木马和远程控制工具的区别
木马和远程控制工具的区别远程控制工具是一种用于正常的网络管理的工具,远程控制工具的存在及使用通常是为人所知的,而木马除了具有远程控制工具的功能外,通常还具有隐蔽性、秘密性、破坏性等特点。有些远程控制工具通过一些相应的配置可以作为木马使用,而木马也可以作为正当用途的远程控制工具使用。
木马的实现技术:
1.木马的常用启动方式
对于一般的应用程序来说通常有下面的几种自启动方式:
a.把程序放入系统的启动目录中,注意在windows中有两个自启动目录;
b.把程序的自启动设置到系统配置文件中,如win.ini、system.ini等中;
c.在注册表中进行配置实现程序的自动启动;
d.把程序注册为系统服务;
c.替换系统文件;(该方法在目前的Windows2000及以后的操作系统中已经基本失效);
木马为了达到隐藏自己的目标,通常在设置注册表启动项时具有很强的迷惑性,有些木马还可以随机更改有关的启动项。
2.木马的隐蔽性
木马的隐蔽性是木马能否长期存活的关键,这主要包括几方面的内容:
a.木马程序本身的隐蔽性、迷惑性;
在文件名的命名上采用和系统文件的文件名相似的文件名,设置文件的属性为系统文件、隐藏、只读属性等,文件的存放地点是不常用或难以发现的系统文件目录中;
b.木马程序在运行时的隐蔽性;
通常采用了远程线程技术或HOOK技术注入其他进程的运行空间,采用API HOOK技术拦截有关系统函数的调用实现运行时的隐藏,替换系统服务等方法导致无法发现木马的运行痕迹;
c.木马在通信上的隐蔽性;
可以采用端口复用技术不打开新的通信端口实现通信、采用ICMP协议等无端口的协议进行通信,还有些木马平时只有收到特定的数据包才开始活动,平时处于休眠状态。
d.不安全的木马技术;
具资料显示有些木马在运行时能够删除自身启动运行及存在的痕迹,当检测到操作系统重新启动时再重新在系统中设置需要启动自身的参数,这类木马存在的问题:不安全,当系统失效时(如断电、死机时)无法再次恢复运行。 :o :o :o :o :o *** 作者被禁止或删除 内容自动屏蔽 *** :) 火星人都知道:D
页:
[1]
