特洛伊木马类型及隐藏技术

特洛伊木马类型
1、远程控制型
      这类木马目前应用的比较多,它可以通过木马控制端连接运行服务器端的计算机,并对其进行远程操作,如:复制.删除文件,击键记录,查询密码,修改注册表,上传.下载.打开文件,进程控制,屏幕跟踪等等,各软件功能不尽相同,但是大同小异。这种类型的木马的代表作品有:BO,冰河，NETSPY,SUB7等等。 
2、运行与服务器的后门类
      这种木马的编制和运用比较复杂，一般用c语言编制源码，在UNIX或LINUX及兼容系统上实现编译。它的作用一般是在服务器系统进程中创建帐号或提高权限，或者打开某项服务。这种木马程序一般针对不同的服务器系统和漏洞自己编制。
 3、信息窃取型
       这类木马一般没有控制端,只有一个服务器端配置器。 当它在计算机上运行后, 就会偷偷的记录本机的各种密码, 如: OICQ密码,E-MAIL密码,FTP密码等等,并且将这些密码定时发送到指定的电子邮箱中。当然,某些控制类型的木马也有这项功能,只不过做的不很专业。这类的木马有盗取OICQ密码的GOP,综合型的SendMe,广外幽灵等等,不过由于网上免费的SMTP服务最近要密码验证了,所以有一部分失效了。

特洛伊木马的隐藏技术
1、木马的启动方式 
       捆绑启动
2、木马在硬盘上的位置 
       保存在系统目录下
3、木马的文件名
       与系统文件名称相似
4、木马的文件属性 
      隐含文件和DLL文件及系统文件属性
5、木马的图标
      通用图标 
6、木马开放的端口 
      随机端口
7、木马运行时的隐蔽 
       没有窗口，没有状态
8、木马在内存中的隐蔽 
       没有进程显示

木马的发展趋势
1、跨平台性
      跨操作系统
2、模块化设计
      木马的功能实现可组装可拆卸，可定制。
3、病毒型木马
     和病毒一样，采用交叉式迅速大规模扩散，并且运行方式越来越隐蔽，可能通过浏览一个html页面即可把木马植入你的主机。
4、无连接木马
   传统的TCP端对端连接会被抛弃，采用ICMP形式的控制通信，抛弃端口，利用系统内核。
5、无进程执行
     木马的执行一函数的形式实现，没有可显示的进程。
6、反向连接式通信
     服务段访问控制端的端口，绕过防火墙。

木马的防御与查杀
1、检查系统进程
2、检查注册表、服务和INI文件
3、扫描端口
      检查开放的可疑端口
4、监视网络通信
      利用嗅探器监视通信
5、分析可疑文件
6、安装杀毒软件和防火墙