IDF实验室作品:特洛伊木马科普知识

特洛伊木马通常简称为木马,常常与病毒或后门模糊看待,因此也常常被人称作木马病毒或木马后门,但与病毒的不同在于木马通常不具有自我传播或自我感染能力,与后门的不同在于木马具有远程操控能力以及信息获取能力。

在2008年以前,木马威胁在国内个人网络安全领域牢牢占据着老大的地位,特别是灰鸽子盛行的那个年代,似乎只要拥有灰鸽子的小黑都可以称为所谓黑客,一时间人心惶惶,随之而衍生的也有灰鸽子免杀以及社工技术。

随着个人信息安全的愈加重要,以及反病毒厂商技术的加强,特别是国内云查杀和主动防御的增强,当前个人信息安全威胁由木马的主导已成为钓鱼网站称据霸主地位,可见纯粹意义上的技术攻防已然向多维度甚至深度攻防转变,单纯的技术攻击或防御已不适用于当前的网络安全环境。

随着病毒技术的发展,木马也好,病毒也罢,会逐渐趋向于将不同的技术或特征结合使用,如病毒技术与木马技术结合、破解技术与木马技术结合、无线技术与木马技术结合以及在笔者翻译的文章中所提到的扫描技术与木马技术结合。

笔者摘取维基百科中的“木马”词条,可一探木马技术发展之窥:

第一代:是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。

第二代:在技术上有了很大的进步,冰河是中国木马的典型代表之一。

第三代:主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。

第四代:在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。

第五代:驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。

第六代:随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。

 

回归正题,笔者所翻译的《特洛伊木马科普知识》(《Basic knowledge on Trojan》)原作者为Cr0$$J4ck3r,根据文中内容,可大概估算出此文最初撰写于2006-2008年左右,已然算是老古董,但对于普及木马知识,防止更多普通用户被木马感染或侵扰依然有参考价值,故译制此文并发布至网络。

《特洛伊木马科普知识》下载地址:IDF作品:特洛伊木马科普知识

如文中有翻译不妥或不当之处,亦或对于此文有任何疑惑不解之处,欢迎大家留言!


*补充说明

1、文中原作者将“一些著名木马”中的Lithium截图与MoSucker截图误用同为一张图片,此处非笔者翻译失误。

2、请勿因对本文的翻译将IDF实验室认为是黑产或黑客组织,习武之人不一定都是杀手,拿枪的也不一定是坏蛋。

原文地址:http://blog.idf.cn/archives/269.html


发表评论

(必填)

(必填)

(以便回访)