¿Qué es un troyano de puerta trasera?

Troyano de puerta trasera

El caballo de Troya (en adelante, caballo de Troya) se llama "casa de Troya" en inglés. Su nombre proviene del caballo de Troya de la mitología griega. Herramientas de piratería basadas en control remoto. Los troyanos desempeñan un papel pionero en diversos ataques llevados a cabo por piratas informáticos. Los caballos de Troya pertenecen al modelo cliente/servicio. Se divide en dos partes, a saber, cliente y servidor. El principio es que un host proporciona servicios (servidor) y otro host recibe servicios (cliente). El host, como servidor, generalmente abre un puerto predeterminado para escuchar. Si un cliente realiza una solicitud de conexión a este puerto del servidor, el programa correspondiente en el servidor se ejecutará automáticamente para responder a la solicitud del cliente. Este programa se llama demonio. Tomando como ejemplo el famoso troyano Glacier, el terminal controlado puede considerarse como un servidor y el terminal controlador es un cliente. El programa de servidor G_Server.exe es un proceso demonio y G_Client.exe es una aplicación cliente.

Métodos para ocultar troyanos de puerta trasera:

Para comprender mejor los troyanos, echemos un vistazo a sus métodos de ocultación. Los principales métodos para ocultar troyanos son los siguientes: 1. Ocultar esto en el archivo. La barra de tareas es la más básica. Si aparece un icono inexplicable en la barra de tareas de Windows, cualquier tonto entenderá lo que está pasando. En VB, siempre que la propiedad Viseble del formulario esté configurada en False y ShowInTaskBar esté configurada en False, el programa no aparecerá en la barra de tareas. 2. Ocultarse en el Administrador de tareas La forma más fácil de ver los procesos en ejecución es presionar el Administrador de tareas que aparece cuando presiona Ctrl Alt Supr. Si puede ver un troyano ejecutándose después de presionar ctrl alt del, entonces definitivamente no es un buen troyano. Por lo tanto, el troyano intenta por todos los medios disfrazarse para no aparecer en el administrador de tareas. El troyano descubrió que podía ser engañado fácilmente fijándose como "servicio del sistema". Por lo tanto, no es realista esperar encontrar troyanos presionando Ctrl Alt Supr. 3. Puertos Una máquina tiene 65536 puertos. ¿Prestarás atención a tantos puertos? El troyano presta gran atención a su puerto. Si prestas un poco de atención, no es difícil encontrar que los puertos utilizados por la mayoría de los troyanos están por encima de 1024, y la tendencia es cada vez mayor. Por supuesto, también hay troyanos que ocupan puertos por debajo del 1024. Sin embargo, estos puertos son puertos de uso común y su ocupación puede provocar anomalías en el sistema. En este caso, el troyano quedará fácilmente expuesto. Tal vez conozca algunos puertos ocupados por troyanos y puede escanearlos con frecuencia, pero ahora los troyanos brindan funciones de modificación de puertos. ¿Tiene tiempo para escanear 65536 puertos? 4. El método de carga de los troyanos está oculto. Se puede decir que los métodos de carga de los troyanos son muy extraños. Pero todos conducen al mismo objetivo: permitirle ejecutar el programa de servidor del troyano. Si el troyano no añade ningún disfraz. Sólo decirte que esto es un caballo de Troya, sería extraño que lo ejecutaras. Con el avance continuo de la interactividad de los sitios web, cada vez más cosas pueden convertirse en medios de propagación de troyanos JavaScript, VBScript, ActiveX, XLM... Casi todas las características nuevas de www conducirán a la rápida evolución de los troyanos. 5. Denominación de troyanos También hay mucho conocimiento sobre la denominación de programas de servidor troyanos. Si no realiza ningún cambio, simplemente utilice el nombre original. ¿Quién no sabe que se trata de un programa troyano? Por lo tanto, la denominación de los caballos de Troya también es extraña. Sin embargo, la mayoría de ellos se cambian a nombres similares a los nombres de los archivos del sistema. Si no sabe lo suficiente sobre los archivos del sistema, será peligroso. Por ejemplo, algunos troyanos cambian su nombre a window.exe. Si no te dicen que son troyanos, ¿te atreverías a eliminarlos? Otra cosa es cambiar algunos nombres de sufijos, como cambiar dll a dl, etc. Si no miras con atención, ¿lo encontrarás? 6. La última tecnología de sigilo Actualmente, además de las tecnologías de sigilo comúnmente utilizadas anteriormente, ha surgido un método más nuevo y más encubierto.

Es decir, modificar el controlador del dispositivo virtual (vxd) o modificar la biblioteca de enlaces dinámicos (DLL). Este método es diferente del método general. Básicamente elimina el modo troyano original: puerto de escucha y utiliza el método de reemplazar funciones del sistema (reescribir archivos vxd o DLL). DLL modificado y filtrar todas las llamadas a funciones. Para llamadas de uso común, se utiliza un reenviador de funciones para reenviarlas directamente a la DLL del sistema reemplazada. En algunas situaciones especiales acordadas de antemano, la DLL realizará algunas operaciones correspondientes. De hecho, la mayoría de estos troyanos sólo utilizan archivos DLL para monitorear una vez que se encuentra una solicitud de conexión desde el terminal de control, se activan y se vinculan a un proceso para realizar operaciones troyanos normales. La ventaja de esto es que no se agregan nuevos archivos, no es necesario abrir nuevos puertos, no se crean nuevos procesos y no se puede detectar utilizando métodos convencionales. El troyano casi no presenta síntomas durante el funcionamiento normal y una vez finalizado el troyano. El final del control es Después de que el terminal de control envía un mensaje específico, el programa oculto comienza a funcionar inmediatamente.