传统意义上的远程控制木马由于适用面不广,使用比较单一,只注重功能不注重一些安全上的问题,出现过的事故就有:
1.控制者被反查;
2.控制者机器被利用TPS://www.kuidc.com/xtywjcwz/23345.html" target="_blank">文件下载上传文件反控;
3.相关黑客被杀;
4.抓鸡黑客被网警追捕;
5.主要成员被国际通缉等。
传统的远程控制木马
最初
1. 大多使用TCP协议作为其主要通信协议,没有采用对应的加密措施。
2. 木马文件经过加壳或者没有加壳,可轻易被分析出特征码。
3. 相关功能都被整合到了一起,免杀时间短。
4. 不稳定性,遇到复杂的网络环境可能存在上线难的问题。
5. 上线采用动态域名,经过不可靠第三方中转信息可被轻易拦截或者伪造。
6. 大多采用注册表启动或者注册服务启动,少有修改文件方式。
7. 存在可执行文件,dll,sys,启动方式大多采用独立启动,没有或者少有文件感染,进程注入。
8. 种马感染方式单一,大多采用网络传输方式感染。
9. 驻留方式单一,大多是驻留在系统。不存在反沙盒分析功能。
10. 大多是c/s结构,即client/Server。木马文件普遍较大。
后来
1. 除了tcp木马之外出现了udp木马,但依然没有采取加密措施。
2. 木马在原有加壳基础之上,开始出现了自写壳,反调试等反分析措施。
3. 由原来的整合到一起开始出现了生成器/控制端的模式,免杀时间稍微变长。
4. 上线开始出现了多种上线模式,出现了网站空间上线、FTP上线、数据库上线。
5. 稳定性变强。出现了反弹上线木马。
6. 开始出现修改系统文件,修改服务启动方式隐藏自身。
7. 开始出现了迷你版本木马,出现了无进程,文件感染,进程注入技术应用。
8. 出现了多种感染方式,木马本身在感染母体后出现了感染移动设备的情况。
9. 开始出现了驻留bios,感染映像文件木马。依然不存在反沙盒分析能力。
10. 出现了b/s,即浏览器/ 服务器 模式交互通信木马。稳定性变强。文件比起上一代变小了一些。
现在
1. 除了tcp,udp木马之外,开始出现了https,ssl木马,但本身还是会被抓到木马原型。
2. 木马在原有加壳,自写壳,反调试基础之上,出现了shellcode木马,dll木马,纯进制文件靠其他文件加载木马。
3. 由原来的生成器/控制端模式开始出现了模块化木马,抗分析,免杀能力变强。
4. 上线由原来的单一上线模式出现了支持混合协议上线模式木马,一个服务器被封,可保持被控者依然不掉。
5. 稳定性在原有基础之上变得更强,除了反弹上线之外,出现了依靠其他服务上线木马。
6. 除了原来的修改、感染文件方式之外,出现了感染声卡,感染网卡方式。
7. 除了无进程之外,出现了无文件,无端口端口木马技术应用。
8. 除了感染移动设备外,出现了跨平台感染木马,内网感染木马,会感染比如智能交易终端之类的设备。
9. 出现了反内存分析、文件定时自动变异木马,会给分析带来一定难度。
10.出现了混合控制方式木马,可以b/s也可以c/s。
11.由原来的从vc/delphi/vb之类的语言编写的远控木马开始出现了脚本编写的远控木马程序。体积更小,方式更加隐蔽。
木马到底有什么厉害的?
在计算机领域中,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着windows平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
木马病毒是谁发明出来的?
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。 “木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。 “木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 它是指通过一段特定的程序(木马程序)来控制另一台计算机。 木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。 植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。 运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。 木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。 随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
木马病毒是怎么来的?
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。 “木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。 植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。 运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!
发表评论