intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Tìm hiểu về Trojan từ A đến Z

Chia sẻ: Ai Dieu | Ngày: | Loại File: DOC | Số trang:11

134
lượt xem
24
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Hiện nay , lực lượng các hacker đang phát triển từng ngày còn các cracker thì phát triển với một tốc độ không thể tưởng tượng nổi . Không thể tồn tại một hệ thống nào trên thế giới là không thể bị tấn công

Chủ đề:
Lưu

Nội dung Text: Tìm hiểu về Trojan từ A đến Z

  1. Tìm hiểu Trojan từ A đến Z: trang này đã được đọc  lần   I)Mở đầu :         Hiện nay , lực lượng các hacker đang phát triển từng  ngày còn các cracker thì phát triển với một tốc độ không thể  tưởng tượng nổi . Không thể tồn tại một hệ thống nào trên  thế giới là không thể bị tấn công . Một máy tính cá nhân là  một mục tiêu rất đơn giản mà 1 cracker với không nhiều hiểu  biết về máy tính cũng có thể tấn công , vì vậy đó cũng là lí  do tại sao cracker phát triển manh mẽ đến như vậy . Các  hacker có khả năng viết ra các trojan và tự thử nghiệm còn  các cracker có khả năng sử dụng trojan một cách hiệu quả ,  kĩ năng của họ hơn nạn nhân chính là ở khả năng sử dụng  trojan .        Ngựa trojan ra đời trong truyền thuyết Hy Lạp cổ đại vào  thế kỉ thứ 12, khi quân Hy lạp không thể hạ nổi thành địch ,  họ đã giả vờ tặng quân địch một chú ngựa gỗ khổng lồ . Sau  khi chú ngựa gỗ đã được đem vào thành , nửa đêm quân Hy  Lạp trong bụng chú ngựa gỗ chui ra và tấn công tiêu diệt  quân địch một cách bất ngờ , nhờ mưu này mà họ đã hạ  được thành giặc .         Trong thế giới tin học , khái niệm Ngựa trojan ra đời từ  khi CDC(Cult of the Dead Cow) tạo ra Back Orifice , một  trojan nổi tiếng nhất từ trước đến sau này , có cổng xâm  nhập là 31337 .
  2. II) Khái niệm về trojan: Trojan là các chương trình hoạt động nhằm chống lại hoặc  gây tổn hại đến người dùng máy tính , chúng có vẻ ngoài  hợp pháp nhưng luôn có mặt xấu xa bên trong . Các chương  trình này thường làm việc bí mật và người dùng thường  không nhận ra sự hoạt động của chúng . Chúng có thể giới  hạn quyền của người dùng tới mức tối đa . Tất cả trojan đều  được các hacker dùng cho mục đích riêng nào đó của họ .  Hầu hết trong số này là để thiết lập quyền điều khiển từ xa  RATs ( Remote Adminitration Tools ) .  Không giống như các virus , trojan thường không tự nhân  bản mà chỉ chạy ngầm trong máy tính của nạn nhân . Có  trojan trong máy tính bạn là một hiểm hoạ và thực thi chúng  gây ra những lỗi khác nhau , thông thường nhất và ít hại nhất  là làm chậm tốc độ máy tính của bạn , nghiêm trọng hơn là  chúng có thể làm mất quyền sửa registry ( lưu các thông tin  của Windows ) , làm treo máy hay format lại ổ đĩa .  III) Phân loại trojan : a) Loại điều khiển từ xa(RAT) b) Keyloggers  c) Trojan lấy cắp password  d) FTP trojans e) Trojan phá hoại f) Trojan chiếm quyền kiểu leo thang A) Trojan điều khiển từ xa : RAT đóng vai trò như một server trên máy tính của bạn và 
  3. tạo điều kiện cho hacker kết nối với máy tính của bạn và  thực hiện các lệnh khác nhau . Dù bạn có vài hiểu biết về  loại trojan này thì bạn cũng khó có thể nhận ra được nó có  tồn tại trong máy tính của bạn không bởi vì các trojan phát  triển liên tục hàng ngày và càng trở nên hiệu quả hơn .  Những trojan tốt có thể tạo điều kiện cho các hacker quyền  điều khiển thậm chí cao hơn chính bản thân bạn và chúng tự  động kích hoạt mỗi khi bạn khởi động máy tính.     Sử dụng trojan loại này khá đơn giản , chúng thường gồm  2 file server và client , mỗi khi tải chúng về , bạn chỉ cần đọc  mục Help của chúng là đã có thể biết cách sử dụng . Các  tính năng của trojan loại này càng ngày càng cao hơn , ví dụ  như trojan girl­friend có thể ngăn không cho nạn nhân tắt  máy tính , hiển thị text lên màn hình , biểu diển âm thanh ,  hình ảnh , đownloa , upload file từ server , thậm chí là chát  cùng với nạn nhân … Nhưng mỗi khi sử dụng chúng thường  bạn phải ngụy trang chúng dưới dạng 1 file ảnh và  giấu cái  đuôi exe của chúng đi . Cách thức làm việc của trojan RAT :  RAT trojan thường ẩn náu trong các chương trình lớn , vì vậy  mỗi khi bạn chạy chương trình này , trojan sẽ tự động được  kích hoạt . Mỗi RAT thường chạy server dưới một cổng riêng  biệt , cổng này cho phép hacker thâm nhập vào máy của  bạn và làm mọi thứ mà anh ta cảm thấy thích thú . Các  trojan khi đã xâm nhập vào trong máy tính thường tạo ra 1  file thực thi nào đó hoặc ghi thêm dòng lệnh tự kích hoạt vào 
  4. trong file win.ini , có thể bạn biết được file đó là trojan nhưng  cũng không thể vô hiệu hoá nổi nó bằng những cách thông  thường . Thường thì bạn không thể xoá nó đi và cũng không  thể vào trong registry để xoá vì chúng thường làm mất chức  năng edit registry của hệ điều hành . Đó là chưa kể đến việc  nhiều loại trojan lạ có thể kích hoạt dưới những tên file lạ mà  bạn không hề nghĩ đó là trojan mà cứ tưởng là file thực thi  của hệ điều hành . Người ta có thể sử dụng RAT để điều khiển , quản lí từ xa  máy tính của chính bản thân họ , nhưng luôn phải cẩn thận  vì RAT có thể gây ra những tác hại mà chính ta cũng không  biết trước . Ví dụ loại này : Back Orifice, girlfriend , Net Bus B)Keyloggers: Hoạt động của loại này khá đơn giản , chúng ghi lại mọi diễn  biến trên bàn phím bao gồm cả các password như password  account internet , password hòm thư , password FTP và lưu  trong máy bạn hoặc  gửi về một địa chỉ email nào đó của  hacker .  Keyloggers thường nhỏ gọn và sử dụng rất ít bộ nhớ nên rất  khó để có thể nhận ra chúng . Ví dụ về loại này như : Kuang Keylogger. C)Trojan ăn trộm password : Trojan này ăn cắp password lưu trong máy bạn như pass  ICQ, IRC,hotmail , yahoo , account internet hoặc tất cả các  pass trên để gửi về cho hacker qua email . Ví dụ trojan loại này : Barri, kuang , barok .
  5. D)FTP trojan : Loại này mở cổng 21 trên máy bạn và mọi người đều có thể  truy cập vào máy của bạn mà không cần mật khẩu và có thể  tải file trên máy của bạn về . E)Trojan phá hoại : Chúng hầu như không có mục đích gì ngoài việc phá hoại  máy tính của bạn . Loại này có thể phá huỷ toàn bộ đĩa cứng  , mã hoá các file . Có thể một ngày nào đó bạn dùng trojan  này để trêu đùa thằng bạn của bạn mà không nhận ra những  tác hại của nó , bạn chỉ có thể nhận ra khi chính bạn bị dính  nó . F)Trojan chiếm quyền kiểu leo thang: Thường được sử dụng đối với các admin kém cỏi . Chúng có  thể được “gắn” vào trong một ứng dụng hệ thống . Một khi  người quản trị hệ thống chạy chúng , chúng sẽ tạo cho  hacker quyền cao hơn trong hệ thống , những trojan này có  thể được gửi tới những người dùng có ít quyền và cho họ  quyền xâm nhập hệ thống . Còn có 1 số loại trojan nữa trong đó bao gồm cả những  chương trình tạo ra chỉ để chọc ghẹo , chúng có thể ra một  thông báo đại loại như máy tính của bạn đã dính virus và ổ  cứng của bạn sẽ bị format , password của bạn đã bị mất ..  nhưng kì thực đây có khi chỉ là trò đùa vô hại của nhóm lập  trình viên chương trình đó .  IV) Cách thức vận hành của trojan: A)Trojan làm việc ra sao? Cách thức vận hành của trojan khá là đơn giản , thường 
  6. chúng gồm 2 thành phần là client và server , khi máy nạn  nhân bị lây nhiễm trojan thì chúng sẽ biến thành server và  một cổng sẽ bị mở ra , chúng ta sẽ dùng cliênt để kết nối tới  IP của nạn nhân . Server sẽ ẩn trong bộ nhớ và nó tạo nên  những thay đổi trong hệ thống . Nó sẽ tạo thêm đường khởi  động vào registry hoặc trong các file autoexec.bat , win.ini  hoặc các file hệ thống khác , do vây mà server sẽ tự khởi  động khi windows làm việc trong phiên tiếp theo. Cách phổ  biến nhất là phương thức thay đổi registry  trong khoá sau: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run] "Server"="C:\\WINDOWS\\server.exe" Trojan sẽ tự động copy chính nó vào trong thư mục Windows  hoặc Windows\System . Đây được gọi là phương thức lây  nhiễm . File server một khi được nạn nhân kích hoạt sẽ tự  biến mất , như vậy dù nạn nhân có tài giỏi tới đâu thì cũng  không nhận ra được sự tồn tại của trojan những lần tiếp  theo . File server sẽ ghi lại IP hiện thời và cổng để thiết lập  email gửi về cho hacker .Một khi đã bị lây nhiễm thì trojan sẽ  mở cổng và như vậy client có thể kết nối tới máy nạn nhân  và hacker có thể làm mọi việc theo ý muốn của anh ta .                                             |     |                                        |     | |     |­­­­­­­­­­­|­­IP­­|­­port­­|­­Password­­|     | ||    wan                                 ||                                                     local host                                    remote host
  7. ­ Client ­                                     ­ Server ­ B)Nói qua về giao thức TCP/IP : TCP/Ip là giao thức liên kết các máy tính để chia sẻ tại  nguyên qua một mạng . Nó đã được phát triển trong dự án  của ARPAnet , ARPAnet được biết đến nhiều nhất qua mạng  TCP/IP . Tuy nhiên vào tháng 7/1987 , hơn 130 hãng khác  nhau có sản phẩm hỗ trợ TCP/IP và hàng ngàn mạng khác  nhau sử dụng chúng . Ta có thể gọi chúng là nhóm giao thức  Internet . TCP và IP là 2 giao thức trong nhóm này . Bởi TCP  và IP là những giao thức nổi tiếng nhất và được sử dụng rộng  rãi nhất và khó có thể bị thay thế sớm .  TCP/IP gồm 4 lớp giao thức, tương ứng với 7 lớp giao thức  của chuẩn ISO OSI. Bốn lớp đó gồm (kể theo thứ tự từ trên  xuống dưới): Application layer, Host­to­host layer, Internet  layer, cuối cùng là Physical layer. TCP nằm ở lớp thứ 3  (Host­to­host layer), IP nằm ở lớp thứ 2 (Internet layer).  Tên Số thứ tự  Application layer 4  Host­to­host layer 3  Internet layer 2  Physical layer 1  Đi từ trên xuống dưới, lớp ứng dụng sẽ xử lý thông tin và ra  lệnh gửi/nhận đến lớp TCP để truyền và nhận dữ liệu.  
  8. 1.Địa chỉ IP là gì:          Địa chỉ IP được chia thành 4 số giới hạn từ 0 ­ 255. Mỗi  số được lưu bởi 1 byte ­> !P có kicks thước là 4byte, được  chia thành các lớp địa chỉ. Có 3 lớp là A, B, và C. Nếu ở lớp  A, ta sẽ có thể có 16 triệu điạ chỉ, ở lớp B có 65536 địa chỉ. IP thể hiện điều gì:  Trên mạng Internet nó sẽ xác định chính bạn. Khi kết nối  vào mạng thì IP của bạn là duy nhất trên thế giới. Tuy nhiên  số này chưa hẳn là cố định. Nếu bạn vào mạng qua một ISP  thì số IP của bạn sẽ thay đổi ở các lần bạn kết nối.  Một người biết IP của bạn thì có thể lần ra vị trí của bạn.  Nghĩa là khi có IP thì biết được địa chỉ của ISP rồi biết được  thông tin của bạn. Trên thực tế, IP cho biết về máy tính được  sử dụng để vào mạng chứ không cho biết thông tin về người  sử dụng, trừ khi IP của bạn là cố định hoặc sử dụng account  của riêng bạn. 2.)Thế nào là giao thức TCP: TCP là viết tắt của Transmission Control Protocol tạm dịch là  cách thức điều khiển truyền. TCP phụ trách việc truyền và  nhận dữ liệu. TCP giúp cho lớp ứng dụng (Application layer)  sử dụng lớp IP (lớp IP là vì lớp Internet chỉ có IP) (Internet  Protocol, tạm dịch Giao thức liên mạng) một cách trong suốt.  Điều này có nghĩa là lớp ứng dụng không cần biết đến phần  cứng sẽ làm việc gì, ra sao, mà chỉ cần quan tâm đến việc  xử lý dữ liệu của riêng mình. TCP cũng đảm trách việc nhận  đúng dữ liệu và gửi dữ liệu đó đến đúng chương trình cần  nhận. TCP còn có chức năng kiểm tra và sửa lỗi thông qua 
  9. việc đồng bộ hoá (synchronize) thông tin 2 đầu truyền dữ  liệu và lời nhận biết (acknowledgement) từ phía nhận dữ  liệu . C.) Cách lấy IP của nạn nhân : Lấy IP của nạn nhân là rất quan trọng vì có IP thì chúng ta  mới thiết lập được giao thức TCP/IP . 1)Khi bạn đã gửi trojan cho nạn nhân và thành công , máy  của bạn sẽ kết nối máy tính nạn nhân bằng một Direct  Transfer ( truyền trực tiếp ) . Khi này để biết IP của victim  bạn chỉ việc mở cửa sổ làm việc của Dos( trong win ) và  đánh Netstat  , tuy nhiên cách này chỉ lần ra được IP của  chính nạn nhân khi hắn kết nối internet không thông qua  proxy , trong trường hợp hắn dùng proxy thì IP của hắn chính  là Ip của proxy :                                               |     |                                          |     | |     |   Bằng  cách gõ netstat bạn sẽ nhận được Ip là 187.66.121.70                                                                                      Trường  hợp này là đúng                                          |     |                 |     |                  |     |
  10. |     |Cũng giống trường hợp như trên nhưng khi này bạn thiết  lập cho trương trình gửi một e­mail về cho bạn , khi đã nhận  được e­mail bạn hãy mở nó ra bằng trình Outlook Express ,  ấn chuột phải chọn propeties . Trong này bạn sẽ nhận được  một vài thông tin như sau : X­Apparently­To: formatkid@yahoo.com via  web13406.mail.yahoo.com; 13 Aug 2001 12:03:49 ­0700  (PDT) X­Track: 2: 40 Received: from 66.76.119.67  (HELO formatkid)  (66.76.119.67) by mta574.mail.yahoo.com with SMTP; 13 Aug 2001  12:02:34 ­0700 (PDT) From: lamer@hotmail.com To: formatkid@yahoo.com Subject: đây là bức thư mà bạn cần ! Mime­Version: 1.0 Như vậy là bức thư đã được gửi đến từ địa chỉ 66.76.119.67 
  11. và đây chính là IP của nạn nhân . 3) Trường hợp này có thể áp dụng với phương thức lây nhiễm  khi bạn sử dụng http server , khi họ kết nối vào server của  bạn để download con trojan , bạn có thể sử dụng chương  trình netmon ( down tại địa chỉ ttp://www.leechsoftware.com   hoặc dùng netstat ở ngay tại máy của bạn bằng cách vào  Start/Run/ đánh command sau đó gõ netstat  ­an thì IP của  những máy đang nói chuyện với máy bạn sẽ hiện ra ở ô bên  phải ) 4) Thường các trojan có chức năng tự động cảnh báo ( Auto­ Notification settings ) . Chức năng này cho phép bạn ấn định  số ICQ hoặc địa chỉ e­mail , vì vậy mỗi khi bạn nhân log on  vào mạng thì IP address và số cổng kết nối sẽ được gửi đến  cho bạn . Một vài trojan có thêm tính năng cảnh báo CGI  nhưng đây là những kĩ thuật kiếm khi được sử dụng .                      
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2