트로이 목마 바이러스란 무엇입니까?
트로이 목마
트로이 목마(이하 트로이 목마)는 영어로 '트로이 목마'라고 하는데, 그 이름은 그리스 신화에 나오는 트로이 목마에서 따왔다.
원격제어 기반의 해킹툴로 은폐, 무단 접근의 특징을 가지고 있습니다.
소위 은폐란 트로이 목마가 발견되는 것을 방지하기 위해 트로이 목마 설계자가 다양한 방법을 사용하여 서버가 발견되더라도 이를 숨기는 것을 의미합니다. 트로이 목마에 감염되면 구체적인 위치를 파악할 수 없어 보기만 할 수 있는 경우가 많다.
소위 비인증이란 제어 단말기가 서버에 연결되면 제어 단말기가 파일 수정, 레지스트리 수정, 파일 제어 등 서버 운영 권한의 대부분을 누리는 것을 의미합니다. 마우스, 키보드 등의 권한을 가지며, 이러한 권한은 서버가 부여하는 것이 아니라 트로이목마 프로그램을 통해 빼앗아가는 것입니다.
트로이 목마의 개발 관점에서 보면 기본적으로 두 단계로 나눌 수 있습니다.
인터넷이 아직 UNIX 플랫폼을 기반으로 하고 있던 초기에는 트로이 목마가 만들어졌는데, 당시 트로이 목마 프로그램의 기능은 비교적 단순하여 시스템 파일에 프로그램을 내장하는 경우가 많았습니다. 점프 명령을 사용하여 실행했습니다. 일부 트로이 목마 기능 이 기간 동안 트로이 목마의 설계자와 사용자는 대부분 기술 인력이었으며 상당한 네트워크 및 프로그래밍 지식을 갖고 있어야 합니다.
WINDOWS 플랫폼이 점점 인기를 끌면서 그래픽 조작을 기반으로 한 일부 트로이 목마 프로그램이 등장했습니다. 사용자 인터페이스의 개선으로 인해 사용자는 상대적으로 전문적인 지식을 많이 몰라도 트로이 목마를 능숙하게 조작할 수 있게 되었습니다. 침입도 자주 발생하는데, 이 기간 동안 트로이 목마의 기능이 점점 완벽해지기 때문에 서버에 미치는 피해도 더 크다.
그래서 트로이 목마는 오늘날까지 발전했으며 가능한 모든 방법을 사용해 왔습니다. 일단 트로이 목마에 의해 제어되면 컴퓨터에는 아무런 비밀도 없습니다.
트로이 목마의 피해가 크다는 점을 고려하여 트로이 목마에 대해 원칙, 방어와 반격, 정보의 세 부분으로 나누어 자세히 소개하겠습니다. 공격 방법.
원칙
기본지식
트로이목마의 원리를 소개하기에 앞서 먼저 설명해야 할 트로이목마에 대한 기본지식들이 많이 있습니다. 아래 내용을 언급하세요.
완전한 트로이 목마 시스템은 하드웨어 부분, 소프트웨어 부분, 특정 연결 부분으로 구성됩니다.
(1) 하드웨어 부분: 트로이 목마 연결을 설정하는 데 필요한 하드웨어 개체입니다. 컨트롤러: 서버를 원격으로 제어하는 당사자입니다. 서버 : 관제단말에 의해 원격으로 제어되는 당사자. 인터넷: 제어 터미널은 서버를 원격으로 제어하고 데이터 전송을 위한 네트워크 캐리어입니다.
(2) 소프트웨어 부분: 원격 제어를 구현하는 데 필요한 소프트웨어 프로그램입니다. 제어 프로그램 : 제어가 서버를 원격으로 제어하기 위해 사용하는 프로그램. 트로이 목마 프로그램: 서버에 몰래 침입하여 운영 권한을 얻는 프로그램입니다. 트로이 목마 구성 프로그램: 트로이 목마 프로그램의 포트 번호, 발생 조건, 트로이 목마 이름 등을 설정하여 서버에서 더욱 숨겨지도록 하는 프로그램.
(3) 특정 연결 부분 : 인터넷을 통해 서버와 컨트롤 엔드 사이에 트로이 목마 채널을 구축하는데 필요한 요소이다. 컨트롤러 IP, 서버 IP: 즉 제어단과 서버의 네트워크 주소이며 트로이목마가 데이터를 전송하는 목적지이기도 하다. 제어 종단 포트, 트로이 목마 포트: 즉 제어 종단과 서버 종단의 데이터 입구입니다. 이 입구를 통해 데이터는 제어 종단 프로그램이나 트로이 목마 프로그램에 직접 도달할 수 있습니다.
트로이 목마 원리
트로이 목마와 같은 해킹 도구를 이용해 네트워크 침입을 수행하는 과정은 크게 6단계로 나눌 수 있다(자세한 내용은 아래 그림 참조). 6단계로 트로이 목마의 공격 원리를 자세히 살펴보자.
1. 트로이 목마 구성
일반적으로 잘 설계된 트로이 목마에는 특정 구성 내용으로 볼 때 주로 다음 두 가지 기능을 수행하는 것이 있습니다. /p>
p>
(1) 트로이 목마 변장: 서버 측에서 가능한 한 트로이 목마를 숨기기 위해 트로이 목마 구성 프로그램은 아이콘 수정, 번들링 등 다양한 변장 방법을 사용합니다. 파일, 포트 사용자 정의, 자체 파괴 등에 대해 논의하겠습니다. 자세한 정보는 "확산되는 트로이 목마" 섹션에 제공됩니다.
(2) 정보 피드백: 트로이 목마 구성 프로그램은 정보 피드백을 위한 이메일 주소, IRC 번호, ICO 번호 등을 설정하는 등 정보 피드백 방법이나 주소를 설정하여 세부 정보를 제공합니다. "정보 세부 사항은 피드백 섹션에 제공됩니다.
2. 트로이 목마의 전파
(1) 전파 방법:
트로이 목마의 전파 방법은 크게 두 가지가 있습니다. 하나는 이메일, 제어입니다. 터미널 트로이 목마 프로그램을 이메일에 첨부하여 보냅니다. 수신자는 첨부 파일을 열면 트로이 목마에 감염됩니다. 다른 하나는 소프트웨어 다운로드입니다. 소프트웨어 다운로드 제공의 경우, 다운로드 후 이러한 프로그램을 실행하자마자 트로이 목마가 자동으로 설치됩니다.
(2) 위장 방법:
트로이 목마의 유해성을 고려하여 많은 사람들은 여전히 트로이 목마 지식에 대해 어느 정도 이해하고 있으며 이는 트로이 목마 확산을 억제하는 효과가 있습니다. 트로이 목마 설계자들은 이를 보고 싶지 않기 때문에 사용자의 주의력을 낮추고 속이기 위해 트로이 목마를 위장하는 다양한 기능을 개발했습니다.
(1) 아이콘 수정
E-MAIL 첨부파일에 이 아이콘이 보이면 텍스트 파일인 줄 아시죠? 트로이 목마 프로그램일 수도 있습니다. 트로이 목마 서버 프로그램의 아이콘을 HTML, TXT, ZIP 등 다양한 파일의 아이콘으로 변경할 수 있는 트로이 목마가 이미 존재합니다. 이는 상당히 혼란스러운데 현재로서는 없습니다. 이 기능을 제공하는 트로이 목마는 드물고 변장도 완벽하지 않으므로 하루 종일 경계하고 의심할 필요가 없습니다.
(2) 파일 묶기
이 변장 방법은 설치 프로그램이 실행되면 트로이 목마가 사용자 없이 몰래 파일을 다운로드하는 것입니다. 눈치채고 시스템에 들어왔습니다. 번들 파일의 경우 일반적으로 실행 파일(예: EXE 및 COM과 같은 파일)입니다.
(3) 오류 표시
트로이 목마에 대해 어느 정도 알고 있는 사람은 누구나 파일을 열 때 응답이 없으면 트로이 목마 프로그램의 설계자일 가능성이 높다는 것을 알고 있습니다. 트로이 목마도 이 결함을 인지하고 일부 트로이 목마는 이미 오류 표시라는 기능을 제공했습니다. 서버 사용자가 트로이목마 프로그램을 열면 아래와 같은 오류창이 뜹니다(물론 가짜입니다). 오류 내용은 자유롭게 정의할 수 있으며, 대부분은 "파일은 다음과 같습니다." 손상되어 열 수 없습니다!" 서버 사용자가 해당 정보를 사실이라고 믿었을 때 트로이 목마가 조용히 시스템에 침입했습니다.
(4) 사용자 정의 포트
많은 구식 트로이 목마 포트가 수정되어 트로이 목마의 감염 여부를 더 쉽게 확인할 수 있습니다. 특정 포트만 확인하면 감염 여부를 알 수 있습니다. 어떤 종류의 트로이 목마가 있으므로 이제 많은 새로운 트로이 목마가 포트를 사용자 정의하는 기능을 추가했습니다. 제어 최종 사용자는 1024---65535 사이의 포트를 트로이 목마 포트로 선택할 수 있으므로(일반적으로 1024 미만의 포트는 선택하지 마십시오) 감염된 트로이 목마의 유형을 결정하면 문제가 발생합니다.
(5) 자멸
트로이목마의 단점을 보완하기 위한 기능이다. 우리는 서버 사용자가 트로이 목마가 포함된 파일을 열면 트로이 목마가 WINDOWS 시스템 폴더(C:WINDOWS 또는 C:WINDOWSSYSTEM 디렉터리)에 자신을 복사한다는 것을 알고 있습니다. 일반적으로 원본 트로이 목마 파일과 시스템 폴더에 있는 트로이 목마는 파일 크기가 동일하므로(파일을 묶는 트로이목마 제외) 트로이목마에 감염된 친구는 최근 받은 편지와 다운로드한 소프트웨어에서 원본 트로이목마 파일을 찾아 접속하면 된다. 원본 트로이 목마 파일의 크기를 기준으로 동일한 크기를 찾으려면 시스템 폴더에서 어떤 파일이 트로이 목마인지 확인하세요. 트로이 목마의 자체 파괴 기능은 트로이 목마가 설치된 후 원본 트로이 목마 파일이 자동으로 파괴되어 서버 사용자가 트로이 목마의 소스를 찾기 어렵게 만드는 것을 의미합니다. 또한 도움 없이는 트로이 목마를 삭제하기도 어렵습니다. 트로이 목마 살해 도구.
(6) 트로이목마 이름 바꾸기
시스템 폴더에 설치된 트로이목마의 파일명은 일반적으로 고정되어 있으므로 트로이목마 죽이기에 대한 글을 따라가서 검색해보시면 됩니다. 그림에 따른 시스템 폴더 특정 파일을 검색하면 어떤 트로이 목마가 공격을 받았는지 확인할 수 있습니다.
따라서 이제 많은 트로이 목마는 제어 사용자가 설치 후 트로이 목마 파일 이름을 자유롭게 사용자 정의할 수 있도록 허용하므로 감염된 트로이 목마 유형을 확인하기가 어렵습니다.
3. 트로이 목마 실행
서버 사용자가 트로이 목마나 트로이 목마를 묶은 프로그램을 실행하면 자동으로 트로이 목마가 설치됩니다. 먼저 WINDOWS 시스템 폴더(C:WINDOWS 또는 C:WINDOWSSYSTEM 디렉터리)에 자신을 복사한 후 레지스트리, 시작 그룹, 비시작 그룹에서 트로이 목마 유발 조건을 설정하여 트로이 목마 설치가 완료되도록 합니다. . 설치 후 트로이 목마를 시작할 수 있습니다. 구체적인 프로세스는 아래 그림에 나와 있습니다.
(1) 트리거 조건에 따라 트로이 목마 활성화
트리거 조건은 시작 조건을 참조합니다. 일반적으로 다음 8개 위치에 나타나는 트로이 목마:
1. 레지스트리: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion에서 Run 및 RunServices라는 5개의 기본 키를 열고, 시작하는 데 사용할 수 있는 키 값을 찾습니다. 트로이 사람.
2.WIN.INI: C:WINDOWS 디렉터리에 win.ini 구성 파일이 있습니다. 이 파일을 텍스트 모드로 엽니다. [windows] 필드에 시작 명령인 load= 및 run=이 있습니다. 정상적인 상황에서는 비어 있습니다. 시작 프로그램이 있으면 트로이 목마일 수 있습니다. 3.SYSTEM.INI: C:WINDOWS 디렉터리에 system.ini 구성 파일이 있습니다. 이를 텍스트 모드로 엽니다. [386Enh], [mic] 및 [drivers32]에 명령줄이 있습니다. 트로이 목마의.
4.Autoexec.bat 및 Config.sys: C 드라이브의 루트 디렉터리에 있는 이 두 파일도 트로이 목마를 시작할 수 있습니다. 그러나 이 로딩 방법은 일반적으로 제어 사용자가 서버와 연결을 설정한 다음 트로이 목마 시작 명령을 추가한 동일한 이름의 파일을 서버에 업로드하여 이 두 파일을 덮어써야 합니다.
5.*.INI: 애플리케이션의 시작 구성 파일입니다. 제어측은 이러한 파일의 특성을 이용하여 프로그램을 시작하고 트로이 목마 시작 명령과 함께 준비된 파일을 동일한 이름으로 업로드합니다. 서버는 동일한 이름의 파일을 덮어 트로이 목마 실행 목적을 달성할 수 있습니다.
6. 레지스트리: HKEY_CLASSES_ROOT 파일 형식\shellopencommand 기본 키를 열고 해당 키 값을 확인합니다. 예를 들어 국내 트로이 목마 "Binghe"는 HKEY_CLASSES_ROOT xtfileshellopen 명령 아래의 키 값을 수정하여 "C:WINDOWS NOTEPAD.EXE %1"을 "C:WINDOWSSYSTEMSYXXXPLR.EXE %1"로 변경합니다. 이때 TXT를 더블클릭하면 됩니다. 파일, 원래는 NOTEPAD를 사용하여 파일을 열었지만 이제는 트로이 목마 프로그램으로 변했습니다. 또한 TXT 파일뿐만 아니라 HTML, EXE, ZIP 및 기타 파일의 시작 명령 키 값을 수정하여 트로이 목마가 시작될 수 있다는 점에 유의해야 합니다. 유일한 차이점은 "파일 형식"의 기본 키에 있습니다. ". TXT는 txtfile이고 ZIP은 WINZIP으로 찾아보시면 됩니다.
7. 파일 묶음: 이 트리거 조건을 달성하려면 먼저 제어 측과 서버 측이 트로이 목마를 통해 연결을 설정한 다음 제어 최종 사용자가 도구 소프트웨어를 사용하여 트로이 목마 파일을 묶습니다. 그런 다음 서버에 업로드하여 원본 파일을 덮어쓰게 되므로 트로이 목마가 삭제되더라도 해당 트로이 목마와 함께 제공되는 응용 프로그램을 실행하면 트로이 목마가 다시 설치됩니다.
8. 시작 메뉴: "시작 --- 프로그램 --- 시작" 옵션 아래에 트로이 목마 유발 조건이 있을 수도 있습니다.
(2) 트로이 목마 실행 프로세스
트로이 목마는 활성화된 후 메모리에 진입하여 미리 정의된 트로이 목마 포트를 열어 제어 터미널과의 연결을 준비합니다. 이때 서버 사용자는 MS-DOS 모드에서 NETSTAT -AN을 입력하여 포트 상태를 확인할 수 있습니다. 일반적으로 개인용 컴퓨터는 오프라인일 때 포트가 열려 있지 않습니다. 트로이 목마에 감염되었는지 여부.
다음은 컴퓨터가 트로이 목마에 감염된 후 포트를 보기 위해 NETSTAT 명령을 사용하는 두 가지 예입니다.
이 중 ①은 서버와 제어 측이 연결되었을 때의 표시 상태이고 ②는 서버와 제어측은 아직 연결 상태를 설정하지 않았습니다.
소프트웨어 다운로드, 편지 보내기, 온라인 채팅 등을 할 때 일부 포트를 열어야 합니다. 다음은 일반적으로 사용되는 포트입니다.
(1)1--- 사이 1024 포트: 이 포트는 예약된 포트라고 하며, 21을 사용하는 FTP, 25를 사용하는 SMTP, 110을 사용하는 POP3 등과 같은 일부 외부 통신 프로그램에 특별히 사용됩니다. 소수의 트로이 목마만이 예약된 포트를 트로이 목마 포트로 사용합니다.
(2) 1025 이상의 연속 포트: 온라인으로 웹사이트를 탐색할 때 브라우저는 텍스트와 그림을 로컬 하드 디스크에 다운로드하기 위해 여러 개의 직렬 포트를 엽니다. 이 포트는 모두 1025 이상의 직렬 포트입니다.
(3) 포트 4000: OICQ의 통신 포트입니다.
(4) 포트 6667: IRC의 통신 포트입니다. 위에서 언급한 포트 외에도 다른 포트, 특히 상대적으로 값이 큰 포트가 열려 있는 것을 발견하면 트로이 목마에 감염되었는지 의심해 보아야 합니다. 물론 트로이 목마에 포트를 사용자 정의하는 기능이 있다면, 그러면 모든 포트가 트로이 목마 포트일 수 있습니다.
4. 정보 유출:
일반적으로 말해서, 성숙하게 설계된 트로이 목마에는 정보 피드백 메커니즘이 있습니다. 소위 정보 피드백 메커니즘은 트로이 목마가 성공적으로 설치된 후 일부 서버 측 소프트웨어 및 하드웨어 정보를 수집하고 전자 메일, IRC 또는 ICO를 통해 제어 최종 사용자에게 알린다는 것을 의미합니다. 아래 그림은 일반적인 정보 피드백 이메일입니다.
이 이메일을 통해 우리는 사용된 운영 체제, 시스템 디렉터리, 하드 디스크 파티션 상태, 시스템 비밀번호 등을 포함하여 서버의 일부 소프트웨어 및 하드웨어 정보를 알 수 있습니다. 이러한 정보 중에서 가장 중요한 것은 왜냐하면 이 매개변수를 획득해야만 제어 측이 서버 측과 연결을 설정할 수 있기 때문입니다. 구체적인 연결 방법은 다음 섹션에서 설명하겠습니다.
5. 연결 설정:
이 섹션에서는 트로이 목마 연결이 설정되는 방법을 설명합니다. 트로이 목마 연결을 설정하려면 먼저 두 가지 조건을 충족해야 합니다. 첫째, 트로이 목마 프로그램이 서버에 설치되어 있어야 하며, 둘째, 제어 터미널과 서버가 모두 온라인 상태여야 합니다. 이를 기반으로 제어 단말은 트로이 목마 포트를 통해 서버와 연결을 맺을 수 있다. 설명의 편의를 위해 도표를 사용하여 설명하겠습니다.
위 그림에서 볼 수 있듯이 A 머신은 제어단이고 B 머신은 서버입니다. A 머신이 B 머신과 연결을 설정하려면 해당 머신의 트로이 목마 포트와 IP 주소를 알아야 합니다. 나. 트로이목마 포트는 A이기 때문에 해당 머신은 미리 설정되어 있고 알려진 항목이므로 B 머신의 IP 주소를 어떻게 얻어내느냐가 가장 중요하다. 컴퓨터 B의 IP 주소를 얻는 두 가지 주요 방법은 정보 피드백과 IP 스캐닝입니다. 전자는 이전 섹션에서 소개되었으므로 IP 스캐닝에 집중하지 않겠습니다. 머신 B에는 트로이 목마 프로그램이 탑재되어 있으므로 트로이 목마 포트 7626이 열려 있으므로 이제 머신 A는 호스트만 스캔합니다. 예를 들어, 그림에서 머신 B의 IP 주소는 202.102.47.56입니다. 머신 A가 이 IP를 스캔하여 포트 7626이 열려 있음을 발견하면 이 IP가 그러면 시스템 A는 트로이 목마의 제어 프로그램을 통해 시스템 B에 연결 신호를 보낼 수 있습니다. 시스템 B의 트로이 목마 프로그램은 신호를 받은 후 즉시 응답하며 포트 1031을 엽니다. 머신 B의 트로이 목마 포트 7626에 연결됩니다. 이때 실제로 트로이 목마 연결이 설정됩니다. 전체 IP 주소 범위를 검색하는 것은 분명히 시간이 많이 걸리고 힘들다는 점을 언급할 가치가 있습니다. 일반적으로 제어 측에서는 먼저 전화 접속 인터넷 액세스의 IP 주소를 통해 서버의 IP 주소를 얻습니다. 즉, 사용자의 IP 주소는 인터넷에 접속할 때마다 다릅니다. 하지만 이 IP는 특정 범위 내에서 변경됩니다. 그림에서 머신 B의 IP는 202.102.47.56이므로 머신의 변경 범위는 다음과 같습니다. B의 인터넷 IP는 202.102.000.000---202.102.255.255이므로 제어가 종료될 때마다 이 IP 주소 범위를 검색하여 B 머신을 찾으면 됩니다.
6. 원격 제어:
트로이 목마 연결이 설정되면 아래 그림과 같이 제어 포트와 트로이 목마 포트 사이에 채널이 나타납니다.
제어 포트 서버의 제어 프로그램은 이 채널을 이용하여 서버의 트로이 목마 프로그램과 접속하고, 트로이 목마 프로그램을 통해 서버를 원격으로 제어할 수 있습니다. 아래에서는 여러분이 생각하는 것보다 훨씬 더 큰, 제어 단말이 누릴 수 있는 구체적인 제어 권한을 소개하겠습니다.
(1) 비밀번호 도용: 일반 텍스트, * 형식 또는 CACHE에 캐시된 모든 비밀번호는 트로이 목마에 의해 감지될 수 있습니다. 또한 많은 트로이 목마는 키보드 입력을 모두 기록하는 키 입력 기록 기능도 제공합니다. 서버이므로 트로이 목마가 침입하면 비밀번호를 쉽게 도난당할 수 있습니다.
(2) 파일 작업: 제어 단말기는 원격 제어를 통해 서버에 있는 파일에 대한 삭제, 생성, 수정, 업로드, 다운로드, 실행, 속성 변경 및 기타 작업을 수행할 수 있으며 기본적으로 WINDOWS 모든 파일을 포함합니다. 플랫폼의 작동 기능.
(3) 레지스트리 수정: 제어 측에서는 기본 키, 하위 키 및 키 값의 삭제, 생성 또는 수정을 포함하여 서버 레지스트리를 마음대로 수정할 수 있습니다. 이 기능을 통해 제어 터미널은 서버의 플로피 드라이브와 CD-ROM 드라이브의 사용을 금지하고, 서버의 레지스트리를 잠그고, 서버의 트로이 목마 발생 조건을 보다 교묘하고 일련의 고급 작업으로 설정할 수 있습니다.
(4) 시스템 작동: 이 내용에는 서버 운영체제 재시작 또는 종료, 서버 네트워크 연결 끊기, 서버의 마우스 및 키보드 제어, 서버 데스크탑 작동 모니터링, 서버 프로세스 보기 등이 포함됩니다. 제어 측에서는 언제든지 서버에 정보를 보낼 수도 있습니다. 갑자기 서버 바탕 화면에 문단이 나타날 때 시작하지 않으면 놀랄 것입니다.
트로이 목마와 바이러스는 모두 인간입니다. - 만든 프로그램입니다. 트로이 목마가 따로 언급되는 이유는 과거 컴퓨터 바이러스의 기능이 실제로는 컴퓨터의 데이터를 파괴하는 것 외에 다른 목적도 있다는 것입니다. 일부 바이러스 제작자가 달성하려는 목적에 지나지 않습니다. 특정 목적을 위해 억제 및 강탈을 위해 사용되거나 자신의 기술을 과시하기 위해 사용됩니다. "트로이 목마"의 기능은 다른 사람을 몰래 감시하고 훔치는 것입니다. 인터넷 비밀번호를 훔치거나 재미로 인터넷 비밀번호를 훔쳐서 게임 계정, 주식 계정, 온라인 은행 계좌 등 다른 목적으로 사용하는 행위. 따라서 트로이 목마는 초기 컴퓨터 바이러스보다 더 유용합니다. 사용자의 목적을 보다 직접적으로 달성할 수 있기 때문에 많은 프로그램 개발자들이 은밀한 의도로 많은 수의 프로그램을 작성하게 되었습니다. 남의 컴퓨터를 훔치고 감시하는 침입 프로그램이 현재 인터넷에 넘쳐나는 이유도 바로 이 때문이다. 트로이 목마의 이러한 특성으로 볼 때 초기와는 그 피해 규모와 행동 방식이 다르다. 따라서 트로이 목마는 바이러스의 범주에 속하지만 바이러스 유형과 독립적으로 구분되어야 합니다.
일반적으로 바이러스 백신 소프트웨어 프로그램을 말합니다. , 만약 특정 트로이 목마를 죽이는 프로그램이 특정 트로이 목마를 죽일 수 있다면 물론 자체의 일반 바이러스 백신 프로그램도 이 트로이 목마를 죽일 수 있습니다. 실제로 대부분의 일반 바이러스 백신 소프트웨어에는 트로이 목마 검사 및 제거 기능이 포함되어 있습니다. 트로이목마를 죽이는 프로그램이 있는데, 이 백신 소프트웨어 제조사는 확실히 트로이목마를 죽이는 기능을 가지고 있음에도 불구하고 좀 당황스러워 보입니다. 요즘 바이러스 백신 소프트웨어에 있는 많은 트로이 목마 제거 프로그램은 트로이 목마만 검사하고 제거하며 일반 바이러스 데이터베이스의 바이러스 코드는 확인하지 않습니다. 바이러스 코드 라이브러리의 데이터가 아닌 트로이 목마 코드 라이브러리의 데이터를 호출하므로 트로이 목마 살해 속도가 크게 향상됩니다. 현재 각 파일이 너무 많기 때문에 일반 바이러스를 죽이는 속도가 상대적으로 느리다는 것을 알고 있습니다. 수만 개의 트로이 목마 코드로 테스트를 해야 하고, 알려진 바이러스 코드가 거의 10만개에 달해 테스트를 하게 되면 속도가 매우 느려지게 됩니다. 즉, 일반적인 바이러스 코드를 검사하면 효율성과 속도가 높아지나요? , 많은 안티 바이러스 소프트웨어에 내장된 트로이 목마 제거 프로그램은 트로이 목마만 제거하고 일반적으로 바이러스는 죽이지 않지만 자신의 일반적인 바이러스는 바이러스 백신 프로그램은 바이러스뿐만 아니라 트로이 목마도 탐지합니다!
비밀을 밝히다 보이지 않는 트로이 목마를 시작하는 방법
잘 알려진 트로이 목마 프로그램의 일반적인 시작 방법은 다음과 같습니다: "시작" 메뉴로 로드 레지스트리의 "시작" 항목, [HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run] 항목과 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 항목이 레지스트리에 기록되어 있으면 더 발전된 트로이 목마도 등록됩니다. 위의 시작 방법은 시스템의 "서비스" 프로그램일 수 있습니다. "시스템 구성 유틸리티"("시작 → 실행"에서 "Msconfig" 실행) 추적의 "시작" 항목과 "서비스" 항목에서 찾을 수 있습니다.
잘 알려지지 않은 또 다른 시작 방법은 "시작 → 실행"에서 "Gpedit.msc"를 실행하는 것입니다.
"그룹 정책"을 열면 "로컬 컴퓨터 정책"에 "컴퓨터 구성"과 "사용자 구성"이라는 두 가지 옵션이 있는 것을 볼 수 있습니다. "사용자 구성→관리 템플릿→시스템→로그인"을 확장하고 "다음 경우에 실행"을 두 번 클릭합니다. 사용자 로그인" 이 프로그램의 속성 설정" 하위 항목을 선택하고 "설정" 항목에서 "사용" 항목을 선택한 다음 "표시" 버튼을 클릭하여 "내용 표시" 창을 띄운 다음 "추가"를 클릭합니다. 버튼을 눌러 "항목 추가" 창을 엽니다. 그림과 같이 텍스트 상자에 자동으로 시작하려는 프로그램의 경로를 입력하고 "확인" 버튼을 클릭하면 완료됩니다.
시작해야 할 파일 표면 추가
컴퓨터를 다시 시작하면 로그인 시 추가한 프로그램이 시스템에서 자동으로 시작됩니다. 방금 추가한 것이 트로이 목마인 경우 프로그램, 그 다음 "보이지 않는" 프로그램이 트로이 목마가 탄생한 방법입니다. 이렇게 추가된 자동 시작 프로그램은 시스템의 "시스템 구성 유틸리티"나 잘 알려진 레지스트리 키에서도 찾을 수 없기 때문에 매우 위험합니다.
이렇게 추가된 자동 시작 프로그램은 레지스트리에 기록되지만, 레지스트리의 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 키와 [HKEY_LOCAL_MACHINE]에는 없습니다. 우리는 \Software\Microsoft\Windows\CurrentVersion\Run] 키를 잘 알고 있지만 레지스트리의 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 키에 있습니다. 귀하의 컴퓨터에 "트로이 목마"가 심어져 있다고 의심되지만 찾을 수 없는 경우, 레지스트리를 검색하거나 "그룹 정책"에서 "사용자가 로그온할 때 이 프로그램 실행"으로 이동하여 시작된 프로그램이 있는지 확인하세요.
트로이 목마 NetBus v.1.60에 대한 중국어 설명
개요
이 프로그램은 원격 제어 관리 도구이자 원격 제어 도구이기도 합니다. LAN 또는 글로벌 인터넷에서 동시에 사용됩니다.
설치
NetBus에는 서버와 클라이언트 부분이 포함되어 있습니다.
대상 컴퓨터를 제어하기 위한 좋은 프로그램입니다.
NetSever 서버(이름 변경 가능)를 넣으세요. 컴퓨터가 부팅될 때 자동으로 실행하려면 Windows에 기본적으로 설치되어 있습니다. NetBus를 시작하고 연결하세요. 선택한 도메인 이름 또는 (IP 주소) 연결 중인 대상 컴퓨터에서 이미 패치가 실행되고 있는 경우 시작해 보세요.
참고: 패치가 실행되는 것을 볼 수 없습니다. - Windows가 시작되면 자동으로 실행되며 숨겨져 있습니다.
Netbus와 패치는 TCP/IP 프로토콜을 사용합니다. 따라서 귀하의 주소에는 도메인 이름이나 IP 번호가 있습니다.
기능
*CD-ROM을 한 번 또는 주기적으로 꺼내거나 닫습니다.
*선택한 이미지가 없는 경우 표시됩니다. 이미지 파일은 Pacth 디렉토리에서 찾을 수 있습니다.
*마우스 버튼 교체 - 마우스 오른쪽 버튼이 왼쪽 마우스 버튼이 됩니다.
*선택한 사운드 파일의 경로가 없으면 Pacth 디렉터리에서 찾을 수 있습니다.
* 클릭하세요. 선택한 마우스 좌표에 따라 대상 컴퓨터에서 마우스를 실행할 수도 있습니다.
*화면에 대화 상자를 표시하면 답변이 컴퓨터로 반환됩니다. >*시스템 종료, 사용자 기록 삭제 등
*누락된 내용 사용 웹 브라우저를 저장하고 선택한 URL을 탐색합니다.
*활성 애플리케이션에 키보드 입력 정보를 보냅니다.
*상대방의 키보드 입력 정보를 모니터링하고 동시에 내 컴퓨터로 다시 보냅니다.
*화면 지우기(연결이 느릴 경우 비활성화).
*대상 컴퓨터에서 정보를 가져옵니다.
*파일을 대상 컴퓨터에 업로드합니다. 이 기능을 사용하여 최신 버전의 패치를 업로드합니다. 사운드 볼륨
* 마이크에서 사운드를 녹음하고 사운드를 반환합니다.
*키보드 비활성화 기능
*비밀번호 보호 관리. p>*표시, 충돌 및 중앙 집중식 시스템 창.
위 일부 옵션은 실행 시 몇 초 동안 지연될 수 있습니다(논리적 제외). 연결 버튼에는 NetBus 컴퓨터에서 IP 주소를 검색할 수 있는 매우 좋은 기능이 있습니다. 연결되면 IP 검색 매개변수는 xx.xx.xx.xx+xx 등입니다.
127.0.0.1+15는 IP 주소를 검색합니다. 범위는 127.0.0.1 ~ 127.0.0.16입니다.