【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 木马上线方式总结 -- 内网上线 [打印本页]

作者: maomi 时间: 2008-6-26 12:14 标题: 木马上线方式总结 -- 内网上线

一，木马的传播方式
1，把特洛伊木马物理地复制到计算机

　　如果某人能从物理上访问您的计算机，他只要简单地把特洛伊木马程序复制到您的计算机硬盘上就可以了

。如果攻击者技艺高超，他还能创建一个定制的木马，模仿只有该计算机才有的程序的样子，比如公司的登录

屏幕或公司的数据库程序。这样的木马程序不仅更能骗过受害人，还能针对特定的计算机执行某个动作，例如

盗取公司的信用卡号码清单，或复制游戏软件公司尚未发布的游戏的源代码，并把它们贴到网上。

2 从站点下载软件

　　特洛伊木马经常现身于提供免费软件(如共享软件)的站点。Web上的这些社区聚会场所给木马编写者提供

了一定程度的隐身，以及随机攻击尽可能多的受害人的机会。由于站点的操作人员很少有时间全面地检查用户

所贴的每一个文件，偶尔就会有特洛伊木马从检查程序的眼皮底下溜走，不被发觉。

　　当然，站点管理员一旦发现特洛伊木马的踪迹，就会删掉，以防止别人下载。但是，从特洛伊木马贴到站

点上到管理员把它删掉这段时间中，很多人可能已经下载了木马，并辗转传播给了别人。所以，即使能轻而易

举地删掉特洛伊木马，但要找到和删除这个木马的所有副本绝非易事，会十分耗时，甚至不可能办到。

　　有些黑客不是把特洛伊木马往别人的站点上贴，而是自己创建一个站点，假装提供黑客工具或色情文件，

引诱用户下载。自然，有些文件是木马程序，所以自粗枝大叶的用户下载并运行程序的那一刻起，木马程序就

已自由自在地按编写者的授意进行破坏了。

3 从电子邮件附件接收特洛伊木马

　　特洛伊木马另一个常见的传播方式是把程序文件作为电子邮件消息的附件发送。这个附件会利用种种伪装

来引诱您打开它。它也许乔装成来自一个合法组织(比如Microsoft或America Online)的消息；也许扮为一个

很有诱惑力的程序，像能让您非法访问某台知名计算机的黑客工具；也许伪装成竞赛通告、色情文件，或其他

挑起您好奇心的类似消息。

4 从聊天室或即时消息传递服务发布特洛伊木马

　　很多黑客把特洛伊木马发送给访问在线聊天室的人，因为这样没有电子邮件地址也能达到传播的目的。黑

客一般会先和物色好的受害人套近乎，主动找他们聊天，然后提出给他发送一个黑客程序或色情文件。当受害

人接受了文件并把文件打开时，特洛伊木马便发起了攻击。

　　黑客还喜欢把特洛伊木马发送给使用即时消息传递服务(如ICQ或AOL Instant Messenger)的人。和电子邮

件一样，即时消息传递服务也允许攻击者把特洛伊木马直接发送给个人，攻击者所依据的是此人的即时消息传

递ID，而这个ID能从成员目录中轻易地获得。

二，木马分类，常见木马
用肉鸡网络情况分类

1，控制固定ip的木马
rootkit,黑客之门，winshell,

2，控制动态ip的木马
灰鸽子，彩虹桥，网络神偷。

三，木马上线方式。
注：肉鸡-- 被黑客控制的主机。

肉鸡 -- 我
公网 --> 公网
[attachment=17550]
内网 --> 公网
[attachment=17551]
公网 --> 内网

内网 --> 内网
[attachment=17553]

ipconfig /all

Ethernet adapter 本地连接 2:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.160
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.2

您的IP : 222.35.130.237

8000
朋友
telnet myip myport

telnet 222.35.130.237 8000

说明白点，反弹木马上线，主要是让肉鸡能连上我们的主机。我们用不用连上肉鸡呢？不要求。

------------------------------------------------------------------------------
以上内容转自狂人影子论坛

作者: 冷酷鲨鱼 时间: 2010-4-24 19:34

看不到图，晕

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)