大陸木馬的發展與分類:
第一代木馬:主要對付Unix系統,而Windows當時為數不多,代表作:BO、NetSpy等。 第二代木馬:建構了目前大多數駭客對木馬定義的功能,這時期開始Windows型木馬改為主流,代表作:BO2000、Sub7、冰河等。 第三代木馬:增加了穿透防火牆的功能(反向連結)等技術來逃避單機型防火牆及IP分享器之功能。代表作:灰鴿子家族。 第四代木馬:再增加了執行緒隱藏技術並漸漸往 Rootkit 技術整合,使系統更加難以發現木馬的存在與入侵的連接。代表作:戶外幽靈、GWBOY殭屍程式等。
木馬程式技術發展可以說非常迅速。主要是有些年輕人出於好奇,或是急於顯示自己實力,不斷改進木馬程式的編寫。
<!-- more -->
至今木馬程式已經經歷了六代的改進:
- 第一代,是最原始的木馬程式。主要是簡單的密碼竊取,透過電子郵件發送資訊等,具備了木馬最基本的功能。
- 第二代,在技術上有了很大的進步,冰河是中國木馬的典型代表之一。
- 第三代,主要改進在資料傳遞技術方面,出現了ICMP等型別的木馬,利用畸形報文傳遞資料,增加了防毒軟體查殺識別的難度。
- 第四代,在行程隱藏方面有了很大改動,採用了核心插入式的嵌入方式,利用遠端插入執行緒技術,嵌入DLL執行緒。或者掛接PSAPI,實作木馬程式的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。
- 第五代,驅動級木馬。驅動級木馬多數都使用了大量的Rootkit技術來達到在深度隱藏的效果,並深入到核心空間的,感染後針對防毒軟體和網路防火牆進行攻擊,可將系統SSDT初始化,導致防毒防火牆失去效應。有的驅動級木馬可駐留BIOS,並且很難查殺。
內文引用:維基百科:特洛伊木馬 (電腦)
第二代木馬:冰河
程式:
G_Server.exe:被監控端(被害人)後台監控程序須先設定相關參數。
G_Client.exe:監控端(駭客)執行程序。
功能:
螢幕監控、鍵盤側錄、獲取系統資料、限制系統功能、遠端文件操作
缺點:
易被防火牆或NAT/PAT阻擋,隱藏性不好,大多數防毒軟體均可抓到且刪除G_Server.exe程式就無法再連線。
第三代木馬:灰鴿子家族
特色:
沒有固定的被控端(Server)程式,大多需自行設定相關參數再產生,某些高段木馬會植入後再產生殭屍程式,原植入程式會無作用或消失。
可以指定反向連接出來的固定埠號,如目標可知有防火牆可指定為80等常用埠號(Client開80 Port?)。
高段一點的木馬可以先跳躍Proxy或Web轉址過後再傳回駭客端。
可在工作管理員中查看出正在執行的木馬服務程式。
可使用netstat –an程式了解木馬正在執行的通訊埠號狀態。
第四代木馬:變種灰鴿子家族或殭屍程式
特色:
沒有固定的被控端(Server)程式,大多需自行設定相關參數再產生,木馬會植入後再產生殭屍程式,原植入程式會直接消失植入系統核心。
可以指定反向連接出來的動態埠號,可自行尋找任何有開傳出資料(利用Skype或P2P原理製作)。
高段一點的木馬可以先跳躍Proxy或Web轉址或先跟其他殭屍電腦群溝通過後再傳回駭客端。
無法在工作管理員中查看出正在執行的木馬服務程式(因為植入核心)
無法使用netstat –an程式了解木馬正在執行的通訊埠號狀態。(因為是隨機埠號或使用系統埠號)。
