트로이마란 무엇입니까? 어떤 특징이 있나요?

무의식적인' 트로이마' 에 대해 말하자면, 나는 즉시 삼국시대 제갈량 씨가 발명한 목소 유마를 연상했다. 처음에는 왜 바이러스와 관련이 있는지 알 수 없었습니다. 일부 이해 후, 원래 고대 그리스 병사들이 트로이 마네에 숨어 적성에 잠입하여 일거에 적성을 점령한 이야기였다. 트로이 바이러스가 원격 호스트를 침범하는 방식은 도시를 공격하는 방식과 전략적으로 일치하기 때문이다. 이 설명을 통해 대부분의 친구들은 트로이 목마가 호스트를 침범하는 모든 방법을 알고 있다고 믿는다. 즉, 컴퓨터 시스템에 잠입하고, 시스템이 시작될 때 백그라운드에서 프로그램을 자동으로 실행하고, 인터넷을 할 때 서버/클라이언트 통신 수단을 이용하여 컴퓨터를 제어함으로써 비밀번호를 훔치고, 하드 드라이브 자원을 찾아보고, 파일이나 레지스트리를 수정하고, 메일을 훔쳐보는 것 등이다.

일단 컴퓨터가 그것에 의해 제어되면, 보통 블루 스크린 충돌이 발생합니다. 디스크가 영문도 모른 채 스스로 튀어나왔다. 마우스 왼쪽 및 오른쪽 버튼 기능은 거꾸로 또는 실패하거나 파일이 삭제됩니다. 때로는 붕괴되고 때로는 다시 시작됩니다. 아무 일도 하지 않을 때, 나는 필사적으로 하드 드라이브를 읽고 쓰고 있다. 시스템은 영문도 모른 채 플로피 드라이브를 검색합니다. 큰 프로그램이 실행되지 않으면 시스템 속도가 느려지고 시스템 자원이 많이 소모됩니다. CTRL+ALT+DEL 을 사용하여 작업 목록을 불러오면 같은 이름의 프로그램이 여러 개 실행 중이며 시간이 지남에 따라 증가할 수 있습니다.

하지만 알다시피, 트로이 바이러스에 감염된 기계를 발견하더라도, 트로이 바이러스는 목적상 일반 바이러스와 매우 다르기 때문에 그렇게 두려워할 필요는 없습니다. 트로이마가 도망가도 반드시 너의 기계에 해를 끼칠 수 있는 것은 아니다. 그러나 분명히 나쁜 점이 있을 것이다. 당신의 인터넷 비밀번호가 다른 사람의 수신함에 갔을 수도 있고, 해커가 당신의 온라인 계정을 훔쳐 인터넷에 접속할 수 있습니다! 트로이 목마는 또한 바이러스 프로그램이지만, 더 구체적으로 해커 프로그램으로 간주된다. 왜냐하면 트로이 목마를 발표하는 사람들에게 서비스를 제공하기 위한 것이기 때문이다. 이른바 해커라고 한다. (빌 게이츠, 해커, 해커, 해커, 해커, 해커, 해커)

이 기사에서는 트로이 목마의 특징, 트로이 목마 침입의 일반적인 방법 및 제거 방법, 트로이 마의 침입을 방지하는 방법, 몇 가지 일반적인 트로이 목마 프로그램을 제거하는 방법에 대해 자세히 설명합니다.

트로이 목마의 기본 특징

트로이 목마는 바이러스이며, 동시에 여러 종류의 트로이 목마 프로그램들이 있어서, BackOrifice(BO), BackOrifice2000, Netspy, Picture, Netbus, 망명, 망명 등 여러 시기의 발전으로 구분된다. 종합적으로 유행하는 트로이마 프로그램은 모두 다음과 같은 기본 특징을 가지고 있다.

1, 은폐가 주요 특징입니다.

다른 모든 바이러스와 마찬가지로 트로이마도 일종의 바이러스이다. 그것은 당신의 시스템에 숨겨져 있어야 합니다, 그것은 당신이 그것을 찾을 수 있도록 최선을 다 할 것입니다. 많은 사람들이 트로이 목마와 원격 제어 소프트웨어에 대해 다소 곤혹스러워한다. 앞서 언급한 목마는 트로이 목마를 통해 타겟에 상주한 다음, 원격 제어 기능을 통해 타겟을 제어할 수 있기 때문이다. (윌리엄 셰익스피어, 트로이, 원격 제어, 원격 제어, 원격 제어, 원격 제어) 사실 이것이 그들의 가장 큰 차이다. 예를 들어, 우리는 pcanywhere, 우리가 흔히 사용하는 LAN 간 통신 소프트웨어인 pcanywhere 를 잘 알고 있어야 합니다. 우리 모두는 그것이 원격 통신 소프트웨어라는 것을 알고 있습니다. PCanwhere 가 서버측에서 실행될 때 클라이언트와 서버쪽 연결이 성공하면 클라이언트 시스템에 매우 눈에 띄는 힌트 플래그가 나타납니다. 하지만 트로이 소프트웨어의 서버측은 실행 시 여러 가지 방법으로 자신을 숨기고 아무런 힌트도 낼 수 없다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 이 해커들은 일찌감치 가능한 모든 징조를 생각하고 그들을 죽였다. 예를 들어, 익숙한 트로이 목마는 레지스트리 및 ini 파일을 수정하여 기계가 다음 부팅 후에도 트로이 목마 프로그램을 로드할 수 있도록 합니다. 그 자체가 시작프로그램을 생성하는 것이 아니라 다른 프로그램에 의존한다. Exe-binder Binder 라고 하는 서버와 일반 프로그램을 하나의 프로그램으로 바인딩하는 일부 소프트웨어는 바인딩 프로그램을 사용할 때 시스템을 해킹할 수 있으며, 심지어 일부 트로이 목마 프로그램도 자신의 EXE 파일과 서버쪽 사진 파일을 함께 묶을 수 있으며, 사진을 볼 때 트로이 목마도 시스템을 해킹할 수 있습니다. (윌리엄 셰익스피어, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마, 트로이 목마) 은폐성은 주로 다음 두 가지 측면에 반영됩니다.

A, 아이콘 생성 안 함

시스템이 시작될 때 자동으로 실행되지만 작업 표시줄에 아이콘이 생성되지 않습니다. 이해하기 쉽습니다. 그렇지 않으면 눈으로 찾을 수 있습니다. 작업 표시줄에서 아이콘을 숨기려면 트로이 목마를 개발할 때 "Form" 의 "Visible" 속성을 "False" 로 설정하고 "ShowintaskBar" 속성을 "Flase" 로 설정하기만 하면 됩니다

B, 트로이 목마 프로그램은 자동으로 작업 관리자에 숨겨져 있으며,' 시스템 서비스' 로 운영 체제를 속인다.

2. 자동 조작 기능이 있습니다.

시스템이 시작될 때 자동으로 실행되는 프로그램이므로 win.ini, system.ini, winstart.bat, startup group 과 같은 시작 구성 파일에 잠입해야 합니다.

3. 목마는 사람을 속이는 것이다.

트로이 목마 프로그램은 장기적으로 숨겨진 목적을 달성하기 위해 시스템에 이미 있는 파일을 이용하여 당신이 발견하지 못하도록 해야 합니다. "dll\win\sys\explorer" 와 같은 일반적인 파일 이름이나 확장자를 사용하거나 문자 "l" 과 숫자 "1", 문자 "o" 와 같이 구분하기 어려운 파일 이름을 모방하는 경우가 많습니다 다른 트로이 목마 프로그램은 종종 자신을 ZIP 파일 아이콘으로 설정하여 자신을 숨긴다. 실수로 열면 즉시 작동합니다. 이런 것들이죠. 트로이마 프로그램을 쓴 사람들은 여전히 연구하고 탐구하고 있다. 간단히 말해서, 그들은 점점 더 은밀해지고 프로페셔널해졌기 때문에 트로이마 프로그램을' 사기꾼 프로그램' 이라고 부르는 사람들이 있다.

4, 자동 복구 기능 포함

현재 많은 트로이 프로그램의 기능 모듈은 더 이상 단일 파일로 구성된 것이 아니라 여러 개의 백업이 있어 서로 복구할 수 있습니다.

5, 특수 포트를 자동으로 열 수 있습니다

트로이 목마 프로그램이 사람들의 컴퓨터에 잠입하는 목적은 주로 너의 시스템을 파괴하는 것이 아니라, 너의 시스템에서 유용한 정보를 얻는 것이다. 그래서 네가 인터넷에 접속할 때 원격 고객과 통신해야 한다. 이렇게 목마 프로그램은 서버/클라이언트 통신을 통해 정보를 해커에게 알려준다. 해커가 너의 기계를 통제하거나 더 많은 침입 시도를 할 수 있게 한다. 컴퓨터에 몇 개의 외부 "문" 이 있는지 아세요? 잘 모르겠어요. 나는 너에게 두려워하지 말라고 말했다. TCP/IP 프로토콜에 따르면 컴퓨터당 256 곱하기 256 개의 문, 즉 0 부터 65535 까지 몇 개만 사용할 수 있습니다. 이런 문으로 들어가고 싶으세요? 물론, 만약 문이 있다면, 우리는 여전히 그것들을 닫을 수 있고, 나는 트로이마를 방지하는 방법에 대해 이야기할 것이다.

6, 기능의 특수성

흔한 목마의 기능은 모두 특별하다. 일부 트로이 목마는 일반적인 파일 작업 외에도 캐시에서 암호 검색, 암호 설정, 대상 로봇 IP 주소 스캔, 키보드 기록, 원격 레지스트리 조작, 마우스 잠금 등의 기능을 제공합니다. 물론 위에서 언급한 리모컨 소프트웨어의 기능은 없을 것이다. 결국, 원격 제어 소프트웨어는 원격 기계를 제어하는 데 사용되며, 스스로 조작하기 쉬운 것이지, 상대방 기계를 검게 하는 것이 아니다.

해커 조직은 종종 열려 있습니다.

나는 이전에 어떤 공개 바이러스 조직 (아마도 내가 무지한 것) 도 발견한 적이 없다. 대부분의 바이러스는 호기심 (물론 이 직업에 전문적으로 종사하는 사람도 있음) 에서 자신의 바이러스 프로그램 개발 수준을 시험해 보고 싶었지만, 일단 들키면 투옥이나 벌금형을 선고받을 수 있기 때문에 절대 공개하지 못했다. 이런 예는 더 이상 뉴스가 아니다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 건강명언) 과거에 바이러스를 개발하는 바이러스 조직이 있었다면, 그것은 확실히' 지하' 에 속해야 한다. 현재 트로이마 프로그램 개발을 전문으로 하는 조직들이 즐비하고 있을 뿐만 아니라 인터넷에서도 공개적으로 사람을 모집하는 것은 합법화된 것 같다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 이 때문에 해커 프로그램은 끊임없이 업그레이드되고, 끊임없이 등장하며, 해커 수단도 갈수록 높아지고 있다. 왜 그런지 모르겠다. 그 이유는' 자위와 애국을 위한 것' 이라고 한다. "

트로이 침입의 일반적인 방법 및 제거 방법

트로이 목마 절차는 변화무쌍하지만, 한 트로이 목마 조직의 책임자가 말했듯이, 대부분의 트로이 목마 프로그램은 특별한 기능이 없고 침입 방법도 비슷하다. 그들은 단지 과거의 트로이 경마 프로그램을 반복했을 뿐, 단지 이름을 바꾸었을 뿐이다. 지금은 모두 효율을 중시하고 싶다. 그들은 중복 개발을 근절하고 자원을 낭비하고 싶다고 한다. 물론, 우리는 과거의 일반적인 침입 방식만을 말할 수 있다. 왜냐하면 우리는 결국 목마의 개발자가 아니기 때문에 선견지명이 있을 수 없기 때문이다.

1, win.ini 파일에 로드됩니다.

일반적으로 win.ini 파일의 [windwos] 섹션에는 다음과 같은 추가 기능이 있습니다.

Run= load=, 일반적으로 둘 다 비어 있습니다 (예: 1).

그림 1

시스템의 두 항목 모두에 의심스러운 프로그램이 로드된 것을 발견할 경우 특히 주의해야 합니다. 이때 제공한 소스 파일 경로와 함수에 따라 더 자세히 검사할 수 있습니다. 우리는 이 두 가지가 시스템 시작 시 자동으로 프로그램을 실행하고 로드하는 데 사용된다는 것을 알고 있습니다. 트로이 목마 프로그램을 두 개의 하위 항목으로 로드하면 시스템이 시작될 때 자동으로 실행되거나 로드됩니다. 물론, 당신이 정말로 당신의 시스템에 프로그램을 로딩해야 할 수도 있지만, 이것이 트로이마가 사용할 수 있는 좋은 기회라는 것을 알아야 합니다. 로더가 이미 있는 파일 이름 뒤에 자신의 파일 이름이나 매개변수를 추가하는 경우가 많으며, 이 파일 이름은 command.exe, sys.com 과 같이 자주 사용하는 파일에 의해 위장되는 경우가 많습니다.

2. System.ini 파일을 로드합니다.

시스템 정보 파일 system.ini 에는 그림 2 와 같이 [BOOT] 의 하위 항목에 있는 "셸" 항목인 시작 플러그인이 있다는 것을 알고 있습니다.

그림 2

여기서 트로이마의 가장 일반적인 수법은' 탐험가' 가 되어야 할 것을 자신의 프로그램 이름으로 바꾸는 것이다. 이름과 거의 같은 척 하는 것이다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 도전명언) 탐험가' 의 글자' L' 을 숫자' 1' 으로 약간 변경하거나' O' 를 숫자' 0' 으로 바꾸면 된다. 이러한 변화들은 자세히 주의하지 않으면 발견하기 어렵다. 이것은 우리가 전에 말한 것이다. 물론 일부 목마는 그렇게 하지 않고' 탐험가' 를 다른 것으로 바꾼다. 왜냐하면 그는 많은 친구들이 그것이 반드시' 탐험가' 인지, 혹은' 탐험가' 에 무언가를 더하는 것을 알고 있기 때문이다. 그것들은 반드시 트로이마일 것이다.

3, 레지스트리 수정

레지스트리를 자주 연구하는 친구가 알고 있다면, 트로이 목마를 컴파일하는 전문가들은 당연히 이 기회를 놓치지 않을 것이며, 보는 사람이 적기 때문에 레지스트리가 더 안전하다는 것을 알고 있을 것이다. 사실 "run \ run-\ runonce \ runonce \ run services \ run services-\ run services once" 등만 있으면 됩니다. , [HKEY _ local _ machine \ software \ Microsoft \ Windows \ 현재 버전 \ run 또는 \RunOnce] 와 같이 트로이 말을 로드하는 포털입니다.

그림 3

그림 4 와 같이 [HKEY _ 현재 _ 사용자 \ 소프트웨어 \ Microsoft \ Windows \ 현재 버전 \ 실행 또는 실행-또는 한 번 실행 또는 한 번 실행 또는 서비스 실행 또는 한 번 실행].

그림 4

지정된 소스 파일 경로를 따라 시스템에서 그 역할을 연구하는 한, 이러한 키 값의 역할을 발견하는 것은 어렵지 않지만 트로이마의 사기에도 주의를 기울여야 합니다. 그들은 자신을 위장하는 데 가장 능숙합니다! (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 동시에 netspy.exe, 공백, 공백, 공백, 공백, 공백, 공백, 공백, 공백, 공백, 공백, 공백, 공백 Exe 또는 기타 의심스러운 파일 이름, 즉시 삭제하십시오.

4. 파일 열기 연관을 수정합니다

트로이마 프로그램이 오늘날까지 발전하여, 그들은 위의 낡은 수법이 무효라는 것을 발견했다. 자신을 더 숨기기 위해, 그들이 사용하는 숨겨진 수단도 점점 더 명확해지고 있다. (하지만 이것도 만물이 살아남는 길이라고 생각하지 않니?) (윌리엄 셰익스피어, 햄릿, 지혜명언) ), 수정된 파일을 사용하여 연결을 열어 로드 목적을 달성합니다. 수정한 파일을 열어 협회를 열면 트로이마가 그 작업을 시작합니다. 예를 들어, 트로이 빙하는 텍스트 파일 (.txt), 가장 흔하지만 눈에 띄지 않는 파일 형식 협회를 사용하여 자신을 로드하고, 누군가가 텍스트 파일을 열면 빙하 트로이마를 자동으로 로드합니다.

연관을 수정하는 방법은 레지스트리를 수정하는 것입니다. 주로 파일 형식에서 열기, 편집, 인쇄 항목을 선택합니다. 예를 들어 빙마가 수정한 오브젝트는 그림 5 에 나와 있습니다.

그림 5

Ice 트로이 목마 바이러스에 감염된 경우 [HKEY _ class _ root \ txtfile \ shell \ open \ command] 의 키 값은 "c: \ windows \ nd" 가 아닙니다

위에서 언급한 몇 가지 트로이 목마 침입 방식을 발견하면 즉시 삭제하고 바로 인터넷을 끊고 해커의 통신 채널을 차단하여 위에서 언급한 여러 가지 방법으로 찾을 수 있습니다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 레지스트리에서 찾으면 레지스트리의 검색 기능을 사용하여 모두 찾아 트로이 목마의 숨겨진 은신처를 모두 제거하고 완전히 없애야 합니다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 목마, 목마, 목마, 목마, 목마, 목마, 목마) 레지스트리가 백업된 경우 원래 백업 레지스트리를 가져오기 전에 레지스트리를 완전히 삭제하는 것이 좋습니다.

트로이를 분해하기 전에 반드시 주의하세요. 트로이가 실행 중이면 프로그램을 삭제할 수 없습니다. 이제 DOS 모드로 다시 시작한 다음 삭제할 수 있습니다. 일부 트로이 목마는 레지스트리에서 자체 시작 항목을 자동으로 확인합니다. 트로이가 활성 상태일 때 이 항목을 삭제하면 자동으로 복구됩니다. 그런 다음 DOS 로 재부팅하여 프로그램을 제거한 다음 Win9x 로 들어가 레지스트리에서 자동 시작 항목을 제거할 수 있습니다.