專欄丨Trojan,擅於偽裝的潛伏者

2021-09-20 00:22:07 字數 3384 閱讀 5250

一、 讖曰——來自希臘的禮物

小白:東哥平時玩遊戲麼?

大東:怎麼說呢,你東哥可是氪金玩家。(驕傲臉)

小白:啊?那你可要注意了,聽說最近不少遊戲賬號被盜,所到之處可謂是哀鴻遍野啊。

大東:emmm……愚兄掐指一算,莫非是著了 trojan 的道?

小白:特洛伊?怎麼還聊到了古希臘文學了?難道是最新出的遊戲?

大東:……來來來賢弟且坐,聽為兄我慢慢道來。

二、 木馬的自我修養

小白:東哥,你給我說說這盜號怎麼就和木馬有關係了呢?這個木馬怎麼就神不知鬼不覺地溜進我們的電腦裡了呢?

大東:這個問題問得好,木馬到底是怎麼進入我們的計算機中的呢?今天我就講乙個比較有影響力的木馬事件給你聽吧——2023年日本特洛伊木馬事件。

小白:洗耳恭聽,願聞其詳~

大東:2023年8月中旬,日本最大的個人計算機通訊網路——pc-van的網路成員都可在螢幕上看到意義不明的文章,為了弄清其含義,許多使用者選擇輸入自己的密碼,尋求系統的幫助。通過此類文章做偽裝,從而實現竊取對方密碼,爆發了大規模的密碼失竊事件。這就是典型的特洛伊木馬術。經過跟蹤調查,可以確認這一意義不明的文章是一種暗號,是「罪犯」用以盜竊其他成員口令,也就是常說的密碼的乙個手段。

大東:「罪犯」通過電子郵件把帶有「機關」的程式從網路中發給使用者,網路成員只要一啟動個人計算機,這一「機關」便立即潛入該機的作業系統,並在螢幕上出現意義不明的文章。這樣,「罪犯」便能通過木馬程式竊取到對方的密碼了。

小白:哦,我明白了,隱藏在其中的木馬程式就是導致賬號失竊的元凶!那木馬具體是怎樣實現它的功能呢?原理是什麼啊?

大東:小白你這個問題可算是切中了要點啊,問的非常有技術含量,我就給你講講這木馬程式的前世今生。

三、大話始末

木馬入侵原理:

大東:「特洛伊木馬」通常分為兩個程式:伺服器程式和控制器程式。黑客們為了讓目標計算機安裝上伺服器程式,往往都會對這一程式進行偽裝,比如在檔名上加一些字尾,如美女熱圖 jpg.exe,讓它看起來就像是 .jpg 檔案,這主要是依賴於 windows 作業系統預設地隱藏檔名字尾的原因所致。

小白:這麼無恥!?

大東:這還不算完,還有一種,就是利用 windows 作業系統的特性——即使你輸入執行病毒 .exe,windows 仍然會去自動尋找,如果找到了,就會直接執行病毒 .com 來替代。這種木馬一旦侵入了計算機,就會主動尋找硬碟上所有的 .exe 檔案,然後建立乙個同名的檔案,並且字尾是 .com。如此便很容易讓計算機的使用者誤認為這是一種程式。

木馬的發展:

大東:木馬程式技術發展可以說是非常迅速了,主要是有些年輕人出於好奇,或是急於顯示自己實力,對木馬程式進行不斷的改進編寫。至今為止,木馬程式已經經歷了六代改進。

小白:我知道,比如竊取密碼,通過電子郵件傳送資訊。

大東:你說的沒錯,這是典型的第一代木馬,也是最基本的木馬。相比第一代,第二代在技術上有很大進步,冰河是中國木馬的典型代表。第三代嘛,主要是改進資料傳遞技術方面,出現了 icmp 等型別的木馬,增加了防毒軟體的識別難度。***在程序隱藏方面有很大革新,採用核心插入式的嵌入方法,利用遠端插入執行緒技術,嵌入 dll 執行緒;或是掛接 psapi,實現木馬程式隱藏……

小白:怎麼沒有我經常聽到的驅動木馬?

大東:別急啊,你說的驅動級木馬是第五代。它的特點是使用大量的 rootkit 技術達到深入隱藏效果,這種程式可以深入核心,感染後正對防毒軟體和網路防火牆進行攻擊……

小白:如果是這樣,查殺起來幾乎是很難了。

大東:是的,想想看,乙個人的免疫系統崩潰會是怎樣的場面。

小白:那麼,這些木馬程式這會造成什麼後果呢?

round 3

木馬的嚴重危害:

大東:木馬對計算機內的檔案有著高強度的感染與複製,一旦執行了上述操作,木馬會將資訊傳送回指定的接收站。還有一種就是得用 windows 尋找目標檔案的方式,比如你開啟乙個 calc.exe 敲一下回車鍵,當你想執行這一程式時,事先隱藏在計算機內的木馬就已經隱藏在這個目錄之後,一旦你執行這一程式,系統就會優先執行安裝那個木馬程式。

小白:還有這種操作?怪不得叫它特洛伊木馬,還真是裡應外合。

小白:(震驚ing)天吶,手機電腦居然會這麼大程度地洩露隱私!!!

大東:何止啊,印表機、有攝錄功能的電視機也會洩露資料,何況說是走在科技最前端的電腦和手機?凡事有利有弊,辯證來看。

小白:(思考……)東哥剛才說的木馬程式安裝途徑真的那麼廣麼?

大東:可不是嘛。總之,黑客們讓使用者將木馬的伺服器程式主動安裝到電腦中的方法很多,只要人們低估並安裝了乙個伺服器程式,那麼接下來擁有控制這個程式的黑客就可以通過網路任意控制這台目標電腦。值得一提的是,使用者感染**類木馬後,會在本機開啟http、socks等**服務功能。黑客把受感染計算機作為跳板,以被感染使用者的身份進行黑客活動,達到隱藏自己的目的。

小白:跳板攻擊?

大東:聰明!看來小白馬上就能出師了。

小白:嘿嘿,還不是東哥指導有方——對了,東哥,照你剛才說的,那木馬是不是也能盜取網銀啊、支付寶什麼的賬號密碼?

小白:東哥,再聊吧,我得去銀行把我卡里的錢都取出來,不怕一萬就怕萬一啊。

大東:你這卡里就剩三十塊多能取出來麼……你這是草木皆兵啊!(捂臉) 唉,看來網安知識普及的任務還是任重而道遠啊……

四、防範措施

小白:聽哥一席話,真叫人頭大。這木馬真是無孔不入啊,就沒有啥防範措施麼?

小白:我知道的,開啟移動儲存器之前先用防毒軟體進行檢查。

小白:哈哈,怪我草木皆兵啦。

原文發布時間為:2018-10-20

函式週期表丨篩選丨無丨REMOVEFILTERS

removefilters函式 removefilters函式屬於 篩選 類函式,其本身不屬於表函式,也不屬於值函式,僅作為calculate函式的調節器使用。remove 移除的意思 filters 篩選的意思 因此removefilters函式的用途顧名思義,移除篩選器的效果。這麼說可能比較繞,...

函式週期表丨篩選丨值丨SELECTEDVALUE

selectedvalue函式 selectedvalue函式屬於 篩選 類函式,隸屬於 表函式 微軟官方介紹是這麼說的 當指定列當前上下文中只有乙個非重複值時,返回該值 否則返回替代結果,省略則返回空值 其實按照白茶的理解,通俗點來說,就是根據當前上下文匹配相關值。用途 通常用於度量值中,獲取外部...

函式週期表丨資訊丨值丨CONTAINS

contains函式 contains函式,隸屬於 資訊 類函式。用途 適用於多列條件判定。流景大佬提過,這個函式有點落後了,但是白茶覺得這個函式相對於其他多列判定而言,更容易被理解。語法 dax contains 表 被比較的列 比較值 被比較的列 比較值 引數表 可以是現有列,也可以是表示式。被...