| | 詩人: 歌麯作者 Ge Quzuozhe
| 建築工地上用的木架子,形似高腳長凳 Construction site with a wooden shelf, the shape of tall bench | | 建築工地上用的木架子,形似高腳長凳。 6.體操運動器械。有兩種背上安雙環的叫鞍馬,沒有環的叫跳馬。 7.兒童遊戲器械,形狀象馬,可以坐在上面前後搖動。 | | | ◎ 木馬 mùmǎ | | | 木頭製成的馬;也指形狀像馬的木製兒童玩具,可以坐在上面前後搖動 | | | 木製的運動器械 | | | 一種帶脊和釘的木製器械,以前作為一種軍事懲罰工具 | | | 木製的馬。 漢 劉嚮 《說苑·談叢》:“默無過言,慤無過事。木馬不能行,亦不費食;騏驥日馳千裏,鞭箠不去其背。”《魏書·段承根傳》:“有一童子,與 暉 同志。後二年,童子辭歸,從 暉 請馬, 暉 戲作木馬與之。”《南史·齊紀下·廢帝東昏侯》:“﹝帝﹞始欲騎馬,未習其事, 俞靈韻 為作木馬,人在其中,行動進退,隨意所適。” | "木牛流馬"的省稱 "Wooden ox" the ministry said | | “ 木牛流馬 ”的省稱。 北周 庾信 《周車騎大將軍賀婁公神道碑銘》:“旍旃九坂,艫舳雙流,還驅木馬,更引金牛。” 倪璠 註引《蜀志》:“﹝ 諸葛亮 ﹞作流馬木牛畢,教兵講武。” | 指加馬鞍的獨輪車 Plus saddle that wheelbarrow | | 指加馬鞍的獨輪車。 宋 沉括 《夢溪筆談·譏謔》:“ 信安 、 滄 、 景 之間,多蚊虻。夏月……郊行不敢乘馬,馬為蚊虻所毒,則狂逸不可製。行人以獨輪小車,馬鞍蒙之以乘,謂之木馬。” | 冰上滑行的工具 Ice sliding tools | | 冰上滑行的工具。《新唐書·回鶻傳下》:“東至 木馬突厥 三部落……樺皮覆室,多善馬,俗乘木馬馳冰上,以板藉足,屈木支腋,蹴輒百步,勢迅激。” 清 俞樾 《茶香室叢鈔·八大王之子》:“ 突厥 三部落,乘木馬馳冰上,以板藉足,屈木支腋,蹴輒百步,此言木馬,不言木馬子,殆猶今之冰床,非可用之於居傢者也。” | | | 體操運動器械。有兩種:背上安雙環的叫鞍馬,沒有環的叫跳馬。 | | | 兒童遊戲器械,形狀象馬,可以坐在上面前後搖動。 | | 特洛伊木馬(以下簡稱木馬),英文叫做“trojan horse”,其名稱取自希臘神話的特洛伊木馬記。
古希臘傳說,特洛伊王子帕裏斯訪問希臘,誘走了王後海倫,希臘人因此遠征特洛伊。圍攻9年後,到第10年,希臘將領奧德修斯獻了一計,就是把一批勇士埋伏在一匹巨大的木馬腹內,放在城外後,佯作退兵。特洛伊人以為敵兵已退,就把木馬作為戰利品搬入城中。到了夜間,埋伏在木馬中的勇士跳出來,打開了城門,希臘將士一擁而入攻下了城池。後來,人們在寫文章時就常用“特洛伊木馬”這一典故,用來比喻在敵方營壘裏埋下伏兵裏應外合的活動
在計算機領域中,它是一種基於遠程控製的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會采用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往衹能望“馬”興嘆。
所謂非授權性是指一旦控製端與服務端連接後,控製端將享有服務端的大部分操作權限,包括修改文件,修改註册表,控製鼠標,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網絡還處於以unix平臺為主的時期,木馬就産生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到係統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網絡和編程知識。
而後隨着windows平臺的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,一旦被木馬控製,你的電腦將毫無秘密可言。 | | 鑒於木馬的巨大危害性,我們將分原理篇,防禦與反擊篇,資料篇三部分來詳細介紹木馬,希望大傢對特洛伊木馬這種攻擊手段有一個透徹的瞭解。
【一、基礎知識 】
在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。
一個完整的木馬係統由硬件部分,軟件部分和具體連接部分組成。
(1)硬件部分:建立木馬連接所必須的硬件實體。 控製端:對服務端進行遠程控製的一方。 服務端:被控製端遠程控製的一方。 internet:控製端對服務端進行遠程控製,數據傳輸的網絡載體。
(2)軟件部分:實現遠程控製所必須的軟件程序。 控製端程序:控製端用以遠程控製服務端的程序。 木馬程序:潛入服務端內部,獲取其操作權限的程序。 木馬配置程序:設置木馬程序的端口號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。
(3)具體連接部分:通過internet在服務端和控製端之間建立一條木馬通道所必須的元素。 控製端ip,服務端ip:即控製端,服務端的網絡地址,也是木馬進行數據傳輸的目的地。 控製端端口,木馬端口:即控製端,服務端的數據入口,通過這個入口,數據可直達控製端程序或木馬 程序。
用木馬這種黑客工具進行網絡入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能:
(1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會采用多種偽裝手段,如修改圖標 ,捆綁文件,定製端口,自我銷毀等,我們將在“傳播木馬”這一節中詳細介紹。
(2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,irc號 ,ico號等等,具體的我們將在“信息反饋”這一節中詳細介紹。
【二、傳播木馬】.
(1)傳播方式:
木馬的傳播方式主要有兩種:一種是通過e-mail,控製端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人衹要打開附件係統就會感染木馬;另一種是軟件下載,一些非正規的網站以提供軟件下載為名義, 將木馬捆綁在軟件安裝程序上,下載後,衹要一運行這些程序,木馬就會自動安裝。
(2)偽裝方式:
鑒於木馬的危害性,很多人對木馬知識還是有一定瞭解的,這對木馬的傳播起了一定的抑製作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。
(一)修改圖標
當你在e-mail的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴你,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成html,txt, zip等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。
(二)捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的 情況下 ,偷偷的進入了係統。至於被捆綁的文件一般是可執行文件(即exe,com一類的文件)。
(三)出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的 設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務 端用戶打開木 馬程序時,會彈出一個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如“文件已破壞,無法打開的!”之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了 係統。
(四)定製端口
很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,衹要查一下特定的 端口就 知道感染了什麽木馬,所以現在很多新式的木馬都加入了定製端口的功能,控製端用戶可 以在1024---65535之間任選一個端口作為木馬端口(一般不選1024以下的端口),這樣就給判斷 所感染木馬類型帶 來了麻煩。
(五)自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後,木馬 會將自己拷貝到windows的係統文件夾中(c:windows或c:windowssystem目錄下),一般來說 原木馬文件 和係統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麽中了木馬 的朋友衹要在近來 收到的信件和下載的軟件中找到原木馬文件,然後根據原木馬的大小去係統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬後,原木馬文件將自動銷毀,這 樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。
(六)木馬更名
安裝到係統文件夾中的木馬的文件名一般是固定的,那麽衹要根據一些查殺木馬的文章,按 圖索驥在係統文件夾查找特定的文件,就可以斷定中了什麽木馬。所以現在有很多木馬都允許控 製端用戶自由定製安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。
【三.運行木馬】
服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到windows的 係統文件夾中(c:windows或c:windowssystem目錄下),然後在註册表,啓動組,非啓動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啓動木馬了,具體過程見下文:
①由自啓動激活木馬
自啓動木馬的條件,大致出現在下面6個地方:
1.註册表:打開hkey_local_machinesoftwaremicrosoftwindowscurrentversion下的五個以run 和runservices主鍵,在其中尋找可能是啓動木馬的鍵值。
2.win.ini:c:windows目錄下有一個配置文件win.ini,用文本方式打開,在[windows]字段中有啓動 命令 load=和run=,在一般情況下是空白的,如果有啓動程序,可能是木馬。 3.system.ini:c:windows目錄下有個配置文件system.ini,用文本方式打開,在[386enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啓動命令。
4.autoexec.bat和config.sys:在c盤根目錄下的這兩個文件也可以啓動木馬。但這種加載方式一般都 需要控製端用戶與服務端建立連接後,將已添加木馬啓動命令的同名 文件上傳 到服務端覆蓋這兩個文件纔行。
5.*.ini:即應用程序的啓動配置文件,控製端利用這些文件能啓動程序的特點,將製作好的帶有木馬 啓動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啓動木馬的目的了。
6.啓動菜單:在“開始---程序---啓動”選項下也可能有木馬的觸發條件。
②由觸發式激活木馬
1.註册表:打開hkey_classes_root文件類型shellopencommand主鍵,查看其鍵值。舉個例子,國産 木馬“冰河”就是修改hkey_classes_root xtfileshellopencommand下的鍵值,將“c :windows notepad.exe %1”該為“c:windowssystemsyxxxplr.exe %1”,這時你雙 擊一個txt文件 後,原本應用notepad打開文件的,現在卻變成啓動木馬程序了。還要說明 的是不光是txt文件 ,通過修改html,exe,zip等文件的啓動命令的鍵值都可以啓動木馬 ,不同之處衹在於“文件類型”這個主鍵的差別,txt是txtfile,zip是winzip,大傢可以 試着去找一下。
2.捆綁文件:實現這種觸發條件首先要控製端和服務端已通過木馬建立連接,然後控製端用戶用工具 軟件將木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,衹要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。
3.自動播放式:自動播放本是用於光盤的,當插入一個電影光盤到光驅時,係統會自動播放裏面的內容,這就是自動播放的本意,播放什麽是由光盤中的autorun.inf文件指定的,修改autorun.inf中的open一行可以指定在自動播放過程中運行的程序。後來有人用於了硬盤與u盤,在u盤或硬盤的分區,創建autorun.inf文件,並在open中指定木馬程序,這樣,當你打開硬盤分區或u盤時,就會觸發木馬程序的運行。
木馬作者還在不斷尋找“可乘之機”這裏衹是舉例,又有不斷的自啓動的地方被挖掘出來。
(2)木馬運行過程
木馬被激活後,進入內存,並開啓事先定義的木馬端口,準備與控製端建立連接。這時服務端用 戶可以在ms-dos方式下,鍵入netstat -an查看端口狀態,一般個人電腦在脫機狀態下是不會有端口 開放的,如果有端口開放,你就要註意是否感染木馬了。下面是電腦感染木馬後,用netstat命令查 看端口的兩個實例:
其中①是服務端與控製端建立連接時的顯示狀態,②是服務端與控製端還未建立連接時的顯示狀態。
在上網過程中要下載軟件,發送信件,網上聊天等必然打開一些端口,下面是一些常用的端口:
(1)1---1024之間的端口:這些端口叫保留端口,是專給一些對外通訊的程序用的,如ftp使用21, smtp使用25,pop3使用110等。衹有很少木馬會用保留端口作為木馬端口 的。
(2)1025以上的連續端口:在上網瀏覽網站時,瀏覽器會打開多個連續的端口下載文字,圖片到本地 硬盤上,這些端口都是1025以上的連續端口。
(3)4000端口:這是oicq的通訊端口。
(4)6667端口:這是irc的通訊端口。 除上述的端口基本可以排除在外,如發現還有其它端口打開,尤其是數值比較大的端口,那就要懷疑 是否感染了木馬,當然如果木馬有定製端口的功能,那任何端口都有可能是木馬端口。
【四.信息泄露】
一般來說,設計成熟的木馬都有一個信息反饋機製。所謂信息反饋機製是指木馬成功安裝後會收集 一些服務端的軟硬件信息,並通過e-mail,irc或ico的方式告知控製端用戶。
從反饋信息中控製端可以知道服務端的一些軟硬件信息,包括使用的操作係統,係統目錄,硬盤分區況, 係統口令等,在這些信息中,最重要的是服務端ip,因為衹有得到這個參數,控製端才能與服務端建立 連接,具體的連接方法我們會在下一節中講解。
【五.建立連接】
這一節我們講解一下木馬連接是怎樣建立的 。一個木馬連接的建立首先必須滿足兩個條件:一是 服務端已安裝了木馬程序;二是控製端,服務端都要在綫 。在此基礎上控製端可以通過木馬端口與服 務端建立連接。
假設a機為控製端,b機為服務端,對於a機來說要與b機建立連接必須知道b機的木馬端口和ip地 址,由於木馬端口是a機事先設定的,為已知項,所以最重要的是如何獲得b機的ip地址。獲得b機的ip 地址的方法主要有兩種:信息反饋和ip掃描。對於前一種已在上一節中已經介紹過了,不再贅述,我們 重點來介紹ip掃描,因為b機裝有木馬程序,所以它的木馬端口7626是處於開放狀態的,所以現在a機衹 要掃描ip地址段中7626端口開放的主機就行了,例如圖中b機的ip地址是202.102.47.56,當a機掃描到 這個ip時發現它的7626端口是開放的,那麽這個ip就會被添加到列表中,這時a機就可以通過木馬的控 製端程序嚮b機發出連接信號,b機中的木馬程序收到信號後立即作出響應,當a機收到響應的信號後, 開啓一個隨即端口1031與b機的木馬端口7626建立連接,到這時一個木馬連接纔算真正建立。值得一提 的要掃描整個ip地址段顯然費時費力,一般來說控製端都是先通過信息反饋獲得服務端的ip地址,由於 撥號上網的ip是動態的,即用戶每次上網的ip都是不同的,但是這個ip是在一定範圍內變動的,如圖中 b機的ip是202.102.47.56,那麽b機上網ip的變動範圍是在202.102.000.000---202.102.255.255,所以 每次控製端衹要搜索這個ip地址段就可以找到b機了。
【六.遠程控製】
木馬連接建立後,控製端端口和木馬端口之間將會出現一條通道。
控製端上的控製端程序可藉這條通道與服務端上的木馬程序取得聯繫,並通過木馬程序對服務端進行遠 程控製。下面我們就介紹一下控製端具體能享有哪些控製權限,這遠比你想象的要大。
(1)竊取密碼:一切以明文的形式,*形式或緩存在cache中的密碼都能被木馬偵測到,此外很多木馬還 提供有擊鍵記錄功能,它將會記錄服務端每次敲擊鍵盤的動作,所以一旦有木馬入侵, 密碼將很容易被竊取。
(2)文件操作:控製端可藉由遠程控製對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬 性等一係列操作,基本涵蓋了windows平臺上所有的文件操作功能。
(3)修改註册表:控製端可任意修改服務端註册表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這 項功能控製端就可以禁止服務端軟驅,光驅的使用,鎖住服務端的註册表,將服務端 上木馬的觸發條件設置得更隱蔽的一係列高級操作。
(4)係統操作:這項內容包括重啓或關閉服務端操作係統,斷開服務端網絡連接,控製服務端的鼠標, 鍵盤,監視服務端桌面操作,查看服務端進程等,控製端甚至可以隨時給服務端發送信息,想象一下,當服務端的桌面上突然跳出一段話,不嚇人一跳纔怪
木馬和病毒都是一種人為的程序,都屬於電腦病毒,為什麽木馬要單獨提出來說內?大傢都知道以前的電腦病毒的作用,其實完全就是為了搞破壞,破壞電腦裏的資料數據,除了破壞之外其它無非就是有些病毒製造者為了達到某些目的而進行的威懾和敲詐勒索的作用,或為了炫耀自己的技術. "木馬"不一樣,木馬的作用是赤裸裸的偷偷監視別人和盜竊別人密碼,數據等,如盜竊管理員密碼-子網密碼搞破壞,或者好玩,偷竊上網密碼用於它用,遊戲帳號,股票帳號,甚至網上銀行帳戶等.達到偷窺別人隱私和得到經濟利益的目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達到使用者的目的!導致許多別有用心的程序開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程序,這就是目前網上大量木馬泛濫成災的原因.鑒於木馬的這些巨大危害性和它與早期病毒的作用性質不一樣,所以木馬雖然屬於病毒中的一類,但是要單獨的從病毒類型中間剝離出來.獨立的稱之為"木馬"程序.
一般來說一種殺毒軟件程序,它的木馬專殺程序能夠查殺某某木馬的話,那麽它自己的普通殺毒程序也當然能夠殺掉這種木馬,因為在木馬泛濫的今天,為木馬單獨設計一個專門的木馬查殺工具,那是能提高該殺毒軟件的産品檔次的,對其聲譽也大大的有益,實際上一般的普通殺毒軟件裏都包含了對木馬的查殺功能.如果現在大傢說某某殺毒軟件沒有木馬專殺的程序,那這傢殺毒軟件廠商自己也好像有點過意不去,即使它的普通殺毒軟件裏當然的有殺除木馬的功能.
還有一點就是,把查殺木馬程序單獨剝離出來,可以提高查殺效率,現在很多殺毒軟件裏的木馬專殺程序衹對木馬進行查殺,不去檢查普通病毒庫裏的病毒代碼,也就是說當用戶運行木馬專殺程序的時候,程序衹調用木馬代碼庫裏的數據,而不調用病毒代碼庫裏的數據,大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因為現在有太多太多的病毒.每個文件要經過幾萬條木馬代碼的檢驗,然後再加上已知的差不多有近10萬個病毒代碼的檢驗,那速度豈不是很慢了.省去普通病毒代碼檢驗,是不是就提高了效率,提高了速度內? 也就是說現在好多殺毒軟件自帶的木馬專殺程序衹查殺木馬而一般不去查殺病毒,但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬! | | 大傢所熟知的木馬程序一般的啓動方式有:加載到“開始”菜單中的“啓動”項、記錄到註册表的[hkey_current_usersoftwaremicrosoftwindowscurrentversion
un]項和[hkey_local_machinesoftwaremicrosoftwindowscurrentversion
un]項中,更高級的木馬還會註册為係統的“服務”程序,以上這幾種啓動方式都可以在“係統配置實用程序”(在“開始→運行”中執行“msconfig”)的“啓動”項和“服務”項中找到它的蹤跡。
另一種鮮為人知的啓動方式,是在“開始→運行”中執行“gpedit.msc”。打開“組策略”,可看到“本地計算機策略”中有兩個選項:“計算機配置”與“用戶配置”,展開“用戶配置→管理模板→係統→登錄”,雙擊“在用戶登錄時運行這些程序”子項進行屬性設置,選定“設置”項中的“已啓用”項並單擊“顯示”按鈕彈出“顯示內容”窗口,再單擊“添加”按鈕,在“添加項目”窗口內的文本框中輸入要自啓動的程序的路徑,如圖所示,單擊“確定”按鈕就完成了。
添加需要啓動的文件面
重新啓動計算機,係統在登錄時就會自動啓動你添加的程序,如果剛纔添加的是木馬程序,那麽一個“隱形”木馬就這樣誕生了。因為用這種方式添加的自啓動程序在係統的“係統配置實用程序”是找不到的,同樣在我們所熟知的註册表項中也是找不到的,所以非常危險。
通過這種方式添加的自啓動程序雖然被記錄在註册表中,但是不在我們所熟知的註册表的[hkey_current_usersoftwaremicrosoftwindowscurrentversion
un]項和[hkey_local_machinesoftwaremicrosoftwindowscurrentversion
un]項內,而是在册表的[hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorer
un]項。如果你懷疑你的電腦被種了“木馬”,可是又找不到它在哪兒,建議你到註册表的[hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorer
un]項裏找找吧,或是進入“組策略”的“在用戶登錄時運行這些程序”看看有沒有啓動的程序。
現在網頁木馬無非有以下幾種方式中到你的機器裏
1:把木馬文件改成bmp文件,然後配合你機器裏的debug來還原成exe,網上存在該木馬20%
2:下載一個txt文件到你機器,然後裏面有具體的ftp^-^作,ftp連上他們有木馬的機器下載木馬,網上存在該木馬20%
3:也是最常用的方式,下載一個hta文件,然後用網頁控件解釋器來還原木馬。該木馬在網上存在50%以上
4:采用js腳本,用vbs腳本來執行木馬文件,該型木馬偷qq的比較多,偷傳奇的少,大概占10%左右
5:arp欺騙,利用arp欺騙攔截局域網數據,攻擊網關。在數據包中插入木馬。解决方案,安裝arp防火墻。 | | 現在我們來說防範的方法
那就是把 windowssystemmshta.exe文件改名,
改成什麽自己隨便 (xp和win2000是在system32下)
hkey_local_machinesoftwaremicrosoftinternet exploreractivex compatibility 下為active setup controls創建一個基於clsid的新鍵值 {6e449683_c509_11cf_aafa_00aa00 b6015c},然後在新鍵值下創建一個reg_dword 類型的鍵compatibility,並設定鍵值為0x00000400即可。
還有windowscommanddebug.exe和windowsftp.exe都給改個名字 (或者刪除)
一些最新流行的木馬 最有效果的防禦~~
比如網絡上流行 的木馬 smss.exe 這個是其中一種木馬的主體 潛伏在 98/winme/xp c:windows目錄下 2000 c:winnt .....
假如你中了這個木馬 首先我們用進程管理器結束 正在運行的木馬smss.exe 然後在c:windows 或 c:winnt目錄下 創建一個假的 smss.exe 並設置為衹讀屬性~ (2000/xp ntfs的磁盤格式 的話那就更好 可以用“安全設置” 設置為讀取) 這樣木馬沒了~ 以後也不會在感染了這個辦法本人測試過對很多木馬
都很有效果的
經過這樣的修改後,我現在專門找別人發的木馬網址去測試,實驗結果是上了大概20個木馬網站,有大概15個瑞星會報警,另外5個瑞星沒有反映,而我的機器沒有添加出來新的exe文件,也沒有新的進程出現,衹不過有些木馬的殘骸留在了ie的臨時文件夾裏,他們沒有被執行起來,沒有危險性,所以建議大傢經常清理 臨時文件夾和ie
隨着病毒編寫技術的發展,木馬程序對用戶的威脅越來越大,尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己,使普通用戶很難在中毒後發覺。
防治木馬的危害,應該采取以下措施:
第一,安裝殺毒軟件和個人防火墻,並及時升級。
第二,把個人防火墻設置好安全等級,防止未知程序嚮外傳送數據。
第三,可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四,如果使用ie瀏覽器,應該安裝卡卡安全助手,防止惡意網站在自己電腦上安裝不明軟件和瀏覽器插件,以免被木馬趁機侵入。
遠程控製的木馬有:冰河(國人的驕傲,中國第一款木馬),灰鴿子,上興,pcshare,網絡神偷,flux等,現在通過綫程插入技術的木馬也有很多.現在的木馬程序常常和和dll文件息息相關,被很多人稱之為“dll木馬”。dll木馬的最高境界是綫程插入技術,綫程插入技術指的是將自己的代碼嵌入正在運行的進程中的技術。理論上說,在windows中的每個進程都有自己的私有內存空間,別的進程是不允許對這個私有空間進行操作的,但是實際上,我們仍然可以利用種種方法進入並操作進程的私有內存,因此也就擁有了那個遠程進程相當的權限。無論怎樣,都是讓木馬的核心代碼運行於別的進程的內存空間,這樣不僅能很好地隱藏自己,也能更好地保護自己。
dll不能獨立運行,所以要想讓木馬跑起來,就需要一個exe文件使用動態嵌入技術讓dll搭上其他正常進程的車,讓被嵌入的進程調用這個dll的 dllmain函數,激發木馬運行,最後啓動木馬的exe結束運行,木馬啓動完畢。啓動dll木馬的exe是個重要角色,它被稱為loader, loader可以是多種多樣的,windows的rundll32.exe也被一些dll木馬用來作為loader,這種木馬一般不帶動態嵌入技術,它直接註入rundll32進程運行,即使你殺了rundll32進程,木馬本體還是存在的。利用這種方法除了可以啓動木馬之外,不少應用程序也采用了這種啓動方式,一個最常見的例子是“3721網絡實名”。
“3721網絡實名”就是通過rundll32調用“網絡實名”的dll文件實現的。在一臺安裝了網絡實名的計算機中運行註册表編輯器,依次展開 “hkey_local_machinesoftwaremicrosoftwindowscurrentversion
un”,發現一個名為“cnsmin”的啓動項,其鍵值為“rundll32 c:windowsdownlo~1cnsmin.dll,rundll32”,cnsmin.dll是網絡實名的dll文件,這樣就通過 rundll32命令實現了網絡實名的功能。
簡單防禦方法
dll木馬的查殺比一般病毒和木馬的查殺要更加睏難,建議用戶經常看看係統的啓動項中有沒有多出莫名其妙的項目,這是dll木馬loader可能存在的場所之一。如果用戶有一定的編程知識和分析能力,還可以在loader裏查找dll名稱,或者從進程裏看多挂接了什麽陌生的dll。對普通用戶來說,最簡單有效的方法還是用殺毒軟件和防火墻來保護自己的計算機安全。現在有一些國外的防火墻軟件會在dll文件加載時提醒用戶,比如tiny、ssm等,這樣我們就可以有效地防範惡意的dll木馬了。 | | 1、木頭製成的馬。
2、木製的運動器械,略像馬,背上安雙環的叫鞍馬,沒有環的叫跳馬。
3、形狀像馬的兒童遊戲器械,可以坐在上面前後搖動。
4. 讓你和木頭一樣牽着走 | | 特洛伊木馬(以下簡稱木馬),英文叫做“Trojan horse”
古希臘傳說,特洛伊王子帕裏斯訪問希臘,誘走了王後海倫,希臘人因此遠征特洛伊。圍攻9年後,到第10年,希臘將領奧德修斯獻了一計,就是把一批勇士埋伏在一匹巨大的木馬腹內,放在城外後,佯作退兵。特洛伊人以為敵兵已退,就把木馬作為戰利品搬入城中。到了夜間,埋伏在木馬中的勇士跳出來,打開了城門,希臘將士一擁而入攻下了城池。後來,人們在寫文章時就常用“特洛伊木馬”這一典故,用來比喻在敵方營壘裏埋下伏兵裏應外合的活動。
《荷馬史詩》的特洛伊戰記,故事說的是希臘人圍攻特洛伊城十年後仍不能得手,於是阿迦門農受雅典娜的啓發:把士兵藏匿於巨大無比的木馬中,然後佯作退兵。當特洛伊人將木馬作為戰利品拖入城內時,高大的木馬正好卡在城門間,進退兩難。夜晚木馬內的士兵爬出來,與城外的部隊裏應外合而攻下了特洛伊城。 | | 在計算機領域中,木馬是一類惡意程序。
木馬是有隱藏性的、自發性的可被用來進行惡意行為的程序,多不會直接對電腦産生危害,而是以控製為主。
鑒於木馬的巨大危害性,我們將分原理篇,防禦與反擊篇,資料篇三部分來詳細介紹木馬,希望大傢對特洛伊木馬這種攻擊手段有一個透徹的瞭解。
【一、基礎知識 】
在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。計算機木馬
一個完整的木馬係統由硬件部分,軟件部分和具體連接部分組成。
(1)硬件部分:建立木馬連接所必須的硬件實體。控製端:對服務端進行遠程控製的一方。 服務端:被控製端遠程控製的一方。 INTERNET:控製端對服務端進行遠程控製,數據傳輸的網絡載體。
(2)軟件部分:實現遠程控製所必須的軟件程序。控製端程序:控製端用以遠程控製服務端的程序。 木馬程序:潛入服務端內部,獲取其操作權限的程序。 木馬配置程序:設置木馬程序的端口號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。
(3)具體連接部分:通過INTERNET在服務端和控製端之間建立一條木馬通道所必須的元素。 控製端IP,服務端IP:即控製端,服務端的網絡地址,也是木馬進行數據傳輸的目的地。 控製端端口,木馬端口:即控製端,服務端的數據入口,通過這個入口,數據可直達控製端程序或木馬 程序。
用木馬這種黑客工具進行網絡入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能:
(1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會采用多種偽裝手段,如修改圖標 ,捆綁文件,定製端口,自我銷毀等,我們將在“傳播木馬”這一節中詳細介紹。
(2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,IRC號 ,ICQ號等等,具體的我們將在“信息反饋”這一節中詳細介紹。
【二、傳播木馬】
(1)傳播方式:
木馬的傳播方式主要有兩種:一種是通過E-MAIL,控製端將木馬程序以附件的形式夾在郵件中發送出去,收信人衹要打開附件係統就會感染木馬;另一種是軟件下載,一些非正規的網站以提供軟件下載為名義,將木馬捆綁在軟件安裝程序上,下載後,衹要一運行這些程序,木馬就會自動安裝。
(2)偽裝方式:
鑒於木馬的危害性,很多人對木馬知識還是有一定瞭解的,這對木馬的傳播起了一定的抑製作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。
(一)修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴你,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。
(二)捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的情況下,偷偷的進入了係統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。
(三)出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序,木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時,會彈出一個錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如“文件已破壞,無法打開的!”之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了係統。
(四)定製端口
很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,衹要查一下特定的 端口就 知道感染了什麽木馬,所以現在很多新式的木馬都加入了定製端口的功能,控製端用戶可 以在1024---65535之間任選一個端口作為木馬端口(一般不選1024以下的端口),這樣就給判斷 所感染木馬類型帶 來了麻煩。
(五)自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後,木馬會將自己拷貝到WINDOWS的係統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來說 原木馬文件 和係統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麽中了木馬 的朋友衹要在近來 收到的信件和下載的軟件中找到原木馬文件,然後根據原木馬的大小去係統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後,原木馬文件將自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。
(六)木馬更名
安裝到係統文件夾中的木馬的文件名一般是固定的,那麽衹要根據一些查殺木馬的文章,按 圖索驥在係統文件夾查找特定的文件,就可以斷定中了什麽木馬。所以現在有很多木馬都允許控 製端用戶自由定製安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。
【三.運行木馬】
服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 係統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然後在註册表,啓動組,非啓動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啓動木馬了,具體過程見下文:
①由自啓動激活木馬
自啓動木馬的條件,大致出現在下面6個地方:
1.註册表:打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五個以Run 和RunServices主鍵,在其中尋找可能是啓動木馬的鍵值。
2.WIN.INI:C:WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在[windows]字段中有啓動 命令 load=和run=,在一般情況下是空白的,如果有啓動程序,可能是木馬。 3.SYSTEM.INI:C:WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在[386Enh],[mci], [drivers32]中有命令行,在其中尋找木馬的啓動命令。
4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啓動木馬。但這種加載方式一般都 需要控製端用戶與服務端建立連接後,將已添加木馬啓動命令的同名 文件上傳 到服務端覆蓋這兩個文件纔行。
5.*.INI:即應用程序的啓動配置文件,控製端利用這些文件能啓動程序的特點,將製作好的帶有木馬啓動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啓動木馬的目的了。
6.啓動菜單:在“開始---程序---啓動”選項下也可能有木馬的觸發條件。
②由觸發式激活木馬
1.註册表:打開HKEY_CLASSES_ROOT文件類型shellopencommand主鍵,查看其鍵值。舉個例子,國産 木馬“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的鍵值,將“C :WINDOWS NOTEPAD.EXE %1”該為“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,這時你雙 擊一個TXT文件 後,原本應用NOTEPAD打開文件的,現在卻變成啓動木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啓動命令的鍵值都可以啓動木馬 ,不同之處衹在於“文件類型”這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大傢可以 試着去找一下。
2.捆綁文件:實現這種觸發條件首先要控製端和服務端已通過木馬建立連接,然後控製端用戶用工具 軟件將木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,衹要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。
3.自動播放式:自動播放本是用於光盤的,當插入一個電影光盤到光驅時,係統會自動播放裏面的內容,這就是自動播放的本意,播放什麽是由光盤中的AutoRun.inf文件指定的,修改AutoRun.inf中的open一行可以指定在自動播放過程中運行的程序。後來有人用於了硬盤與U盤,在U盤或硬盤的分區,創建Autorun.inf文件,並在Open中指定木馬程序,這樣,當你打開硬盤分區或U盤時,就會觸發木馬程序的運行。
木馬作者還在不斷尋找“可乘之機”這裏衹是舉例,又有不斷的自啓動的地方被挖掘出來。
(2)木馬運行過程
木馬被激活後,進入內存,並開啓事先定義的木馬端口,準備與控製端建立連接。這時服務端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看端口狀態,一般個人電腦在脫機狀態下是不會有端口 開放的,如果有端口開放,你就要註意是否感染木馬了。下面是電腦感染木馬後,用NETSTAT命令查 看端口的兩個實例:
其中①是服務端與控製端建立連接時的顯示狀態,②是服務端與控製端還未建立連接時的顯示狀態。
在上網過程中要下載軟件,發送信件,網上聊天等必然打開一些端口,下面是一些常用的端口:
(1)1---1024之間的端口:這些端口叫保留端口,是專給一些對外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。衹有很少木馬會用保留端口作為木馬端口 的。
(2)1025以上的連續端口:在上網瀏覽網站時,瀏覽器會打開多個連續的端口下載文字,圖片到本地 硬盤上,這些端口都是1025以上的連續端口。
(3)4000端口:這是OICQ的通訊端口。
(4)6667端口:這是IRC的通訊端口。 除上述的端口基本可以排除在外,如發現還有其它端口打開,尤其是數值比較大的端口,那就要懷疑 是否感染了木馬,當然如果木馬有定製端口的功能,那任何端口都有可能是木馬端口。
【四.信息泄露】
一般來說,設計成熟的木馬都有一個信息反饋機製。所謂信息反饋機製是指木馬成功安裝後會收集 一些服務端的軟硬件信息,並通過E-MAIL,IRC或ICO的方式告知控製端用戶。
從反饋信息中控製端可以知道服務端的一些軟硬件信息,包括使用的操作係統,係統目錄,硬盤分區況, 係統口令等,在這些信息中,最重要的是服務端IP,因為衹有得到這個參數,控製端才能與服務端建立 連接,具體的連接方法我們會在下一節中講解。
【五.建立連接】
這一節我們講解一下木馬連接是怎樣建立的 。一個木馬連接的建立首先必須滿足兩個條件:一是 服務端已安裝了木馬程序;二是控製端,服務端都要在綫 。在此基礎上控製端可以通過木馬端口與服 務端建立連接。
假設A機為控製端,B機為服務端,對於A機來說要與B機建立連接必須知道B機的木馬端口和IP地 址,由於木馬端口是A機事先設定的,為已知項,所以最重要的是如何獲得B機的IP地址。獲得B機的IP 地址的方法主要有兩種:信息反饋和IP掃描。對於前一種已在上一節中已經介紹過了,不再贅述,我們 重點來介紹IP掃描,因為B機裝有木馬程序,所以它的木馬端口7626是處於開放狀態的,所以現在A機衹 要掃描IP地址段中7626端口開放的主機就行了,例如圖中B機的IP地址是202.102.47.56,當A機掃描到 這個IP時發現它的7626端口是開放的,那麽這個IP就會被添加到列表中,這時A機就可以通過木馬的控 製端程序嚮B機發出連接信號,B機中的木馬程序收到信號後立即作出響應,當A機收到響應的信號後, 開啓一個隨即端口1031與B機的木馬端口7626建立連接,到這時一個木馬連接纔算真正建立。值得一提 的要掃描整個IP地址段顯然費時費力,一般來說控製端都是先通過信息反饋獲得服務端的IP地址,由於 撥號上網的IP是動態的,即用戶每次上網的IP都是不同的,但是這個IP是在一定範圍內變動的,如圖中 B機的IP是202.102.47.56,那麽B機上網IP的變動範圍是在202.102.000.000---202.102.255.255,所以 每次控製端衹要搜索這個IP地址段就可以找到B機了。
【六.遠程控製】
木馬連接建立後,控製端端口和木馬端口之間將會出現一條通道。
控製端上的控製端程序可藉這條通道與服務端上的木馬程序取得聯繫,並通過木馬程序對服務端進行遠 程控製。下面我們就介紹一下控製端具體能享有哪些控製權限,這遠比你想象的要大。
(1)竊取密碼:一切以明文的形式,*形式或緩存在CACHE中的密碼都能被木馬偵測到,此外很多木馬還 提供有擊鍵記錄功能,它將會記錄服務端每次敲擊鍵盤的動作,所以一旦有木馬入侵, 密碼將很容易被竊取。
(2)文件操作:控製端可藉由遠程控製對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬 性等一係列操作,基本涵蓋了WINDOWS平臺上所有的文件操作功能。
(3)修改註册表:控製端可任意修改服務端註册表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這 項功能控製端就可以禁止服務端軟驅,光驅的使用,鎖住服務端的註册表,將服務端 上木馬的觸發條件設置得更隱蔽的一係列高級操作。
(4)係統操作:這項內容包括重啓或關閉服務端操作係統,斷開服務端網絡連接,控製服務端的鼠標, 鍵盤,監視服務端桌面操作,查看服務端進程等,控製端甚至可以隨時給服務端發送信息,想象一下,當服務端的桌面上突然跳出一段話,不嚇人一跳纔怪
木馬和病毒都是一種人為的程序,都屬於電腦病毒,為什麽木馬要單獨提出來說內?大傢都知道以前的電腦病毒的作用,其實完全就是為了搞破壞,破壞電腦裏的資料數據,除了破壞之外其它無非就是有些病毒製造者為了達到某些目的而進行的威懾和敲詐勒索的作用,或為了炫耀自己的技術. “木馬”不一樣,木馬的作用是赤裸裸的偷偷監視別人和盜竊別人密碼,數據等,如盜竊管理員密碼-子網密碼搞破壞,或者好玩,偷竊上網密碼用於它用,遊戲帳號,股票帳號,甚至網上銀行帳戶等.達到偷窺別人隱私和得到經濟利益的目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達到使用者的目的!導致許多別有用心的程序開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程序,這就是目前網上大量木馬泛濫成災的原因.鑒於木馬的這些巨大危害性和它與早期病毒的作用性質不一樣,所以木馬雖然屬於病毒中的一類,但是要單獨的從病毒類型中間剝離出來.獨立的稱之為“木馬”程序.
一般來說一種殺毒軟件程序,它的木馬專殺程序能夠查殺某某木馬的話,那麽它自己的普通殺毒程序也當然能夠殺掉這種木馬,因為在木馬泛濫的今天,為木馬單獨設計一個專門的木馬查殺工具,那是能提高該殺毒軟件的産品檔次的,對其聲譽也大大的有益,實際上一般的普通殺毒軟件裏都包含了對木馬的查殺功能.如果現在大傢說某某殺毒軟件沒有木馬專殺的程序,那這傢殺毒軟件廠商自己也好像有點過意不去,即使它的普通殺毒軟件裏當然的有殺除木馬的功能.
還有一點就是,把查殺木馬程序單獨剝離出來,可以提高查殺效率,現在很多殺毒軟件裏的木馬專殺程序衹對木馬進行查殺,不去檢查普通病毒庫裏的病毒代碼,也就是說當用戶運行木馬專殺程序的時候,程序衹調用木馬代碼庫裏的數據,而不調用病毒代碼庫裏的數據,大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因為現在有太多太多的病毒.每個文件要經過幾萬條木馬代碼的檢驗,然後再加上已知的差不多有近10萬個病毒代碼的檢驗,那速度豈不是很慢了.省去普通病毒代碼檢驗,是不是就提高了效率,提高了速度內? 也就是說現在好多殺毒軟件自帶的木馬專殺程序衹查殺木馬而一般不去查殺病毒,但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬!
木馬的作用是赤裸裸的偷偷監視別人和盜竊別人密碼,數據等 | | 現在我們來說防範木馬的方法之一,就是把 windowssystemmshta.exe文件改名,
改成什麽自己隨便 (xp和win2000是在system32下)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下為Active Setup controls創建一個基於CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然後在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility,並設定鍵值為0x00000400即可。
還有windowscommanddebug.exe和windowsftp.exe都給改個名字 (或者刪除)
一些最新流行的木馬 最有效果的防禦~~
比如網絡上流行 的木馬 smss.exe 這個是其中一種木馬的主體 潛伏在 98/winme/xp c:windows目錄下 2000 c:winnt .....
假如你中了這個木馬 首先我們用進程管理器結束 正在運行的木馬smss.exe 然後在C:windows 或 c:winnt目錄下 創建一個假的 smss.exe 並設置為衹讀屬性~ (2000/XP NTFS的磁盤格式 的話那就更好 可以用“安全設置” 設置為讀取) 這樣木馬沒了~ 以後也不會在感染了這個辦法本人測試過對很多木馬
都很有效果的
經過這樣的修改後,我現在專門找別人發的木馬網址去測試,實驗結果是上了大概20個木馬網站,有大概15個瑞星會報警,另外5個瑞星沒有反映,而我的機器沒有添加出來新的EXE文件,也沒有新的進程出現,衹不過有些木馬的殘骸留在了IE的臨時文件夾裏,他們沒有被執行起來,沒有危險性,所以建議大傢經常清理 臨時文件夾和IE
隨着病毒編寫技術的發展,木馬程序對用戶的威脅越來越大,尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己,使普通用戶很難在中毒後發覺。
防治木馬的危害,應該采取以下措施:
第一,安裝殺毒軟件和個人防火墻,並及時升級。
第二,把個人防火墻設置好安全等級,防止未知程序嚮外傳送數據。
第三,可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四,如果使用IE瀏覽器,應該安裝卡卡安全助手,防止惡意網站在自己電腦上安裝不明軟件和瀏覽器插件,以免被木馬趁機侵入。
遠程控製的木馬有:冰河,灰鴿子,上興,PCshare,網絡神偷,FLUX等,現在通過綫程插入技術的木馬也有很多.現在的木馬程序常常和和DLL文件息息相關,被很多人稱之為“DLL木馬”。DLL木馬的最高境界是綫程插入技術,綫程插入技術指的是將自己的代碼嵌入正在運行的進程中的技術。理論上說,在Windows中的每個進程都有自己的私有內存空間,別的進程是不允許對這個私有空間進行操作的,但是實際上,我們仍然可以利用種種方法進入並操作進程的私有內存,因此也就擁有了那個遠程進程相當的權限。無論怎樣,都是讓木馬的核心代碼運行於別的進程的內存空間,這樣不僅能很好地隱藏自己,也能更好地保護自己。
DLL不能獨立運行,所以要想讓木馬跑起來,就需要一個EXE文件使用動態嵌入技術讓DLL搭上其他正常進程的車,讓被嵌入的進程調用這個DLL的 DllMain函數,激發木馬運行,最後啓動木馬的EXE結束運行,木馬啓動完畢。啓動DLL木馬的EXE是個重要角色,它被稱為Loader, Loader可以是多種多樣的,Windows的Rundll32.exe也被一些DLL木馬用來作為Loader,這種木馬一般不帶動態嵌入技術,它直接註入Rundll32進程運行,即使你殺了Rundll32進程,木馬本體還是存在的。利用這種方法除了可以啓動木馬之外,不少應用程序也采用了這種啓動方式,一個最常見的例子是“3721網絡實名”。
“3721網絡實名”就是通過Rundll32調用“網絡實名”的DLL文件實現的。在一臺安裝了網絡實名的計算機中運行註册表編輯器,依次展開 “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”,發現一個名為“CnsMin”的啓動項,其鍵值為“Rundll32 C:WINDOWSDownlo~1CnsMin.dll,Rundll32”,CnsMin.dll是網絡實名的DLL文件,這樣就通過 Rundll32命令實現了網絡實名的功能。
簡單防禦方法
DLL木馬的查殺比一般病毒和木馬的查殺要更加睏難,建議用戶經常看看係統的啓動項中有沒有多出莫名其妙的項目,這是DLL木馬Loader可能存在的場所之一。如果用戶有一定的編程知識和分析能力,還可以在Loader裏查找DLL名稱,或者從進程裏看多挂接了什麽陌生的DLL。對普通用戶來說,最簡單有效的方法還是用殺毒軟件和防火墻來保護自己的計算機安全。現在有一些國外的防火墻軟件會在DLL文件加載時提醒用戶,比如Tiny、SSM等,這樣我們就可以有效地防範惡意的DLL木馬了。 | | 第一代木馬 :偽裝型病毒
這種病毒通過偽裝成一個合法性程序誘騙用戶上當。世界上第一個計算機木馬是出現在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的2.72版本(事實上,編寫PC-Write的Quicksoft公司從未發行過2.72版本),一旦用戶信以為真運行該木馬程序,那麽他的下場就是硬盤被格式化。在我剛剛上大學的時候,曾聽說我校一個前輩牛人在WAX機房上用BASIC作了一個登錄界面木馬程序,當你把你的用戶ID,密碼輸入一個和正常的登錄界面一模一樣的偽登錄界面後後,木馬程序一面保存你的ID,和密碼,一面提示你密碼錯誤讓你重新輸入,當你第二次登錄時,你已成了木馬的犧牲品。此時的第一代木馬還不具備傳染特徵。
第二代木馬 :AIDS型木馬
繼PC-Write之後,1989年出現了AIDS木馬。由於當時很少有人使用電子郵件,所以AIDS的作者就利用現實生活中的郵件進行散播:給其他人寄去一封封含有木馬程序軟盤的郵件。之所以叫這個名稱是因為軟盤中包含有AIDS和HIV疾病的藥品,價格,預防措施等相關信息。軟盤中的木馬程序在運行後,雖然不會破壞數據,但是他將硬盤加密鎖死,然後提示受感染用戶花錢消災。可以說第二代木馬已具備了傳播特徵(儘管通過傳統的郵遞方式)。
第三代木馬:網絡傳播性木馬
隨着Internet的普及,這一代木馬兼備偽裝和傳播兩種特徵並結合TCP/IP網絡技術四處泛濫。同時他還有新的特徵:
第一,添加了“後門”功能。
所謂後門就是一種可以為計算機係統秘密開啓訪問入口的程序。一旦被安裝,這些程序就能夠使攻擊者繞過安全程序進入係統。該功能的目的就是收集係統中的重要信息,例如,財務報告、口令及信用卡號。此外,攻擊者還可以利用後門控製係統,使之成為攻擊其它計算機的幫兇。由於後門是隱藏在係統背後運行的,因此很難被檢測到。它們不像病毒和蠕蟲那樣通過消耗內存而引起註意。
第二,添加了擊鍵記錄功能。
從名稱上就可以知道,該功能主要是記錄用戶所有的擊鍵內容然後形成擊鍵記錄的日志文件發送給惡意用戶。惡意用戶可以從中找到用戶名、口令以及信用卡號等用戶信息。這一代木馬比較有名的有國外的BO2000(BackOrifice)和國內的冰河木馬。它們有如下共同特點:基於網絡的客戶端/服務器應用程序。具有搜集信息、執行係統命令、重新設置機器、重新定嚮等功能。 當木馬程序攻擊得手後,計算機就完全在黑客控製的傀儡主機,黑客成了超級用戶,用戶的所有計算機操作不但沒有任何秘密而言,而且黑客可以遠程控製傀儡主機對別的主機發動攻擊,這時候背俘獲的傀儡主機成了黑客進行進一步攻擊的擋箭牌和跳板。
雖然木馬程序手段越來越隱蔽,但是蒼蠅不叮無縫的蛋,衹要加強個人安全防範意識,還是可以大大降低“中招”的幾率。對此筆者有如下建議:安裝個人防病毒軟件、個人防火墻軟件;及時安裝係統補丁;對不明來歷的電子郵件和插件不予理睬;經常去安全網站轉一轉,以便及時瞭解一些新木馬的底細,做到知己知彼,百戰不殆。 | | 1、禁用係統還原(Windows Me/XP)
如果您運行的是 Windows Me 或 Windows XP,建議您暫時關閉“係統還原”。此功能默認情況下是啓用的,一旦計算機中的文件被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則係統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程序在內的外部程序修改係統還原。因此,防病毒程序或工具無法刪除 System Restore 文件夾中的威脅。這樣,係統還原就可能將受感染文件還原到計算機上,即使您已經清除了所有其他位置的受感染文件。
此外,病毒掃描可能還會檢測到 System Restore 文件夾中的威脅,即使您已將該威脅刪除。
註意:蠕蟲移除幹淨後,請按照上述文章所述恢復係統還原的設置。
2、將計算機重啓到安全模式或者 VGA 模式
關閉計算機,等待至少 30 秒鐘後重新啓動到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用戶:將計算機重啓到安全模式。所有 Windows 32-bit 作係統,除了Windows NT,可以被重啓到安全模式。更多信息請參閱文檔 如何以安全模式啓動計算機 。
Windows NT 4 用戶:將計算機重啓到 VGA 模式。
掃描和刪除受感染文件啓動防病毒程序,並確保已將其配置為掃描所有文件。運行完整的係統掃描。如果檢測到任何文件被 Download.Trojan 感染,請單擊“刪除”。如有必要,清除 Internet Explorer 歷史和文件。如果該程序是在 Temporary Internet Files 文件夾中的壓縮文件內檢測到的,請執行以下步驟:
啓動 Internet Explorer。單擊“工具”>“Internet 選項”。單擊“常規”選項卡“Internet 臨時文件”部分中,單擊“刪除文件”,然後在出現提示後單擊“確定”。在“歷史”部分,單擊“清除歷史”,然後在出現提示後單擊“是”。
木馬病毒專殺工具
遠程控製的木馬有:冰河(國人的驕傲,中國第一款木馬),灰鴿子,上興,PCshare,網絡神偷,FLUX等,現在通過綫程插入技術的木馬也有很多,大傢自己找找吧
反木馬病毒
木馬專殺工具
木馬防綫 2005 V4.16
木馬分析專傢 2005 V6.57
木馬剋星(iparmor) V5.47
病毒.流行木馬.盜號軟件統殺工具
木馬專殺大師 V2.6
木馬專傢 2005 0102
Windows木馬清道夫
木馬分析專傢個人防火墻 | | 木馬是隨計算機或Windows的啓動而啓動並掌握一定的控製權的,其啓動方式可謂多種多樣,通過註册表啓動、通過System.ini啓動、通過某些特定程序啓動等,真是防不勝防。其實衹要能夠遏製住不讓它啓動,木馬就沒什麽用了,這裏就簡單說說木馬的啓動方式,知己知彼百戰不殆嘛。
一、通過“開始程序啓動”
隱蔽性:2星
應用程度:較低
這也是一種很常見的方式,很多正常的程序都用它,大傢常用的QQ就是用這種方式實現自啓動的,但木馬卻很少用它。因為啓動組的每人會會出現在“係統配置實用程序”(msconfig.exe,以下簡稱msconfig)中。事實上,出現在“開始”菜單的“程序啓動”中足以引起菜鳥的註意,所以,相信不會有木馬用這種啓動方式。
二、通過Win.ini文件
隱蔽性:3星
應用程度:較低
同啓動組一樣,這也是從Windows3.2開始就可以使用的方法,是從Win16遺傳到Win32的。在Windows3.2中,Win.ini就相當於Windows9x中的註册表,在該文件中的[Windows]域中的load和run項會在Windows啓動時運行,這兩個項目也會出現在msconfig中。而且,在Windows98安裝完成後這兩項就會被Windows的程序使用了,也不很適合木馬使用。
三、通過註册表啓動
1、通過HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
隱蔽性:3.5星
應用程度:極高
應用案例:BO2000,GOP,NetSpy,IEthief,冰河……
這是很多Windows程序都采用的方法,也是木馬最常用的。使用非常方便,但也容易被人發現,由於其應用太廣,所以幾乎提到木馬,就會讓人想到這幾個註册表中的主鍵,通常木馬會使用最後一個。使用Windows自帶的程序:msconfig或註册表編輯器(regedit.exe,以下簡稱regedit)都可以將它輕易的刪除,所以這種方法並不十分可靠。但可以在木馬程序中加一個時間控件,以便實時監視註册表中自身的啓動鍵值是否存在,一旦發現被刪除,則立即重新寫入,以保證下次Windows啓動時自己能被運行。這樣木馬程序和註册表中的啓動鍵值之間形成了一種互相保護的狀態。木馬程序未中止,啓動鍵值就無法刪除(手工刪除後,木馬程序又自動添加上了),相反的,不刪除啓動鍵值,下次啓動Windows還會啓動木馬。怎麽辦呢?其實破解它並不難,即使在沒有任何工具軟件的情況下也能輕易解除這種互相保護。
破解方法:首先,以安全模式啓動Windows,這時,Windows不會加載註册表中的項目,因此木馬不會被啓動,相互保護的狀況也就不攻自破了;然後,你就可以刪除註册表中的鍵值和相應的木馬程序了。
2、通過HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce,
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce和
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
隱蔽性:4星
應用程度:較低
應用案例:Happy99月
這種方法好像用的人不是很多,但隱蔽性比上一種方法好,它的內容不會出現在msconfig中。在這個鍵值下的項目和上一種相似,會在Windows啓動時啓動,但Windows啓動後,該鍵值下的項目會被清空,因而不易被發現,但是衹能啓動一次,木馬如何能發揮效果呢?
其實很簡單,不是衹能啓動一次嗎?那木馬啓動成功後再在這裏添加一次不就行了嗎?在Delphi中這不過3、5行程序。雖說這些項目不會出現在msconfig中,但是在Regedit中卻可以直接將它刪除,那麽木馬也就從此失效了。
還有一種方法,不是在啓動的時候加而是在退出Windows的時候加,這要求木馬程序本身要截獲WIndows的消息,當發現關閉Windows消息時,暫停關閉過程,添加註册表項目,然後纔開始關閉Windows,這樣用Regedit也找不到它的蹤跡了。這種方法也有個缺點,就是一旦Windows異常中止(對於Windows9x這是經常的),木馬也就失效了。
破解他們的方法也可以用安全模式。
另外使用這三個鍵值並不完全一樣,通常木馬會選擇第一個,因為在第二個鍵值下的項目會在Windows啓動完成前運行,並等待程序結束會纔繼續啓動Windows。
四、通過Autoexec.bat文件,或winstart.bat,config.sys文件
隱蔽性:3.5星
應用程度:較低
其實這種方法並不適合木馬使用,因為該文件會在Windows啓動前運行,這時係統處於DOS環境,衹能運行16位應用程序,Windows下的32位程序是不能運行的。因此也就失去了木馬的意義。不過,這並不是說它不能用於啓動木馬。可以想象,SoftIce for Win98(功能強大的程序調試工具,被黑客奉為至寶,常用於破解應用程序)也是先要在Autoexec.bat文件中運行然後才能在Windows中呼叫出窗口,進行調試的,既然如此,誰能保證木馬不會這樣啓動呢?到目前為止,我還沒見過這樣啓動的木馬,我想能寫這樣木馬的人一定是高手中的高手了。
另外,這兩個BAT文件常被用於破壞,它們會在這個文件中加入類似“Deltree C:*.*”和“Format C:/u”的行,這樣,在你啓動計算機後還未啓動Windows,你的C盤已然空空如也。
五、通過System.ini文件
隱蔽性:5星
應用程度:一般
事實上,System.ini文件並沒有給用戶可用的啓動項目,然而通過它啓動卻是非常好用的。在System.ini文件的[Boot]域中的Shell項的值正常情況下是“Explorer.exe”,這是Windows的外殼程序,換一個程序就可以徹底改變Windows的面貌(如改為Progman.exe就可以讓Win9x變成Windows3.2)。我們可以在“Explorer.exe”後加上木馬程序的路徑,這樣Windows啓動後木馬也就隨之啓動,而且即使是安全模式啓動也不會跳過這一項,這樣木馬也就可以保證永遠隨Windows啓動了,名噪一時的尼姆達病毒就是用的這種方法。這時,如果木馬程序也具有自動檢測添加Shell項的功能的話,那簡直是天衣無縫的絶配,我想除了使用查看進程的工具中止木馬,再修改Shell項和刪除木馬文件外是沒有破解之法了。但這種方式也有個先天的不足,因為衹有Shell這一項嘛,如果有兩個木馬都使用這種方式實現自啓動,那麽後來的木馬可能會使前一個無法啓動,呵呵以毒攻毒啊。
六、通過某特定程序或文件啓動
1、寄生於特定程序之中
隱蔽性:5星
應用程度:一般
即木馬和正常程序捆綁,有點類似於病毒,程序在運行時,木馬程序先獲得控製權或另開一個綫程以監視用戶操作,截取密碼等,這類木馬編寫的難度較大,需要瞭解PE文件結構和Windows的底層知識(直接使用捆綁程序除外)。
2、將特定的程序改名
隱蔽性:5星
應用程度:常見
這種方式常見於針對QQ的木馬,例如將QQ的啓動文件QQ2000b.exe,改為QQ2000b.ico.exe(Windows默認是不顯示擴展名的,因此它會被顯示為QQ2000b.ico,而用戶會認為它是一個圖標),再將木馬程序改為QQ2000b.exe,此後,用戶運行QQ,實際是運行了QQ木馬,再由QQ木馬去啓動真正的QQ,這種方式實現起來要比上一種簡單的多。
3、文件關聯
隱蔽性:5星
應用程度:常見
通常木馬程序會將自己和TXT文件或EXE文件關聯,這樣當你打開一個文本文件或運行一個程序時,木馬也就神不知鬼不覺的啓動了。
這類通過特定程序或文件啓動的木馬,發現比較睏難,但查殺並不難。一般地,衹要刪除相應的文件和註册表鍵值即可。
. | | 1、集成到程序中
由於用戶一般不會主動程序,而種木馬者為了吸引用戶運行,他們會將木馬文件和其它應用程序進行捆綁,用戶看到的衹是正常的程序。但是你一旦運行之後,不僅該正常的程序運行,而且捆綁在一起的木馬程序也會在後臺偷偷運行。
這種隱藏在其它應用程序之中的木馬危害比較大,而且不容易發現。如果捆綁到係統文件中,那麽則會隨Windows啓動而運行。不過衹要我們安裝個人防火墻或者啓用Windows XP SP2中的Windows防火墻,那麽在木馬服務端試圖連接種木馬的客戶端時,則會詢問是否放行,據此即可判斷出自己有無中木馬。
2、隱藏在媒體文件中
這種類型嚴格上說,用戶還沒有中木馬。不過它的危害容易被人忽略。因為大傢對影音文件的警惕性不高。它的常用手段是在媒體文件中插入一段代碼,代碼中包含了一個網址,當播放到指定時間時即會自動訪問該網址,而該網址所指頁面的內容卻是一些網頁木馬或其它危害。
因此,當我們在播放網上下載的影片時,如果發現突然打開了窗口,那麽切不可好奇而應將其立即關閉,然後跳過該時間段影片的播放。
3、隱藏在System.ini
4、隱藏在Win.ini
與System.ini相似,Win.ini中也是木馬喜歡加載的一個地方。對此我們可以打開係統目錄下的Win.ini文件,然後查看[Windows]區域“load=”和“run=”,正常情況下它們後面應該是空白,如果你發現它們後面加了某個程序,那麽加載的程序則可能是木馬,需要將它們刪除。
5、隱藏在Autoexec.bat
在C盤根目錄下有一個Autoexec.bat文件,這裏的內容將會在係統啓動時自動運行。與該文件類似的還有Config.sys。因為它自動運行,因此也成為木馬的一個藏身之地。對此我們同樣需要打開這兩個文件,檢查裏面是否加載了來歷不明的程序在運行。
6、任務管理器
部分木馬運行後我們可以在任務管理器中找出它的蹤跡。在任務欄上右擊,在彈出的菜單中選擇“任務管理器”,將打開的窗口切換到“進程”標簽,在這裏查看有沒有占用較多資源的進程,有沒有不熟悉的進程。若有,可以先試着將它們關閉。另外要特別註意Explorer.exe這類進程,因為很多木馬會使用Exp1orer.exe進程名,即把l換成1,用戶不仔細查看,還以為是係統進程呢。
7、啓動
在Windows XP中,我們可以運行“msconfig”,將打開的窗口切換到“啓動”標簽,在這裏可以看到所有啓動加載的項目,此時就可以根據“命令”和“位置”來判斷是啓動加載的是否為木馬。如果判斷為木馬則可以將其啓動取消,然後再作進一步的處理。
8、註册表
我們程序的運行控製大多是由註册表控製的,因此我們有必要對註册表進行檢查。運行“regedit”打開註册表編輯器,然後依次檢查如下區域:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion、
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion、
HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion,看看這三個區域下所有以“run”開頭的鍵值,如果鍵值的內容指嚮一些隱藏的文件或自己從未安裝過的程序,那麽這些則很可能是木馬了。
木馬之所以能夠為非作歹,正是因為其善於隱藏自己。不過我們掌握了其藏身之處,那麽則可以將其一一清除。當然,木馬在實際的偽裝隱藏自己中,可能會綜合使用上面一種或幾種方法來偽裝,這就需要我們在檢查清除時,不能衹檢查其中的部分地點。 | | 新人快速上手指南之電腦木馬查殺大全 常在河邊走,哪有不濕腳?所以有時候上網時間長了,很有可能被攻擊者在電腦中種了木馬。如何來知道電腦有沒有被裝了木馬呢?
一、手工方法:
1、檢查網絡連接情況
由於不少木馬會主動偵聽端口,或者會連接特定的IP和端口,所以我們可以在沒有正常程序連接網絡的情況下,通過檢查網絡連情情況來發現木馬的存在。具體的步驟是點擊“開始”->“運行”->“cmd”,然後輸入netstat -an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口,它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息,我們就可以完全監控電腦的網絡連接情況。
2、查看目前運行的服務
服務是很多木馬用來保持自己在係統中永遠能處於運行狀態的方法之一。我們可以通過點擊“開始”->“運行”->“cmd”,然後輸入“net start”來查看係統中究竟有什麽服務在開啓,如果發現了不是自己開放的服務,我們可以進入“服務”管理工具中的“服務”,找到相應的服務,停止並禁用它。
3、檢查係統啓動項
由於註册表對於普通用戶來說比較復雜,木馬常常喜歡隱藏在這裏。檢查註册表啓動項的方法如下:點擊“開始”->“運行”->“regedit”,然後檢查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。
Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看,在該文件的[boot]字段中,是不是有shell=Explorer.exe file.exe這樣的內容,如有這樣的內容,那這裏的file.exe就是木馬程序了!
4、檢查係統帳戶
惡意的攻擊者喜在電腦中留有一個賬戶的方法來控製你的計算機。他們采用的方法就是激活一個係統中的默認賬戶,但這個賬戶卻很少用的,然後把這個賬戶的權限提升為管理員權限,這個帳戶將是係統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控製你的計算機。針對這種情況,可以用以下方法對賬戶進行檢測。
點擊“開始”->“運行”->“cmd”,然後在命令行下輸入net user,查看計算機上有些什麽用戶,然後再使用“net user 用戶名”查看這個用戶是屬於什麽權限的,一般除了Administrator是administrators組的,其他都不應該屬於administrators組,如果你發現一個係統內置的用戶是屬於administrators組的,那幾乎可以肯定你被入侵了。快使用“net user用戶名/del”來刪掉這個用戶吧!
如果檢查出有木馬的存在,可以按以後步驟進行殺木馬的工作。
1、運行任務管理器,殺掉木馬進程。
2、檢查註册表中RUN、RUNSERVEICE等幾項,先備份,記下可以啓動項的地址, 再將可疑的刪除。
3、刪除上述可疑鍵在硬盤中的執行文件。
4、一般這種文件都在WINNT,SYSTEM,SYSTEM32這樣的文件夾下,他們一般不會單獨存在,很可能是有某個母文件復製過來的,檢查C、D、E等盤下有沒有可疑的.exe,.com或.bat文件,有則刪除之。
5、檢查註册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain中的幾項(如Local Page),如果被修改了,改回來就可以。
6、檢查HKEY_CLASSES_ROOTtxtfileshellopencommand和 HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt文件的默認打開程序讓病毒在用戶打開文本文件時加載的。
二、利用工具:
查殺木馬的工具有LockDown、The Clean、木馬剋星、金山木馬專殺、木馬清除大師、木馬分析專傢等,其中有些工具,如果想使用全部功能,需要付一定的費用,木馬分析專傢是免費授權使用。 | | 盜密報卡解綁過程登陸的時候通過木馬盜取玩傢的密碼,並且用盜取的密碼進入密碼保護卡解除綁定的網頁頁面,在通過木馬把玩傢登陸時候的三個密碼保護卡數換成密碼保護卡解綁需要的三個數,1次就能騙到密碼保護卡解除綁定需要的三個數了,再解除綁定,玩傢的帳號就跟沒密碼保護卡一樣.電話密碼保護也一樣,玩傢打了電話,然後登陸的時候通過木馬讓玩傢不能連接服務器並盜取玩傢的密碼,然後盜取賬號者就2分內可以上去了盜取玩傢財産。
更好的反擊盜取賬號者措施
1.設置角色密碼(可結合密碼保護卡),
2.設置背包密碼,背包分二部分(G也分2部份,1大額,1小額),一部分需要密碼(可以放重要的財産),一部分不要密碼(放置常用物品),可結合密保卡。
3,裝備欄設置密碼保護卡,上綫後需要輸入密保卡解除裝備欄的密報卡數,才能使用技能 ,如果不解除綁定,不能使用技能並且無法交易。
4,倉庫通過密碼打開後,與背包相同。
5,設置退出密碼,輸入退出密碼正常才能下綫,非正常下綫5分內補能登陸。
6 設置下次登陸地點,玩傢下綫時可以選者下次登陸的IP段(以市為單位,不在IP段裏面的IP,不能登陸 )
6 計算機綁定,對於有計算機的玩傢可以綁定CPU編號,這點某些殺毒軟件有這個技術,你們估計也有這技術。
7,上述六點可結合密碼保護卡,並且可以設置多張密碼保護卡,登陸界面一張密碼保護卡,角色界面一張密碼保護卡,背包一張密碼保護卡,倉庫一張密碼保護卡,退出登錄一張密碼保護卡。補充:密保卡可隨自己意願綁定,但是追號大於等於2,背包,倉庫等可以用同1張密保卡(最好不和登陸用同1張),關於手機密保可改為,登陸時不需打手機,登陸後所有物品全部無法交易出售,無法發言,在登陸後打手機纔可解除,可防止手機密保在登陸界面被木馬利用
8,加強遊戲本身防木馬能力。可以和殺毒軟件公司合作設置一款專門用於魔獸的殺毒軟件
9,加入網吧IP段保護
10,這需要網遊公司對現有密碼係統升級
在計算機領域中,它是一種基於遠程控製的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會采用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往衹能望“馬”興嘆。
所謂非授權性是指一旦控製端與服務端連接後,控製端將享有服務端的大部分操作權限,包括修改文件,修改註册表,控製鼠標,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網絡還處於以UNIX平臺為主的時期,木馬就産生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到係統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網絡和編程知識。
而後隨着WINDOWS平臺的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,一旦被木馬控製,你的電腦將毫無秘密可言。 | | 以下是常見的木馬所默認開放的端口,如果你掃出你的機子開放了下面的端口(請參見fport),那麽你就要註意了呀:
你可以試着找一下這匹馬,用它的客戶端來連一下看是否可以連接。然後再想辦法清除。
然而要註意多數木馬的客戶端可以改動端口號,所以這個辦法成功率不算高。
-------------------------------------------------------------------------------------------
BO jammerkillahV 121
Hackers Paradise 456
Stealth Spy 555
Phase0 555
Satanz Backdoor 666
Attack FTP 666
Silencer 1001
WebEx 1001
Doly Trojan 1011
Netspy 1033
Psyber Stream Server 1170
Streaming Audio Trojan 1170
Ultors Trojan 1234
SubSeven 1243, 6667
GWGirls 6267
VooDoo Doll 1245
GabanBus 1245
NetBus 1245
Vodoo 1245
FTP99CMP 1492
Psyber Streaming Server 1509
Shivka-Burka 1600
Shiva Burka 1600
SpySender 1807
Shockrave 1981
BackDoor 1999
Trojan Cow 2001
TrojanCow 2001
Ripper 2023
Pass Ripper 2023
Bugs 2115
Deep Throat 2140
The Invasor 2140
Striker 2565
Wincrash2 2583
Phineas Phucker 2801
Phineas 2801
Portal of Doom 3700
WinCrash 4092
ICQTrojan 4590
IcqTrojen 4950
IcqTrojan 4950
Sockets de Troie 5000
Sockets de Troie 1.x 5001
Firehotcker 5321
Blade Runner 5400
BladeRunner 5400
Blade Runner 1.x 5401
Blade Runner 2.x 5402
Robo-Hack 5569
RoboHack 5569
Wincrash 5742
The tHing 6400
DeepThroat 6670
DeepThroat 6771
Indoctrination 6939
GateCrasher 6969
Priority 6969
Remote Grab 7000
NetMonitor 7300
NetMonitor 1.x 7301
NetMonitor 2.x 7306
NetMonitor 7306
NetMonitor 3.x 7307
NetMonitor 4.x 7308
ICKiller 7789
ICQKiller 7789
Portal of Doom 9872
PortalOfDoom 9872
Portal of Doom 1.x 9873
Portal of Doom 2.x 9874
Portal of Doom 3.x 9875
Portal of Doom 9875
iNi-Killer 9989
InIkiller 9989
Portal of Doom 4.x 10067
Portal of Doom 5.x 10167
Senna Spy 11000
Senna Spy Trojans 11000
Progenic trojan 11223
ProgenicTrojan 11223
Gjamer 12076
Hack?99 KeyLogger 12223
NetBus 1.x 12346
Whack-a-mole 12361
Whack-a-mole 1.x 12362
Priority 16969
Priotrity 16969
Millenium 20000
Millennium 20001
NetBus 2 Pro 20034
NetBus Pro 20034
GirlFriend 21544
GirlFriend 21554
Prosiak 22222
Prosiak 0.47 22222
Evil FTP 23456
Ugly FTP 23456
WhackJob 23456
UglyFtp 23456
Delta 26274
Subseven 27374
NetSphere 30100
Masters Paradise 30129
Socket23 30303
Kuang 30999
Back Orifice 31337
Back Orifice 31338
DeepBO 31338
NetSpy DK 31339
BOWhack 31666
Prosiak 33333
BigGluck 34324
Tiny Telnet Server 34324
The Spy 40412
TheSpy 40412
Masters Paradise 40421
Masters Paradise 1.x 40422
Masters Paradise 2.x 40423
Master Paradise 40423
Masters Paradise 3.x 40426
Sockets de Troie 50505
Fore 50766
Fore, Schwindler 50766
Remote Windows Shutdown 53001
RemoteWindowsShutdown 53001
Telecommando 61466
Devil 65000
Devil 1.03 65000 | | 冰河(國人的驕傲,中國第一款木馬),灰鴿子,上興,PCshare,網絡神偷,FLUX流光,廣外女生木馬
木馬程序;
"木馬”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也並不“刻意”地去感染其他文件,它通過將自身偽裝吸引用戶下載執行,嚮施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種者的電腦。“木馬”與計算機網絡中常常要用到的遠程控製軟件有些相似,但由於遠程控製軟件是“善意”的控製,因此通常不具有隱蔽性;“木馬”則完全相反,木馬要達到的是“偷竊”性的遠程控製,如果沒有很強的隱蔽性的話,那就是“毫無價值”的。
一個完整的“木馬”程序包含了兩部分:“服務器”和“控製器”。植入被種者電腦的是“服務器”部分,而所謂的“黑客”正是利用“控製器”進入運行了“服務器”的電腦。運行了木馬程序的“服務器”以後,被種者的電腦就會有一個或幾個端口被打開,使黑客可以利用這些打開的端口進入電腦係統,安全和個人隱私也就全無保障了 | | 通常木馬病毒是通過註册表來啓動服務的,所以註册表對於係統防禦病毒有着比較重要的意義。按照理論上來說,我們可以通過修改註册表的屬性來預防病毒和木馬,實際上亦可行,具體的實施方法如下:
Windows2000/XP/2003的註册表是可以設置權限的,衹是我們比較少用到。設置以下註册表鍵的權限:
1、設置註册表自啓動項為everyone衹讀(Run、RunOnce、RunService),防止木馬、病毒通過自啓動項目啓動
2、設置.txt、.com、.exe、.inf、.ini、.bat等等文件關聯為everyone衹讀,防止木馬、病毒通過文件關聯啓動
3、設置註册表HKLMSYSTEMCurrentControlSetServices為everyone衹讀,防止木馬、病毒以"服務"方式啓動
註册表鍵的權限設置可以通過以下方式實現:
1、如果在域環境裏,可能通過活動目錄的組策略實現的
2、本地計算機的組策略來(命令行用gpedit.msc)
3、手工操作可以通過regedt32(Windows2000係統,在菜單“安全”下的“權限”)或regedit(Windows2003/XP,在“編輯”菜單下的“權限”)
如果衹有users組權限,以上鍵值默認是衹讀的,就可以不用這麽麻煩了。 | | | 【木馬】 (雜語)木製之馬。以名解脫之當相也。從容錄三則曰:“木馬遊春駿不羈。” | | - : gym-horse
- n.: cockhorse, hobbyhorse, horse, wooden horse
| | - n. cheval de bois
| | | 木馬鎮 | | | 計算機病毒 | 殺毒 | 網絡 | 計算機安全 | 計算機 | 後門 | 電腦 | 遠程控製 | | 特洛伊 | 軍事 | 戰爭 | 古希臘 | 音樂 | 王菲 | 明星 | 病毒 | | 軟件 | 防火墻 | 安全 | 黑客 | 流氓軟件 | 電影 | 遊戲 | 電視劇 | | 更多結果... |
|
|
|