 빌려오는 경우도 있지만 이를 숨기는 트로이 목마 프로그램도 있습니다. 실수로 열면 즉시 실행되는 경우가 많습니다. 트로이 목마 프로그램을 컴파일하는 사람들은 이러한 방법을 계속 연구하고 발견하고 있으며 점점 더 대중화되고 있습니다. 그래서 일부 사람들은 트로이 목마 프로그램을 "거짓말쟁이 프로그램"이라고 부릅니다.

4. 자동 복구 기능이 있습니다.

많은 트로이 목마 프로그램의 기능 모듈은 더 이상 존재하지 않습니다. 단일 파일로 구성되어 있지만 서로 복원할 수 있는 여러 개의 백업이 있습니다.

5. 자동으로 특수 포트를 열 수 있습니다.

트로이 목마 프로그램의 목적은 몰래 침입하는 것입니다. 이는 주로 시스템을 파괴하는 것이 아니라 시스템에 있는 유용한 정보를 얻기 위한 것이기도 합니다. 이런 방식으로 트로이 목마 프로그램이 서버/서버를 사용하려면 온라인 상태에서 원격 클라이언트와 통신할 수 있어야 합니다. 해커가 귀하의 컴퓨터를 제어하거나 추가 침입 시도를 수행할 수 있도록 하기 위한 클라이언트 통신 방법입니다. TCP/IP 프로토콜에 따라 얼마나 많은 외부 "문"이 있는지 알고 있습니까? , 각 컴퓨터에는 256 곱하기 256 개의 문, 즉 0부터 65535까지의 "문"이 있을 수 있는데, 우리는 흔히 사용하는 몇 가지 문만 사용하고 있는데, 그런 문으로도 들어갈 수 있다고 생각하시나요? 물론 문이 있으면 닫을 수 있는데, 이에 대해서는 트로이 목마 예방 방법에서 다루겠습니다.

6. 기능의 특수성

일반적으로 트로이 목마의 기능은 일반적인 파일 작업 외에도 매우 특별합니다. 물론, 원격 제어 소프트웨어는 원격 기계를 제어하는 ​​데 사용됩니다. 이는 단지 자신의 편의를 위한 것이지 상대방의 컴퓨터를 해킹하기 위한 것이 아닙니다.

7. 해커 조직은 공개되는 경향이 있습니다.

저는 과거에 공개된 바이러스 조직을 발견한 적이 없습니다(아마 무지할 수도 있습니다). 대부분의 바이러스는 개인이 호기심으로 만들어냅니다. (물론 이 직업을 전문으로 하는 사람도 있습니다.) 자신의 바이러스 프로그램 개발 능력을 테스트하고 싶어하지만, 발각되면 벌금형을 받을 수도 있기 때문에 감히 공개하지 못합니다. 감옥이나 벌금형 그런 예는 더 이상 뉴스가 아닙니다. 과거에 실제로 바이러스 개발을 전문으로 하는 바이러스 조직이 있었다면 그들은 확실히 "지하"였습니다. 이제는 트로이 목마 프로그램을 전문적으로 개발하는 조직이 존재할 뿐만 아니라 온라인에서 공개적으로 인력을 모집하는 경우도 있는 것 같습니다. 이로 인해 해커 프로그램은 지속적으로 업그레이드 및 등장하고 있으며, 해킹 방법은 점점 더 정교해지고 있습니다. 이유는 모르겠지만 "호신과 애국심을 위해서"라고 합니다.

트로이 목마 침입 및 제거 방법에 대한 일반적인 기술

트로이 목마 프로그램은 끊임없이 변화하고 있지만 트로이 목마 조직 담당자의 말대로 대부분의 트로이 목마 프로그램에는 트로이 목마 프로그램이 없습니다. 특수 기능은 기존 트로이 목마 프로그램을 반복하고 이름만 바꾼 것 외에는 기술이 비슷하다. 이제는 반복적인 개발과 자원 낭비에 종지부를 찍어야 한다고 한다. 물론 우리는 과거에 흔히 사용되던 몇 가지 침입 기술에 대해서만 이야기할 수 있습니다. 왜냐하면 결국 우리는 트로이 목마의 개발자도 아니고 예측할 수도 없기 때문입니다.

1. win.ini 파일 로드

일반적으로 win.ini 파일의 [windwos] 섹션에는 다음과 같은 추가 기능이 있습니다.

run= load= , 그림 1과 같이 일반적으로 이 두 항목은 비어 있습니다.

그림 1

시스템에서 이 두 항목에 의심스러운 프로그램이 로드된 것을 발견한 경우 이때 소스 파일 경로를 사용할 수 있으므로 특히 주의해야 합니다. 기능이 추가로 확인됩니다. 우리는 이 두 항목이 시스템이 시작될 때 프로그램을 자동으로 실행하고 로드하는 데 사용된다는 것을 알고 있습니다. 이 두 하위 항목에 트로이 목마 프로그램이 로드되면 시스템이 시작될 때 자동으로 실행되거나 로드됩니다. 물론 시스템이 특정 프로그램을 로드해야 할 수도 있지만 이는 트로이 목마가 활용할 수 있는 좋은 기회라는 점을 알아야 합니다. 기존에 로드된 파일 이름 뒤에 자체 파일 이름이나 파일 이름을 추가하는 경우가 많습니다. 프로그램 파일 이름. 매개변수, 이 파일 이름은 종종 command.exe, sys.com 등과 같은 일반 파일로 위장됩니다.

2. System.ini 파일에 로드

시스템 정보 파일 system.ini에도 "쉘" 항목인 시작 추가 기능이 있다는 것을 알고 있습니다. , 그림 2와 같이.

그림 2

여기서 트로이 목마가 사용하는 가장 일반적인 트릭은 "Explorer"여야 하는 이름을 자체 프로그램 이름으로 변경하는 것입니다. 이름은 원본과 거의 동일하게 위장됩니다. one. 그냥 "Explorer"의 문자 "l"을 숫자 "1"로 변경하거나, "o"를 숫자 "0"으로 변경하면 이러한 변경 사항은 주의 깊게 살펴보지 않으면 발견하기 어렵습니다. 이것이 바로 위에서 언급한 것입니다. 물론 일부 트로이 목마는 이렇게 하지 않고 "Explorer"를 다른 이름으로 직접 변경합니다. 아직 "Explorer"여야 한다는 것을 모르는 친구들이 많다는 것을 알기 때문입니다. 아니면 "Explorer"에 뭔가를 추가하는 것이지요. , 추가된 것들은 트로이목마 프로그램임에 틀림없습니다.

3. 레지스트리 수정

레지스트리를 자주 연구하는 친구들은 레지스트리에서 일부 시작 로딩 항목을 설정할 수도 있다는 것을 알아야 합니다. 트로이 목마 프로그래밍의 달인들은 놓치지 않을 것입니다. 그런 기회가 주어지고, 등기를 보는 사람이 적어 등기소가 더 안전하다는 것을 알게 됩니다. 실제로 "Run\Run-\RunOnce\RunOnceEx\ RunServices\RunServices-\RunServicesOnce 등이면 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\"와 같은 트로이 목마 프로그램 로딩의 진입점이다. CurrentVersion\Run 또는 \RunOnce](그림 3 참조);

그림 3

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 또는 Run-또는 RunOnce 또는 RunOnceEx 또는 RunServices 또는 RunServices-or RunServicesOnce], 그림과 같이 4와 같습니다.

그림 4

지정된 소스를 따라가면 이를 찾는 것은 어렵지 않습니다. 파일 경로를 확인하고 시스템에서 그 역할을 연구하세요. 키 값도 유용하지만, 자신을 위장하는 데 가장 뛰어난 트로이 목마의 사기성에도 주의해야 합니다! 이러한 키 값 항목에 유사한 netspy.exe, 공백, .exe 또는 기타 의심스러운 항목이 있으면 즉시 삭제하십시오.

4. 파일 열기 연결 수정

오늘날 트로이 목마 프로그램이 개발되면서 그들은 자신을 더 이상 숨기기 위해 위의 오래된 트릭이 더 이상 작동하지 않는다는 것을 발견했습니다. 그들이 사용하는 은폐 방법은 점점 더 정교해지고 있습니다. 그러나 이것은 또한 모든 것의 생존 방법이기도 합니다. 그들은 파일 열기 연결의 수정을 사용합니다. 수정된 열기 연결이 있는 파일을 열면 Glacier 트로이 목마와 같은 해당 작업은 가장 일반적이지만 가장 눈에 띄지 않는 파일 형식 연결인 텍스트 파일(.txt)을 사용하여 자체적으로 로드됩니다. 누군가가 텍스트 파일을 열면 Glacier Trojan이 자동으로 로드됩니다.

연결을 수정하는 방법은 주로 파일 형식의 "열기", "편집" 및 "인쇄" 항목을 선택하는 것입니다. 예를 들어 Glacier Trojan이 수정하는 개체는 다음과 같습니다. 그림 5와 같이,

그림 5

Glacier Trojan 바이러스에 감염된 경우 [HKEY_CLASSES_ROOT\txtfile\shell\open\command]의 키값은 "c:\windows\notepad" .exe %1" 대신 "sy***plr.exe %1"로 변경하세요.

위에서 소개한 여러 가지 트로이 목마 침입 방법이 발견되면 즉시 삭제하고, 즉시 네트워크 연결을 끊어 위의 다양한 방법으로 검색하여 해커의 통신 채널을 차단합니다. 레지스트리에서는 레지스트리의 검색 기능을 사용하여 모든 항목을 검색하고 모든 트로이 목마의 숨겨진 굴을 제거하여 완전히 제거해야 합니다. 레지스트리 백업을 만든 경우 모든 레지스트리를 삭제한 다음 원래 백업 레지스트리를 가져오는 것이 가장 좋습니다.

트로이목마를 제거하기 전, 해당 트로이목마가 실행 중인 경우에는 해당 프로그램을 삭제할 수 없다는 점을 주의하시기 바랍니다. 이때는 DOS 모드로 재부팅하여 삭제하시면 됩니다. 일부 트로이 목마는 자동으로 레지스트리에서 자체 시작 항목을 확인합니다. 트로이 목마가 활성화된 동안 해당 항목을 삭제하면 자동으로 복구됩니다. 이때 DOS를 다시 시작하고 해당 프로그램을 삭제한 다음 Win9x를 입력할 수 있습니다. 레지스트리의 자동 시작 항목입니다.

上篇: 회사는 직원들에게 어떤 혜택을 제공해야 하나요? 下篇: 기아 익스트림에 대해 어떻게 생각하시나요?
관련 내용