HOME 首頁(yè)
SERVICE 服務(wù)產(chǎn)品
XINMEITI 新媒體代運(yùn)營(yíng)
CASE 服務(wù)案例
NEWS 熱點(diǎn)資訊
ABOUT 關(guān)于我們
CONTACT 聯(lián)系我們
創(chuàng)意嶺
讓品牌有溫度、有情感
專注品牌策劃15年

    杭州木馬設(shè)計(jì)(杭州木馬設(shè)計(jì)公司怎么樣)

    發(fā)布時(shí)間:2023-03-07 23:27:08     稿源: 創(chuàng)意嶺    閱讀: 1103        問大家

    大家好!今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于杭州木馬設(shè)計(jì)的問題,以下是小編對(duì)此問題的歸納整理,讓我們一起來看看吧。

    創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè),服務(wù)客戶遍布全球各地,相關(guān)業(yè)務(wù)請(qǐng)撥打電話:175-8598-2043,或添加微信:1454722008

    本文目錄:

    杭州木馬設(shè)計(jì)(杭州木馬設(shè)計(jì)公司怎么樣)

    一、什么是木馬和黑客

    Hacker (黑客) , 呵呵~~~~ 我就不用多說什么了,認(rèn)識(shí)我的人都知道.

    給你詳細(xì)講講什么叫做木馬吧!

    木馬特洛伊木馬(以下簡(jiǎn)稱木馬),英文叫做“Trojan horse”,其名稱取自希臘神話的特洛伊木馬記。

    它是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點(diǎn)。

    所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn),會(huì)采用多種手段隱藏木馬,這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬,由于不能確定其具體位置,往往只能望“馬”興嘆。

    所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后,控制端將享有服務(wù)端的大部分操作權(quán)限,包括修改文件,修改注冊(cè)表,控制鼠標(biāo),鍵盤等等,而這些權(quán)力并不是服務(wù)端賦予的,而是通過木馬程序竊取的。

    從木馬的發(fā)展來看,基本上可以分為兩個(gè)階段。

    最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期,木馬就產(chǎn)生了,當(dāng)時(shí)的木馬程序的功能相對(duì)簡(jiǎn)單,往往是將一段程序嵌入到系統(tǒng)文件中,用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能,在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員,必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。

    而后隨著WINDOWS平臺(tái)的日益普及,一些基于圖形操作的木馬程序出現(xiàn)了,用戶界面的改善,使使用者不用懂太多的專業(yè)知識(shí)就可以熟練的操作木馬,相對(duì)的木馬入侵事件也頻繁出現(xiàn),而且由于這個(gè)時(shí)期木馬的功能已日趨完善,因此對(duì)服務(wù)端的破壞也更大了。

    所以所木馬發(fā)展到今天,已經(jīng)無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。

    鑒于木馬的巨大危害性,我們將分原理篇,防御與反擊篇,資料篇三部分來詳細(xì)介紹木馬,希望大家對(duì)特洛伊木馬這種攻擊手段有一個(gè)透徹的了解。

    原 理 篇

    基礎(chǔ)知識(shí)

    在介紹木馬的原理之前有一些木馬構(gòu)成的基礎(chǔ)知識(shí)我們要事先加以說明,因?yàn)橄旅嬗泻芏嗟胤綍?huì)提到這些內(nèi)容。

    一個(gè)完整的木馬系統(tǒng)由硬件部分,軟件部分和具體連接部分組成。

    (1)硬件部分:建立木馬連接所必須的硬件實(shí)體。 控制端:對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。 服務(wù)端:被控制端遠(yuǎn)程控制的一方。 INTERNET:控制端對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制,數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。

    (2)軟件部分:實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。 控制端程序:控制端用以遠(yuǎn)程控制服務(wù)端的程序。 木馬程序:潛入服務(wù)端內(nèi)部,獲取其操作權(quán)限的程序。 木馬配置程序:設(shè)置木馬程序的端口號(hào),觸發(fā)條件,木馬名稱等,使其在服務(wù)端藏得更隱蔽的程序。

    (3)具體連接部分:通過INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。 控制端IP,服務(wù)端IP:即控制端,服務(wù)端的網(wǎng)絡(luò)地址,也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡亍?控制端端口,木馬端口:即控制端,服務(wù)端的數(shù)據(jù)入口,通過這個(gè)入口,數(shù)據(jù)可直達(dá)控制端程序或木馬 程序。

    木馬原理

    用木馬這種黑客工具進(jìn)行網(wǎng)絡(luò)入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細(xì)闡述木馬的攻擊原理。

    一.配置木馬

    一般來說一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序,從具體的配置內(nèi)容看,主要是為了實(shí)現(xiàn)以下兩方 面功能:

    (1)木馬偽裝:木馬配置程序?yàn)榱嗽诜?wù)端盡可能的好的隱藏木馬,會(huì)采用多種偽裝手段,如修改圖標(biāo) ,捆綁文件,定制端口,自我銷毀等,我們將在“傳播木馬”這一節(jié)中詳細(xì)介紹。

    (2)信息反饋:木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置,如設(shè)置信息反饋的郵件地址,IRC號(hào) ,ICO號(hào)等等,具體的我們將在“信息反饋”這一節(jié)中詳細(xì)介紹。

    二.傳播木馬

    (1)傳播方式:

    木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出 去, 收信人只要打開附件系統(tǒng)就會(huì)感染木馬;另一種是軟件下載,一些非正規(guī)的網(wǎng)站以提供軟件下載為名義, 將木馬捆綁在軟件安裝程序上,下載后,只要一運(yùn)行這些程序,木馬就會(huì)自動(dòng)安裝。

    (2)偽裝方式:

    鑒于木馬的危害性,很多人對(duì)木馬知識(shí)還是有一定了解的,這對(duì)木馬的傳播起了一定的抑制作用,這 是木馬設(shè)計(jì)者所不愿見到的,因此他們開發(fā)了多種功能來偽裝木馬,以達(dá)到降低用戶警覺,欺騙用戶的目的。

    (一)修改圖標(biāo)

    當(dāng)你在E-MAIL的附件中看到這個(gè)圖標(biāo)時(shí),是否會(huì)認(rèn)為這是個(gè)文本文件呢?但是我不得不告 訴你,這也有可能是個(gè)木馬程序,現(xiàn)在 已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標(biāo)改成HTML,TXT, ZIP等各種文件的圖標(biāo),這有相當(dāng)大的迷 惑性,但是目前提供這種功能的木馬還不多見,并且這種 偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。

    (二)捆綁文件

    這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上,當(dāng)安裝程序運(yùn)行時(shí),木馬在用戶毫無察覺的 情況下 ,偷偷的進(jìn)入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。

    (三)出錯(cuò)顯示

    有一定木馬知識(shí)的人都知道,如果打開一個(gè)文件,沒有任何反應(yīng),這很可能就是個(gè)木馬程序, 木馬的 設(shè)計(jì)者也意識(shí)到了這個(gè)缺陷,所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù) 端用戶打開木 馬程序時(shí),會(huì)彈出一個(gè)如下圖所示的錯(cuò)誤提示框(這當(dāng)然是假的),錯(cuò)誤內(nèi)容可自由 定義,大多會(huì)定制成 一些諸如“文件已破壞,無法打開的!”之類的信息,當(dāng)服務(wù)端用戶信以 為真時(shí),木馬卻悄悄侵入了 系統(tǒng)。

    (四)定制端口

    很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 端口就 知道感染了什么木馬,所以現(xiàn)在很多新式的木馬都加入了定制端口的功能,控制端用戶可 以在1024---65535之間任選一個(gè)端口作為木馬端口(一般不選1024以下的端口),這樣就給判斷 所感染木馬類型帶 來了麻煩。

    (五)自我銷毀

    這項(xiàng)功能是為了彌補(bǔ)木馬的一個(gè)缺陷。我們知道當(dāng)服務(wù)端用戶打開含有木馬的文件后,木馬 會(huì)將自己拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來說 原木馬文件 和系統(tǒng)文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了木馬 的朋友只要在近來 收到的信件和下載的軟件中找到原木馬文件,然后根據(jù)原木馬的大小去系統(tǒng) 文件夾找相同大小的文件, 判斷一下哪個(gè)是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬后,原木馬文件將自動(dòng)銷毀,這 樣服務(wù)端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。

    (六)木馬更名

    安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的,那么只要根據(jù)一些查殺木馬的文章,按 圖索驥在系統(tǒng)文件夾查找特定的文件,就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控 制端用戶自由定制安裝后的木馬文件名,這樣很難判斷所感染的木馬類型了。

    三.運(yùn)行木馬

    服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后,木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的 系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然后在注冊(cè)表,啟動(dòng)組,非啟動(dòng)組中設(shè)置好木馬 的觸發(fā)條件 ,這樣木馬的安裝就完成了。安裝后就可以啟動(dòng)木馬了,具體過程見下圖:

    (1)由觸發(fā)條件激活木馬

    觸發(fā)條件是指啟動(dòng)木馬的條件,大致出現(xiàn)在下面八個(gè)地方:

    1.注冊(cè)表:打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五個(gè)以Run 和RunServices主鍵,在其中尋找可能是啟動(dòng)木馬的鍵值。

    2.WIN.INI:C:WINDOWS目錄下有一個(gè)配置文件win.ini,用文本方式打開,在[windows]字段中有啟動(dòng) 命令 load=和run=,在一般情況下是空白的,如果有啟動(dòng)程序,可能是木馬。 3.SYSTEM.INI:C:WINDOWS目錄下有個(gè)配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動(dòng)命令。

    4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方式一般都 需要控制端用戶與服務(wù)端建立連接后,將已添加木馬啟動(dòng)命令的同名 文件上傳 到服務(wù)端覆蓋這兩個(gè)文件才行。

    5.*.INI:即應(yīng)用程序的啟動(dòng)配置文件,控制端利用這些文件能啟動(dòng)程序的特點(diǎn),將制作好的帶有木馬 啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件,這樣就可以達(dá)到啟動(dòng)木馬的目的了。

    6.注冊(cè)表:打開HKEY_CLASSES_ROOT文件類型\shellopencommand主鍵,查看其鍵值。舉個(gè)例子,國(guó)產(chǎn) 木馬“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的鍵值,將“C :WINDOWS NOTEPAD.EXE %1”該為“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,這時(shí)你雙 擊一個(gè)TXT文件 后,原本應(yīng)用NOTEPAD打開文件的,現(xiàn)在卻變成啟動(dòng)木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動(dòng)命令的鍵值都可以啟動(dòng)木馬 ,不同之處只在于“文件類型”這個(gè)主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找一下。

    7.捆綁文件:實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接,然后控制端用戶用工具 軟件將木馬文件和某一應(yīng)用程序捆綁在一起,然后上傳到服務(wù)端覆蓋原文件,這樣即使 木馬被刪 除了,只要運(yùn)行捆綁了木馬的應(yīng)用程序,木馬又會(huì)被安裝上去了。

    8.啟動(dòng)菜單:在“開始---程序---啟動(dòng)”選項(xiàng)下也可能有木馬的觸發(fā)條件。

    (2)木馬運(yùn)行過程

    木馬被激活后,進(jìn)入內(nèi)存,并開啟事先定義的木馬端口,準(zhǔn)備與控制端建立連接。這時(shí)服務(wù)端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看端口狀態(tài),一般個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì)有端口 開放的,如果有端口開放,你就要注意是否感染木馬了。下面是電腦感染木馬后,用NETSTAT命令查 看端口的兩個(gè)實(shí)例:

    其中①是服務(wù)端與控制端建立連接時(shí)的顯示狀態(tài),②是服務(wù)端與控制端還未建立連接時(shí)的顯示狀態(tài)。

    在上網(wǎng)過程中要下載軟件,發(fā)送信件,網(wǎng)上聊天等必然打開一些端口,下面是一些常用的端口:

    (1)1---1024之間的端口:這些端口叫保留端口,是專給一些對(duì)外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木馬會(huì)用保留端口作為木馬端口 的。

    (2)1025以上的連續(xù)端口:在上網(wǎng)瀏覽網(wǎng)站時(shí),瀏覽器會(huì)打開多個(gè)連續(xù)的端口下載文字,圖片到本地 硬盤上,這些端口都是1025以上的連續(xù)端口。

    (3)4000端口:這是OICQ的通訊端口。

    (4)6667端口:這是IRC的通訊端口。 除上述的端口基本可以排除在外,如發(fā)現(xiàn)還有其它端口打開,尤其是數(shù)值比較大的端口,那就要懷疑 是否感染了木馬,當(dāng)然如果木馬有定制端口的功能,那任何端口都有可能是木馬端口。

    四.信息泄露:

    一般來說,設(shè)計(jì)成熟的木馬都有一個(gè)信息反饋機(jī)制。所謂信息反饋機(jī)制是指木馬成功安裝后會(huì)收集 一些服務(wù)端的軟硬件信息,并通過E-MAIL,IRC或ICO的方式告知控制端用戶。

    從反饋信息中控制端可以知道服務(wù)端的一些軟硬件信息,包括使用的操作系統(tǒng),系統(tǒng)目錄,硬盤分區(qū)況, 系統(tǒng)口令等,在這些信息中,最重要的是服務(wù)端IP,因?yàn)橹挥械玫竭@個(gè)參數(shù),控制端才能與服務(wù)端建立 連接,具體的連接方法我們會(huì)在下一節(jié)中講解。

    五.建立連接:

    這一節(jié)我們講解一下木馬連接是怎樣建立的 。一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件:一是 服務(wù)端已安裝了木馬程序;二是控制端,服務(wù)端都要在線 。在此基礎(chǔ)上控制端可以通過木馬端口與服 務(wù)端建立連接。

    假設(shè)A機(jī)為控制端,B機(jī)為服務(wù)端,對(duì)于A機(jī)來說要與B機(jī)建立連接必須知道B機(jī)的木馬端口和IP地 址,由于木馬端口是A機(jī)事先設(shè)定的,為已知項(xiàng),所以最重要的是如何獲得B機(jī)的IP地址。獲得B機(jī)的IP 地址的方法主要有兩種:信息反饋和IP掃描。對(duì)于前一種已在上一節(jié)中已經(jīng)介紹過了,不再贅述,我們 重點(diǎn)來介紹IP掃描,因?yàn)锽機(jī)裝有木馬程序,所以它的木馬端口7626是處于開放狀態(tài)的,所以現(xiàn)在A機(jī)只 要掃描IP地址段中7626端口開放的主機(jī)就行了,例如圖中B機(jī)的IP地址是202.102.47.56,當(dāng)A機(jī)掃描到 這個(gè)IP時(shí)發(fā)現(xiàn)它的7626端口是開放的,那么這個(gè)IP就會(huì)被添加到列表中,這時(shí)A機(jī)就可以通過木馬的控 制端程序向B機(jī)發(fā)出連接信號(hào),B機(jī)中的木馬程序收到信號(hào)后立即作出響應(yīng),當(dāng)A機(jī)收到響應(yīng)的信號(hào)后, 開啟一個(gè)隨即端口1031與B機(jī)的木馬端口7626建立連接,到這時(shí)一個(gè)木馬連接才算真正建立。值得一提 的要掃描整個(gè)IP地址段顯然費(fèi)時(shí)費(fèi)力,一般來說控制端都是先通過信息反饋獲得服務(wù)端的IP地址,由于 撥號(hào)上網(wǎng)的IP是動(dòng)態(tài)的,即用戶每次上網(wǎng)的IP都是不同的,但是這個(gè)IP是在一定范圍內(nèi)變動(dòng)的,如圖中 B機(jī)的IP是202.102.47.56,那么B機(jī)上網(wǎng)IP的變動(dòng)范圍是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索這個(gè)IP地址段就可以找到B機(jī)了。

    六.遠(yuǎn)程控制:

    木馬連接建立后,控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道。

    控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系,并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn) 程控制。下面我們就介紹一下控制端具體能享有哪些控制權(quán)限,這遠(yuǎn)比你想象的要大。

    (1)竊取密碼:一切以明文的形式,*形式或緩存在CACHE中的密碼都能被木馬偵測(cè)到,此外很多木馬還 提供有擊鍵記錄功能,它將會(huì)記錄服務(wù)端每次敲擊鍵盤的動(dòng)作,所以一旦有木馬入侵, 密碼將很容易被竊取。

    (2)文件操作:控制端可藉由遠(yuǎn)程控制對(duì)服務(wù)端上的文件進(jìn)行刪除,新建,修改,上傳,下載,運(yùn)行,更改屬 性等一系列操作,基本涵蓋了WINDOWS平臺(tái)上所有的文件操作功能。

    (3)修改注冊(cè)表:控制端可任意修改服務(wù)端注冊(cè)表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這 項(xiàng)功能控制端就可以禁止服務(wù)端軟驅(qū),光驅(qū)的使用,鎖住服務(wù)端的注冊(cè)表,將服務(wù)端 上木馬的觸發(fā)條件設(shè)置得更隱蔽的一系列高級(jí)操作。

    (4)系統(tǒng)操作:這項(xiàng)內(nèi)容包括重啟或關(guān)閉服務(wù)端操作系統(tǒng),斷開服務(wù)端網(wǎng)絡(luò)連接,控制服務(wù)端的鼠標(biāo), 鍵盤,監(jiān)視服務(wù)端桌面操作,查看服務(wù)端進(jìn)程等,控制端甚至可以隨時(shí)給服務(wù)端發(fā)送信息,想象一下,當(dāng)服務(wù)端的桌面上突然跳出一段話,不嚇人一跳才怪

    木馬和病毒都是一種人為的程序,都屬于電腦病毒,為什么木馬要單獨(dú)提出來說內(nèi)?大家都知道以前的電腦病毒的作用,其實(shí)完全就是為了搞破壞,破壞電腦里的資料數(shù)據(jù),除了破壞之外其它無非就是有些病毒制造者為了達(dá)到某些目的而進(jìn)行的威懾和敲詐勒索的作用,或?yàn)榱遂乓约旱募夹g(shù). "木馬"不一樣,木馬的作用是赤裸裸的偷偷監(jiān)視別人和盜竊別人密碼,數(shù)據(jù)等,如盜竊管理員密碼-子網(wǎng)密碼搞破壞,或者好玩,偷竊上網(wǎng)密碼用于它用,游戲帳號(hào),股票帳號(hào),甚至網(wǎng)上銀行帳戶等.達(dá)到偷窺別人隱私和得到經(jīng)濟(jì)利益的目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達(dá)到使用者的目的!導(dǎo)致許多別有用心的程序開發(fā)者大量的編寫這類帶有偷竊和監(jiān)視別人電腦的侵入性程序,這就是目前網(wǎng)上大量木馬泛濫成災(zāi)的原因.鑒于木馬的這些巨大危害性和它與早期病毒的作用性質(zhì)不一樣,所以木馬雖然屬于病毒中的一類,但是要單獨(dú)的從病毒類型中間剝離出來.獨(dú)立的稱之為"木馬"程序.

    一般來說一種殺毒軟件程序,它的木馬專殺程序能夠查殺某某木馬的話,那么它自己的普通殺毒程序也當(dāng)然能夠殺掉這種木馬,因?yàn)樵谀抉R泛濫的今天,為木馬單獨(dú)設(shè)計(jì)一個(gè)專門的木馬查殺工具,那是能提高該殺毒軟件的產(chǎn)品檔次的,對(duì)其聲譽(yù)也大大的有益,實(shí)際上一般的普通殺毒軟件里都包含了對(duì)木馬的查殺功能.如果現(xiàn)在大家說某某殺毒軟件沒有木馬專殺的程序,那這家殺毒軟件廠商自己也好像有點(diǎn)過意不去,即使它的普通殺毒軟件里當(dāng)然的有殺除木馬的功能.

    還有一點(diǎn)就是,把查殺木馬程序單獨(dú)剝離出來,可以提高查殺效率,現(xiàn)在很多殺毒軟件里的木馬專殺程序只對(duì)木馬進(jìn)行查殺,不去檢查普通病毒庫(kù)里的病毒代碼,也就是說當(dāng)用戶運(yùn)行木馬專殺程序的時(shí)候,程序只調(diào)用木馬代碼庫(kù)里的數(shù)據(jù),而不調(diào)用病毒代碼庫(kù)里的數(shù)據(jù),大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因?yàn)楝F(xiàn)在有太多太多的病毒.每個(gè)文件要經(jīng)過幾萬條木馬代碼的檢驗(yàn),然后再加上已知的差不多有近10萬個(gè)病毒代碼的檢驗(yàn),那速度豈不是很慢了.省去普通病毒代碼檢驗(yàn),是不是就提高了效率,提高了速度內(nèi)? 也就是說現(xiàn)在好多殺毒軟件自帶的木馬專殺程序只查殺木馬而一般不去查殺病毒,但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬!

    隱形”木馬啟動(dòng)方式揭秘

    大家所熟知的木馬程序一般的啟動(dòng)方式有:加載到“開始”菜單中的“啟動(dòng)”項(xiàng)、記錄到注冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項(xiàng)和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]項(xiàng)中,更高級(jí)的木馬還會(huì)注冊(cè)為系統(tǒng)的“服務(wù)”程序,以上這幾種啟動(dòng)方式都可以在“系統(tǒng)配置實(shí)用程序”(在“開始→運(yùn)行”中執(zhí)行“Msconfig”)的“啟動(dòng)”項(xiàng)和“服務(wù)”項(xiàng)中找到它的蹤跡。

    另一種鮮為人知的啟動(dòng)方式,是在“開始→運(yùn)行”中執(zhí)行“Gpedit.msc”。打開“組策略”,可看到“本地計(jì)算機(jī)策略”中有兩個(gè)選項(xiàng):“計(jì)算機(jī)配置”與“用戶配置”,展開“用戶配置→管理模板→系統(tǒng)→登錄”,雙擊“在用戶登錄時(shí)運(yùn)行這些程序”子項(xiàng)進(jìn)行屬性設(shè)置,選定“設(shè)置”項(xiàng)中的“已啟用”項(xiàng)并單擊“顯示”按鈕彈出“顯示內(nèi)容”窗口,再單擊“添加”按鈕,在“添加項(xiàng)目”窗口內(nèi)的文本框中輸入要自啟動(dòng)的程序的路徑,如圖所示,單擊“確定”按鈕就完成了。

    添加需要啟動(dòng)的文件面

    重新啟動(dòng)計(jì)算機(jī),系統(tǒng)在登錄時(shí)就會(huì)自動(dòng)啟動(dòng)你添加的程序,如果剛才添加的是木馬程序,那么一個(gè)“隱形”木馬就這樣誕生了。因?yàn)橛眠@種方式添加的自啟動(dòng)程序在系統(tǒng)的“系統(tǒng)配置實(shí)用程序”是找不到的,同樣在我們所熟知的注冊(cè)表項(xiàng)中也是找不到的,所以非常危險(xiǎn)。

    通過這種方式添加的自啟動(dòng)程序雖然被記錄在注冊(cè)表中,但是不在我們所熟知的注冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項(xiàng)和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]項(xiàng)內(nèi),而是在冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項(xiàng)。如果你懷疑你的電腦被種了“木馬”,可是又找不到它在哪兒,建議你到注冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項(xiàng)里找找吧,或是進(jìn)入“組策略”的“在用戶登錄時(shí)運(yùn)行這些程序”看看有沒有啟動(dòng)的程序。

    特洛伊木馬NetBus v.1.60的中文說明

    概 述

    此程序是一個(gè)遙控管理工具,更是一個(gè)在局域網(wǎng)或在全球因特網(wǎng)上同朋友逗樂的軟件.

    安 裝

    NetBus包含服務(wù)器和客戶機(jī)部分,服務(wù)器必須安裝在你想逗樂的人的計(jì)算機(jī)上.客戶機(jī)屬你掌握,它是控

    制目標(biāo)計(jì)算機(jī)的好程序.

    把NetSever服務(wù)器,Patch.exe(可更名),放入目標(biāo)計(jì)算機(jī)的任意位置并運(yùn)行它,缺省時(shí)安裝在Windows中,

    以更開機(jī)時(shí)自動(dòng)運(yùn)行. 把NetSever客戶機(jī),裝在自己的計(jì)算機(jī)里.開始NetBus,聯(lián)結(jié)你選擇的域名或(IP地

    址);如果Patch已在你聯(lián)結(jié)的目標(biāo)計(jì)算機(jī)中已運(yùn)行. 讓我們開始逗樂!

    注意:你看不到Patch在運(yùn)行-它Windows開始時(shí)自動(dòng)運(yùn)行,并隱藏.

    Netbus和Patch使用TCP/IP協(xié)議.因此,你的地址有域名或IP號(hào).NetBus會(huì)用Connect按鈕把你和某人聯(lián)上.

    功 能

    *彈開/關(guān)閉CD-ROM一次或間隔性自動(dòng)開關(guān).

    *顯示所選擇的圖象,如果你沒有圖像文件的路徑,可在Pacth的目錄中找.支持BMP和JPG格式.

    *交換鼠標(biāo)按鈕-鼠標(biāo)右鍵變成鼠標(biāo)左鍵的功能.

    *開始所選擇的應(yīng)用程序.

    *播放所選擇的聲音文件, 如果你沒有聲音文件的路徑,可在Pacth的目錄中找.支持WAV格式.

    *點(diǎn)擊所選的鼠標(biāo)坐標(biāo),你甚至可你的鼠標(biāo)在目標(biāo)計(jì)算機(jī)中運(yùn)行.

    *在銀屏上顯示對(duì)話框,回答會(huì)返回你的計(jì)算機(jī)中.

    *關(guān)閉系統(tǒng),刪除用戶記錄等.

    *用缺省網(wǎng)絡(luò)瀏覽器,瀏覽所選擇的URL.

    *發(fā)送鍵盤輸入的信息到目標(biāo)計(jì)算機(jī)中的活動(dòng)應(yīng)用程序中!

    *監(jiān)視對(duì)方的鍵盤輸入的信息,并發(fā)回到你的計(jì)算機(jī).

    *清屏!(連接速度慢時(shí)禁用).

    *獲取目標(biāo)計(jì)算機(jī)中的信息.

    *上載你的文件到目標(biāo)計(jì)算機(jī)中!用此功能,可上載Patch的最新版本.

    *增大和減少聲音音量.

    *記錄麥克風(fēng)的聲音,并將聲音返回.

    *按一次鍵每次有聲音.

    *下載和刪除目標(biāo)中的任何文件.你能下載/刪除在目標(biāo)計(jì)算機(jī)硬盤中所選擇的文件.

    *鍵盤禁用功能.

    *密碼保護(hù)管理.

    *記錄鍵盤活動(dòng)

    *顯示,死機(jī)和集中系統(tǒng)中的窗囗.

    上述功能一些選項(xiàng)在執(zhí)行時(shí),(邏輯排異),可能會(huì)延遲幾秒.

    連 接

    Connect按鈕有個(gè)很好的特點(diǎn),它能掃描NetBus計(jì)算機(jī)中的IP地址.一旦連接它會(huì)停止掃描.IP掃描的

    參數(shù)是xx.xx.xx.xx+xx,等.

    127.0.0.1+15 將掃描IP地址的范圍是127.0.0.1到 127.0.0.16

    但是木馬大多數(shù)殺毒軟件殺不到,我推薦木馬殺客\木馬克星.

    木馬后來會(huì)將電腦變成一只"肉雞",任幕后人控制,只要你連了網(wǎng),他就可以肆意控制你的主機(jī),只有拔電源才不會(huì)被控制.

    ___________________________________________________________________________________________________________現(xiàn)在網(wǎng)頁(yè)木馬無非有以下幾種方式中到你的機(jī)器里

    1:把木馬文件改成BMP文件,然后配合你機(jī)器里的DEBUG來還原成EXE,網(wǎng)上存在該木馬20%

    2:下載一個(gè)TXT文件到你機(jī)器,然后里面有具體的FTP^-^作,F(xiàn)TP連上他們有木馬的機(jī)器下載木馬,網(wǎng)上存在該木馬20%

    3:也是最常用的方式,下載一個(gè)HTA文件,然后用網(wǎng)頁(yè)控件解釋器來還原木馬。該木馬在網(wǎng)上存在50%以上

    4:采用JS腳本,用VBS腳本來執(zhí)行木馬文件,該型木馬偷QQ的比較多,偷傳奇的少,大概占10%左右

    5:其他方式未知。。。。。。。。。。。。。

    現(xiàn)在我們來說防范的方法。。。。。。。。。不要丟金磚

    那就是把 windows\system\mshta.exe文件改名,

    改成什么自己隨便 (s個(gè)屁和瘟2000是在system32下)

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下為Active Setup controls創(chuàng)建一個(gè)基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創(chuàng)建一個(gè)REG_DWORD 類型的鍵Compatibility,并設(shè)定鍵值為0x00000400即可。

    還有windows\command\debug.exe和windows\ftp.exe都給改個(gè)名字 (或者刪除)

    一些最新流行的木馬 最有效果的防御~~

    比如網(wǎng)絡(luò)上流行 的木馬 smss.exe 這個(gè)是其中一種木馬的主體 潛伏在 98/winme/xp c:\windows目錄下 2000 c:\winnt .....

    假如你中了這個(gè)木馬 首先我們用進(jìn)程管理器結(jié)束 正在運(yùn)行的木馬smss.exe 然后在C:\windows 或 c:\winnt\目錄下 創(chuàng)建一個(gè)假的 smss.exe 并設(shè)置為只讀屬性~ (2000/XP NTFS的磁盤格式 的話那就更好 可以用“安全設(shè)置” 設(shè)置為讀?。?這樣木馬沒了~ 以后也不會(huì)在感染了這個(gè)辦法本人測(cè)試過對(duì)很多木馬

    都很有效果的

    經(jīng)過這樣的修改后,我現(xiàn)在專門找別人發(fā)的木馬網(wǎng)址去測(cè)試,實(shí)驗(yàn)結(jié)果是上了大概20個(gè)木馬網(wǎng)站,有大概15個(gè)瑞星會(huì)報(bào)警,另外5個(gè)瑞星沒有反映,而我的機(jī)器沒有添加出來新的EXE文件,也沒有新的進(jìn)程出現(xiàn),只不過有些木馬的殘骸留在了IE的臨時(shí)文件夾里,他們沒有被執(zhí)行起來,沒有危險(xiǎn)性,所以建議大家經(jīng)常清理 臨時(shí)文件夾和IE

    木馬(Trojan)這個(gè)名字來源于古希臘傳說,它是指通過一段特定的程序(木馬程序)來控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序:一個(gè)是客戶端,即控制端,另一個(gè)是服務(wù)端,即被控制端。木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn),而采用多種手段隱藏木馬。木馬的服務(wù)一旦運(yùn)行并被控制端連接,其控制端將享有服務(wù)端的大部分操作權(quán)限,例如給計(jì)算機(jī)增加口令,瀏覽、移動(dòng)、復(fù)制、刪除文件,修改注冊(cè)表,更改計(jì)算機(jī)配置等。

    隨著病毒編寫技術(shù)的發(fā)展,木馬程序?qū)τ脩舻耐{越來越大,尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己,使普通用戶很難在中毒后發(fā)覺。

    防治木馬的危害,應(yīng)該采取以下措施:

    第一,安裝殺毒軟件和個(gè)人防火墻,并及時(shí)升級(jí)。

    第二,把個(gè)人防火墻設(shè)置好安全等級(jí),防止未知程序向外傳送數(shù)據(jù)。

    第三,可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。

    第四,如果使用IE瀏覽器,應(yīng)該安裝卡卡安全助手,防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件,以免被木馬趁機(jī)侵入。

    二、誰能夠教我一些簡(jiǎn)單的木馬知識(shí)?

    木馬只是兩種,一時(shí)以為破壞,一時(shí)對(duì)放馬者有利的,比如控制,裝個(gè)AVG吧,他對(duì)這個(gè)有一套,在裝個(gè)防火墻,費(fèi)爾不錯(cuò),在裝個(gè)諾頓,卡巴最好不用,誤殺大王一個(gè),以后用問題再問我。我對(duì)這種東西研究比較高。小高手。

    木馬

    特洛伊木馬(以下簡(jiǎn)稱木馬),英文叫做“Trojan horse”,其名稱取自希臘神話的特洛伊木馬記。

    它是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點(diǎn)。

    所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn),會(huì)采用多種手段隱藏木馬,這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬,由于不能確定其具體位置,往往只能望“馬”興嘆。

    所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后,控制端將享有服務(wù)端的大部分操作權(quán)限,包括修改文件,修改注冊(cè)表,控制鼠標(biāo),鍵盤等等,而這些權(quán)力并不是服務(wù)端賦予的,而是通過木馬程序竊取的。

    從木馬的發(fā)展來看,基本上可以分為兩個(gè)階段。

    最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期,木馬就產(chǎn)生了,當(dāng)時(shí)的木馬程序的功能相對(duì)簡(jiǎn)單,往往是將一段程序嵌入到系統(tǒng)文件中,用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能,在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員,必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。

    而后隨著WINDOWS平臺(tái)的日益普及,一些基于圖形操作的木馬程序出現(xiàn)了,用戶界面的改善,使使用者不用懂太多的專業(yè)知識(shí)就可以熟練的操作木馬,相對(duì)的木馬入侵事件也頻繁出現(xiàn),而且由于這個(gè)時(shí)期木馬的功能已日趨完善,因此對(duì)服務(wù)端的破壞也更大了。

    所以所木馬發(fā)展到今天,已經(jīng)無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。

    鑒于木馬的巨大危害性,我們將分原理篇,防御與反擊篇,資料篇三部分來詳細(xì)介紹木馬,希望大家對(duì)特洛伊木馬這種攻擊手段有一個(gè)透徹的了解。

    原 理 篇

    基礎(chǔ)知識(shí)

    在介紹木馬的原理之前有一些木馬構(gòu)成的基礎(chǔ)知識(shí)我們要事先加以說明,因?yàn)橄旅嬗泻芏嗟胤綍?huì)提到這些內(nèi)容。

    一個(gè)完整的木馬系統(tǒng)由硬件部分,軟件部分和具體連接部分組成。

    (1)硬件部分:建立木馬連接所必須的硬件實(shí)體。 控制端:對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。 服務(wù)端:被控制端遠(yuǎn)程控制的一方。 INTERNET:控制端對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制,數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。

    (2)軟件部分:實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。 控制端程序:控制端用以遠(yuǎn)程控制服務(wù)端的程序。 木馬程序:潛入服務(wù)端內(nèi)部,獲取其操作權(quán)限的程序。 木馬配置程序:設(shè)置木馬程序的端口號(hào),觸發(fā)條件,木馬名稱等,使其在服務(wù)端藏得更隱蔽的程序。

    (3)具體連接部分:通過INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。 控制端IP,服務(wù)端IP:即控制端,服務(wù)端的網(wǎng)絡(luò)地址,也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡亍?控制端端口,木馬端口:即控制端,服務(wù)端的數(shù)據(jù)入口,通過這個(gè)入口,數(shù)據(jù)可直達(dá)控制端程序或木馬 程序。

    木馬原理

    用木馬這種黑客工具進(jìn)行網(wǎng)絡(luò)入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細(xì)闡述木馬的攻擊原理。

    一.配置木馬

    一般來說一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序,從具體的配置內(nèi)容看,主要是為了實(shí)現(xiàn)以下兩方 面功能:

    (1)木馬偽裝:木馬配置程序?yàn)榱嗽诜?wù)端盡可能的好的隱藏木馬,會(huì)采用多種偽裝手段,如修改圖標(biāo) ,捆綁文件,定制端口,自我銷毀等,我們將在“傳播木馬”這一節(jié)中詳細(xì)介紹。

    (2)信息反饋:木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置,如設(shè)置信息反饋的郵件地址,IRC號(hào) ,ICO號(hào)等等,具體的我們將在“信息反饋”這一節(jié)中詳細(xì)介紹。

    二.傳播木馬

    (1)傳播方式:

    木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出 去, 收信人只要打開附件系統(tǒng)就會(huì)感染木馬;另一種是軟件下載,一些非正規(guī)的網(wǎng)站以提供軟件下載為名義, 將木馬捆綁在軟件安裝程序上,下載后,只要一運(yùn)行這些程序,木馬就會(huì)自動(dòng)安裝。

    (2)偽裝方式:

    鑒于木馬的危害性,很多人對(duì)木馬知識(shí)還是有一定了解的,這對(duì)木馬的傳播起了一定的抑制作用,這 是木馬設(shè)計(jì)者所不愿見到的,因此他們開發(fā)了多種功能來偽裝木馬,以達(dá)到降低用戶警覺,欺騙用戶的目的。

    (一)修改圖標(biāo)

    當(dāng)你在E-MAIL的附件中看到這個(gè)圖標(biāo)時(shí),是否會(huì)認(rèn)為這是個(gè)文本文件呢?但是我不得不告 訴你,這也有可能是個(gè)木馬程序,現(xiàn)在 已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標(biāo)改成HTML,TXT, ZIP等各種文件的圖標(biāo),這有相當(dāng)大的迷 惑性,但是目前提供這種功能的木馬還不多見,并且這種 偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。

    (二)捆綁文件

    這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上,當(dāng)安裝程序運(yùn)行時(shí),木馬在用戶毫無察覺的 情況下 ,偷偷的進(jìn)入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。

    (三)出錯(cuò)顯示

    有一定木馬知識(shí)的人都知道,如果打開一個(gè)文件,沒有任何反應(yīng),這很可能就是個(gè)木馬程序, 木馬的 設(shè)計(jì)者也意識(shí)到了這個(gè)缺陷,所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù) 端用戶打開木 馬程序時(shí),會(huì)彈出一個(gè)如下圖所示的錯(cuò)誤提示框(這當(dāng)然是假的),錯(cuò)誤內(nèi)容可自由 定義,大多會(huì)定制成 一些諸如“文件已破壞,無法打開的!”之類的信息,當(dāng)服務(wù)端用戶信以 為真時(shí),木馬卻悄悄侵入了 系統(tǒng)。

    (四)定制端口

    很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 端口就 知道感染了什么木馬,所以現(xiàn)在很多新式的木馬都加入了定制端口的功能,控制端用戶可 以在1024---65535之間任選一個(gè)端口作為木馬端口(一般不選1024以下的端口),這樣就給判斷 所感染木馬類型帶 來了麻煩。

    (五)自我銷毀

    這項(xiàng)功能是為了彌補(bǔ)木馬的一個(gè)缺陷。我們知道當(dāng)服務(wù)端用戶打開含有木馬的文件后,木馬 會(huì)將自己拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來說 原木馬文件 和系統(tǒng)文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了木馬 的朋友只要在近來 收到的信件和下載的軟件中找到原木馬文件,然后根據(jù)原木馬的大小去系統(tǒng) 文件夾找相同大小的文件, 判斷一下哪個(gè)是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬后,原木馬文件將自動(dòng)銷毀,這 樣服務(wù)端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。

    (六)木馬更名

    安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的,那么只要根據(jù)一些查殺木馬的文章,按 圖索驥在系統(tǒng)文件夾查找特定的文件,就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控 制端用戶自由定制安裝后的木馬文件名,這樣很難判斷所感染的木馬類型了。

    三.運(yùn)行木馬

    服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后,木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的 系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然后在注冊(cè)表,啟動(dòng)組,非啟動(dòng)組中設(shè)置好木馬 的觸發(fā)條件 ,這樣木馬的安裝就完成了。安裝后就可以啟動(dòng)木馬了,具體過程見下圖:

    (1)由觸發(fā)條件激活木馬

    觸發(fā)條件是指啟動(dòng)木馬的條件,大致出現(xiàn)在下面八個(gè)地方:

    1.注冊(cè)表:打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五個(gè)以Run 和RunServices主鍵,在其中尋找可能是啟動(dòng)木馬的鍵值。

    2.WIN.INI:C:WINDOWS目錄下有一個(gè)配置文件win.ini,用文本方式打開,在[windows]字段中有啟動(dòng) 命令 load=和run=,在一般情況下是空白的,如果有啟動(dòng)程序,可能是木馬。 3.SYSTEM.INI:C:WINDOWS目錄下有個(gè)配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動(dòng)命令。

    4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方式一般都 需要控制端用戶與服務(wù)端建立連接后,將已添加木馬啟動(dòng)命令的同名 文件上傳 到服務(wù)端覆蓋這兩個(gè)文件才行。

    5.*.INI:即應(yīng)用程序的啟動(dòng)配置文件,控制端利用這些文件能啟動(dòng)程序的特點(diǎn),將制作好的帶有木馬 啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件,這樣就可以達(dá)到啟動(dòng)木馬的目的了。

    6.注冊(cè)表:打開HKEY_CLASSES_ROOT文件類型\shellopencommand主鍵,查看其鍵值。舉個(gè)例子,國(guó)產(chǎn) 木馬“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的鍵值,將“C :WINDOWS NOTEPAD.EXE %1”該為“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,這時(shí)你雙 擊一個(gè)TXT文件 后,原本應(yīng)用NOTEPAD打開文件的,現(xiàn)在卻變成啟動(dòng)木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動(dòng)命令的鍵值都可以啟動(dòng)木馬 ,不同之處只在于“文件類型”這個(gè)主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找一下。

    7.捆綁文件:實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接,然后控制端用戶用工具 軟件將木馬文件和某一應(yīng)用程序捆綁在一起,然后上傳到服務(wù)端覆蓋原文件,這樣即使 木馬被刪 除了,只要運(yùn)行捆綁了木馬的應(yīng)用程序,木馬又會(huì)被安裝上去了。

    8.啟動(dòng)菜單:在“開始---程序---啟動(dòng)”選項(xiàng)下也可能有木馬的觸發(fā)條件。

    (2)木馬運(yùn)行過程

    木馬被激活后,進(jìn)入內(nèi)存,并開啟事先定義的木馬端口,準(zhǔn)備與控制端建立連接。這時(shí)服務(wù)端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看端口狀態(tài),一般個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì)有端口 開放的,如果有端口開放,你就要注意是否感染木馬了。下面是電腦感染木馬后,用NETSTAT命令查 看端口的兩個(gè)實(shí)例:

    其中①是服務(wù)端與控制端建立連接時(shí)的顯示狀態(tài),②是服務(wù)端與控制端還未建立連接時(shí)的顯示狀態(tài)。

    在上網(wǎng)過程中要下載軟件,發(fā)送信件,網(wǎng)上聊天等必然打開一些端口,下面是一些常用的端口:

    (1)1---1024之間的端口:這些端口叫保留端口,是專給一些對(duì)外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木馬會(huì)用保留端口作為木馬端口 的。

    (2)1025以上的連續(xù)端口:在上網(wǎng)瀏覽網(wǎng)站時(shí),瀏覽器會(huì)打開多個(gè)連續(xù)的端口下載文字,圖片到本地 硬盤上,這些端口都是1025以上的連續(xù)端口。

    (3)4000端口:這是OICQ的通訊端口。

    (4)6667端口:這是IRC的通訊端口。 除上述的端口基本可以排除在外,如發(fā)現(xiàn)還有其它端口打開,尤其是數(shù)值比較大的端口,那就要懷疑 是否感染了木馬,當(dāng)然如果木馬有定制端口的功能,那任何端口都有可能是木馬端口。

    四.信息泄露:

    一般來說,設(shè)計(jì)成熟的木馬都有一個(gè)信息反饋機(jī)制。所謂信息反饋機(jī)制是指木馬成功安裝后會(huì)收集 一些服務(wù)端的軟硬件信息,并通過E-MAIL,IRC或ICO的方式告知控制端用戶。

    從反饋信息中控制端可以知道服務(wù)端的一些軟硬件信息,包括使用的操作系統(tǒng),系統(tǒng)目錄,硬盤分區(qū)況, 系統(tǒng)口令等,在這些信息中,最重要的是服務(wù)端IP,因?yàn)橹挥械玫竭@個(gè)參數(shù),控制端才能與服務(wù)端建立 連接,具體的連接方法我們會(huì)在下一節(jié)中講解。

    五.建立連接:

    這一節(jié)我們講解一下木馬連接是怎樣建立的 。一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件:一是 服務(wù)端已安裝了木馬程序;二是控制端,服務(wù)端都要在線 。在此基礎(chǔ)上控制端可以通過木馬端口與服 務(wù)端建立連接。

    假設(shè)A機(jī)為控制端,B機(jī)為服務(wù)端,對(duì)于A機(jī)來說要與B機(jī)建立連接必須知道B機(jī)的木馬端口和IP地 址,由于木馬端口是A機(jī)事先設(shè)定的,為已知項(xiàng),所以最重要的是如何獲得B機(jī)的IP地址。獲得B機(jī)的IP 地址的方法主要有兩種:信息反饋和IP掃描。對(duì)于前一種已在上一節(jié)中已經(jīng)介紹過了,不再贅述,我們 重點(diǎn)來介紹IP掃描,因?yàn)锽機(jī)裝有木馬程序,所以它的木馬端口7626是處于開放狀態(tài)的,所以現(xiàn)在A機(jī)只 要掃描IP地址段中7626端口開放的主機(jī)就行了,例如圖中B機(jī)的IP地址是202.102.47.56,當(dāng)A機(jī)掃描到 這個(gè)IP時(shí)發(fā)現(xiàn)它的7626端口是開放的,那么這個(gè)IP就會(huì)被添加到列表中,這時(shí)A機(jī)就可以通過木馬的控 制端程序向B機(jī)發(fā)出連接信號(hào),B機(jī)中的木馬程序收到信號(hào)后立即作出響應(yīng),當(dāng)A機(jī)收到響應(yīng)的信號(hào)后, 開啟一個(gè)隨即端口1031與B機(jī)的木馬端口7626建立連接,到這時(shí)一個(gè)木馬連接才算真正建立。值得一提 的要掃描整個(gè)IP地址段顯然費(fèi)時(shí)費(fèi)力,一般來說控制端都是先通過信息反饋獲得服務(wù)端的IP地址,由于 撥號(hào)上網(wǎng)的IP是動(dòng)態(tài)的,即用戶每次上網(wǎng)的IP都是不同的,但是這個(gè)IP是在一定范圍內(nèi)變動(dòng)的,如圖中 B機(jī)的IP是202.102.47.56,那么B機(jī)上網(wǎng)IP的變動(dòng)范圍是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索這個(gè)IP地址段就可以找到B機(jī)了。

    六.遠(yuǎn)程控制:

    木馬連接建立后,控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道。

    控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系,并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn) 程控制。下面我們就介紹一下控制端具體能享有哪些控制權(quán)限,這遠(yuǎn)比你想象的要大。

    (1)竊取密碼:一切以明文的形式,*形式或緩存在CACHE中的密碼都能被木馬偵測(cè)到,此外很多木馬還 提供有擊鍵記錄功能,它將會(huì)記錄服務(wù)端每次敲擊鍵盤的動(dòng)作,所以一旦有木馬入侵, 密碼將很容易被竊取。

    (2)文件操作:控制端可藉由遠(yuǎn)程控制對(duì)服務(wù)端上的文件進(jìn)行刪除,新建,修改,上傳,下載,運(yùn)行,更改屬 性等一系列操作,基本涵蓋了WINDOWS平臺(tái)上所有的文件操作功能。

    (3)修改注冊(cè)表:控制端可任意修改服務(wù)端注冊(cè)表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這 項(xiàng)功能控制端就可以禁止服務(wù)端軟驅(qū),光驅(qū)的使用,鎖住服務(wù)端的注冊(cè)表,將服務(wù)端 上木馬的觸發(fā)條件設(shè)置得更隱蔽的一系列高級(jí)操作。

    (4)系統(tǒng)操作:這項(xiàng)內(nèi)容包括重啟或關(guān)閉服務(wù)端操作系統(tǒng),斷開服務(wù)端網(wǎng)絡(luò)連接,控制服務(wù)端的鼠標(biāo), 鍵盤,監(jiān)視服務(wù)端桌面操作,查看服務(wù)端進(jìn)程等,控制端甚至可以隨時(shí)給服務(wù)端發(fā)送信息,想象一下,當(dāng)服務(wù)端的桌面上突然跳出一段話,不嚇人一跳才怪

    木馬和病毒都是一種人為的程序,都屬于電腦病毒,為什么木馬要單獨(dú)提出來說內(nèi)?大家都知道以前的電腦病毒的作用,其實(shí)完全就是為了搞破壞,破壞電腦里的資料數(shù)據(jù),除了破壞之外其它無非就是有些病毒制造者為了達(dá)到某些目的而進(jìn)行的威懾和敲詐勒索的作用,或?yàn)榱遂乓约旱募夹g(shù). "木馬"不一樣,木馬的作用是赤裸裸的偷偷監(jiān)視別人和盜竊別人密碼,數(shù)據(jù)等,如盜竊管理員密碼-子網(wǎng)密碼搞破壞,或者好玩,偷竊上網(wǎng)密碼用于它用,游戲帳號(hào),股票帳號(hào),甚至網(wǎng)上銀行帳戶等.達(dá)到偷窺別人隱私和得到經(jīng)濟(jì)利益的目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達(dá)到使用者的目的!導(dǎo)致許多別有用心的程序開發(fā)者大量的編寫這類帶有偷竊和監(jiān)視別人電腦的侵入性程序,這就是目前網(wǎng)上大量木馬泛濫成災(zāi)的原因.鑒于木馬的這些巨大危害性和它與早期病毒的作用性質(zhì)不一樣,所以木馬雖然屬于病毒中的一類,但是要單獨(dú)的從病毒類型中間剝離出來.獨(dú)立的稱之為"木馬"程序.

    一般來說一種殺毒軟件程序,它的木馬專殺程序能夠查殺某某木馬的話,那么它自己的普通殺毒程序也當(dāng)然能夠殺掉這種木馬,因?yàn)樵谀抉R泛濫的今天,為木馬單獨(dú)設(shè)計(jì)一個(gè)專門的木馬查殺工具,那是能提高該殺毒軟件的產(chǎn)品檔次的,對(duì)其聲譽(yù)也大大的有益,實(shí)際上一般的普通殺毒軟件里都包含了對(duì)木馬的查殺功能.如果現(xiàn)在大家說某某殺毒軟件沒有木馬專殺的程序,那這家殺毒軟件廠商自己也好象有點(diǎn)過意不去,即使它的普通殺毒軟件里當(dāng)然的有殺除木馬的功能.

    還有一點(diǎn)就是,把查殺木馬程序單獨(dú)剝離出來,可以提高查殺效率,現(xiàn)在很多殺毒軟件里的木馬專殺程序只對(duì)木馬進(jìn)行查殺,不去檢查普通病毒庫(kù)里的病毒代碼,也就是說當(dāng)用戶運(yùn)行木馬專殺程序的時(shí)候,程序只調(diào)用木馬代碼庫(kù)里的數(shù)據(jù),而不調(diào)用病毒代碼庫(kù)里的數(shù)據(jù),大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因?yàn)楝F(xiàn)在有太多太多的病毒.每個(gè)文件要經(jīng)過幾萬條木馬代碼的檢驗(yàn),然后再加上已知的差不多有近10萬個(gè)病毒代碼的檢驗(yàn),那速度豈不是很慢了.省去普通病毒代碼檢驗(yàn),是不是就提高了效率,提高了速度內(nèi)? 也就是說現(xiàn)在好多殺毒軟件自帶的木馬專殺程序只查殺木馬而一般不去查殺病毒,但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬!

    隱形”木馬啟動(dòng)方式揭秘

    大家所熟知的木馬程序一般的啟動(dòng)方式有:加載到“開始”菜單中的“啟動(dòng)”項(xiàng)、記錄到注冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項(xiàng)和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]項(xiàng)中,更高級(jí)的木馬還會(huì)注冊(cè)為系統(tǒng)的“服務(wù)”程序,以上這幾種啟動(dòng)方式都可以在“系統(tǒng)配置實(shí)用程序”(在“開始→運(yùn)行”中執(zhí)行“Msconfig”)的“啟動(dòng)”項(xiàng)和“服務(wù)”項(xiàng)中找到它的蹤跡。

    另一種鮮為人知的啟動(dòng)方式,是在“開始→運(yùn)行”中執(zhí)行“Gpedit.msc”。打開“組策略”,可看到“本地計(jì)算機(jī)策略”中有兩個(gè)選項(xiàng):“計(jì)算機(jī)配置”與“用戶配置”,展開“用戶配置→管理模板→系統(tǒng)→登錄”,雙擊“在用戶登錄時(shí)運(yùn)行這些程序”子項(xiàng)進(jìn)行屬性設(shè)置,選定“設(shè)置”項(xiàng)中的“已啟用”項(xiàng)并單擊“顯示”按鈕彈出“顯示內(nèi)容”窗口,再單擊“添加”按鈕,在“添加項(xiàng)目”窗口內(nèi)的文本框中輸入要自啟動(dòng)的程序的路徑,如圖所示,單擊“確定”按鈕就完成了。

    添加需要啟動(dòng)的文件面

    重新啟動(dòng)計(jì)算機(jī),系統(tǒng)在登錄時(shí)就會(huì)自動(dòng)啟動(dòng)你添加的程序,如果剛才添加的是木馬程序,那么一個(gè)“隱形”木馬就這樣誕生了。因?yàn)橛眠@種方式添加的自啟動(dòng)程序在系統(tǒng)的“系統(tǒng)配置實(shí)用程序”是找不到的,同樣在我們所熟知的注冊(cè)表項(xiàng)中也是找不到的,所以非常危險(xiǎn)。

    通過這種方式添加的自啟動(dòng)程序雖然被記錄在注冊(cè)表中,但是不在我們所熟知的注冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項(xiàng)和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]項(xiàng)內(nèi),而是在冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項(xiàng)。如果你懷疑你的電腦被種了“木馬”,可是又找不到它在哪兒,建議你到注冊(cè)表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項(xiàng)里找找吧,或是進(jìn)入“組策略”的“在用戶登錄時(shí)運(yùn)行這些程序”看看有沒有啟動(dòng)的程序。

    特洛伊木馬NetBus v.1.60的中文說明

    概 述

    此程序是一個(gè)遙控管理工具,更是一個(gè)在局域網(wǎng)或在全球因特網(wǎng)上同朋友逗樂的軟件.

    安 裝

    NetBus包含服務(wù)器和客戶機(jī)部分,服務(wù)器必須安裝在你想逗樂的人的計(jì)算機(jī)上.客戶機(jī)屬你掌握,它是控

    制目標(biāo)計(jì)算機(jī)的好程序.

    把NetSever服務(wù)器,Patch.exe(可更名),放入目標(biāo)計(jì)算機(jī)的任意位置并運(yùn)行它,缺省時(shí)安裝在Windows中,

    以更開機(jī)時(shí)自動(dòng)運(yùn)行. 把NetSever客戶機(jī),裝在自己的計(jì)算機(jī)里.開始NetBus,聯(lián)結(jié)你選擇的域名或(IP地

    址);如果Patch已在你聯(lián)結(jié)的目標(biāo)計(jì)算機(jī)中已運(yùn)行. 讓我們開始逗樂!

    注意:你看不到Patch在運(yùn)行-它Windows開始時(shí)自動(dòng)運(yùn)行,并隱藏.

    Netbus和Patch使用TCP/IP協(xié)議.因此,你的地址有域名或IP號(hào).NetBus會(huì)用Connect按鈕把你和某人聯(lián)上.

    功 能

    *彈開/關(guān)閉CD-ROM一次或間隔性自動(dòng)開關(guān).

    *顯示所選擇的圖象,如果你沒有圖像文件的路徑,可在Pacth的目錄中找.支持BMP和JPG格式.

    *交換鼠標(biāo)按鈕-鼠標(biāo)右鍵變成鼠標(biāo)左鍵的功能.

    *開始所選擇的應(yīng)用程序.

    *播放所選擇的聲音文件, 如果你沒有聲音文件的路徑,可在Pacth的目錄中找.支持WAV格式.

    *點(diǎn)擊所選的鼠標(biāo)坐標(biāo),你甚至可你的鼠標(biāo)在目標(biāo)計(jì)算機(jī)中運(yùn)行.

    *在銀屏上顯示對(duì)話框,回答會(huì)返回你的計(jì)算機(jī)中.

    *關(guān)閉系統(tǒng),刪除用戶記錄等.

    *用缺省網(wǎng)絡(luò)瀏覽器,瀏覽所選擇的URL.

    *發(fā)送鍵盤輸入的信息到目標(biāo)計(jì)算機(jī)中的活動(dòng)應(yīng)用程序中!

    *監(jiān)視對(duì)方的鍵盤輸入的信息,并發(fā)回到你的計(jì)算機(jī).

    *清屏!(連接速度慢時(shí)禁用).

    *獲取目標(biāo)計(jì)算機(jī)中的信息.

    *上載你的文件到目標(biāo)計(jì)算機(jī)中!用此功能,可上載Patch的最新版本.

    *增大和減少聲音音量.

    *記錄麥克風(fēng)的聲音,并將聲音返回.

    *按一次鍵每次有聲音.

    *下載和刪除目標(biāo)中的任何文件.你能下載/刪除在目標(biāo)計(jì)算機(jī)硬盤中所選擇的文件.

    *鍵盤禁用功能.

    *密碼保護(hù)管理.

    *記錄鍵盤活動(dòng)

    *顯示,死機(jī)和集中系統(tǒng)中的窗囗.

    上述功能一些選項(xiàng)在執(zhí)行時(shí),(邏輯排異),可能會(huì)延遲幾秒.

    連 接

    Connect按鈕有個(gè)很好的特點(diǎn),它能掃描NetBus計(jì)算機(jī)中的IP地址.一旦連接它會(huì)停止掃描.IP掃描的

    參數(shù)是xx.xx.xx.xx+xx,等.

    127.0.0.1+15 將掃描IP地址的范圍是127.0.0.1到 127.0.0.16

    但是木馬大多數(shù)殺毒軟件殺不到,我推薦木馬殺客\木馬克星.

    木馬后來會(huì)將電腦變成一只"肉雞",任幕后人控制,只要你連了網(wǎng),他就可以肆意控制你的主機(jī),只有拔電源才不會(huì)被控制.

    ___________________________________________________________________________________________________________現(xiàn)在網(wǎng)頁(yè)木馬無非有以下幾種方式中到你的機(jī)器里

    1:把木馬文件改成BMP文件,然后配合你機(jī)器里的DEBUG來還原成EXE,網(wǎng)上存在該木馬20%

    2:下載一個(gè)TXT文件到你機(jī)器,然后里面有具體的FTP^-^作,F(xiàn)TP連上他們有木馬的機(jī)器下載木馬,網(wǎng)上存在該木馬20%

    3:也是最常用的方式,下載一個(gè)HTA文件,然后用網(wǎng)頁(yè)控件解釋器來還原木馬。該木馬在網(wǎng)上存在50%以上

    4:采用JS腳本,用VBS腳本來執(zhí)行木馬文件,該型木馬偷QQ的比較多,偷傳奇的少,大概占10%左右

    5:其他方式未知。。。。。。。。。。。。。

    現(xiàn)在我們來說防范的方法。。。。。。。。。不要丟金磚

    那就是把 windows\system\mshta.exe文件改名,

    改成什么自己隨便 (s個(gè)屁和瘟2000是在system32下)

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下為Active Setup controls創(chuàng)建一個(gè)基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創(chuàng)建一個(gè)REG_DWORD 類型的鍵Compatibility,并設(shè)定鍵值為0x00000400即可。

    還有windows\command\debug.exe和windows\ftp.exe都給改個(gè)名字 (或者刪除)

    一些最新流行的木馬 最有效果的防御~~

    比如網(wǎng)絡(luò)上流行 的木馬 smss.exe 這個(gè)是其中一種木馬的主體 潛伏在 98/winme/xp c:\windows目錄下 2000 c:\winnt .....

    假如你中了這個(gè)木馬 首先我們用進(jìn)程管理器結(jié)束 正在運(yùn)行的木馬smss.exe 然后在C:\windows 或 c:\winnt\目錄下 創(chuàng)建一個(gè)假的 smss.exe 并設(shè)置為只讀屬性~ (2000/XP NTFS的磁盤格式 的話那就更好 可以用“安全設(shè)置” 設(shè)置為讀?。?這樣木馬沒了~ 以后也不會(huì)在感染了這個(gè)辦法本人測(cè)試過對(duì)很多木馬

    都很有效果的

    經(jīng)過這樣的修改后,我現(xiàn)在專門找別人發(fā)的木馬網(wǎng)址去測(cè)試,實(shí)驗(yàn)結(jié)果是上了大概20個(gè)木馬網(wǎng)站,有大概15個(gè)瑞星會(huì)報(bào)警,另外5個(gè)瑞星沒有反映,而我的機(jī)器沒有添加出來新的EXE文件,也沒有新的進(jìn)程出現(xiàn),只不過有些木馬的殘骸留在了IE的臨時(shí)文件夾里,他們沒有被執(zhí)行起來,沒有危險(xiǎn)性,所以建議大家經(jīng)常清理 臨時(shí)文件夾和IE

    三、關(guān)于木馬

    什么是木馬

    特洛伊木馬(以下簡(jiǎn)稱木馬),英文叫做“Trojan house”,其名稱取自希臘神話的特洛伊木馬記。

    它是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點(diǎn)。

    所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn),會(huì)采用多種手段隱藏木馬,這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬,由于不能確定其具體位置,往往只能望“馬”興嘆。

    所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后,控制端將享有服務(wù)端的大部分操作權(quán)限,包括修改文件,修改注冊(cè)表,控制鼠標(biāo),鍵盤等等,而這些權(quán)力并不是服務(wù)端賦予的,而是通過木馬程序竊取的。

    從木馬的發(fā)展來看,基本上可以分為兩個(gè)階段。

    最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期,木馬就產(chǎn)生了,當(dāng)時(shí)的木馬程序的功能相對(duì)簡(jiǎn)單,往往是將一段程序嵌入到系統(tǒng)文件中,用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能,在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員,必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。

    而后隨著WINDOWS平臺(tái)的日益普及,一些基于圖形操作的木馬程序出現(xiàn)了,用戶界面的改善,使使用者不用懂太多的專業(yè)知識(shí)就可以熟練的操作木馬,相對(duì)的木馬入侵事件也頻繁出現(xiàn),而且由于這個(gè)時(shí)期木馬的功能已日趨完善,因此對(duì)服務(wù)端的破壞也更大了。

    所以所木馬發(fā)展到今天,已經(jīng)無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。

    什么是木馬

    特洛伊木馬(以下簡(jiǎn)稱木馬),英文叫做“Trojan house”,其名稱取自希臘神話的特洛伊木馬記。

    它是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點(diǎn)。

    所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn),會(huì)采用多種手段隱藏木馬,這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬,由于不能確定其具體位置,往往只能望“馬”興嘆。

    所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后,控制端將享有服務(wù)端的大部分操作權(quán)限,包括修改文件,修改注冊(cè)表,控制鼠標(biāo),鍵盤等等,而這些權(quán)力并不是服務(wù)端賦予的,而是通過木馬程序竊取的。

    從木馬的發(fā)展來看,基本上可以分為兩個(gè)階段。

    最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期,木馬就產(chǎn)生了,當(dāng)時(shí)的木馬程序的功能相對(duì)簡(jiǎn)單,往往是將一段程序嵌入到系統(tǒng)文件中,用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能,在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員,必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。

    而后隨著WINDOWS平臺(tái)的日益普及,一些基于圖形操作的木馬程序出現(xiàn)了,用戶界面的改善,使使用者不用懂太多的專業(yè)知識(shí)就可以熟練的操作木馬,相對(duì)的木馬入侵事件也頻繁出現(xiàn),而且由于這個(gè)時(shí)期木馬的功能已日趨完善,因此對(duì)服務(wù)端的破壞也更大了。

    所以所木馬發(fā)展到今天,已經(jīng)無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。

    瑞星殺毒,金山毒霸,木馬克星,卡巴斯基殺毒,江民殺毒都可以

    木馬--并不是一種對(duì)自己不利的“病毒”,能夠應(yīng)用和奴駕它的人,就將它看為是一種資源,像一些黑客用木馬盜取某些國(guó)家或公司的機(jī)密文件等等……

    它是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點(diǎn)。

    一般自己中了木馬病毒,首先要認(rèn)清這是個(gè)什么病毒 有的很簡(jiǎn)單也很好解決,像Trojan.DL.Agent.dqi Trojan/Agent.ls都是很好解決的--先斷開網(wǎng)絡(luò),然后打開IE瀏覽器,點(diǎn)工具里的INTERNET選項(xiàng),然后把INTERNET臨時(shí)文件夾中的所有文件都刪除,最后再用瑞星就可以殺掉了。

    參考資料 http://61.135.153.48/2003/virusfaq/index.html?page=174&pagelist=171

    其實(shí) Trojan是某些防毒軟件對(duì)后門木馬的一種統(tǒng)稱,它并不代表著固定的一個(gè),而是一類,所以即使遇到同樣名子的木馬可能它們也并不相同。 費(fèi)爾托斯特安全是一款可以清除木馬和病毒的軟件,并且有很強(qiáng)的清除能力,如果您有它的正式版可以在升級(jí)到最新病毒庫(kù)后嘗試用它掃描清除一下,但這里需要特別提醒一點(diǎn): 由于這類木馬新變種層出不窮,所以不能保證費(fèi)爾托斯特安全能夠識(shí)別出目前所有的或者您遇到的。 那么除此之外難道就沒有其他辦法了嗎?有的,下面就介紹一個(gè)借助免費(fèi)工具“費(fèi)爾木馬強(qiáng)力清除助手”(此工具已經(jīng)集成到費(fèi)爾托斯特安全新版本中了)來清除這種頑固性 Trojan 木馬的方法:

    使用這個(gè)方法前必須要先知道這個(gè)木馬的文件名是什么。防毒軟件在發(fā)現(xiàn)木馬后一般都會(huì)報(bào)告它的完整文件名,您需要先準(zhǔn)確的記錄下這個(gè)文件名。比如:如果防毒軟件提示 C:\Windows\hello.dll 是 Trojan/Agent.l,則記下 C:\Windows\hello.dll 這個(gè)名字。這里需要注意文件名一定要記準(zhǔn)確,因?yàn)橛性S多木馬會(huì)把自己的文件名故意偽裝成和正常的文件名很接近,比如 svch0st.exe(木馬)->svchost.exe(正常)、Expl0rer.exe(木馬)->Explorer.exe(正常)、intrenat.exe / internet.exe(木馬)->internat.exe(正常)等等。特別是數(shù)字0幾乎和大寫字母O一樣,很容易讓人看錯(cuò),所以一定要注意區(qū)分它們,否則萬一記錯(cuò)將有可能把正常的文件清除掉,那就麻煩了;

    暫停防毒軟件的實(shí)時(shí)監(jiān)控,這一點(diǎn)很重要,否則在清除時(shí)可能會(huì)被阻止而無法成功。比如如果當(dāng)初是你的諾頓發(fā)現(xiàn)了這個(gè)木馬,那么請(qǐng)先暫停諾頓的實(shí)時(shí)監(jiān)控或?qū)崟r(shí)掃描;

    下載費(fèi)爾木馬強(qiáng)力清除助手 http://dl.filseclab.com/down/powerrmv.zip;

    釋放 PowerRmv.zip 到一個(gè)目錄,然后執(zhí)行其中的 PowerRmv.exe 啟動(dòng)“費(fèi)爾木馬強(qiáng)力清除助手”。在“文件名”中輸入要清除的木馬文件名。比如如果您在第1步中記下的文件名是 C:\Windows\hello.dll,那么這時(shí)就輸入它;

    按“清除”。這時(shí)程序會(huì)詢問你是否要舉報(bào)此病毒到費(fèi)爾安全實(shí)驗(yàn)室,建議點(diǎn)“是”表示同意。接著程序會(huì)繼續(xù)提示是否確定要清除它,仍然選“是”;

    之后,如果此木馬被成功清除程序會(huì)提示成功;或者也可能提示此木馬無法被立即刪除需要重啟電腦。無論是哪種情況請(qǐng)點(diǎn)擊“確定”,這時(shí)如果您在前面同意了舉報(bào)此木馬那么程序會(huì)自動(dòng)創(chuàng)建并打開一個(gè)“病毒舉報(bào)”的電子郵件,其中會(huì)包含這個(gè)木馬的樣本文件,如果您看到了這個(gè)郵件請(qǐng)把它直接發(fā)送給 virus@filseclab.com 。如果您并沒有看到這封郵件也沒有關(guān)系,可以忽略。

    最后,如果程序前面提示了重啟電腦后才能清除那么請(qǐng)一定重啟您的電腦,在電腦重啟后這個(gè)木馬應(yīng)該就被清除掉了。

    也有稍頑固的木馬,你可以進(jìn)入DOS徹底刪除!

    對(duì)木馬

    用Spy Sweeper殺,也可以監(jiān)控

    下載地址:http://download.myrice.com//arts/dn01/dn0106/24189.html

    注冊(cè)碼SSDC-OPEN-AAAA-KJEA-PZAK

    馬病毒源自古希臘特洛伊戰(zhàn)爭(zhēng)中著名的“木馬計(jì)”而得名,顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒,等待時(shí)機(jī)成熟就出來害人。

    傳染方式:通過電子郵件附件發(fā)出,捆綁在其他的程序中。

    病毒特性:會(huì)修改注冊(cè)表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機(jī)加載附帶的木馬。

    木馬病毒的破壞性:木馬病毒的發(fā)作要在用戶的機(jī)器里運(yùn)行客戶端程序,一旦發(fā)作,就可設(shè)置后門,定時(shí)地發(fā)送該用戶的隱私到木馬程序指定的地址,一般同時(shí)內(nèi)置可進(jìn)入該用戶電腦的端口,并可任意控制此計(jì)算機(jī),進(jìn)行文件刪除、拷貝、改密碼等非法操作。

    防范措施:用戶提高警惕,不下載和運(yùn)行來歷不明的程序,對(duì)于不明來歷的郵件附件也不要隨意打開。

    四、木馬王國(guó)過年放假嗎

    過年不放假

    參考:

    木馬王國(guó)是杭州神采飛揚(yáng)娛樂有限公司旗下的兒童游樂品牌 ,專注于為2-12歲的兒童打造健康、安全的大型室內(nèi)主題游樂園。木馬王國(guó)致力于文化內(nèi)涵、健康安全、運(yùn)營(yíng)策劃及娛樂品質(zhì)等方面的提升,打造一個(gè)孩子們?cè)诳鞓酚瓮娴耐瑫r(shí)能夠享受學(xué)習(xí)、激發(fā)智力、鍛煉勇氣、提升能力的游玩空間,同時(shí)店內(nèi)舉辦各類氛圍活動(dòng)增進(jìn)家人以及小孩子之間的互動(dòng)和交流。

    木馬王國(guó)兒童樂園針對(duì)兒童喜歡鉆、爬、滑、滾、晃、蕩、跳、搖等特征設(shè)計(jì),通過科學(xué)的立體組合形成一個(gè)集游樂、運(yùn)動(dòng)、益智、健身為一體的闖關(guān)游戲,將兒童置身于一個(gè)驚險(xiǎn)刺激、又安全放心的游樂環(huán)境。

    以上就是小編對(duì)于杭州木馬設(shè)計(jì)問題和相關(guān)問題的解答了,如有更多相關(guān)問題,可撥打網(wǎng)站上的電話,或添加微信。


    推薦閱讀:

    杭州微念品牌管理有限公司抖音代運(yùn)營(yíng)可行嗎?效果好嗎?

    怎么挑選杭州企業(yè)宣傳片特色(杭州企業(yè)宣傳片拍攝)

    杭州二手奢侈品一條街(杭州二手奢侈品一條街在什么路上)

    做外貿(mào)怎么聯(lián)系國(guó)外客戶(外貿(mào)怎么找客戶資源)

    營(yíng)銷管理知識(shí)要點(diǎn)