网络安全 : 名人 : 玄幻小说 : 中国故事 : 家具 : 家居建材 : 饮食 : 歌曲音乐 > 木马
目录
·《歌曲作者 Ge Quzuozhe: 木马》·建筑工地上用的木架子,形似高脚长凳 Construction site with a wooden shelf, the shape of tall bench·No. 3
·No. 4·No. 5·No. 6
·木制的马 Wooden horse·"木牛流马"的省称 "Wooden ox" the ministry said·指加马鞍的独轮车 Plus saddle that wheelbarrow
·冰上滑行的工具 Ice sliding tools·No. 11·No. 12
·什么是特洛伊木马·木马原理·隐形木马启动方式揭秘
·防治木马·释义·希腊传说中的特洛伊木马
·计算机木马·防治木马·木马的发展历史
·木马的防治方法·认识木马的几种启动方式·排查出电脑的木马
·如何快速的查杀电脑里的木马·网络游戏中的盗号木马·常见木马开放端口
·国产著名木马·修改注册表增强系统对木马病毒的防御·佛教百科
·英文解释·法文解释·近义词
·相关词·更多结果...
《木马》
诗人: 歌曲作者 Ge Quzuozhe

建筑工地上用的木架子,形似高脚长凳 Construction site with a wooden shelf, the shape of tall bench
  建筑工地上用的木架子,形似高脚长凳。 6.体操运动器械。有两种背上安双环的叫鞍马,没有环的叫跳马。 7.儿童游戏器械,形状象马,可以坐在上面前后摇动。
No. 3
  ◎ 木马 mùmǎ
No. 4
  木头制成的马;也指形状像马的木制儿童玩具,可以坐在上面前后摇动
No. 5
  木制的运动器械
No. 6
  一种带脊和钉的木制器械,以前作为一种军事惩罚工具
木制的马 Wooden horse
  木制的马。 汉 刘向 《说苑·谈丛》:“默无过言,慤无过事。木马不能行,亦不费食;騏驥日驰千里,鞭箠不去其背。”《魏书·段承根传》:“有一童子,与 暉 同志。后二年,童子辞归,从 暉 请马, 暉 戏作木马与之。”《南史·齐纪下·废帝东昏侯》:“﹝帝﹞始欲骑马,未习其事, 俞灵韵 为作木马,人在其中,行动进退,随意所适。”
"木牛流马"的省称 "Wooden ox" the ministry said
  “ 木牛流马 ”的省称。 北周 庾信 《周车骑大将军贺娄公神道碑铭》:“旍旃九坂,艫舳双流,还驱木马,更引金牛。” 倪璠 注引《蜀志》:“﹝ 诸葛亮 ﹞作流马木牛毕,教兵讲武。”
指加马鞍的独轮车 Plus saddle that wheelbarrow
  指加马鞍的独轮车。 宋 沉括 《梦溪笔谈·讥谑》:“ 信安 、 沧 、 景 之间,多蚊虻。夏月……郊行不敢乘马,马为蚊虻所毒,则狂逸不可制。行人以独轮小车,马鞍蒙之以乘,谓之木马。”
冰上滑行的工具 Ice sliding tools
  冰上滑行的工具。《新唐书·回鹘传下》:“东至 木马突厥 三部落……樺皮覆室,多善马,俗乘木马驰冰上,以板藉足,屈木支腋,蹴輒百步,势迅激。” 清 俞樾 《茶香室丛钞·八大王之子》:“ 突厥 三部落,乘木马驰冰上,以板藉足,屈木支腋,蹴輒百步,此言木马,不言木马子,殆犹今之冰床,非可用之于居家者也。”
No. 11
  体操运动器械。有两种:背上安双环的叫鞍马,没有环的叫跳马。
No. 12
  儿童游戏器械,形状象马,可以坐在上面前后摇动。
什么是特洛伊木马
  特洛伊木马(以下简称木马),英文叫做“trojan horse”,其名称取自希腊神话的特洛伊木马记。
  古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动
  在计算机领域中,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
  所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
  所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
  从木马的发展来看,基本上可以分为两个阶段。
  最初网络还处于以unix平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
  而后随着windows平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
  所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
木马原理
  鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。
  【一、基础知识 】
  在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。
  一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
  (1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 internet:控制端对服务端进行远程控制,数据传输的网络载体。
  (2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
  (3)具体连接部分:通过internet在服务端和控制端之间建立一条木马通道所必须的元素。 控制端ip,服务端ip:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。
  用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
  一.配置木马
  一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能:
  (1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。
  (2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,irc号 ,ico号等等,具体的我们将在“信息反馈”这一节中详细介绍。
  【二、传播木马】.
  (1)传播方式:
  木马的传播方式主要有两种:一种是通过e-mail,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
  (2)伪装方式:
  鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
  (一)修改图标
  当你在e-mail的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成html,txt, zip等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
  (二)捆绑文件
  这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即exe,com一类的文件)。
  (三)出错显示
  有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系统。
  (四)定制端口
  很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。
  (五)自我销毁
  这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到windows的系统文件夹中(c:windows或c:windowssystem目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后,原木马文件将自动销毁,这 样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。
  (六)木马更名
  安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
  【三.运行木马
  服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到windows的 系统文件夹中(c:windows或c:windowssystem目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下文:
  ①由自启动激活木马
  自启动木马的条件,大致出现在下面6个地方:
  1.注册表:打开hkey_local_machinesoftwaremicrosoftwindowscurrentversion下的五个以run 和runservices主键,在其中寻找可能是启动木马的键值。
  2.win.ini:c:windows目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.system.ini:c:windows目录下有个配置文件system.ini,用文本方式打开,在[386enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。
  4.autoexec.bat和config.sys:在c盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。
  5.*.ini:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
  6.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
  ②由触发式激活木马
  1.注册表:打开hkey_classes_root文件类型shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改hkey_classes_root xtfileshellopencommand下的键值,将“c :windows notepad.exe %1”该为“c:windowssystemsyxxxplr.exe %1”,这时你双 击一个txt文件 后,原本应用notepad打开文件的,现在却变成启动木马程序了。还要说明 的是不光是txt文件 ,通过修改html,exe,zip等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,txt是txtfile,zip是winzip,大家可以 试着去找一下。
  2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
  3.自动播放式:自动播放本是用于光盘的,当插入一个电影光盘到光驱时,系统会自动播放里面的内容,这就是自动播放的本意,播放什么是由光盘中的autorun.inf文件指定的,修改autorun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与u盘,在u盘或硬盘的分区,创建autorun.inf文件,并在open中指定木马程序,这样,当你打开硬盘分区或u盘时,就会触发木马程序的运行。
  木马作者还在不断寻找“可乘之机”这里只是举例,又有不断的自启动的地方被挖掘出来。
  (2)木马运行过程
  木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在ms-dos方式下,键入netstat -an查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用netstat命令查 看端口的两个实例:
  其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。
  在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
  (1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如ftp使用21, smtp使用25,pop3使用110等。只有很少木马会用保留端口作为木马端口 的。
  (2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。
  (3)4000端口:这是oicq的通讯端口。
  (4)6667端口:这是irc的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
  【四.信息泄露】
  一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过e-mail,irc或ico的方式告知控制端用户。
  从反馈信息中控制端可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中,最重要的是服务端ip,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。
  【五.建立连接】
  这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。
  假设a机为控制端,b机为服务端,对于a机来说要与b机建立连接必须知道b机的木马端口和ip地 址,由于木马端口是a机事先设定的,为已知项,所以最重要的是如何获得b机的ip地址。获得b机的ip 地址的方法主要有两种:信息反馈和ip扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们 重点来介绍ip扫描,因为b机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在a机只 要扫描ip地址段中7626端口开放的主机就行了,例如图中b机的ip地址是202.102.47.56,当a机扫描到 这个ip时发现它的7626端口是开放的,那么这个ip就会被添加到列表中,这时a机就可以通过木马的控 制端程序向b机发出连接信号,b机中的木马程序收到信号后立即作出响应,当a机收到响应的信号后, 开启一个随即端口1031与b机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提 的要扫描整个ip地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的ip地址,由于 拨号上网的ip是动态的,即用户每次上网的ip都是不同的,但是这个ip是在一定范围内变动的,如图中 b机的ip是202.102.47.56,那么b机上网ip的变动范围是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个ip地址段就可以找到b机了。
  【六.远程控制】
  木马连接建立后,控制端端口和木马端口之间将会出现一条通道。
  控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。
  (1)窃取密码:一切以明文的形式,*形式或缓存在cache中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。
  (2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了windows平台上所有的文件操作功能。
  (3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。
  (4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪
  木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
  一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.
  还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
隐形木马启动方式揭秘
  大家所熟知的木马程序一般的启动方式有:加载到“开始”菜单中的“启动”项、记录到注册表的[hkey_current_usersoftwaremicrosoftwindowscurrentversion un]项和[hkey_local_machinesoftwaremicrosoftwindowscurrentversion un]项中,更高级的木马还会注册为系统的“服务”程序,以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“msconfig”)的“启动”项和“服务”项中找到它的踪迹。
  另一种鲜为人知的启动方式,是在“开始→运行”中执行“gpedit.msc”。打开“组策略”,可看到“本地计算机策略”中有两个选项:“计算机配置”与“用户配置”,展开“用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项进行属性设置,选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中输入要自启动的程序的路径,如图所示,单击“确定”按钮就完成了。
  添加需要启动的文件面
  重新启动计算机,系统在登录时就会自动启动你添加的程序,如果刚才添加的是木马程序,那么一个“隐形”木马就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的,同样在我们所熟知的注册表项中也是找不到的,所以非常危险。
  通过这种方式添加的自启动程序虽然被记录在注册表中,但是不在我们所熟知的注册表的[hkey_current_usersoftwaremicrosoftwindowscurrentversion un]项和[hkey_local_machinesoftwaremicrosoftwindowscurrentversion un]项内,而是在册表的[hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorer un]项。如果你怀疑你的电脑被种了“木马”,可是又找不到它在哪儿,建议你到注册表的[hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorer un]项里找找吧,或是进入“组策略”的“在用户登录时运行这些程序”看看有没有启动的程序。
  现在网页木马无非有以下几种方式中到你的机器里
  1:把木马文件改成bmp文件,然后配合你机器里的debug来还原成exe,网上存在该木马20%
  2:下载一个txt文件到你机器,然后里面有具体的ftp^-^作,ftp连上他们有木马的机器下载木马,网上存在该木马20%
  3:也是最常用的方式,下载一个hta文件,然后用网页控件解释器来还原木马。该木马在网上存在50%以上
  4:采用js脚本,用vbs脚本来执行木马文件,该型木马偷qq的比较多,偷传奇的少,大概占10%左右
  5:arp欺骗,利用arp欺骗拦截局域网数据,攻击网关。在数据包中插入木马。解决方案,安装arp防火墙。
防治木马
  现在我们来说防范的方法
  那就是把 windowssystemmshta.exe文件改名,
  改成什么自己随便 (xp和win2000是在system32下)
  hkey_local_machinesoftwaremicrosoftinternet exploreractivex compatibility 下为active setup controls创建一个基于clsid的新键值 {6e449683_c509_11cf_aafa_00aa00 b6015c},然后在新键值下创建一个reg_dword 类型的键compatibility,并设定键值为0x00000400即可。
  还有windowscommanddebug.exe和windowsftp.exe都给改个名字 (或者删除)
  一些最新流行的木马 最有效果的防御~~
  比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:windows目录下 2000 c:winnt .....
  假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在c:windows 或 c:winnt目录下 创建一个假的 smss.exe 并设置为只读属性~ (2000/xp ntfs的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取) 这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马
  都很有效果的
  经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的exe文件,也没有新的进程出现,只不过有些木马的残骸留在了ie的临时文件夹里,他们没有被执行起来,没有危险性,所以建议大家经常清理 临时文件夹和ie
  随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
  防治木马的危害,应该采取以下措施:
  第一,安装杀毒软件和个人防火墙,并及时升级。
  第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
  第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
  第四,如果使用ie浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
  远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,pcshare,网络神偷,flux等,现在通过线程插入技术的木马也有很多.现在的木马程序常常和和dll文件息息相关,被很多人称之为“dll木马”。dll木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上说,在windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程相当的权限。无论怎样,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。
  dll不能独立运行,所以要想让木马跑起来,就需要一个exe文件使用动态嵌入技术让dll搭上其他正常进程的车,让被嵌入的进程调用这个dll的 dllmain函数,激发木马运行,最后启动木马的exe结束运行,木马启动完毕。启动dll木马的exe是个重要角色,它被称为loader, loader可以是多种多样的,windows的rundll32.exe也被一些dll木马用来作为loader,这种木马一般不带动态嵌入技术,它直接注入rundll32进程运行,即使你杀了rundll32进程,木马本体还是存在的。利用这种方法除了可以启动木马之外,不少应用程序也采用了这种启动方式,一个最常见的例子是“3721网络实名”。
  “3721网络实名”就是通过rundll32调用“网络实名”的dll文件实现的。在一台安装了网络实名的计算机中运行注册表编辑器,依次展开 “hkey_local_machinesoftwaremicrosoftwindowscurrentversion un”,发现一个名为“cnsmin”的启动项,其键值为“rundll32 c:windowsdownlo~1cnsmin.dll,rundll32”,cnsmin.dll是网络实名的dll文件,这样就通过 rundll32命令实现了网络实名的功能。
  简单防御方法
  dll木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是dll木马loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在loader里查找dll名称,或者从进程里看多挂接了什么陌生的dll。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。现在有一些国外的防火墙软件会在dll文件加载时提醒用户,比如tiny、ssm等,这样我们就可以有效地防范恶意的dll木马了。
释义
  1、木头制成的马。
  2、木制的运动器械,略像马,背上安双环的叫鞍马,没有环的叫跳马。
  3、形状像马的儿童游戏器械,可以坐在上面前后摇动。
  4. 让你和木头一样牵着走
希腊传说中的特洛伊木马
  特洛伊木马(以下简称木马),英文叫做“Trojan horse”
  古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。
  《荷马史诗》的特洛伊战记,故事说的是希腊人围攻特洛伊城十年后仍不能得手,于是阿迦门农受雅典娜的启发:把士兵藏匿于巨大无比的木马中,然后佯作退兵。当特洛伊人将木马作为战利品拖入城内时,高大的木马正好卡在城门间,进退两难。夜晚木马内的士兵爬出来,与城外的部队里应外合而攻下了特洛伊城。
计算机木马
  在计算机领域中,木马是一类恶意程序。
  木马是有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。
  鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。
  【一、基础知识 】
  在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。计算机木马
  一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
  (1)硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
  (2)软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
  (3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。
  用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
  一.配置木马
  一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能:
  (1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。
  (2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICQ号等等,具体的我们将在“信息反馈”这一节中详细介绍。
  【二、传播木马
  (1)传播方式:
  木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
  (2)伪装方式:
  鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
  (一)修改图标
  当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
  (二)捆绑文件
  这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
  (三)出错显示
  有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了系统。
  (四)定制端口
  很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。
  (五)自我销毁
  这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。
  (六)木马更名
  安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
  【三.运行木马
  服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下文:
  ①由自启动激活木马
  自启动木马的条件,大致出现在下面6个地方:
  1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。
  2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mci], [drivers32]中有命令行,在其中寻找木马的启动命令。
  4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。
  5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
  6.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
  ②由触发式激活木马
  1.注册表:打开HKEY_CLASSES_ROOT文件类型shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。
  2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
  3.自动播放式:自动播放本是用于光盘的,当插入一个电影光盘到光驱时,系统会自动播放里面的内容,这就是自动播放的本意,播放什么是由光盘中的AutoRun.inf文件指定的,修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘,在U盘或硬盘的分区,创建Autorun.inf文件,并在Open中指定木马程序,这样,当你打开硬盘分区或U盘时,就会触发木马程序的运行。
  木马作者还在不断寻找“可乘之机”这里只是举例,又有不断的自启动的地方被挖掘出来。
  (2)木马运行过程
  木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例:
  其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。
  在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
  (1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口 的。
  (2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。
  (3)4000端口:这是OICQ的通讯端口。
  (4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
  【四.信息泄露】
  一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。
  从反馈信息中控制端可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。
  【五.建立连接】
  这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。
  假设A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们 重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到 这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控 制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于 拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中 B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个IP地址段就可以找到B机了。
  【六.远程控制】
  木马连接建立后,控制端端口和木马端口之间将会出现一条通道。
  控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。
  (1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。
  (2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
  (3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。
  (4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪
  木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. “木马”不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为“木马”程序.
  一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.
  还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
  木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等
防治木马
  现在我们来说防范木马的方法之一,就是把 windowssystemmshta.exe文件改名,
  改成什么自己随便 (xp和win2000是在system32下)
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。
  还有windowscommanddebug.exe和windowsftp.exe都给改个名字 (或者删除)
  一些最新流行的木马 最有效果的防御~~
  比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:windows目录下 2000 c:winnt .....
  假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:windows 或 c:winnt目录下 创建一个假的 smss.exe 并设置为只读属性~ (2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取) 这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马
  都很有效果的
  经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里,他们没有被执行起来,没有危险性,所以建议大家经常清理 临时文件夹和IE
  随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
  防治木马的危害,应该采取以下措施:
  第一,安装杀毒软件和个人防火墙,并及时升级。
  第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
  第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
  第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
  远程控制的木马有:冰河,灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多.现在的木马程序常常和和DLL文件息息相关,被很多人称之为“DLL木马”。DLL木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程相当的权限。无论怎样,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。
  DLL不能独立运行,所以要想让木马跑起来,就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的 DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。启动DLL木马的EXE是个重要角色,它被称为Loader, Loader可以是多种多样的,Windows的Rundll32.exe也被一些DLL木马用来作为Loader,这种木马一般不带动态嵌入技术,它直接注入Rundll32进程运行,即使你杀了Rundll32进程,木马本体还是存在的。利用这种方法除了可以启动木马之外,不少应用程序也采用了这种启动方式,一个最常见的例子是“3721网络实名”。
  “3721网络实名”就是通过Rundll32调用“网络实名”的DLL文件实现的。在一台安装了网络实名的计算机中运行注册表编辑器,依次展开 “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”,发现一个名为“CnsMin”的启动项,其键值为“Rundll32 C:WINDOWSDownlo~1CnsMin.dll,Rundll32”,CnsMin.dll是网络实名的DLL文件,这样就通过 Rundll32命令实现了网络实名的功能。
  简单防御方法
  DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。现在有一些国外的防火墙软件会在DLL文件加载时提醒用户,比如Tiny、SSM等,这样我们就可以有效地防范恶意的DLL木马了。
木马的发展历史
  第一代木马 :伪装型病毒
  这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本(事实上,编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,那么他的下场就是硬盘被格式化。在我刚刚上大学的时候,曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序,当你把你的用户ID,密码输入一个和正常的登录界面一模一样的伪登录界面后后,木马程序一面保存你的ID,和密码,一面提示你密码错误让你重新输入,当你第二次登录时,你已成了木马的牺牲品。此时的第一代木马还不具备传染特征。
  第二代木马 :AIDS型木马
  继PC-Write之后,1989年出现了AIDS木马。由于当时很少有人使用电子邮件,所以AIDS的作者就利用现实生活中的邮件进行散播:给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品,价格,预防措施等相关信息。软盘中的木马程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征(尽管通过传统的邮递方式)。
  第三代木马:网络传播性木马
  随着Internet的普及,这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还有新的特征:
  第一,添加了“后门”功能。
  所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装,这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息,例如,财务报告、口令及信用卡号。此外,攻击者还可以利用后门控制系统,使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的,因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。
  第二,添加了击键记录功能。
  从名称上就可以知道,该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000(BackOrifice)和国内的冰河木马。它们有如下共同特点:基于网络的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 当木马程序攻击得手后,计算机就完全在黑客控制的傀儡主机,黑客成了超级用户,用户的所有计算机操作不但没有任何秘密而言,而且黑客可以远程控制傀儡主机对别的主机发动攻击,这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。
  虽然木马程序手段越来越隐蔽,但是苍蝇不叮无缝的蛋,只要加强个人安全防范意识,还是可以大大降低“中招”的几率。对此笔者有如下建议:安装个人防病毒软件、个人防火墙软件;及时安装系统补丁;对不明来历的电子邮件和插件不予理睬;经常去安全网站转一转,以便及时了解一些新木马的底细,做到知己知彼,百战不殆。
木马的防治方法
  1、禁用系统还原(Windows Me/XP)
  如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马
  Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
  此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
  注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。
  2、将计算机重启到安全模式或者 VGA 模式
  关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式
  Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。所有 Windows 32-bit 作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
  Windows NT 4 用户:将计算机重启到 VGA 模式。
  扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染,请单击“删除”。如有必要,清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的,请执行以下步骤:
  启动 Internet Explorer。单击“工具”>“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中,单击“删除文件”,然后在出现提示后单击“确定”。在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
  木马病毒专杀工具
  远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧
  反木马病毒
  木马专杀工具
  木马防线 2005 V4.16
  木马分析专家 2005 V6.57
  木马克星(iparmor) V5.47
  病毒.流行木马.盗号软件统杀工具
  木马专杀大师 V2.6
  木马专家 2005 0102
  Windows木马清道夫
  木马分析专家个人防火墙
认识木马的几种启动方式
  木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。
  一、通过“开始程序启动”
  隐蔽性:2星
  应用程度:较低
  这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人会会出现在“系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
  二、通过Win.ini文件
  隐蔽性:3星
  应用程度:较低
  同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。在Windows3.2中,Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在msconfig中。而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。
  三、通过注册表启动
  1、通过HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
  隐蔽性:3.5星
  应用程度:极高
  应用案例:BO2000,GOP,NetSpy,IEthief,冰河……
  这是很多Windows程序都采用的方法,也是木马最常用的。使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe,以下简称regedit)都可以将它轻易的删除,所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件,以便实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写入,以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使在没有任何工具软件的情况下也能轻易解除这种互相保护。
  破解方法:首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自破了;然后,你就可以删除注册表中的键值和相应的木马程序了。
  2、通过HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce,
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce和
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
  隐蔽性:4星
  应用程度:较低
  应用案例:Happy99月
  这种方法好像用的人不是很多,但隐蔽性比上一种方法好,它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢?
  其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。
  还有一种方法,不是在启动的时候加而是在退出Windows的时候加,这要求木马程序本身要截获WIndows的消息,当发现关闭Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦Windows异常中止(对于Windows9x这是经常的),木马也就失效了。
  破解他们的方法也可以用安全模式。
  另外使用这三个键值并不完全一样,通常木马会选择第一个,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束会才继续启动Windows。
  四、通过Autoexec.bat文件,或winstart.bat,config.sys文件
  隐蔽性:3.5星
  应用程度:较低
  其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我想能写这样木马的人一定是高手中的高手了。
  另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类似“Deltree C:*.*”和“Format C:/u”的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。
  五、通过System.ini文件
  隐蔽性:5星
  应用程度:一般
  事实上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是“Explorer.exe”,这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为Progman.exe就可以让Win9x变成Windows3.2)。我们可以在“Explorer.exe”后加上木马程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell这一项嘛,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启动,呵呵以毒攻毒啊。
  六、通过某特定程序或文件启动
  1、寄生于特定程序之中
  隐蔽性:5星
  应用程度:一般
  即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。
  2、将特定的程序改名
  隐蔽性:5星
  应用程度:常见
  这种方式常见于针对QQ的木马,例如将QQ的启动文件QQ2000b.exe,改为QQ2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为QQ2000b.ico,而用户会认为它是一个图标),再将木马程序改为QQ2000b.exe,此后,用户运行QQ,实际是运行了QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来要比上一种简单的多。
  3、文件关联
  隐蔽性:5星
  应用程度:常见
  通常木马程序会将自己和TXT文件或EXE文件关联,这样当你打开一个文本文件或运行一个程序时,木马也就神不知鬼不觉的启动了。
  这类通过特定程序或文件启动的木马,发现比较困难,但查杀并不难。一般地,只要删除相应的文件和注册表键值即可。
  .
排查出电脑的木马
  1、集成到程序中
  由于用户一般不会主动程序,而种木马者为了吸引用户运行,他们会将木马文件和其它应用程序进行捆绑,用户看到的只是正常的程序。但是你一旦运行之后,不仅该正常的程序运行,而且捆绑在一起的木马程序也会在后台偷偷运行。
  这种隐藏在其它应用程序之中的木马危害比较大,而且不容易发现。如果捆绑到系统文件中,那么则会随Windows启动而运行。不过只要我们安装个人防火墙或者启用Windows XP SP2中的Windows防火墙,那么在木马服务端试图连接种木马的客户端时,则会询问是否放行,据此即可判断出自己有无中木马
  2、隐藏在媒体文件中
  这种类型严格上说,用户还没有中木马。不过它的危害容易被人忽略。因为大家对影音文件的警惕性不高。它的常用手段是在媒体文件中插入一段代码,代码中包含了一个网址,当播放到指定时间时即会自动访问该网址,而该网址所指页面的内容却是一些网页木马或其它危害。
  因此,当我们在播放网上下载的影片时,如果发现突然打开了窗口,那么切不可好奇而应将其立即关闭,然后跳过该时间段影片的播放。
  3、隐藏在System.ini
  4、隐藏在Win.ini
  与System.ini相似,Win.ini中也是木马喜欢加载的一个地方。对此我们可以打开系统目录下的Win.ini文件,然后查看[Windows]区域“load=”和“run=”,正常情况下它们后面应该是空白,如果你发现它们后面加了某个程序,那么加载的程序则可能是木马,需要将它们删除。
  5、隐藏在Autoexec.bat
  在C盘根目录下有一个Autoexec.bat文件,这里的内容将会在系统启动时自动运行。与该文件类似的还有Config.sys。因为它自动运行,因此也成为木马的一个藏身之地。对此我们同样需要打开这两个文件,检查里面是否加载了来历不明的程序在运行。
  6、任务管理器
  部分木马运行后我们可以在任务管理器中找出它的踪迹。在任务栏上右击,在弹出的菜单中选择“任务管理器”,将打开的窗口切换到“进程”标签,在这里查看有没有占用较多资源的进程,有没有不熟悉的进程。若有,可以先试着将它们关闭。另外要特别注意Explorer.exe这类进程,因为很多木马会使用Exp1orer.exe进程名,即把l换成1,用户不仔细查看,还以为是系统进程呢。
  7、启动
  在Windows XP中,我们可以运行“msconfig”,将打开的窗口切换到“启动”标签,在这里可以看到所有启动加载的项目,此时就可以根据“命令”和“位置”来判断是启动加载的是否为木马。如果判断为木马则可以将其启动取消,然后再作进一步的处理。
  8、注册表
  我们程序的运行控制大多是由注册表控制的,因此我们有必要对注册表进行检查。运行“regedit”打开注册表编辑器,然后依次检查如下区域:
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion、
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion、
  HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion,看看这三个区域下所有以“run”开头的键值,如果键值的内容指向一些隐藏的文件或自己从未安装过的程序,那么这些则很可能是木马了。
  木马之所以能够为非作歹,正是因为其善于隐藏自己。不过我们掌握了其藏身之处,那么则可以将其一一清除。当然,木马在实际的伪装隐藏自己中,可能会综合使用上面一种或几种方法来伪装,这就需要我们在检查清除时,不能只检查其中的部分地点。
如何快速的查杀电脑里的木马
  新人快速上手指南之电脑木马查杀大全 常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?
  一、手工方法:
  1、检查网络连接情况
  由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
  2、查看目前运行的服务
  服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
  3、检查系统启动项
  由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。
  Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!
  4、检查系统帐户
  恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
  点击“开始”->“运行”->“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!
  如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。
  1、运行任务管理器,杀掉木马进程。
  2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
  3、删除上述可疑键在硬盘中的执行文件。
  4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
  5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain中的几项(如Local Page),如果被修改了,改回来就可以。
  6、检查HKEY_CLASSES_ROOTtxtfileshellopencommand和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
  二、利用工具:
  查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。
网络游戏中的盗号木马
  盗密报卡解绑过程登陆的时候通过木马盗取玩家的密码,并且用盗取的密码进入密码保护卡解除绑定的网页页面,在通过木马把玩家登陆时候的三个密码保护卡数换成密码保护卡解绑需要的三个数,1次就能骗到密码保护卡解除绑定需要的三个数了,再解除绑定,玩家的帐号就跟没密码保护卡一样.电话密码保护也一样,玩家打了电话,然后登陆的时候通过木马让玩家不能连接服务器并盗取玩家的密码,然后盗取账号者就2分内可以上去了盗取玩家财产。
  更好的反击盗取账号者措施
  1.设置角色密码(可结合密码保护卡),
  2.设置背包密码,背包分二部分(G也分2部份,1大额,1小额),一部分需要密码(可以放重要的财产),一部分不要密码(放置常用物品),可结合密保卡。
  3,装备栏设置密码保护卡,上线后需要输入密保卡解除装备栏的密报卡数,才能使用技能 ,如果不解除绑定,不能使用技能并且无法交易。
  4,仓库通过密码打开后,与背包相同。
  5,设置退出密码,输入退出密码正常才能下线,非正常下线5分内补能登陆。
  6 设置下次登陆地点,玩家下线时可以选者下次登陆的IP段(以市为单位,不在IP段里面的IP,不能登陆 )
  6 计算机绑定,对于有计算机的玩家可以绑定CPU编号,这点某些杀毒软件有这个技术,你们估计也有这技术。
  7,上述六点可结合密码保护卡,并且可以设置多张密码保护卡,登陆界面一张密码保护卡,角色界面一张密码保护卡,背包一张密码保护卡,仓库一张密码保护卡,退出登录一张密码保护卡。补充:密保卡可随自己意愿绑定,但是追号大于等于2,背包,仓库等可以用同1张密保卡(最好不和登陆用同1张),关于手机密保可改为,登陆时不需打手机,登陆后所有物品全部无法交易出售,无法发言,在登陆后打手机才可解除,可防止手机密保在登陆界面被木马利用
  8,加强游戏本身防木马能力。可以和杀毒软件公司合作设置一款专门用于魔兽的杀毒软件
  9,加入网吧IP段保护
  10,这需要网游公司对现有密码系统升级
  在计算机领域中,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
  所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
  所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
  从木马的发展来看,基本上可以分为两个阶段。
  最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
  而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
  所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
常见木马开放端口
  以下是常见的木马所默认开放的端口,如果你扫出你的机子开放了下面的端口(请参见fport),那么你就要注意了呀:
  你可以试着找一下这匹马,用它的客户端来连一下看是否可以连接。然后再想办法清除。
  然而要注意多数木马的客户端可以改动端口号,所以这个办法成功率不算高。
  -------------------------------------------------------------------------------------------
  BO jammerkillahV 121
  Hackers Paradise 456
  Stealth Spy 555
  Phase0 555
  Satanz Backdoor 666
  Attack FTP 666
  Silencer 1001
  WebEx 1001
  Doly Trojan 1011
  Netspy 1033
  Psyber Stream Server 1170
  Streaming Audio Trojan 1170
  Ultors Trojan 1234
  SubSeven 1243, 6667
  GWGirls 6267
  VooDoo Doll 1245
  GabanBus 1245
  NetBus 1245
  Vodoo 1245
  FTP99CMP 1492
  Psyber Streaming Server 1509
  Shivka-Burka 1600
  Shiva Burka 1600
  SpySender 1807
  Shockrave 1981
  BackDoor 1999
  Trojan Cow 2001
  TrojanCow 2001
  Ripper 2023
  Pass Ripper 2023
  Bugs 2115
  Deep Throat 2140
  The Invasor 2140
  Striker 2565
  Wincrash2 2583
  Phineas Phucker 2801
  Phineas 2801
  Portal of Doom 3700
  WinCrash 4092
  ICQTrojan 4590
  IcqTrojen 4950
  IcqTrojan 4950
  Sockets de Troie 5000
  Sockets de Troie 1.x 5001
  Firehotcker 5321
  Blade Runner 5400
  BladeRunner 5400
  Blade Runner 1.x 5401
  Blade Runner 2.x 5402
  Robo-Hack 5569
  RoboHack 5569
  Wincrash 5742
  The tHing 6400
  DeepThroat 6670
  DeepThroat 6771
  Indoctrination 6939
  GateCrasher 6969
  Priority 6969
  Remote Grab 7000
  NetMonitor 7300
  NetMonitor 1.x 7301
  NetMonitor 2.x 7306
  NetMonitor 7306
  NetMonitor 3.x 7307
  NetMonitor 4.x 7308
  ICKiller 7789
  ICQKiller 7789
  Portal of Doom 9872
  PortalOfDoom 9872
  Portal of Doom 1.x 9873
  Portal of Doom 2.x 9874
  Portal of Doom 3.x 9875
  Portal of Doom 9875
  iNi-Killer 9989
  InIkiller 9989
  Portal of Doom 4.x 10067
  Portal of Doom 5.x 10167
  Senna Spy 11000
  Senna Spy Trojans 11000
  Progenic trojan 11223
  ProgenicTrojan 11223
  Gjamer 12076
  Hack?99 KeyLogger 12223
  NetBus 1.x 12346
  Whack-a-mole 12361
  Whack-a-mole 1.x 12362
  Priority 16969
  Priotrity 16969
  Millenium 20000
  Millennium 20001
  NetBus 2 Pro 20034
  NetBus Pro 20034
  GirlFriend 21544
  GirlFriend 21554
  Prosiak 22222
  Prosiak 0.47 22222
  Evil FTP 23456
  Ugly FTP 23456
  WhackJob 23456
  UglyFtp 23456
  Delta 26274
  Subseven 27374
  NetSphere 30100
  Masters Paradise 30129
  Socket23 30303
  Kuang 30999
  Back Orifice 31337
  Back Orifice 31338
  DeepBO 31338
  NetSpy DK 31339
  BOWhack 31666
  Prosiak 33333
  BigGluck 34324
  Tiny Telnet Server 34324
  The Spy 40412
  TheSpy 40412
  Masters Paradise 40421
  Masters Paradise 1.x 40422
  Masters Paradise 2.x 40423
  Master Paradise 40423
  Masters Paradise 3.x 40426
  Sockets de Troie 50505
  Fore 50766
  Fore, Schwindler 50766
  Remote Windows Shutdown 53001
  RemoteWindowsShutdown 53001
  Telecommando 61466
  Devil 65000
  Devil 1.03 65000
国产著名木马
  冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX流光,广外女生木马
  木马程序;
  "木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
  一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了
修改注册表增强系统对木马病毒的防御
  通常木马病毒是通过注册表来启动服务的,所以注册表对于系统防御病毒有着比较重要的意义。按照理论上来说,我们可以通过修改注册表的属性来预防病毒和木马,实际上亦可行,具体的实施方法如下:
  Windows2000/XP/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:
  1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动
  2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动
  3、设置注册表HKLMSYSTEMCurrentControlSetServices为everyone只读,防止木马、病毒以"服务"方式启动
  注册表键的权限设置可以通过以下方式实现:
  1、如果在域环境里,可能通过活动目录的组策略实现的
  2、本地计算机的组策略来(命令行用gpedit.msc)
  3、手工操作可以通过regedt32(Windows2000系统,在菜单“安全”下的“权限”)或regedit(Windows2003/XP,在“编辑”菜单下的“权限”)
  如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。
佛教百科
  【木马】 (杂语)木制之马。以名解脱之当相也。从容录三则曰:“木马游春骏不羁。”
英文解释
  1. :  gym-horse
  2. n.:  cockhorse,  hobbyhorse,  horse,  wooden horse
法文解释
  1. n.  cheval de bois
近义词
木马镇
相关词
计算机病毒杀毒网络计算机安全计算机后门电脑远程控制
特洛伊军事战争古希腊音乐王菲明星病毒
软件防火墙安全黑客流氓软件电影游戏电视剧
更多结果...