近期,卡巴斯基实验室正式宣布发布卡巴斯基威胁归因引擎(KTAE),这种代码归因技术,最初是由卡巴斯基全球研究和分析团队为内部使用而开发的,你可以直接进入卡巴斯基企业网站的信息页面了解详细信息。
2017年5月12日,全球开始爆发电脑勒索病毒WannaCry,瞬间波及150多个国家7.5万台电脑被感染,有99个国家遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利等。
此后不久,西班牙计算机应急反应小组CCN-CERT在其网站上发布了一则警告,称一场大规模勒索软件攻击影响了西班牙数家组织。该警告建议安装微软2017年3月安全公告中的更新,作为阻止攻击扩散的手段。与此同时,英国国家卫生服务体系(NHS)也发布了警报,并在16家医疗机构确认了感染病例。
卡巴斯基系统监视程序组件对于阻止这些攻击非常重要,在恶意样本设法绕过其他防御措施的情况下,System Watcher组件可以回滚勒索软件所做的更改。如果勒索软件样本越过防御措施并尝试对磁盘上的数据进行加密,这将非常有用。
随着分析的深入,研究人员开始了解到更多的东西;例如,这次感染依赖于一个著名的漏洞(代号为“EternalBlue”),该漏洞通过Shadowbrokers在2017年4月14日的转储在互联网上发布,并在3月14日被微软修复。尽管这个补丁已经发布两个月了,但似乎很多公司都没有打补丁。研究人员整合了几个博客,更新了研究人员的技术支持页面,确保所有的样本都被检测到并阻止,即使是在易受“EternalBlue”攻击的系统上。
WannaCry勒索软件在世界各地广泛使用
WannaCry事情发生后,研究人员就在寻找与已知犯罪分子或APT团体的任何可能联系,,试图确定该恶意软件如何能够在短短几天内引起这种大流行。对于勒索软件来说,研究人员很少看到全新的,从头开始构建的大流行级别的样本。在大多数情况下,勒索软件攻击利用了一些流行的恶意软件,这些恶意软件由犯罪分子在地下论坛上出售。
然而,研究人员无法找到任何已知勒索软件变种的链接。幸亏Google研究人员Neel Mehta在Twitter上发布了一条带有#WannaCryptAttribution标签的神秘消息:
这条神秘的消息实际上是指具有共享代码的两个样本之间的相似性,Neel在文中提到的两个样本为:
2017年2月的WannaCry样本看起来像是非常早期的变体;
2015年2月的Lazarus APT小组样本。
下面的截图显示了两个样本之间的相似性,并突出显示了共享代码:
尽管有些人怀疑这种联系,但研究人员认为这是正确的。这个代码重叠的发现显然不是随机的。多年来,谷歌将他们从Zynamics获得的技术集成到他们的分析工具中,使得基于共享代码将恶意软件样本聚类成为可能。显然,这项技术似乎运行得相当不错。
考虑到WannaCry和Lazarus之间的联系,研究人员制定了一个计划,如果能建立一种技术,能够在恶意软件攻击之间快速识别代码重用,并在未来的案例中找出可能的罪魁祸首,会怎么样呢?研究人员的目标是使这项技术在更大的范围内可用,以帮助威胁搜寻者,SOC和CERT加快事件响应或恶意软件分类的速度。该新技术的首个原型于2017年6月在卡巴斯基内部发布,在接下来的几个月里,研究人员继续对其进行改进和微调。
原则上,代码相似性原理是很容易理解的。过去已经测试和讨论了几种方法,包括:
1. 计算子程序的校验和,并与数据库进行比较;
2. 重构代码流并从中创建一个图,比较相似结构的图;
3. 提取n-gram并将其与数据库进行比较;
4. 在整个文件或部分文件上使用模糊哈希;
5. 使用元数据,例如富头文件,导出文件或文件的其他部分,尽管这不是代码相似性,但它仍然可以产生一些非常好的对比结果。
例如,要找到两个恶意软件样本之间的通用代码,例如,可以提取所有8-16字节的字符串,然后检查是否存在重叠。不过,有两个主要问题:
1. 恶意软件收集量太大,如果研究人员想对所有的文件都这样做,研究人员需要一个大型计算集群和大量的存储空间;
2. 资本支出太小。
此外,以一种研究人员可以作为独立机箱、VM或设备提供的有效方式进行大量的代码提取、分析和存储(更不用说搜索了)是另一种复杂级别。
为了改进它,研究人员开始试验基于代码的Yara规则。这个想法也很简单:从样本中找到的唯一代码创建一个Yara规则,然后使用我们现有的系统使用该Yara规则扫描恶意软件集合。
这里有一个例子,灵感来自WannCry:
上面这个看似良性的Yara规则捕获了BlueNoroff(用于孟加拉国银行劫案的恶意软件),ManusCrypt(Lazarus APT使用的更复杂的恶意软件,也称为FALLCHILL)和Decafett,一个键盘记录程序,研究人员以前不能与任何已知的APT联系在一起。
2017年9月,研究人员在识别共享代码方面取得了突破,第一次能够将一个新的“未知”恶意软件与一个已知实体或一套工具关联起来。这是在#CCleaner事件期间发生的,最初由Morphisec和Cisco Talos发现。
特别是,研究人员使用该技术发现了一个代码片段,自定义的base64编码子程序的一部分,在Cbkrdr shellcode加载程序,这是相同的,在以前的恶意软件样本,名为Missl,据说被APT17使用:
深入挖掘,研究人员发现至少有三个恶意软件家族共享此代码:Missl, Zoxpng/Gresim和Hikit,如下Yara规则发现的内容所示:
特别是,上述命中是基于我们所谓的“基因型”运行自定义Yara规则的结果,从恶意软件样本中提取的唯一代码片段,不会出现在任何干净的样本中且特定于该恶意软件家族。很快,卡巴斯基威胁归因引擎(“KTAE”)在内部也被昵称为“Yana”,成为研究人员常用的分析工具。
实际测试
美国网络司令部(简称USCYBERCOM)于2018年11月开始向VirusTotal发送样本,研究人员认为这是一个非常好的举措。这些上传的唯一缺点是缺乏任何背景,比如恶意软件家族,它是APT还是其他组织,以及它们是在野外发现的,还是从某些地方挖来的。虽然第一次上传是一个重新使用的绝对Computrace加载器,识别起来并不是什么大问题,但是2019年5月的上传就有点难识别了。标记为Sofacy,特别是与XTunnel样本类似。
2020年2月,USCYBERCOM发布了另一批样本,研究人员很快与KTAE进行了核实。结果显示了一组不同的恶意软件家族,被几个APT组织使用,包括Lazarus,Andariel, HollyCheng,共享的代码片段可以追溯到DarkSeoul攻击,Blockbuster操作和SPE Hack。
更有意义的是,USCYBERCOM在2020年5月公布了另一批样本,KTAE也发现了类似的模式。
当然,人们可能会想,除了帮助识别USCYBERCOM的VT转储外,KTAE还能做什么?
为了进行更实际的检查,研究人员查看了2018年SingHealth数据泄露事件的样本。维基百科称,该事件是由身份不明的国家行为者发起的。虽然这次攻击中使用的大多数样本都是比较常规的,与之前的攻击没有任何相似之处,但其中两个样本有非常有趣的链接:
针对SingHealth数据泄漏中使用的两个样本的KTAE分析
当研究人员分析包含在一个Shadowbrokers转储中的一组文件时,出现了另一个有趣的情况。
在上面的例子中,“cnli-1.dll” (md5: 07cc65907642abdc8972e62c1467e83b)标记为与Regin相似度高达8%。查看文件,研究人员发现这是一个DLL,带有许多自定义外观的导出文件:
看看这些导出,例如fileWriteEx,就会发现这个库实际上是作为流行IO函数的包装而创建的,很可能是出于可移植性的目的,从而使代码可以针对不同的平台进行编译:
谈到多平台恶意软件,最近,来自Leonardo的同事发表了他们针对Linux系统的一组新Turla示例的分析。最初,我们在2014年发布了有关这些内容的文章,当时我们发现了Turla Penquin,这是该组织针对Linux的后门之一。这些样本之一(sha256:67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502)已于2020年4月上传到VirusTotal。在KTAE中对该样本进行的快速检查显示以下内容:
研究人员可以看到与其他两个样本(分别为99%和99%)的相似度很高,与其他已知的Turla Penquin样本的相似度较低。通过观察它们的共同之处,研究人员立即发现了一些很好的Yara规则候选者。
当代码相似性检测失败时
当看到一项令人兴奋的、全新的技术时,有时很容易忽略其缺陷和限制。然而,重要的是要理解代码相似技术只能满足某种检测,而分析人员仍然有责任验证和确认潜在客户。比如OlympicDestroyer的案例,这是一种非常有趣的攻击,最初由Cisco Talos描述和命名。
思科Talos研究人员在研究中指出,OlympicDestroyer使用了与Badrabbit和NotPetya类似的技术来重置事件日志并删除备份。尽管这两种技术的实现意图和目的相似,但是代码语义上有许多差异。绝对不是复制粘贴的代码,并且由于命令行已在安全性博客上公开讨论,因此任何想要使用它们的人都可以使用这些简单的技术。
此外,Talos的研究人员指出,evtchk.txt文件名与evtdiag非常相似,该文件名是恶意软件在运行过程中使用的虚假标志。2016年,BlueNoroff/Lazarus在孟加拉国斯威夫特网络盗窃案中使用了exe, evtsy .exe和evtchk.bat。
在Talos报告发表后不久,以色列公司IntezerLabs在twitter上发帖称,他们发现了中国APT集团的链接。作为辅助节点,IntezerLabs本身具有出色的代码相似性技术,你可以通过访问其网站analytics.intezer.com进行签出。
几天后,媒体开始发表文章,暗示俄罗斯APT集团的潜在动机和活动。Crowdstrike Intelligence表示,在2017年11月和12月,它观察到了在国际体育领域开展的证书收集活动。当时,该行动归咎于俄罗斯黑客组织Fancy Bear。
另一方面,Crowdstrike自己的情报副总裁亚当·梅耶斯(Adam Meyers)在接受媒体采访时表示:“没有证据表明Fancy Bear与奥运会袭击事件有关。”
另一家名为Recorded Future的公司决定不将此次攻击归咎于任何一方。但是,他们声称发现了与BlueNoroff / Lazarus LimaCharlie恶意软件加载程序的相似之处,而后者被普遍认为是朝鲜的黑客组织。
与此同时,研究人员还使用KTAE来检查样本是否与之前已知的活动有任何可能的联系。令人惊讶的是,KTAE发现了一种独特的模式,该模式也将OlympicDestroyer和Lazarus联系起来。存储在可执行文件中的特定代码开发环境特性的组合,称为富头文件,在某些情况下可以用作识别恶意软件开发者。
上面显示的4%相似度来自样本的Rich标头中的匹配项,最初,我们很惊讶地找到了这种联系,尽管它很有意义。其他公司也发现了相似之处,而Lazarus已经因多次破坏性攻击而闻名。但有些事情似乎很奇怪。朝鲜参与的可能性看起来不大,尤其是金正恩的妹妹参加了平昌的开幕式之后。根据研究人员的法医调查,袭击发生在2018年2月9日正式开幕式之前。随着研究人员对这个案件的深入调查,研究人员得出结论,这是一个精心设计的错误标记;进一步的研究让研究人员可以将这次攻击与Hades APT小组联系起来。
这证明,即使是最好的归因或代码相似性技术,也可能受到经验丰富的攻击者的干扰,并且不应盲目依赖这些工具。当然,在大多数情况下,提示非常有效。随着攻击者的技能越来越高,研究人员可能会遇到更多的虚假标志。
Microsoft.NETFramework的作用
Framework Framework 概述请参见 使用 Framework 编程 | 快速入门 | 示例 | 教程 Framework 是一种新的计算平台,它简化了在高度分布式 Internet 环境中的应用程序开发。 Framework 旨在实现下列目标: 提供一个一致的面向对象的编程环境,而无论对象代码是在本地存储和执行,还是在本地执行但在 Internet 上分布,或者是在远程执行的。 提供一个将软件部署和版本控制冲突最小化的代码执行环境。 提供一个保证代码(包括由未知的或不完全受信任的第三方创建的代码)安全执行的代码执行环境。 提供一个可消除脚本环境或解释环境的性能问题的代码执行环境。 使开发人员的经验在面对类型大不相同的应用程序(如基于 Windows 的应用程序和基于 Web 的应用程序)时保持一致。 按照工业标准生成所有通信,以确保基于 Framework 的代码可与任何其他代码集成。 Framework 具有两个主要组件:公共语言运行库和 Framework 类库。 公共语言运行库是 Framework 的基础。 您可以将运行库看作一个在执行时管理代码的代理,它提供核心服务(如内存管理、线程管理和远程处理),而且还强制实施严格的类型安全以及可确保安全性和可靠性的其他形式的代码准确性。 事实上,代码管理的概念是运行库的基本原则。 以运行库为目标的代码称为托管代码,而不以运行库为目标的代码称为非托管代码。 Framework 的另一个主要组件是类库,它是一个综合性的面向对象的可重用类型集合,您可以使用它开发多种应用程序,这些应用程序包括传统的命令行或图形用户界面 (GUI) 应用程序,也包括基于 所提供的最新创新的应用程序(如 Web 窗体和 XML Web services)。 Framework 可由非托管组件承载,这些组件将公共语言运行库加载到它们的进程中并启动托管代码的执行,从而创建一个可以同时利用托管和非托管功能的软件环境。 Framework 不但提供若干个运行库宿主,而且还支持第三方运行库宿主的开发。 例如, 承载运行库以为托管代码提供可伸缩的服务器端环境。 直接使用运行库以启用 应用程序和 XML Web services(本主题稍后将对这两者进行讨论)。 Internet Explorer 是承载运行库(以 MIME 类型扩展的形式)的非托管应用程序的一个示例。 使用 Internet Explorer 承载运行库使您能够在 HTML 文档中嵌入托管组件或 Windows 窗体控件。 以这种方式承载运行库使得托管移动代码(类似于 Microsoft? ActiveX? 控件)成为可能,但是它具有只有托管代码才能提供的重大改进(如不完全受信任的执行和安全的独立文件存储)。 下面的插图显示公共语言运行库和类库与应用程序之间以及与整个系统之间的关系。 该插图还显示托管代码如何在更大的结构内运行。 Framework 环境 下面的章节将更加详细地描述 Framework 的主要组件和功能。 公共语言运行库的功能 公共语言运行库管理内存、线程执行、代码执行、代码安全验证、编译以及其他系统服务。 这些功能是在公共语言运行库上运行的托管代码所固有的。 至于安全性,取决于包括托管组件的来源(如 Internet、企业网络或本地计算机)在内的一些因素,托管组件被赋予不同程度的信任。 这意味着即使用在同一活动应用程序中,托管组件既可能能够执行文件访问操作、注册表访问操作或其他须小心使用的功能,也可能不能够执行这些功能。 运行库强制实施代码访问安全。 例如,用户可以相信嵌入在 Web 页中的可执行文件能够在屏幕上播放动画或唱歌,但不能访问他们的个人数据、文件系统或网络。 这样,运行库的安全性功能就使通过 Internet 部署的合法软件能够具有特别丰富的功能。 运行库还通过实现称为通用类型系统 (CTS) 的严格类型验证和代码验证基础结构来加强代码可靠性。 CTS 确保所有托管代码都是可以自我描述的。 各种 Microsoft 和第三方语言编译器生成符合 CTS 的托管代码。 这意味着托管代码可在严格实施类型保真和类型安全的同时使用其他托管类型和实例。 此外,运行库的托管环境还消除了许多常见的软件问题。 例如,运行库自动处理对象布局并管理对对象的引用,在不再使用它们时将它们释放。 这种自动内存管理解决了两个最常见的应用程序错误:内存泄漏和无效内存引用。 运行库还提高了开发人员的工作效率。 例如,程序员可以用他们选择的开发语言编写应用程序,却仍能充分利用其他开发人员用其他语言编写的运行库、类库和组件。 任何选择以运行库为目标的编译器供应商都可以这样做。 以 Framework 为目标的语言编译器使得用该语言编写的现有代码可以使用 Framework 的功能,这大大减轻了现有应用程序的迁移过程的工作负担。 尽管运行库是为未来的软件设计的,但是它也支持现在和以前的软件。 托管和非托管代码之间的互操作性使开发人员能够继续使用所需的 COM 组件和 DLL。 运行库旨在增强性能。 尽管公共语言运行库提供许多标准运行库服务,但是它从不解释托管代码。 一种称为实时 (JIT) 编译的功能使所有托管代码能够以它在其上执行的系统的本机语言运行。 同时,内存管理器排除了出现零碎内存的可能性,并增大了内存引用区域以进一步提高性能。 最后,运行库可由高性能的服务器端应用程序(如 Microsoft? SQL Server? 和 Internet 信息服务 (IIS))承载。 此基础结构使您在享受支持运行库宿主的行业最佳企业服务器的优越性能的同时,能够使用托管代码编写业务逻辑。 Framework 类库 Framework 类库是一个与公共语言运行库紧密集成的可重用的类型集合。 该类库是面向对象的,并提供您自己的托管代码可从中导出功能的类型。 这不但使 Framework 类型易于使用,而且还减少了学习 Framework 的新功能所需要的时间。 此外,第三方组件可与 Framework 中的类无缝集成。 例如, Framework 集合类实现一组可用于开发您自己的集合类的接口。 您的集合类将与 Framework 中的类无缝地混合。 正如您对面向对象的类库所希望的那样, Framework 类型使您能够完成一系列常见编程任务(包括诸如字符串管理、数据收集、数据库连接以及文件访问等任务)。 除这些常见任务之外,类库还包括支持多种专用开发方案的类型。 例如,可使用 Framework 开发下列类型的应用程序和服务: 控制台应用程序。 Windows GUI 应用程序(Windows 窗体)。 应用程序。 XML Web services。 Windows 服务。 例如,Windows 窗体类是一组综合性的可重用的类型,它们大大简化了 Windows GUI 的开发。 如果要编写 Web 窗体应用程序,可使用 Web 窗体类。 客户端应用程序开发 客户端应用程序在基于 Windows 的编程中最接近于传统风格的应用程序。 这些是在桌面上显示窗口或窗体从而使用户能够执行任务的应用程序类型。 客户端应用程序包括诸如字处理程序和电子表格等应用程序,还包括自定义的业务应用程序(如数据输入工具、报告工具等等)。 客户端应用程序通常使用窗口、菜单、按钮和其他 GUI 元素,并且它们可能访问本地资源(如文件系统)和外围设备(如打印机)。 另一种客户端应用程序是作为 Web 页通过 Internet 部署的传统 ActiveX 控件(现在被托管 Windows 窗体控件所替代)。 此应用程序非常类似于其他客户端应用程序:它在本机执行,可以访问本地资源,并包含图形元素。 过去,开发人员将 C/C++ 与 Microsoft 基础类 (MFC) 或应用程序快速开发 (RAD) 环境(如 Microsoft? Visual Basic?)一起使用来创建这样的应用程序。 Framework 将这些现有产品的特点合并到了单个且一致的开发环境中,该环境大大简化了客户端应用程序的开发。 包含在 Framework 中的 Windows 窗体类旨在用于 GUI 开发。 您可以轻松创建具有适应多变的商业需求所需的灵活性的命令窗口、按钮、菜单、工具栏和其他屏幕元素。 例如, Framework 提供简单的属性以调整与窗体相关联的可视属性。 某些情况下,基础操作系统不支持直接更改这些属性,而在这些情况下, Framework 将自动重新创建窗体。 这是 Framework 集成开发人员接口从而使编码更简单更一致的许多方法之一。 和 ActiveX 控件不同,Windows 窗体控件具有对用户计算机的不完全受信任的访问权限。 这意味着二进制代码或在本机执行的代码可访问用户系统上的某些资源,例如 GUI 元素和访问受限制的文件,但这些代码不能访问或危害其他资源。 由于具有代码访问安全性,许多曾经需要安装在用户系统上的应用程序现在可以通过 Web 安全地部署。 您的应用程序可以在像 Web 页那样部署时实现本地应用程序的功能。 服务器应用程序开发 在托管领域中,服务器端应用程序是通过运行库宿主实现的。 非托管应用程序承载公共语言运行库,后者使您的自定义托管代码可以控制服务器的行为。 此模型在获得主服务器的性能和可伸缩性的同时提供给您公共语言运行库和类库的所有功能。 下面的插图显示在不同服务器环境中运行托管代码的基本网络架构。 在应用程序逻辑通过托管代码执行时,服务器(如 IIS 和 SQL Server)可执行标准操作。 服务器端托管代码 是使开发人员能够使用 Framework 开发基于 Web 的应用程序的宿主环境。 但是, 不止是一个运行库宿主;它是使用托管代码开发 Web 站点和通过 Internet 分布的对象的完整结构。 Web 窗体和 XML Web services 都将 IIS 和 用作应用程序的发布机制,并且两者在 Framework 中都具有支持类集合。 XML Web services 作为基于 Web 的技术的重要发展,是类似于常见 Web 站点的分布式服务器端应用程序组件。 但是,与基于 Web 的应用程序不同,XML Web services 组件不具有 UI 并且不以浏览器(如 Internet Explorer 和 Netscape Navigator)为目标。 XML Web services 由旨在供其他应用程序使用的可重用的软件组件组成,所谓的其他应用程序包括:传统的客户端应用程序,基于 Web 的应用程序,甚至是其他 XML Web services。 因此,XML Web services 技术正迅速地将应用程序开发和部署推向高度分布式 Internet 环境。 如果您使用过 ASP 技术的早期版本,很快就会注意到 和 Web 窗体提供的改进。 例如,您可以用支持 Framework 的任何语言开发 Web 窗体页。 此外,您的代码不再需要与 HTTP 文本共享同一个文件(尽管如果您愿意,代码还可以继续这样做)。 Web 窗体页用本机语言执行,这是因为与所有其他托管应用程序一样,它们充分利用运行库。 与此相对照,非托管 ASP 页始终被写成脚本并解释。 页比非托管 ASP 页更快、更实用并且更易于开发,这是因为它们像所有托管应用程序一样与运行库进行交互。 Framework 还提供类和工具的集合来帮助开发和使用 XML Web services 应用程序。 XML Web services 是基于 SOAP(一种远程过程调用协议)、XML(一种可扩展的数据格式)和 WSDL(Web 服务描述语言)这些标准生成的。 基于这些标准生成 Framework 的目的是为了提高与非 Microsoft 解决方案的互操作性。 例如, Framework SDK 所包含的 Web 服务描述语言工具可以查询在 Web 上发布的 XML Web services,分析它的 WSDL 描述,并产生 C# 或 Visual Basic 源代码,您的应用程序可以使用这些代码而成为 XML Web services 的客户端。 这些源代码可以创建从类库中的类派生的类,这些类使用 SOAP 和 XML 分析处理所有基础通信。 虽然您可以使用类库来直接使用 XML Web services,Web 服务描述语言工具和包含在 SDK 中的其他工具可以使您更加方便地用 Framework 进行开发。 如果您开发和发布自己的 XML Web services, Framework 为您提供了一组符合所有基础通信标准(如 SOAP、WSDL 和 XML)的类。 使用这些类使您能够将注意力集中在服务的逻辑上,而无需关注分布式软件开发所需要的通信基础结构。 最后,与托管环境中的 Web 窗体页相似,您的 XML Web services 将使用 IIS 的可伸缩通信以本机语言的速度运行。
为什么会有漏洞?
漏洞的原因一般有以下几个方面.1 编程人员的素质或技术问题而留下的隐患.2 软件在设计之处考虑到将来维护而设置的后门.就象RPC传输协议中存在不检查数据长度而引发的缓冲区溢出漏洞.如果被不法分子成功利用此漏洞将获得超级管理员权限.可以在系统任意添删文件和执行任意代码.3 象2003年流行的蠕虫王病毒利用的就是微软系统的漏洞.从最底层发起攻击.IIS服务存在匿名登陆的错误.病毒和木马对黑客来说一向都是交叉使用.分不开的.利用木马也就是后门程序来接受来自主攻端的指令.再运行自行写好的特定程序.也就是病毒来影响被攻击的用户.
木马病毒是怎么来的?
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。 “木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。 植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。 运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!
发表评论