컴퓨터 지식 네트워크 - 컴퓨터 프로그래밍 - 트로이 목마란 무엇입니까?

트로이 목마란 무엇입니까?

트로이 목마란?

트로이 목마(이하 트로이 목마)는 영어로 '트로이 목마'라고 하는데, 그 이름은 그리스어로 트로이 목마에서 따온 것이다. 신화학.

원격제어 기반의 해킹툴로 은폐, 무단 접근의 특징을 가지고 있습니다.

소위 은폐란 트로이 목마가 발견되는 것을 방지하기 위해 트로이 목마 설계자가 다양한 방법을 사용하여 서버가 발견되더라도 이를 숨기는 것을 의미합니다. 트로이 목마에 감염되면 구체적인 위치를 파악할 수 없어 보기만 할 수 있는 경우가 많다.

소위 비인증이란 제어 단말기가 서버에 연결되면 제어 단말기가 파일 수정, 레지스트리 수정, 파일 제어 등 서버 운영 권한의 대부분을 누리는 것을 의미합니다. 마우스, 키보드 등이 있는데, 이것들은 서버에서 전원을 주는 것이 아니라 트로이 목마 프로그램을 통해 전원을 훔치는 것입니다.

트로이 목마 개발 관점에서 보면 기본적으로 두 단계로 나눌 수 있습니다.

인터넷이 아직 UNIX 플랫폼을 기반으로 하고 있던 초기에는 트로이 목마가 만들어졌는데, 당시 트로이 목마 프로그램의 기능은 비교적 단순하여 시스템 파일에 프로그램을 내장하는 경우가 많았습니다. 점프 명령을 사용하여 실행했습니다. 이 기간 동안 대부분의 트로이 목마 설계자와 사용자는 상당한 네트워크 및 프로그래밍 지식을 갖고 있어야 합니다.

WINDOWS 플랫폼이 점점 대중화되면서 그래픽 작업을 기반으로 한 일부 트로이 목마 프로그램이 등장했습니다. 사용자 인터페이스의 개선으로 인해 사용자는 상대적으로 전문적인 지식을 많이 알지 않고도 트로이 목마를 능숙하게 조작할 수 있게 되었습니다. 침입도 자주 발생하는데, 이 기간 동안 트로이 목마의 기능이 점점 완벽해지기 때문에 서버에 미치는 피해도 더 크다.

그래서 트로이 목마는 오늘날까지 발전했으며 가능한 모든 방법을 사용해 왔습니다. 일단 트로이 목마에 의해 제어되면 컴퓨터에는 아무런 비밀도 없습니다.

트로이 목마의 피해가 크다는 점을 고려하여 트로이 목마에 대해 원칙, 방어 및 반격, 정보의 세 부분으로 나누어 자세히 소개하도록 하겠습니다. 트로이 목마 방법.

원칙

기본지식

트로이목마의 원리를 소개하기에 앞서 먼저 설명해야 할 트로이목마에 대한 기본지식들이 많이 있습니다. 아래 내용을 언급하세요.

완전한 트로이 목마 시스템은 하드웨어 부분, 소프트웨어 부분, 특정 연결 부분으로 구성됩니다.

(1) 하드웨어 부분: 트로이 목마 연결을 설정하는 데 필요한 하드웨어 개체입니다. 컨트롤러: 서버를 원격으로 제어하는 ​​당사자입니다. 서버 : 관제단말에 의해 원격으로 제어되는 당사자. 인터넷: 제어 터미널은 서버를 원격으로 제어하고 데이터 전송을 위한 네트워크 캐리어입니다.

(2) 소프트웨어 부분: 원격 제어를 구현하는 데 필요한 소프트웨어 프로그램입니다. 제어 프로그램 : 제어가 서버를 원격으로 제어하기 위해 사용하는 프로그램. 트로이 목마 프로그램: 서버에 몰래 침입하여 운영 권한을 얻는 프로그램입니다. 트로이 목마 구성 프로그램: 트로이 목마 프로그램의 포트 번호, 발생 조건, 트로이 목마 이름 등을 설정하여 서버에서 더욱 숨겨지도록 하는 프로그램.

(3) 특정 연결 부분 : 인터넷을 통해 서버와 컨트롤 엔드 사이에 트로이 목마 채널을 구축하는데 필요한 요소이다. 컨트롤러 IP, 서버 IP: 즉 제어단과 서버의 네트워크 주소이며 트로이목마가 데이터를 전송하는 목적지이기도 하다. 제어 종단 포트, 트로이 목마 포트: 즉 제어 종단과 서버 종단의 데이터 입구입니다. 이 입구를 통해 데이터는 제어 종단 프로그램이나 트로이 목마 프로그램에 직접 도달할 수 있습니다.

트로이 목마 원리

트로이 목마와 같은 해킹 도구를 이용해 네트워크 침입을 수행하는 과정은 크게 6단계로 나눌 수 있다(자세한 내용은 아래 그림 참조). 6단계로 트로이 목마의 공격 원리를 자세히 살펴보자.

1. 트로이 목마 구성

일반적으로 잘 설계된 트로이 목마에는 특정 구성 내용으로 볼 때 주로 다음 두 가지 기능을 수행하는 것이 있습니다. /p>

p>

(1) 트로이 목마 변장: 서버 측에서 가능한 한 트로이 목마를 숨기기 위해 트로이 목마 구성 프로그램은 아이콘 수정, 번들링 등 다양한 변장 방법을 사용합니다. 파일, 포트 사용자 정의, 자체 파괴 등에 대해 논의하겠습니다. 자세한 정보는 "확산되는 트로이 목마" 섹션에 제공됩니다.

(2) 정보 피드백: 트로이 목마 구성 프로그램은 정보 피드백을 위한 이메일 주소, IRC 번호, ICO 번호 등을 설정하는 등 정보 피드백 방법이나 주소를 설정하여 세부 정보를 제공합니다. "정보 세부 사항은 피드백 섹션에 제공됩니다.

2. 트로이 목마의 전파

(1) 전파 방법:

트로이 목마의 전파 방법은 크게 두 가지가 있습니다. 하나는 이메일, 제어입니다. 터미널 트로이 목마 프로그램은 이메일에 첨부 파일로 전송됩니다. 수신자는 첨부 파일을 열면 트로이 목마에 감염됩니다. 다른 하나는 소프트웨어 다운로드입니다. 소프트웨어 다운로드를 제공하는 이름입니다. 프로그램을 다운로드한 후 이러한 프로그램을 실행하자마자 트로이 목마가 자동으로 설치됩니다.

(2) 위장 방법:

트로이 목마의 유해성을 고려하여 많은 사람들은 여전히 ​​트로이 목마 지식에 대해 어느 정도 이해하고 있으며 이는 트로이 목마 확산을 억제하는 효과가 있습니다. 트로이 목마 설계자들은 이를 보고 싶지 않기 때문에 사용자의 주의력을 낮추고 속이기 위해 트로이 목마를 위장하는 다양한 기능을 개발했습니다.

(1) 아이콘 수정

E-MAIL 첨부파일에 이 아이콘이 보이면 텍스트 파일인 줄 아시죠? 트로이 목마 프로그램일 수도 있습니다. 트로이 목마 서버 프로그램의 아이콘을 HTML, TXT, ZIP 등 다양한 파일의 아이콘으로 변경할 수 있는 트로이 목마가 이미 존재합니다. 이는 상당히 혼란스러운데 현재로서는 없습니다. 이 기능을 제공하는 트로이 목마는 드물고 변장도 완벽하지 않으므로 하루 종일 경계하고 의심할 필요가 없습니다.

(2) 파일 묶기

이 변장 방법은 설치 프로그램이 실행되면 트로이 목마가 사용자 없이 몰래 파일을 다운로드하는 것입니다. 눈치채고 시스템에 들어왔습니다. 번들 파일의 경우 일반적으로 실행 파일(즉, EXE, COM 등의 파일)입니다.

(3) 오류 표시

트로이 목마에 대해 어느 정도 알고 있는 사람은 누구나 파일을 열 때 응답이 없으면 트로이 목마 프로그램의 설계자일 가능성이 높다는 것을 알고 있습니다. 트로이 목마도 이 결함을 인지하고 일부 트로이 목마는 이미 오류 표시라는 기능을 제공했습니다. 서버 사용자가 트로이목마 프로그램을 열면 아래와 같은 오류창이 뜹니다(물론 가짜입니다). 오류 내용은 자유롭게 정의할 수 있으며, 대부분은 "파일은 다음과 같습니다." 손상되어 열 수 없습니다!" 서버 사용자가 해당 정보를 사실이라고 믿었을 때 트로이 목마가 조용히 시스템에 침입했습니다.

(4) 사용자 정의 포트

많은 구식 트로이 목마 포트가 수정되어 트로이 목마의 감염 여부를 더 쉽게 확인할 수 있습니다. 특정 포트만 확인하면 감염 여부를 알 수 있습니다. 어떤 종류의 트로이 목마가 있으므로 이제 많은 새로운 트로이 목마가 포트를 사용자 정의하는 기능을 추가했습니다. 제어 최종 사용자는 1024---65535 사이의 포트를 트로이 목마 포트로 선택할 수 있으므로(일반적으로 1024 미만의 포트는 선택하지 마십시오) 감염된 트로이 목마의 유형을 결정하면 문제가 발생합니다.

(5) 자멸

트로이목마의 단점을 보완하기 위한 기능이다. 우리는 서버 사용자가 트로이 목마가 포함된 파일을 열면 트로이 목마가 WINDOWS 시스템 폴더(C:\WINDOWS 또는 C:\WINDOWS\SYSTEM 디렉터리)에 자신을 복사한다는 것을 알고 있습니다. 시스템 파일 폴더에 있는 트로이목마 파일의 크기는 동일하므로(파일과 함께 제공되는 트로이목마 제외) 트로이목마에 걸린 친구는 최근 받은 편지에서 원본 트로이목마 파일만 찾아서 소프트웨어를 다운로드한 다음 원본 트로이 목마의 크기에 따라 시스템 파일로 이동하세요. 동일한 크기의 파일을 찾아서 어떤 파일이 트로이 목마인지 확인하세요. 트로이 목마의 자체 파괴 기능은 트로이 목마가 설치된 후 원본 트로이 목마 파일이 자동으로 파괴되어 서버 사용자가 트로이 목마의 소스를 찾기 어렵게 만드는 것을 의미합니다. 또한 도움 없이는 트로이 목마를 삭제하기도 어렵습니다. 트로이 목마 살해 도구.

(6) 트로이목마 이름 바꾸기

시스템 폴더에 설치된 트로이목마의 파일명은 일반적으로 고정되어 있으므로 트로이목마 죽이기에 대한 글을 따라가서 검색해보시면 됩니다. 그림에 따른 시스템 폴더 특정 파일을 검색하면 어떤 트로이 목마가 공격을 받았는지 확인할 수 있습니다. 따라서 이제 많은 트로이 목마는 제어 사용자가 설치 후 트로이 목마 파일 이름을 자유롭게 사용자 정의할 수 있도록 허용하므로 감염된 트로이 목마 유형을 확인하기가 어렵습니다.

3. 트로이 목마 실행

서버 사용자가 트로이 목마나 트로이 목마를 묶은 프로그램을 실행하면 자동으로 트로이 목마가 설치됩니다. 먼저 WINDOWS 시스템 폴더(C:\WINDOWS 또는 C:\WINDOWS\SYSTEM 디렉터리)에 자신을 복사한 다음 레지스트리, 시작 그룹 및 비시작 그룹에서 트로이 목마에 대한 트리거 조건을 설정하여 트로이 목마가 설치가 완료되었습니다. 설치 후 트로이 목마를 시작할 수 있습니다. 구체적인 프로세스는 아래 그림에 나와 있습니다.

(1) 트리거 조건에 따라 트로이 목마 활성화

트리거 조건은 시작 조건을 참조합니다. 일반적으로 다음 8개 위치에 나타나는 트로이 목마:

1. 레지스트리: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\에서 Run 및 RunServices라는 5개의 기본 키를 열고 키 값을 찾습니다. ​​트로이 목마를 시작하는 데 사용될 수 있습니다.

2.WIN.INI: C:\WINDOWS 디렉터리에 win.ini 구성 파일이 있습니다. 이 파일을 텍스트 모드로 엽니다. [windows] 필드에 시작 명령 load= 및 run=이 있습니다. .일반적으로 하단이 비어 있습니다. 시작 프로그램이 있으면 트로이 목마일 수 있습니다.

3.SYSTEM.INI: C:\WINDOWS 디렉터리에 system.ini 구성 파일이 있습니다. 이를 텍스트 모드로 엽니다. [386Enh], [mic] 및 [drivers32]에 명령줄이 있습니다. 트로이 목마의 명령.

4.Autoexec.bat 및 Config.sys: C 드라이브의 루트 디렉터리에 있는 이 두 파일도 트로이 목마를 시작할 수 있습니다. 그러나 이 로딩 방법은 일반적으로 제어 사용자가 서버와 연결을 설정한 후 트로이 목마 시작 명령이 추가된 동일한 이름의 파일을 서버에 업로드하여 이 두 파일을 덮어써야 합니다.

5.*.INI: 애플리케이션의 시작 구성 파일입니다. 제어측은 이러한 파일의 특성을 이용하여 프로그램을 시작하고 트로이 목마 시작 명령과 함께 준비된 파일을 동일한 이름으로 업로드합니다. 서버는 동일한 이름의 파일을 덮어 트로이 목마 실행 목적을 달성할 수 있습니다.

6. 레지스트리: HKEY_CLASSES_ROOT\file type\shell\open\command 기본 키를 열고 해당 키 값을 확인합니다. 예를 들어 국내 트로이 목마 "Binghe"는 HKEY_CLASSES_ROOT\txtfile\shell\open\command 아래의 키 값을 수정하여 "C:\WINDOWS\NOTEPAD.EXE %1"을 "C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %"로 변경합니다. 1", TXT 파일을 두 번 클릭하면 원래 NOTEPAD를 사용하여 열었던 파일이 이제 트로이 목마 프로그램이 됩니다. 또한 TXT 파일뿐만 아니라 HTML, EXE, ZIP 및 기타 파일의 시작 명령 키 값을 수정하여 트로이 목마가 시작될 수 있다는 점에 유의해야 합니다. 유일한 차이점은 "파일 형식"의 기본 키에 있습니다. ". TXT는 txtfile이고 ZIP은 WINZIP으로 찾아보시면 됩니다.

7. 파일 묶음: 이 트리거 조건을 달성하려면 먼저 제어 측과 서버 측이 트로이 목마를 통해 연결을 설정한 다음 제어 최종 사용자가 도구 소프트웨어를 사용하여 트로이 목마 파일을 묶습니다. 그런 다음 서버에 업로드하여 원본 파일을 덮어쓰게 되므로 트로이 목마가 삭제되더라도 해당 트로이 목마와 함께 제공되는 응용 프로그램을 실행하면 트로이 목마가 다시 설치됩니다.

8. 시작 메뉴: "시작---프로그램---시작" 옵션에도 트로이 목마 실행 조건이 있을 수 있습니다.

(2) 트로이 목마 실행 프로세스

트로이 목마는 활성화된 후 메모리에 진입하여 미리 정의된 트로이 목마 포트를 열어 제어 터미널과의 연결을 준비합니다. 이때 서버 사용자는 MS-DOS 모드에서 NETSTAT -AN을 입력하여 포트 상태를 확인할 수 있습니다. 일반적으로 개인용 컴퓨터는 오프라인일 때 포트가 열려 있지 않습니다. 트로이 목마에 감염되었는지 여부. 다음은 컴퓨터가 트로이 목마에 감염된 후 포트를 보기 위해 NETSTAT 명령을 사용하는 두 가지 예입니다.

이 중 ①은 서버와 제어 측이 연결되었을 때의 표시 상태이고 ②는 서버와 제어측은 아직 연결 상태를 설정하지 않았습니다.

소프트웨어 다운로드, 편지 보내기, 온라인 채팅 등을 할 때 일부 포트를 열어야 합니다. 다음은 일반적으로 사용되는 포트입니다.

(1)1--- 사이 1024 포트: 이 포트는 예약된 포트라고 하며, 21을 사용하는 FTP, 25를 사용하는 SMTP, 110을 사용하는 POP3 등과 같은 일부 외부 통신 프로그램에 특별히 사용됩니다. 소수의 트로이 목마만이 예약된 포트를 트로이 목마 포트로 사용합니다.

(2) 1025 이상의 연속 포트: 온라인으로 웹사이트를 탐색할 때 브라우저는 텍스트와 그림을 로컬 하드 디스크에 다운로드하기 위해 여러 개의 직렬 포트를 엽니다. 이 포트는 모두 1025 이상의 직렬 포트입니다.

(3) 포트 4000: OICQ의 통신 포트입니다.

(4) 포트 6667: IRC의 통신 포트입니다. 위에서 언급한 포트 외에도 다른 포트, 특히 상대적으로 값이 큰 포트가 열려 있는 것을 발견하면 트로이 목마에 감염되었는지 의심해 보아야 합니다. 물론 트로이 목마에 포트를 사용자 정의하는 기능이 있다면, 그러면 모든 포트가 트로이 목마 포트일 수 있습니다.

4. 정보 유출:

일반적으로 말해서, 성숙하게 설계된 트로이 목마에는 정보 피드백 메커니즘이 있습니다. 소위 정보 피드백 메커니즘은 트로이 목마가 성공적으로 설치된 후 일부 서버 측 소프트웨어 및 하드웨어 정보를 수집하고 전자 메일, IRC 또는 ICO를 통해 제어 최종 사용자에게 알린다는 것을 의미합니다. 아래 그림은 일반적인 정보 피드백 이메일입니다.

이 이메일을 통해 우리는 사용된 운영 체제, 시스템 디렉터리, 하드 디스크 파티션 상태, 시스템 비밀번호 등을 포함하여 서버의 일부 소프트웨어 및 하드웨어 정보를 알 수 있습니다. 이러한 정보 중에서 가장 중요한 것은 왜냐하면 이 매개변수를 획득해야만 제어 측이 서버 측과 연결을 설정할 수 있기 때문입니다. 구체적인 연결 방법은 다음 섹션에서 설명하겠습니다.

5. 연결 설정:

이 섹션에서는 트로이 목마 연결이 설정되는 방법을 설명합니다. 트로이 목마 연결을 설정하려면 먼저 두 가지 조건을 충족해야 합니다. 첫째, 트로이 목마 프로그램이 서버에 설치되어 있어야 하며, 둘째, 제어 터미널과 서버가 모두 온라인 상태여야 합니다.

이를 기반으로 제어 단말은 트로이 목마 포트를 통해 서버와 연결을 맺을 수 있다. 설명의 편의를 위해 도표를 사용하여 설명하겠습니다.

위 그림에서 볼 수 있듯이 A 머신은 제어단이고 B 머신은 서버입니다. A 머신이 B 머신과 연결을 설정하려면 해당 머신의 트로이 목마 포트와 IP 주소를 알아야 합니다. 나. 트로이목마 포트는 A이기 때문에 해당 머신은 미리 설정되어 있고 알려진 항목이므로 B 머신의 IP 주소를 어떻게 얻어내느냐가 가장 중요하다. 컴퓨터 B의 IP 주소를 얻는 두 가지 주요 방법은 정보 피드백과 IP 스캐닝입니다. 전자는 이전 섹션에서 소개되었으므로 IP 스캐닝에 집중하지 않겠습니다. 머신 B에는 트로이 목마 프로그램이 탑재되어 있으므로 트로이 목마 포트 7626이 열려 있으므로 이제 머신 A는 호스트만 스캔합니다. 예를 들어, 그림에서 머신 B의 IP 주소는 202.102.47.56입니다. 머신 A가 이 IP를 스캔하여 포트 7626이 열려 있음을 발견하면 이 IP가 그러면 시스템 A는 트로이 목마의 제어 프로그램을 통해 시스템 B에 연결 신호를 보낼 수 있습니다. 시스템 B의 트로이 목마 프로그램은 신호를 받은 후 즉시 응답하며 포트 1031을 엽니다. 머신 B의 트로이 목마 포트 7626에 연결됩니다. 이때 실제로 트로이 목마 연결이 설정됩니다. 전체 IP 주소 범위를 검색하는 것은 분명히 시간이 많이 걸리고 힘들다는 점을 언급할 가치가 있습니다. 일반적으로 제어 측에서는 먼저 전화 접속 인터넷 액세스의 IP 주소를 통해 서버의 IP 주소를 얻습니다. 즉, 사용자의 IP 주소는 인터넷에 접속할 때마다 다릅니다. 하지만 이 IP는 특정 범위 내에서 변경됩니다. 그림에서 머신 B의 IP는 202.102.47.56이므로 머신의 변경 범위는 다음과 같습니다. B의 인터넷 IP는 202.102.000.000---202.102.255.255이므로 제어가 종료될 때마다 이 IP 주소 범위를 검색하여 B 머신을 찾으면 됩니다.

6. 원격 제어:

트로이 목마 연결이 설정되면 아래 그림과 같이 제어 포트와 트로이 목마 포트 사이에 채널이 나타납니다.

제어 포트 서버의 제어 프로그램은 이 채널을 이용하여 서버의 트로이 목마 프로그램과 접속하고, 트로이 목마 프로그램을 통해 서버를 원격으로 제어할 수 있습니다. 아래에서는 여러분이 생각하는 것보다 훨씬 더 큰, 제어 단말이 누릴 수 있는 구체적인 제어 권한을 소개하겠습니다.

(1) 비밀번호 도용: 일반 텍스트, * 형식 또는 CACHE에 캐시된 모든 비밀번호는 트로이 목마에 의해 감지될 수 있습니다. 또한 많은 트로이 목마는 키보드 입력을 모두 기록하는 키 입력 기록 기능도 제공합니다. 서버이므로 트로이 목마가 침입하면 비밀번호는 쉽게 도난당할 수 있습니다.

(2) 파일 작업: 제어 단말기는 원격 제어를 통해 서버에 있는 파일에 대한 삭제, 생성, 수정, 업로드, 다운로드, 실행, 속성 변경 및 기타 작업을 수행할 수 있으며 기본적으로 WINDOWS 모든 파일을 포함합니다. 플랫폼의 작동 기능.

(3) 레지스트리 수정: 제어 측에서는 기본 키, 하위 키 및 키 값의 삭제, 생성 또는 수정을 포함하여 서버 레지스트리를 마음대로 수정할 수 있습니다. 이 기능을 통해 제어 터미널은 서버의 플로피 드라이브와 CD-ROM 드라이브의 사용을 금지하고, 서버의 레지스트리를 잠그고, 서버의 트로이 목마 발생 조건을 보다 교묘하고 일련의 고급 작업으로 설정할 수 있습니다.

(4) 시스템 작동: 이 내용에는 서버 운영체제 재시작 또는 종료, 서버 네트워크 연결 끊기, 서버의 마우스 및 키보드 제어, 서버 데스크탑 작동 모니터링, 서버 프로세스 보기 등이 포함됩니다. control end는 언제든지 서버에 정보를 보낼 수도 있습니다. 갑자기 서버의 데스크탑에 문단이 나타날 때 시작하지 않으면 놀랄 것입니다.

세 가지의 차이점은 다음과 같습니다. 실제로 점점 작아지고 있습니다.

이제 웜은 취약점이나 이메일을 통해 빠르게 확산되는 프로그램을 의미합니다. 대부분은 빠르게 확산되고 철저한 검사를 피하는 것을 목표로 하며 일반적으로 실행 파일을 거의 감염시키지 않습니다.

공격자가 시스템에 침입하면 트로이 목마를 배치하거나 공격자가 사용자를 속여 트로이 목마를 실행하게 할 것입니다. 트로이 목마의 목적은 공격자가 컴퓨터를 더 쉽게 조작할 수 있도록 돕는 것입니다. 일반적으로 트로이 목마는 시스템에 오랫동안 머물기 때문에 자체적으로 파일을 파괴하는 경우는 거의 없습니다.

바이러스는 사물의 가장 큰 범주로, 현재 분류 ​​추세에 따르면 바이러스는 트로이 목마와 웜을 거의 포함할 수 있습니다. 일반적으로 사용자에게 유해한 프로그램을 의미하며, 구체적으로는 그 중 일부를 의미합니다. 그것은 스스로 퍼질 수 있습니다. 초기에는 일반적인 의미에서 바이러스는 파일을 감염시키는 파일 형식의 바이러스를 의미했습니다.

上篇: LeTV 슈퍼TV LeTV TV 인용문 목록 下篇: 사람의 일생에서 만날 네 사람
관련 내용