트로이 목마란 무엇이며 컴퓨터에 유해합니까?
트로이 목마 팁
영어로 '트로이 목마'라고 불리는 트로이 목마(이하 트로이 목마)는 그리스 신화에 나오는 트로이 목마의 이름을 따서 명명된 것이다. 제어 기반 해킹 도구. 트로이 목마는 해커가 수행하는 다양한 공격에서 선구적인 역할을 합니다.
1. 트로이 목마의 위험성
트로이 목마는 많은 인터넷 사용자에게 낯설지 않다고 생각합니다. 단순성, 사용 용이성 및 효율성으로 인해 해커가 선호하는 원격 제어 도구입니다. 컴퓨터가 트로이 목마에 감염되면 상대방은 꼭두각시 기계가 되어 귀하의 컴퓨터에 파일을 업로드 및 다운로드할 수 있고, 귀하의 개인 파일을 엿볼 수 있으며, 귀하의 다양한 비밀번호와 비밀번호 정보를 훔칠 수 있습니다. 트로이 목마. 당신의 모든 비밀은 다른 사람에게 노출될 것입니다, 프라이버시? 더 이상 존재하지 않습니다!
트로이 목마는 해커 침입에도 없어서는 안 될 도구다. 지난해 10월 28일, 미국 마이크로소프트(MS) 포털 사이트에 해커가 침입했는데, QAZ라는 트로이목마가 해당 사이트의 내부 정보 중 일부를 전송한 사건이 발생했다. 거대 마이크로소프트의 체면을 잃게 만드는 것은 바로 이 작은 QAZ입니다!
네티즌들 사이에 가장 친숙한 트로이목마는 국산소프트웨어 빙허(Binghe)다. Glacier는 Huang Xin이 개발한 무료 소프트웨어입니다. Glacier가 나온 후 간단한 조작 방법과 강력한 제어 기능으로 인해 "얼음"에 대한 이야기가 바뀌는 지점에 도달했다고 할 수 있습니다.
2. 트로이 목마 원칙
트로이 목마는 고객/서비스 모델에 속합니다. 클라이언트와 서버라는 두 부분으로 나누어집니다. 원칙은 한 호스트가 서비스(서버)를 제공하고 다른 호스트가 서비스(클라이언트)를 수신한다는 것입니다. 일반적으로 서버인 호스트는 수신을 위해 기본 포트를 엽니다. 클라이언트가 서버의 이 포트에 연결 요청을 하면 서버의 해당 프로그램이 자동으로 실행되어 클라이언트의 요청에 응답합니다. 이 프로그램을 데몬이라고 합니다. 유명한 Trojan Glacier를 예로 들면, 제어되는 터미널은 서버로 간주될 수 있으며, 제어되는 터미널은 클라이언트입니다. 서버 프로그램 G_Server.exe는 데몬 프로세스이고 G_Client.exe는 클라이언트 애플리케이션입니다.
트로이 목마를 더 잘 이해하기 위해 트로이 목마를 숨기는 주요 방법을 살펴보겠습니다.
1.) 작업 표시줄에 숨기기
가장 기본입니다. 설명할 수 없는 아이콘이 Windows 작업 소스에 나타나면 바보라면 무슨 일이 일어나고 있는지 이해할 것입니다. VB에서는 양식의 Viseble 속성이 False로 설정되고 ShowInTaskBar가 False로 설정되어 있으면 프로그램이 작업 표시줄에 나타나지 않습니다.
2.) 작업 관리자에서 숨기기
실행 중인 프로세스를 보는 가장 쉬운 방법은 ctrl+alt+del을 누를 때 나타나는 작업 관리자입니다. ctrl+alt+del을 누른 후 실행 중인 트로이 목마가 보이면 이는 확실히 좋은 트로이 목마가 아닙니다. 따라서 트로이 목마는 작업 관리자에 나타나지 않도록 자신을 위장하기 위해 가능한 모든 수단을 시도합니다. 트로이 목마는 스스로를 "시스템 서비스"로 설정함으로써 쉽게 속일 수 있다는 사실을 발견했습니다. 따라서 ctrl+alt+del을 눌러 트로이 목마를 찾는 것은 비현실적입니다.
3.) 포트
컴퓨터에는 65536개의 포트가 있습니다. 그렇게 많은 포트에 주의를 기울이시겠습니까? 트로이 목마는 귀하의 포트에 큰 관심을 기울입니다. 조금만 주의를 기울이면 대부분의 트로이 목마가 사용하는 포트가 1024 이상이고 그 추세가 점점 커지고 있다는 것을 어렵지 않게 발견할 수 있습니다. 물론 1024 이하의 포트를 점유하는 트로이 목마도 있습니다. 그러나 이러한 포트는 일반적으로 사용되는 포트이므로 이러한 포트를 점유하면 시스템 이상이 발생할 수 있습니다. 이 경우 트로이 목마는 쉽게 노출됩니다. 아마도 트로이 목마가 점유하고 있는 일부 포트를 알고 있고 이러한 포트를 자주 검색할 수도 있지만 이제 트로이 목마는 포트 수정 기능을 제공합니다. 65536개의 포트를 검색할 시간이 있습니까?
4.) 트로이 목마의 로딩 방식이 숨겨져 있다
트로이 목마의 로딩 방식은 온갖 종류가 있다고 할 수 있다. 그러나 서로 다른 경로는 동일한 목표로 이어지며 모두 동일한 목표, 즉 트로이 목마의 서버 프로그램을 실행할 수 있도록 하는 것입니다. 트로이 목마가 변장을 추가하지 않는 경우. 그냥 이게 트로이 목마라고만 말해주고, 실행시키면 이상할 것 같아요.
웹 사이트 상호 작용이 지속적으로 발전함에 따라 JavaScript, VBScript, ActiveX, XLM 등 점점 더 많은 것들이 트로이 목마의 전파 매체가 될 수 있습니다. www의 거의 모든 새로운 기능은 트로이 목마의 급속한 진화로 이어질 것입니다.
5.) 트로이 목마의 이름
트로이 목마 서버 프로그램의 이름에 대해서도 많은 지식이 있습니다. 변경하지 않는 경우 원래 이름을 사용하세요. 이것이 트로이 목마 프로그램이라는 것을 모르는 사람이 있을까요? 그래서 트로이 목마의 이름도 이상하다. 하지만 대부분은 시스템 파일명과 유사한 이름으로 변경되어 있습니다. 시스템 파일에 대해 충분히 알지 못하면 위험할 수 있습니다. 예를 들어 일부 트로이 목마는 이름을 window.exe로 변경합니다. 자신이 트로이 목마임을 알리지 않으면 삭제하시겠습니까? 또 다른 일은 dll을 dl로 변경하는 등 일부 접미사 이름을 변경하는 것입니다. 주의 깊게 보지 않으면 찾을 수 있습니까?
6.) 최신 스텔스 기술
현재 위에서 일반적으로 사용되는 스텔스 기술 외에도 더 새롭고 더 은밀한 방법이 등장했습니다. 즉, 가상장치 드라이버(vxd)를 수정하거나 동적링크라이브러리(DLL)를 수정하는 것이다. 이 방법은 일반적인 방법과 다릅니다. 기본적으로 원래의 트로이 목마 모드(리스닝 포트)를 제거하고 시스템 기능을 대체하는 방법(vxd 또는 DLL 파일 다시 작성)을 사용합니다. DLL을 수정하고 모든 함수 호출을 필터링합니다. 일반적으로 사용되는 호출의 경우 함수 전달자를 사용하여 이를 대체된 시스템 DLL로 직접 전달합니다. 사전에 합의된 일부 특별한 상황에서는 DLL이 일부 해당 작업을 수행합니다. 실제로 이러한 트로이 목마는 대부분 DLL을 사용하여 모니터링합니다. 제어 터미널의 연결 요청이 발견되면 스스로 활성화되고 정상적인 트로이 목마 작업을 수행하는 프로세스에 연결됩니다. 이것의 장점은 새 파일이 추가되지 않고, 새 포트를 열 필요가 없으며, 새 프로세스가 생성되지 않으며, 일반적인 방법으로는 트로이 목마가 정상적으로 작동하는 동안에는 거의 증상이 없으며 일단 트로이 목마가 발생하면 탐지할 수 없다는 것입니다. 제어 종료는 제어 터미널이 특정 메시지를 보낸 후 숨겨진 프로그램이 즉시 작동을 시작합니다.
3. 트로이 목마 예방 도구
트로이 목마를 예방하려면 방화벽 소프트웨어와 다양한 해킹 방지 소프트웨어를 사용하여 인터넷에 마지노 방어선을 구축할 수 있습니다. 인터넷은 훨씬 더 안전해질 것입니다.
온라인 방화벽 소프트웨어는 많이 있으며 "Skynet Firewall Personal Edition"을 사용하는 것이 좋습니다. 완전히 무료인 소프트웨어로, 설치가 완료되면 쉴드 다이어그램으로 바뀌어 작업이 시작되는 시스템 트레이로 축소됩니다. 해커의 침입이 있을 경우 항상 자동으로 모니터링됩니다. 경보를 울리고 침입자의 IP 주소를 표시합니다.
방패 아이콘을 마우스로 두 번 클릭하면 스카이넷 콘솔이 팝업됩니다. "일반 설정", "고급 설정", "보안 설정", "탐지" 및 "정보"가 있습니다. 콘솔에. "일반 설정" 탭을 클릭하면 LAN 보안 설정과 인터넷 보안 설정이라는 두 개의 창이 표시됩니다. 슬라이더를 드래그하여 보안 수준을 별도로 설정할 수 있습니다. 일반 사용자는 "중간"을 선택하는 것이 좋습니다(TCP 포트 서비스는 모두 닫혀 있지만 UDP 포트 서비스는 여전히 열려 있습니다. 다른 사용자는 포트 취약점을 통해 침입할 수 없습니다. 거의 모든 블루 스크린 공격 및 정보 유출 문제를 차단하며, 그렇지 않습니다. 일반 네트워크 소프트웨어 사용에 영향을 미칩니다)
콘솔에서 "고급 설정"을 클릭하여 "네트워크에 연결", "ICMP", "IGMP", "TCP 모니터링", " UDP" "수신" 및 "NETBIOS" 옵션. 누군가가 인터넷 서핑 후 귀하의 컴퓨터에 연결하려고 하면 Skynet 방화벽이 자동으로 이를 차단하고 경보를 발행합니다. 동시에 콘솔의 "보안 기록"에는 커넥터의 IP, 프로토콜, 소스 포트 및 IP 주소가 표시됩니다. 방화벽에서 수행한 작업 시간 기록 등의 공격 정보가 표시됩니다.
콘솔의 '탐지' 및 '정보' 탭에는 주로 보안 취약점에 대한 설명, 방화벽 소프트웨어 버전 번호, 등록자 번호 및 기타 정보가 있습니다. 공격을 받고 있고 즉시 네트워크 연결을 끊고 싶다면 콘솔에서 "중지"를 클릭하세요.
4. 트로이 목마 감지 및 제거
트로이 목마 감지 및 제거는 자동과 수동의 두 가지 방법으로 수행할 수 있습니다.
트로이 목마를 제거하는 가장 쉬운 방법은 바이러스 백신 소프트웨어를 자동으로 설치하는 것입니다. 요즘에는 인터넷에 가장 널리 퍼진 트로이 목마를 삭제할 수 있는 바이러스 백신 소프트웨어가 매우 좋습니다. 트로이 목마를 죽이는 중!
대부분의 경우 바이러스 백신 소프트웨어의 업그레이드는 트로이 목마의 출현보다 느리기 때문에 이를 수동으로 탐지하고 제거하는 방법을 배우는 것이 매우 필요합니다. 방법은 다음과 같습니다.
1.) 레지스트리 확인
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version 및 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion을 확인합니다. 모두 " 실행”, 그 아래에 의심스러운 파일 이름이 있습니까? 있는 경우 해당 키 값을 삭제한 후 해당 애플리케이션을 삭제해야 합니다.
2.) 시작 그룹을 확인하세요
트로이 목마는 시작 그룹에 숨겨져 있으면 잘 숨겨지지는 않지만, 자동으로 로딩되어 실행되기에는 참으로 좋은 곳이므로 거기에 있습니다. 여전히 여기에 거주하는 것을 좋아하는 트로이 목마입니다. 시작 그룹에 해당하는 폴더는 C:\windows\start menu\programs\startup입니다. 레지스트리의 위치는 다음과 같습니다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
폴더 시작 = "C:\windows\시작 메뉴\프로그램\시작". 이 두 곳을 자주 확인해보세요!
3.)Win.ini와 System.ini도 트로이 목마가 좋아하는 숨겨진 장소이므로 주의하세요
예를 들어, [Windows] 섹션 아래의 로드 Win.ini 일반적인 상황에서는 다음과 같은 프로그램이 없습니다. 프로그램이 있는 경우 System.ini의 [boot] 섹션에 있는 Shell=Explorer.exe 뒤에 있는 프로그램을 확인하는 것도 좋습니다. 트로이 목마를 로드하므로 여기에도 주의를 기울여야 합니다. 다음과 같은 내용이 표시되면: Shell=Explorer.exe wind0ws.exe, wind0ws.exe는 트로이 목마 서버 프로그램일 가능성이 높습니다! 빨리 확인해 보세요.
4.) 아래 나열된 파일을 자주 확인하세요. 여기에 트로이 목마가 숨겨져 있을 가능성이 높습니다.
C:\windows\winstart.bat, C:\windows\ wininit.ini, Autoexec .박쥐.
5.) EXE 파일로 시작된 경우 이 프로그램을 실행하여 트로이 목마가 메모리에 로드되었는지, 포트가 열려 있는지 확인합니다. 그렇다면 해당 파일이 트로이 목마 프로그램을 시작하거나 해당 파일이 트로이 목마 프로그램과 함께 번들로 제공되어 있다는 의미이므로 다른 해당 프로그램을 찾아 다시 설치해야 합니다.
6.) 트로이 목마를 시작하는 방법은 항상 있습니다. 특정 상황에서만 시작됩니다.
따라서 포트에 더 주의를 기울이고 확인하십시오. 프로그램을 실행하고 이를 사용하면 대부분의 트로이 목마를 탐지할 수 있습니다.