트로이 목마 웹사이트란 무엇인가요?

트로이 목마라고도 알려진 트로이 목마는 고대 그리스 신화에 나오는 트로이 목마에서 이름을 따온 것으로, 원격 제어를 기반으로 하는 해킹 도구로 은폐성이 높고 유해성이 높습니다. 서버 호스트를 제어하려는 목적을 달성하기 위해 트로이 목마는 다양한 수단을 사용하여 자신을 활성화하고 로드 및 실행하는 경우가 많습니다. 일반적으로 사용되는 트로이 목마 활성화 방법을 살펴보겠습니다.

Win.ini에서 시작

Win.ini의 [windows] 필드에는 "="라는 시작 명령이 있습니다. 뒤에 프로그램이 오면 공백입니다. 예:

run=c:windows ile.exe

load=c:windows ile.exe

이 file.exe는 아마도 트로이 목마 프로그램일 것입니다!

파일 연결 수정

파일 연결 수정은 트로이 목마(주로 국내 트로이 목마, 대부분의 외국 트로이 목마에는 이 기능이 없음)가 사용하는 일반적인 방법입니다(예: TXT 파일 여는 방법). 정상적인 상황에서는 Notepad.exe 파일인데 파일연계 트로이목마에 걸리면 국내 유명 트로이글라시어 같은 트로이목마 프로그램으로 열리도록 TXT 파일 열기 방식이 수정됩니다. "Glacier"는 HKEY_CLASSES_ROOT xtfileshellopenmm 아래의 키 값을 수정하고 "C:WINDOWSNOTEPAD.EXE %1"을 "C:WINDOWSSYSTEMSYSEXPLR.EXE %1"로 변경하는 것이므로 TXT 파일을 더블클릭할 때 메모장을 이용해야 한다. 파일을 열면 이제 트로이 목마 프로그램으로 변했습니다. 너무 사악합니다! TXT 파일뿐만 아니라 HTM, EXE, ZIP, COM 등의 다른 파일도 트로이 목마의 대상이므로 주의하시기 바랍니다. 이러한 유형의 트로이 목마를 처리하려면 HKEY_CLASSES_ROOT 파일 유형 shellopenmm 및 기본 키를 자주 확인하여 해당 키 값이 정상인지 확인할 수 있습니다.

묶음 파일

이러한 트리거 조건을 달성하려면 제어 측과 서버가 먼저 트로이 목마를 통해 연결을 설정해야 하며, 그런 다음 제어 측 사용자는 도구 소프트웨어를 사용하여 파일을 묶습니다. 트로이목마 파일을 애플리케이션과 함께 서버에 업로드해 원본 파일을 덮어쓰게 되므로, 트로이목마가 삭제되더라도 해당 트로이목마와 함께 제공된 애플리케이션이 실행되는 한 트로이목마는 다시 설치된다. 시스템 파일과 같은 응용 프로그램에 바인딩된 경우 Windows가 시작될 때마다 트로이 목마가 실행됩니다.

System.ini에서 시작

System.ini는 Windows 설치 디렉터리에 있으며 [boot] 필드에 있는 shell=Explorer.exe는 트로이 목마가 실행되는 숨겨진 로딩 장소입니다. 트로이 목마에 대한 일반적인 접근 방식은 다음과 같이 문장을 변경하는 것입니다: shell=Explorer.exe file.exe 여기에서 file.exe는 트로이 목마 서버 프로그램입니다!

또한 System.ini의 [386Enh] 필드에서 이 섹션의 "드라이버=경로 프로그램 이름"을 확인하세요. 이 부분도 트로이 목마에 의해 악용될 수 있습니다.

게다가 System.ini의 세 필드 [mic], [drivers] 및 [drivers32]는 드라이버를 로드하는 역할을 하지만 트로이 목마를 추가하기에 좋은 장소이기도 합니다.

레지스트리를 사용하여 로드 및 실행

아래 표시된 레지스트리 위치는 트로이 목마가 숨어 있는 가장 좋은 장소입니다. 그 아래에 어떤 프로그램이 있는지 빠르게 확인하세요.

"run"으로 시작하는 모든 키 값 아래의 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

"run"으로 시작하는 모든 키 값 아래의 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

HKEY_USERS.DefaultSoftware

MicrosoftWindowsCurrentVersion에서 "run"으로 시작하는 모든 키 값.

Autoexec.bat 및 Config.sys를 로드하고 실행합니다.

C 드라이브의 루트 디렉터리에 있는 이 두 파일도 트로이 목마를 시작할 수 있다는 점에 유의하세요. 그러나 이 로딩 방법은 일반적으로 제어 사용자가 서버와 연결을 설정한 다음 트로이 목마 시작 명령을 추가한 동일한 이름의 파일을 서버에 업로드하여 두 파일을 덮어써야 합니다. 게다가 이 방법은 그다지 은밀하지 않습니다. 쉽게 발견할 수 있습니다. 따라서 Autoexec.bat 및 Config.sys에 로드된 트로이 목마 프로그램을 찾는 경우는 거의 없지만 이를 가볍게 여겨서는 안 됩니다.

Winstart.bat에서 시작

Winstart.bat는 Autoexec.bat 못지 않게 특별한 배치 파일이며 Windows에서 자동으로 로드하여 실행할 수 있는 파일이기도 합니다. . 대부분의 경우 응용 프로그램과 Windows에 의해 자동으로 생성되며 Win.com이 실행되고 대부분의 드라이버가 로드된 후 실행을 시작합니다. (이는 시작 중에 [F8] 키를 누른 다음 시작 방법을 선택하여 점차적으로 추적하면 알 수 있습니다. ). Autoexec.bat의 기능은 Winstart.bat에 의해 완료될 수 있으므로 Autoexec.bat와 마찬가지로 트로이 목마가 로드되어 실행될 수 있습니다.

'바운스 포트' 유형 트로이 목마의 활성 연결 방법

'바운스 포트' 유형 트로이 목마란 무엇입니까? 저자는 방화벽의 특성을 분석한 결과 대부분의 방화벽이 외부에서 시스템으로의 연결에 대해 매우 엄격한 필터링을 수행하는 경향이 있지만 시스템으로부터의 연결을 차단하지 못하는 경향이 있음을 발견했습니다(물론 일부 방화벽은 두 가지를 모두 수행합니다. 매우 엄격함). 따라서 일반적인 트로이목마와 달리 "리바운드 포트" 유형의 트로이목마는 서버측(제어측)이 액티브 포트를 사용하고, 클라이언트(제어측)는 패시브 포트를 사용하여 연결이 이루어지면 클라이언트가 이를 통보한다. FTP 홈페이지 공간을 통해 서버 측: "지금 연결 시작!"을 입력하고 서버가 알림을 받은 후 클라이언트에 연결을 시작합니다. 은폐를 위해 클라이언트의 청취 포트는 일반적으로 80에서 열립니다. 이런 식으로 사용자가 포트 스캐닝 소프트웨어를 사용하여 자신의 포트를 확인하더라도 그가 찾은 내용은 "TCP 서버 IP 주소: 1026, 클라이언트 IP address: 80 ESTABLISHED". 조금 부주의하면 웹서핑을 하고 있다고 생각하게 됩니다. 방화벽도 그렇게 생각할 것입니다. 아마도 어떤 방화벽도 사용자가 포트 80에 연결하는 것을 허용하지 않을 것입니다. 이러한 유형의 트로이 목마의 전형적인 대표자는 "Network Thief"입니다. 이 유형의 트로이 목마는 여전히 레지스트리에 키를 생성해야 하므로 레지스트리 변경 사항에 주의를 기울이는 한 키를 찾는 것은 어렵지 않습니다.

트로이 목마는 매우 교활하고 은밀한 목적을 달성하기 위해 자신을 위장하고 숨기는 데 능숙하지만. 그러나 규칙을 이해하고 특정 방법을 익히면 이를 예방할 수 있습니다. 트로이 목마를 둘러싼 두려움과 미스터리를 제거하세요. 사실 좀 더 조심하고 예방을 강화한다면 트로이 목마는 멀리할 것이라고 믿습니다!

Kaspersky 바이러스 백신 소프트웨어나 ZoneAlarm 영어 버전을 함께 사용하는 것이 좋습니다! 예방과 치료를 위한 최신 바이러스 데이터베이스!