¿Cuál es la diferencia entre un virus informático y un caballo de Troya?
2. Características de los virus informáticos Los virus informáticos son programas diseñados artificialmente con la capacidad de autorreplicarse, son altamente contagiosos, tienen ciertas propiedades latentes, propiedades desencadenantes específicas y son extremadamente destructivos.
La inevitabilidad de la existencia de tres virus: es necesario acceder a la información informática, copiarla y difundirla. Como forma de información, los virus pueden reproducirse, infectar y destruir. Cuando los virus obtienen el control, buscan activamente objetivos infectados y se propagan ampliamente.
Virus informáticos Los virus persistentes a menudo aprovechan las debilidades de los sistemas operativos de las computadoras para propagarse. Mejorar la seguridad del sistema es un aspecto importante de la prevención de virus, pero ningún sistema es perfecto. Un énfasis excesivo en mejorar la seguridad del sistema hará que el sistema dedique la mayor parte de su tiempo a comprobar virus, y el sistema perderá usabilidad, practicidad y facilidad de uso. Por otro lado, el requisito de mantener la información confidencial hace imposible que las personas elijan entre filtrar secretos o contraer virus. Los virus y los antivirus existirán como contramedida técnica durante mucho tiempo, y ambas tecnologías se desarrollarán a largo plazo con el desarrollo de la tecnología informática.
Los virus informáticos no surgen de forma repentina ni accidental. Los cortes de energía repentinos y los errores accidentales producirán algunos códigos confusos e instrucciones aleatorias en el disco y la memoria de la computadora, pero estos códigos están desordenados y caóticos. Un virus es un código relativamente completo, refinado y riguroso que está organizado en una secuencia estricta y se adapta y coordina con el entorno de red del sistema. Los virus no se forman por accidente; deben tener una longitud determinada. Esta longitud básica es probabilística. Los virus son programas especiales creados por el hombre. Los virus populares son escritos intencionalmente por personas. La mayoría de los virus pueden encontrar información del autor y de la fuente. Según una gran cantidad de estadísticas de análisis de datos, las principales situaciones y propósitos de los autores de virus son: algunos programadores talentosos quieren expresarse y demostrar sus habilidades, por curiosidad, por venganza, para felicitar en el noviazgo, para controlar las contraseñas y para ser insatisfechos con sus jefes. Trampas reservadas para software que no se puede pagar, etc. Por supuesto, también hay algunos escritos específicamente para necesidades políticas, militares, religiosas, nacionales y de patentes, incluidas algunas instituciones de investigación de virus y piratas informáticos que prueban virus.
Clasificación de los virus informáticos Basado en años de investigación sobre virus informáticos y métodos científicos, sistemáticos y rigurosos, los virus informáticos se pueden dividir en las siguientes categorías: Según el método de atributos de los virus informáticos, los virus informáticos pueden clasificarse clasificados según los siguientes atributos Clasificación:
Según el medio en el que existen los virus informáticos, los virus se pueden dividir en virus de red, virus de archivos y virus de arranque. Los virus de red se propagan a través de redes informáticas e infectan archivos ejecutables en la red. Los virus de archivos infectan archivos en la computadora (como COM, EXE, DOC, etc.), los virus de arranque infectan el sector de arranque (Boot) y el sector de arranque del sistema (MBR) del disco duro, y una combinación de estas tres situaciones, como como múltiples virus (Archivo y Arranque) Infecta archivos y sectores de arranque. Estos virus suelen tener algoritmos complejos y se utilizan ampliamente.
Según la forma en que se infectan los virus informáticos, se pueden dividir en virus residentes y virus no residentes. Después de que el virus residente infecta la computadora, coloca su propia parte residente en la memoria (RAM). Esta parte del programa se conecta a la llamada del sistema y se fusiona con el sistema operativo. Permanece activo hasta que se apaga o se reinicia. Los virus no residentes no infectan la memoria de la computadora cuando se activan. Algunos virus dejan una pequeña parte de la memoria pero no se infectan a través de esta parte.
Según la capacidad destructiva de los virus informáticos, se pueden dividir en las siguientes categorías: los tipos inofensivos no tienen ningún otro impacto en el sistema excepto reducir el espacio disponible en el disco cuando se infectan. Los virus no dañinos simplemente reducen la memoria, muestran imágenes, emiten sonidos, etc. Los virus peligrosos pueden provocar graves errores en el funcionamiento de los sistemas informáticos. Los virus muy peligrosos pueden eliminar programas, dañar datos, borrar áreas de memoria del sistema e información importante del sistema operativo. El daño que estos virus causan al sistema no radica en las peligrosas llamadas a sus propios algoritmos, sino que cuando se infectan causarán daños impredecibles y catastróficos. Los errores causados por virus en otros programas también pueden dañar archivos y sectores, y estos virus también se clasifican según sus capacidades destructivas. Algunos virus inofensivos ahora pueden causar daños a nuevas versiones de DOS, Windows y otros sistemas operativos.
Por ejemplo, hubo uno de los primeros virus "Denzuk" que funcionaba bien en discos de 360 KB sin causar ningún daño, pero que podía provocar una gran pérdida de datos en disquetes de alta densidad posteriores.
Clasificación basada en algoritmos específicos de virus informáticos. Según el algoritmo específico del virus, los virus se pueden dividir en: virus complementarios, que no modifican el archivo en sí, y generan complementos de archivos EXE según el algoritmo, con el mismo nombre y diferentes extensiones (COM). Por ejemplo, XCOPY. El compañero de EXE es XCOPY.COM. Cuando un virus se escribe en un archivo COM, no cambia el archivo EXE. Cuando DOS carga un archivo, primero se ejecuta el satélite y luego el satélite carga y ejecuta el archivo EXE original. Los virus "gusanos" se propagan a través de redes informáticas sin cambiar archivos ni información de datos. Utiliza la red para propagarse desde la memoria de una máquina a la memoria de otras máquinas, calcular direcciones de red y enviar su propio virus a través de la red. A veces existen en el sistema y generalmente no ocupan otros recursos excepto la memoria. Los virus parásitos, excepto los virus acompañantes y los virus "gusanos", pueden denominarse virus parásitos. Se agregan a los sectores o archivos de arranque del sistema y se propagan a través de la funcionalidad del sistema. Según diferentes algoritmos, se pueden dividir en: virus de práctica que contienen errores y no se pueden propagar bien. Por ejemplo, algunos virus se encuentran en la etapa de depuración. Los virus misteriosos generalmente no modifican directamente las interrupciones de DOS ni los datos del sector, sino que modifican DOS internamente a través de la tecnología del dispositivo y los buffers de archivos, lo que dificulta la visualización de recursos y el uso de tecnologías más avanzadas. Utilice el área de datos gratuita de DOS para trabajar. Los virus mutados (también conocidos como virus fantasma) utilizan algoritmos complejos para que cada copia que difunden tenga un contenido y una longitud diferentes. Su enfoque típico es un algoritmo de decodificación mezclado con instrucciones no relacionadas y viriones alterados.
El caballo de Troya (en adelante, caballo de Troya) se llama "Trojan House" en inglés y su nombre proviene del caballo de Troya de la mitología griega.
Es una herramienta de piratería basada en control remoto y tiene las características de ocultación y no autorización.
El llamado ocultamiento significa que para evitar que el troyano sea descubierto, los diseñadores del troyano utilizarán varios medios para ocultarlo, incluso si se descubre que el servidor está en peligro. infectado con el troyano, sólo puede sentirse decepcionado porque no se puede determinar su ubicación específica.
El llamado no autorizado significa que una vez que el terminal de control está conectado al servidor, el terminal de control tendrá la mayoría de los derechos operativos del servidor, incluida la modificación de archivos, la modificación del registro, el control del mouse y el teclado, etc. , y estos derechos no los otorga el servidor, sino que los roba el programa troyano.
Desde la perspectiva del desarrollo del caballo de Troya, se puede dividir básicamente en dos etapas.
Al principio, la red todavía estaba en la era de la plataforma UNIX y surgieron los caballos de Troya. En ese momento, las funciones de los programas troyanos eran relativamente simples. A menudo incrustaban un programa en archivos del sistema y utilizaban instrucciones de salto para realizar algunas funciones del troyano. Durante este período, la mayoría de los diseñadores y usuarios de troyanos eran personal técnico, que debía tener conocimientos considerables de redes y programación.
Luego, con la creciente popularidad de la plataforma WINDOWS, han aparecido algunos programas troyanos basados en operaciones gráficas. La mejora de la interfaz de usuario permite a los usuarios operar caballos de Troya de manera competente sin tener demasiados conocimientos profesionales. Las intrusiones de caballos de Troya relativamente frecuentes también aparecen con frecuencia y, debido a que las funciones de los caballos de Troya se vuelven cada vez más perfectas durante este período, causan un daño mayor al servidor.
Así que, a medida que el caballo de Troya se ha desarrollado hasta el día de hoy, ha hecho todo lo que ha podido. Una vez que un caballo de Troya se apodere de ella, su computadora ya no tendrá secretos.
En vista del enorme daño de los caballos de Troya, los presentaremos en detalle en tres partes: artículo original, defensa y contraataque e información. Espero que todos tengan un conocimiento profundo de los caballos de Troya como herramienta de ataque.
Texto original
Conocimientos básicos
Antes de presentar los principios del caballo de Troya, debemos explicar algunos conocimientos básicos del caballo de Troya de antemano, porque hay Hay muchas cosas que mencionar a continuación sobre estos contenidos.
Un sistema troyano completo consta de una parte de hardware, una parte de software y una parte de conexión específica.
(1) Parte de hardware: la entidad de hardware necesaria para establecer una conexión troyana. Terminal de control: La parte que controla remotamente el servidor. Servidor: La parte controlada remotamente por el terminal de control. Internet: Portador de red para control remoto y transmisión de datos desde el terminal de control al terminal de servicio.
(2) Parte de software: el programa de software necesario para realizar el control remoto.
Programa de terminal de control: programa utilizado por el terminal de control para controlar remotamente el servidor. Caballo de Troya: programa que se infiltra en un servidor y obtiene acceso a sus operaciones. Programa de configuración de troyanos: un programa que establece números de puerto, condiciones de activación, nombres de troyanos, etc. Hazlo mejor oculto en el servidor.
(3) Parte específica de conexión: los elementos necesarios para establecer un canal troyano entre el servidor y el terminal de control a través de Internet. IP de control e IP del servidor: Las direcciones de red del control y del servidor también son los destinos para la transmisión de datos por parte de los caballos de Troya. Puerto de control, puerto del caballo de Troya: la entrada de datos del extremo de control y del extremo del servidor, a través de la cual los datos pueden llegar directamente al programa del extremo de control o al programa del caballo de Troya.
Caballo de Troya
El uso de Trojan como herramienta de piratas informáticos para llevar a cabo una intrusión en la red se puede dividir aproximadamente en seis pasos (consulte la figura a continuación para obtener más detalles). Expongamos los principios del ataque de los troyanos basándonos en estos seis pasos.
1. Configurar troyanos
En términos generales, un troyano bien diseñado tiene un programa de configuración de troyanos. A juzgar por el contenido de configuración específico, implementa principalmente las dos funciones siguientes:
(1) Camuflaje de troyano: para ocultar el troyano lo mejor posible en el servidor, el programa de configuración de troyano utilizará varios métodos de camuflaje. Por ejemplo, modificar iconos, vincular archivos, personalizar puertos, autodestruirse, etc. Cubriremos esto en detalle en la sección "Propagación de troyanos".
(2) Comentarios de información: el programa de configuración del troyano establecerá el método o la dirección de los comentarios de información, como configurar la dirección de correo electrónico, el número de IRC, el número de ICO, etc. para los comentarios de información. Cubriremos los detalles en la sección "Comentarios".
Dos. Difusión de troyanos
(1) Método de transmisión:
Hay dos formas principales de propagar virus troyanos: una es a través del correo electrónico y el terminal de control envía el programa troyano como un archivo adjunto. puede infectarse con virus troyanos simplemente abriendo el sistema de archivos adjuntos; otro son las descargas de software. Algunos sitios web informales vinculan troyanos a programas de instalación de software con el pretexto de proporcionar descargas de software. Después de la descarga, estos programas instalarán automáticamente el troyano tan pronto como se ejecuten.
(2) Modo de camuflaje:
En vista de la nocividad de los troyanos, muchas personas todavía tienen cierta comprensión de los troyanos, lo que tiene un cierto efecto inhibidor sobre la propagación de los troyanos. Esto es un troyano. El diseñador no quiere verlo. Por lo tanto, desarrollaron varias funciones para disfrazar los troyanos para reducir la vigilancia de los usuarios y engañarlos.
(1) Modificar el ícono
Cuando ves este ícono en un archivo adjunto de correo electrónico, ¿crees que es un archivo de texto? Pero te digo que podría ser un troyano. Ahora existen troyanos que pueden cambiar los íconos de los programas de servidor troyanos en íconos de varios archivos como HTML, TXT, ZIP, etc. Esto es bastante confuso, pero actualmente no hay muchos troyanos que proporcionen esta función, y este disfraz no es Impecable y no requiere modificación. El cielo se llena de miedo y sospecha.
(2) Archivo de paquete
Este método de disfraz consiste en vincular el caballo de Troya a un programa de instalación. Cuando se ejecuta el instalador, el troyano se cuela en el sistema sin que el usuario lo sepa. En cuanto a los archivos incluidos, generalmente son archivos ejecutables (es decir, EXE, COM y otros archivos).
(3) Visualización de errores
Cualquiera que tenga cierto conocimiento sobre los caballos de Troya sabe que si no hay respuesta al abrir un archivo, probablemente se trate de un programa troyano. Los caballos de Troya también son conscientes de este defecto y algunos troyanos proporcionan una función llamada visualización de errores. Cuando el usuario del servidor abre el programa Muma, aparecerá un cuadro de mensaje de error como el que se muestra a continuación (por supuesto que es falso). El contenido del error se puede definir libremente y la mayoría de ellos se personalizarán con un mensaje como "¡El archivo está dañado y no se puede abrir!". Cuando el usuario del servidor cree que es cierto, el caballo de Troya ha invadido silenciosamente el sistema.
(4) Puertos personalizados
Muchos puertos troyanos antiguos están reparados, lo que facilita determinar si el troyano está infectado. Solo necesita verificar un puerto específico para saber con qué está infectado el troyano, por lo que ahora muchos troyanos nuevos han agregado la función de personalizar el puerto. Los usuarios en el lado de control pueden elegir cualquier puerto entre 1024-65535 como puerto del troyano (generalmente). no elija 1024 Los siguientes puertos) para determinar el estado de infección.
(5) Autodestrucción
Esta función es para compensar un defecto del caballo de Troya.
Sabemos que cuando un usuario del servidor abre un archivo que contiene un caballo de Troya, el caballo de Troya se copiará a sí mismo en la carpeta del sistema WINDOWS (en el directorio C:\WINDOWS o C:\WINDOWS\SYSTEM). En términos generales, el archivo troyano original en la carpeta del sistema tiene el mismo tamaño que el archivo troyano (excepto el archivo troyano incluido), por lo que los amigos que han sido atacados por troyanos solo necesitan verificar las cartas recibidas recientemente y el software descargado. caballo de Troya original y luego vaya a la carpeta del sistema para buscar un archivo del mismo tamaño según el tamaño del caballo de Troya original. La función de autodestrucción del troyano significa que después de instalar el troyano, el archivo troyano original se destruirá automáticamente. Por lo tanto, es difícil para los usuarios del servidor encontrar el origen del troyano y es difícil eliminarlo sin utilizar el troyano. herramientas para matar.
(6) Cambio de nombre del troyano
Los nombres de los archivos troyanos instalados en la carpeta del sistema generalmente son fijos, por lo que solo necesita buscar en la carpeta del sistema de acuerdo con algunos artículos sobre cómo eliminar troyanos. Con archivos específicos puedes determinar qué troyanos has atacado. Por lo tanto, muchos troyanos ahora permiten a los usuarios en el lado de control personalizar libremente el nombre del archivo troyano instalado, lo que dificulta determinar el tipo de troyano infectado.
Paso 3: ejecutar el troyano
Después de que el usuario del servidor ejecute el troyano o el programa que lo vincula, el troyano se instalará automáticamente. Primero cópiese a la carpeta del sistema de WINDOWS (directorio C:\WINDOWS o C:\WINDOWS\SYSTEM) y luego configure las condiciones de activación del troyano en el registro, el grupo de inicio y el grupo que no es de inicio, completando así el troyano. Instalar. Después de la instalación, puede iniciar el troyano. El proceso específico se muestra en la siguiente figura:
(1) El caballo de Troya se activa mediante la condición de activación
La condición de activación se refiere a la condición que activa el caballo de Troya, que generalmente aparece en los siguientes ocho lugares:
1. Registro: abra los cinco valores de clave principal de Run y RunServices en HKEY_local_machine\software\Microsoft\Windows\Current Version\ y busque los valores de clave. que puede usarse para iniciar el caballo de Troya.
2.win.ini:c:\ Hay un archivo de configuración win.ini en el directorio de Windows, que se puede abrir en modo texto. En el campo [Windows], hay comandos de inicio cargar = y ejecutar =, que generalmente están vacíos. Si hubiera un iniciador, podría ser un caballo de Troya. 3.system.ini: C:\tiene un sistema de archivos de configuración. ini, que se abre como texto. Hay líneas de comando en [386Enh], [mic] y [drivers32] donde se puede encontrar el comando de inicio del troyano.
4.Autoexec.bat y config. Estos dos archivos en el directorio raíz de la unidad sys:c también pueden iniciar troyanos. Sin embargo, este método de carga generalmente requiere que el usuario en el extremo de control establezca una conexión con el servidor y luego cargue el archivo con el mismo nombre en el servidor para sobrescribir los dos archivos.
5.*.INI: Archivo de configuración de inicio de la aplicación. El terminal de control utiliza la función de estos archivos para iniciar el programa y carga el archivo con el mismo nombre que el comando de inicio del troyano al servidor para sobrescribir el archivo con el mismo nombre e iniciar el troyano.
6. Registro: abra HKEY_Class_Root\FileType\Shell\Open\Command Primary Key para ver el valor de su clave. Por ejemplo, el troyano doméstico "Glacier" modifica el valor clave en HKEY_classes_root\txt file\shell\open\command y cambia "C:\WINDOWS\NOTEPAD.EXE %1" a "c:\Windows\system\ syxxxplr.exe". También cabe señalar que no sólo se pueden iniciar archivos TXT, sino también troyanos modificando los valores de las claves de comando de inicio de HTML, EXE, ZIP y otros archivos. La única diferencia es la clave principal "Tipo de archivo". TXT es TXTFile, ZIP es WINZIP, puedes intentar encontrarlo.
7. Agrupar archivo: para lograr esta condición de activación, el extremo de control y el servidor primero deben establecer una conexión a través de un troyano, y luego el usuario del extremo de control utiliza una herramienta para agrupar el archivo troyano. una aplicación y luego cargarla en El servidor sobrescribe el archivo original, de modo que incluso si se elimina el troyano, se reinstalará cada vez que se ejecute la aplicación incluida con el troyano.
8. Menú de inicio: puede haber condiciones de activación del caballo de Troya en la opción "Inicio-Programa-Inicio".
(2) El proceso de ejecución del caballo de Troya
Después de activar el troyano, ingresa a la memoria y abre el puerto troyano predefinido, preparándose para establecer una conexión con el terminal de control. . En este punto, el usuario del servidor puede escribir NETSTAT -AN en modo MS-DOS para verificar el estado del puerto. En términos generales, las PC no abren puertos cuando están fuera de línea. Si hay un puerto abierto, preste atención a si está infectado con troyanos. Los siguientes son dos ejemplos del uso del comando NETSTAT para verificar el puerto después de que la computadora está infectada con troyanos:
Donde ① es el estado de visualización cuando se establece la conexión entre el servidor y el terminal de control, ② es el estado entre el servidor y el terminal de control Muestra el estado cuando la conexión aún no se ha establecido.
En el proceso de navegación por Internet, debes abrir algunos puertos para descargar software, enviar cartas, chatear online, etc. Los siguientes son algunos puertos de uso común:
(1) Puertos entre 1 y 1024: estos puertos se denominan puertos reservados y se usan especialmente para algunos programas de comunicación externos, como FTP que usa 21 y SMTP que usa 25. usando 110 POP3, etc. Sólo unos pocos troyanos utilizan puertos reservados como puertos troyanos.
(2) Puertos serie superiores a 1025: al navegar por Internet, el navegador abrirá varios puertos serie para descargar texto e imágenes al disco duro local. Todos estos puertos son puertos serie superiores a 1025.
(3) Puerto 4000: Este es el puerto de comunicación de OICQ.
(4) Puerto 6667: Este es el puerto de comunicación de IRC. A excepción de los puertos mencionados anteriormente, básicamente se pueden descartar. Si descubre que hay otros puertos abiertos, especialmente puertos con valores mayores, debe sospechar si está infectado con un troyano. Por supuesto, si el troyano tiene la función de personalizar puertos, cualquier puerto puede ser un puerto de troyano.
Cuatro. Fuga de información:
En términos generales, los troyanos bien diseñados tienen mecanismos de retroalimentación de información. El llamado mecanismo de retroalimentación de información significa que después de que el troyano se instala exitosamente, recopilará cierta información de software y hardware del servidor y notificará al usuario final del control a través de CORREO ELECTRÓNICO, IRC o ICO. La siguiente imagen es un correo electrónico típico de comentarios de información.
A partir de este correo electrónico, podemos conocer cierta información de software y hardware del servidor, incluido el sistema operativo, el directorio del sistema, la partición del disco duro, la contraseña del sistema, etc. Entre esta información la más importante es la IP del servidor, pues sólo obteniendo este parámetro el terminal de control podrá establecer conexión con el servidor. Explicaremos el método de conexión específico en la siguiente sección.
Verbo (abreviatura de verbo) para establecer una conexión:
En esta sección explicaremos cómo se establece una conexión troyana. Para establecer una conexión con el caballo de Troya, primero se deben cumplir dos condiciones: primero, el programa del caballo de Troya se ha instalado en el servidor; segundo, el terminal de control y el servidor deben estar en línea; De esta forma, el terminal de control puede establecer una conexión con el servidor a través del puerto troyano. Para facilitar la explicación, lo ilustramos en forma de ilustraciones.
Como se muestra en la imagen de arriba, la máquina A es el terminal de control y la máquina B es el servidor. Para que la máquina A establezca una conexión con la máquina B, es necesario conocer el puerto troyano y la dirección IP de la máquina B. Debido a que el puerto troyano lo configura la máquina A de antemano y es un elemento conocido, lo más importante es cómo Para obtener la dirección IP de la máquina B, hay dos formas principales de obtener la dirección IP de la máquina B: retroalimentación de información y escaneo de IP. En cuanto al primero, se introdujo en la sección anterior, por lo que no entraré en detalles aquí. Nos centraremos en el escaneo de IP. Debido a que la máquina B tiene un programa troyano, su puerto troyano 7626 está abierto, por lo que ahora la máquina A solo necesita escanear los hosts con el puerto abierto 7626 en el segmento de dirección IP. Por ejemplo, la dirección IP de la máquina B en la imagen es 202.102.47.56. Cuando la computadora A escanea la IP y descubre que su puerto 7626 está abierto, la IP se agregará a la lista. En este momento, la computadora A puede enviar una señal de conexión a la computadora B a través del programa de terminal de control troyano. El programa troyano en la computadora B responderá inmediatamente después de recibir la señal.
Cuando la computadora A recibe la señal de respuesta, abrirá un puerto aleatorio 1031 para establecer una conexión con el puerto troyano 7626 de la computadora B. En este punto, la computadora B se conectará con el puerto troyano 7626. Vale la pena mencionar que escanear todo el rango de direcciones IP obviamente requiere mucho tiempo y es laborioso. En términos generales, el terminal de control primero obtiene la dirección IP del servidor a través de retroalimentación de información. Porque la IP para el acceso telefónico a Internet es dinámica, es decir, la IP que utilizan los usuarios para acceder a Internet es diferente cada vez, pero esta IP cambia dentro de un cierto rango. Como se muestra en la figura, la IP de la computadora B es 202.438+002.47.56. Entonces el rango de IP de la computadora B es 202.102.000.000-202.102.255, por lo que el terminal de control puede encontrar la computadora B cada vez que busca este segmento de dirección IP.
Verbo intransitivo control remoto:
Después de establecer la conexión troyana, aparecerá un canal entre el puerto de control y el puerto troyano como se muestra a continuación.
El programa del terminal de control en el terminal de control puede contactar al programa troyano en el servidor a través de este canal y controlar remotamente el servidor a través del programa troyano. A continuación se presentan los derechos de control específicos que puede disfrutar el terminal de control, que son mucho mayores de lo que imagina.
(1) Robo de contraseñas: los troyanos pueden detectar todo el texto sin formato* o las contraseñas almacenadas en caché. Además, muchos troyanos también proporcionan una función de grabación de pulsaciones de teclas, que registrará cada pulsación de tecla en el servidor, de modo que una vez que un troyano invade, la contraseña puede ser robada fácilmente.
(2) Operación de archivos: el terminal de control puede eliminar, crear, modificar, cargar, descargar, ejecutar, cambiar propiedad y otras operaciones en archivos en el servidor a través de control remoto, cubriendo básicamente todas las operaciones en WINDOWS. Funciones de operación de archivos de la plataforma.
(3) Modificar el registro: el extremo de control puede modificar el registro del servidor a voluntad, incluida la eliminación, creación o modificación de claves primarias, subclaves y valores de clave. A través de esta función, el terminal de control puede prohibir el uso de la unidad de disquete y de la unidad de CD-ROM en el servidor, bloquear el registro en el servidor y configurar las condiciones de activación del caballo de Troya en el servidor para que sean más ocultas.
(4) Operación del sistema: este contenido incluye reiniciar o apagar el sistema operativo del servidor, desconectar la red del servidor, controlar el mouse y el teclado del servidor, monitorear las operaciones del escritorio del servidor, verificar el progreso del servidor, etc. El terminal de control puede incluso enviar mensajes al servidor en cualquier momento. Imagínese, cuando de repente aparece un párrafo en el escritorio del servidor, no es sorprendente.