特洛伊木马是什么意思?
特洛伊木马(简称木马)是隐藏在系统中的用以完成未授权功能的非法程序,是黑客常用的一种攻击工具,它伪装成合法程序,植入系统,对计算机 *** 安全构成严重威胁。区别于其他恶意代码,木马不以感染其它程序为目的,一般也不使用 *** 进行主动复制传播。 [2]
特洛伊木马是基于C/S(客户/服务器)结构的远程控制程序,是一类隐藏在合法程序中的恶意代码,这些代码或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。通常,使用木马的过程大致分两步首先,把木马的服务器端程序通过 *** 远程植入受控机器,然后通过安装程序或者启动机制使木马程序在受控的机器内运行。一旦木马成功植入,就形成了基于C/S结构的控制架构体系,服务端程序位于受控机器端,客户端程序位于控制机器端
什么是“特洛伊木马”程序?
这种程序是一种埋藏了计算机指令的病毒程序,也是隐藏和传播计算机病毒及 *** “蠕虫”的常用手段。这种病毒程序看起来似乎无用,但却携带某种病毒,并由一种程序代码激活。一旦用户偶然进入这种代码,“特洛伊木马”程序就会运行,修改或破坏信息数据,降低系统的功能等。就如同古希腊特洛伊城的战例一样,在空心的木马中隐藏士兵,看起来无用,但却隐含杀机。例如,当用户上机入网时,计算机屏幕上突然显示出 *** 正忙的信息,并提示用户要反复进行入网尝试,这样,“特洛伊木马”病毒程序就会拿到用户的注册号、密码口令等,以便进一步传播病毒。“特洛伊木马”程序还可伪装成保证计算机或 *** 安全的某种手段,如“撒旦”。这种“撒旦”软件看起来似乎很有用,因为可以用来检查UNIX系统的安全性等问题,因此在1NTERNET上随处可见。
但当某位用户应用这种病毒程序时,相关的重要信息就会被对方悄悄地偷走。设计水平较高的“特洛伊木马”程序会不留任何痕迹,因为它不造成任何明显的破坏,因此探测和防御这种病毒很难。
什么是特洛伊木马病毒?
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
服务器向攻击者通知的方式可能是发送一个email,宣告自己当前已成功接管的机器;或者可能是联系某个隐藏的Internet交流通道,广播被侵占机器的IP地址;另外,当特洛伊木马的服务器部分启动之后,它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系,有一点是不变的,攻击者总是利用客户程序向服务器程序发送命令,达到操控用户机器的目的。
特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的特洛伊木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。实际上,只要用一个预先定义好的关键词,就可以让所有被入侵的机器格式化自己的硬盘,或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器,然后针对某一要害主机发起分布式拒绝服务攻击(Denial of Service,即DoS),当受害者觉察到 *** 要被异乎寻常的通信量淹没,试图找出攻击者时,他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户,真正的攻击者早就溜之大吉。
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能有效减少特洛伊木马带来的危害.
1. Trojan Remover Update 6.4.7 Date 01.27
一个专门用来清除特洛伊木马和自动修复系统文件的工具。
antivirus.pchome.net/trojan/1070.html
2. ZoneAlarm Free 6.1.737.000
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程
www.onlinedown.net/soft/1017.htm
3. Trojan Remover 6.4.7 Date 01.27
专门用来清除特洛伊木马和自动修复系统文件的工具
antivirus.pchome.net/trojan/7704.html
4. Trojan Remover 6.46(Database 6461)
是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描
www.onlinedown.net/soft/2902.htm
5. 木马终结者 V3.5
特洛伊木马病毒一种破坏力十分强的黑客病毒,你只要中
www.skycn.com/soft/2519.html
6. LDM木马检测程序 2003钻石版
LDM木马检测程序是大部分流行特洛伊木马病毒的克星,是一个专门防制特洛伊木马病毒的
www.onlinedown.net/soft/11555.htm
7. The Cleaner Database V3887
一个专门检测和清除侵入您系统中的特洛伊木马的专业程
www.skycn.com/soft/3760.html
8. Trojan Remover V6.4.6(Database 6461) Update
Trojan Remover 是一个专门用来清除特洛伊木马和自动修
www.skycn.com/soft/3217.html
9. 木马终结者 3.33
所有特洛伊木马病毒的克星,专门防制特洛伊木马病毒的防毒软件
antivirus.pchome.net/trojan/8238.html
10. 木马杀手 Trojan System Cleaner 3.5.1117
木马杀手会检测现存的特洛伊木马程序的活动、复原被特洛伊木马修改的系统文件,杀除特
www.onlinedown.net/soft/17193.htm
11. Trojan Remover Database Update 6461
Trojan Remover 是一个专门用来清除特洛伊木马和自动修
www.skycn.com/soft/3219.html
12. ZoneAlarm Pro 6.1.737.000
保护你的电脑,防止Trojan(特洛伊木马)程序
antivirus.pchome.net/others/8104.html
13. Trojan Remover 6.4.6 Database 6461 Update
是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描
www.onlinedown.net/soft/2903.htm
14. ZoneAlarm Security Suite V6.1.737.000
ZoneAlarm 保护你的电脑,防止Trojan(特洛伊木马)程序
www.skycn.com/soft/3769.html
15. 熊猫卫士 钛金版2.05.00
*基于极速“UltraFast”引擎,快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java
www.onlinedown.net/soft/9066.htm
16. Trojan Remover Database 6461
是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描
www.onlinedown.net/soft/2905.htm
17. ZoneAlarm Pro 6.1.737.000
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程
www.onlinedown.net/soft/1019.htm
18. Antiy Ghostbusters Pro 5.05
一个专业级别的特洛伊木马检测和系统安全工具
download.pchome.net/internet/safe/15974.html
19. The Cleaner Pro V4.1 Build 4252
一个专门检测和清除侵入您系统中的特洛伊木马的专业程
www.skycn.com/soft/3758.html
20. ZoneAlarm Free V6.1.737.000
ZoneAlarm 来保护你的电脑,防止Trojan(特洛伊木马)程
www.skycn.com/soft/9443.html
21. ZoneAlarm Pro V6.1.737.000
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序
www.skycn.com/soft/3770.html
22. ZoneAlarm Pro V6.1.737.000 Beta
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕?
download.21cn.com/list.php?id=3458
23. Antiy Ghostbusters Advanced Edition 5.04
AntiyLabs出品的专业级特洛伊木马检测工具,被网友称为“捉鬼队”。该软件可以对驱动
www.onlinedown.net/soft/7660.htm
24. Trojan Remover 木马病毒库 6072
一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫
download.21cn.com/list.php?id=5317
25. The Cleaner Pro 4 updates Database 3860
一个专门检测和清除侵入您系统中的特洛伊木马的专业程序,内置3093个木马标识。可在线
www.onlinedown.net/soft/1445.htm
26. Digital Patrol 5.00.31
专门检测系统中特洛伊木马程序的扫毒软件
antivirus.pchome.net/trojan/12504.html
27. 熊猫卫士 7.0铂金版中文测试版
*基于极速“UltraFast”引擎,快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java
www.onlinedown.net/soft/9065.htm
28. Trojan Remover V6.4.6(Database 6457)
Trojan Remover 是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检?
download.21cn.com/list.php?id=7335
29. Trojan Remover V6.3.3 Date 12.20
Trojan Remover是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查
download.21cn.com/list.php?id=3692
30. The Cleaner V3.5.4.3519(DataBase 3359) 汉化版
一个专门检测和清除侵入您系统中的特洛伊木马的专业程
www.skycn.com/soft/3759.html
31. Anti-Trojan 5.5.421
Anti-Trojan扫描隐藏在你的系统里的具有破坏性的特洛依木马程序。它利用三重扫描来检
www.onlinedown.net/soft/1318.htm
32. TDS-3: Trojan Defence Suite 3.2.0
防特洛伊木马的软件,可以检测到360种以上的特洛伊木马和电脑蠕虫
antivirus.pchome.net/trojan/10170.html
33. ZoneAlarm Pro 4.5.594
保护你的电脑,防止Trojan(特洛伊木马)程序
antivirus.pchome.net/others/10678.html
34. 木马终结者 V3.37
特洛伊木马病毒一种破坏力十分强的黑客病毒。你只要中了毒,你的计算机将被黑客控
download.21cn.com/list.php?id=10681
35. The Cleaner (executable only) 3.54 Build 3528
一个专门检测和清除侵入您系统中的特洛伊木马的专业程序
antivirus.pchome.net/cleaner/8957.html
36. BoDetect 3.5
一个专门用来监测和删除特洛依木马之类的小工具
antivirus.pchome.net/trojan/10171.html
37. ZoneAlarm Anti-Spyware V6.1.737.000
ZoneAlarm 来保护你的电脑,防止Trojan(特洛伊木马)程
www.skycn.com/soft/9442.html
38. ZoneAlarm Free 6.0.629.000 Beta
ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程
www.onlinedown.net/soft/20642.htm
39. LDM木马检测程序 Power XP Build 688C
特洛伊木马病毒一种破坏力十分强的黑客病毒,你只要中
www.skycn.com/soft/8731.html
40. Advanced Registry Tracer 2.03
具有侦测出特洛伊木马病毒功能
download.pchome.net/system/treak/10607.html
41. 木马杀手(Trojan System Cleaner) V3.5.1117
木马杀手会检测现存的特洛伊木马程序的活动、复原被特
www.skycn.com/soft/14265.html
什麼是特洛伊木马?更先是谁编写出来的,有多大的危害???
特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可爱的游戏,这会诱使用户将其安装在PC或者服务器上。
“特洛伊木马”(trojan horse)简称“木马”,据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。
完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过 *** 控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
详解木马原理
介绍特洛伊木马程序的原理、特征以及中了木马后系统出现的情况……
QUOTE:
特洛伊木马是如何启动的
作为一个优秀的木马,自启动功能是必不可少的,这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要,所以,很多编程人员都在不停地研究和探索新的自启动技术,并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中,用户执行该程序时,则木马自动发生作用。当然,更加普遍的 *** 是通过修改Windows系统文件和注册表达到目的,现经常用的 *** 主要有以下几种:
1.在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是 *** 神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在 *** 神偷服务端进行主动连接时发现它。
QUOTE:
木马的隐藏方式
1.在任务栏里隐藏
这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标,傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。在VB中,只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.在任务管理器里隐藏
查看正在运行的进程最简单的 *** 就是按下Ctrl+Alt+Del时出现的任务管理器。如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行,那么这肯定不是什么好木马。所以,木马会千方百计地伪装自己,使自己不出现在任务管理器里。木马发现把自己设为 "系统服务“就可以轻松地骗过去。
因此,希望通过按Ctrl+Alt+Del发现木马是不大现实的。
3.端口
一台机器有65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势;当然也有占用1024以下端口的木马,但这些端口是常用端口,占用这些端口可能会造成系统不正常,这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?
4.隐藏通讯
隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接,或者通过即时连接,如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。如通过电子邮件的方式,木马把侵入主机的敏感信息送给攻击者。现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口,如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后,收到正常的HTTP请求仍然把它交与Web服务器处理,只有收到一些特殊约定的数据包后,才调用木马程序。
5.隐藏隐加载方式
木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不做任何伪装,就告诉你这是木马,你会运行它才怪呢。而随着网站互动化避程的不断进步,越来越多的东西可以成为木马的传播介质,Java Script、VBScript、ActiveX.XLM....几乎WWW每一个新功能部会导致木马的快速进化。
6.最新隐身技术
在Win9x时代,简单地注册为系统进程就可以从任务栏中消失,可是在Windows2000盛行的今天。这种 *** 遭到了惨败。注册为系统进程不仅仅能在任务栏中看到,而且可以直接在Services中直接控制停止。运行(太搞笑了,木马被客户端控制)。使用隐藏窗体或控制台的 *** 也不能欺骗无所不见的Admlin大人(要知道,在NT下,Administrator是可以看见所有进程的)。在研究了其他软件的长处之后,木马发现,Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。
这是一种更新、更隐蔽的 *** 。通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。这种 *** 与一般 *** 不同,它基本上摆脱了原有的木马模式---监听端口,而采用替代系统功能的 *** (改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些相应的操作。实际上。这样的事先约定好的特种情况,DLL会执行一般只是使用DLL进行监听,一旦发现控制端的请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的 *** 监测不到它。在往常运行时,木马几乎没有任何瘫状,且木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
QUOTE:
特洛伊木马具有的特性
1.包含干正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性
特洛伊木马病毒
于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的 *** ,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的 *** 就是马上将计算机与 *** 断开,防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。
小知识:
“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从 *** 上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪
解决办法:现在下载个360安全卫士,为什么推荐它呢?由于它跟卡吧斯基联手,下一个安全卫士能免费试用三个月卡吧斯基,这样你的问题就能解决。
下载安全卫士后它再把卡吧斯基装上,这在安全卫士杀马程序就能操作的,无须到网站上下,方便简洁。下完后它会提示你把现有的杀毒软件谢载掉,把它谢完重启后再装卡吧斯基,最后装完升级,重启进入安全模式。这样差不多能百分百把木马干掉,我还没试过这 *** 不爽的。你试试吧
“特洛伊木马”是一种怎样的计算机病毒程序?
这种程序是一种埋藏了计算机指令的病毒程序,也是隐藏和传播计算机病毒及 *** “蠕虫”的常用手段。这种病毒程序看起来似乎无用,但却携带某种病毒,并由一种程序代码激活。一旦用户偶然进入这种代码,“特洛伊木马”程序就会运行,修改或破坏信息数据,降低系统的功能等。就如同古希腊特洛伊城的战例一样,在空心的木马中隐藏士兵,看起来无用,但却隐含杀机。例如,当用户上机入网时,计算机屏幕上突然显示出 *** 正忙的信息,并提示用户要反复进行入网尝试,这样,“特洛伊木马”病毒程序就会拿到用户的注册号、密码口令等,以便进一步传播病毒。“特洛伊木马”程序还可伪装成保证计算机或 *** 安全的某种手段,如“撒旦”。这种“撒旦”软件看起来似乎很有用,因为可以用来检查UNIX系统的安全性等问题,因此在1NTERNET上随处可见。但当某位用户应用这种病毒程序时,相关的重要信息就会被对方悄悄地偷走。设计水平较高的“特洛伊木马”程序会不留任何痕迹,因为它不造成任何明显的破坏,因此探测和防御这种病毒很难。
特洛伊木马程序原理及传染机制分析
木马,也称特洛伊木马,英文名称为Trojan Horse,是借自“木马屠城记”中那只木马的名字。古希腊有大军围攻特洛伊城,久久不能得手。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到 “木马”这个奇异的战利品,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开密门游绳而下,开启城门四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为 “特洛伊木马”,现今计算机术语借用其名,意思是 “一经进入,后患无穷”。特洛伊木马原则上和一些远程控制程序如PCanywhere等一样,只是一种远程管理工具,而且本身不带伤害性,也没有感染力;但却常常被人们视之为病毒,原因是如果有人不当地使用,破坏力可以比病毒更强。
由于很多新手对安全问题了解不多,再加上木马程序具有隐蔽性强的特点,不借助专门的监控软件,很不容易发现特洛伊木马的存在和黑客的入侵。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的 “木马”程序,因此最关键的是要知道“木马”的工作原理,这样就会很容易发现 “木马”,并且知道怎么清除自己计算机中的 “木马”了。
木马攻击原理
木马攻击是黑客最常用的攻击 *** ,因此,在本章中我们将使用较大篇幅来介绍木马的攻防技术。
木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,远程监控这台计算机上的所有操作。
在使用木马的人群中菜鸟黑客居多,他们往往接触 *** 不久,对黑客技术很感兴趣,很想向众人和朋友显示一番,但是攻击技术却不高,不能采取别的 *** 攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的更爱,而且随着国产木马的不断出现,多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了,他们通常会在得到一个服务器权限的时候植入自己编写的木马作为后门,以便将来随时方便进出这台服务器。
提示
黑客高手们自己编写的木马一般杀毒软件和木马扫描软件都不会认为是木马或病毒,具有很大的危害性。
1、木马的分类
常见的木马主要可以分为以下9大类:
(1)破坏型
这种木马唯一的功能就是破坏并且删除文件,它们非常简单,很容易使用。能自动删除目标机上的DLL、INI、
EXE文件,所以非常危险,一旦被感染就会严重威胁到电脑的安全。不过,一般黑客不会做这种无意义的纯粹
破坏的事,除非你和他有仇。
(2)密码发送型
这种木马可以找到目标机的隐藏密码,并且在受害者不知道的情况下,把它们发送到指定的信箱。有人
喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用Windows提供的密码记
忆功能,这样就可以不必每次都输入密码了。这类木马恰恰是利用这一点获取目标机的密码,它们大多数会
在每次启动Windows时重新运行,而且多使用25号端口上送E-mail。如果目标机有隐藏密码,这些木马是非
常危险的。
(3)远程访问型
这种木马是现在使用最广泛的木马,它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序,客户
端通过扫描等手段知道了服务端的IP地址,就可以实现远程控制。
当然,这种远程控制也可以用在正道上,比如教师监控学生在机器上的所有操作。
远程访问型木马会在目标机上打开一个端口,而且有些木马还可以改变端口、设置连接密码等,为的是只
有黑客自己来控制这个木马。
改变端口的选项非常重要,因为一些常见木马的监听端口已经为大家熟知,改变了端口,才会有更大
的隐蔽性。
(4)键盘记录木马
这种特洛伊木马非常简单。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码,并且随
着Windows的启动而启动。它们有在线和离线记录这样的选项,可以分别记录你在线和离线状态下敲击键盘时的按键
情况,也就是说你按过什么按键,黑客从记录中都可以知道,并且很容易从中得到你的密码等有用信息,甚至是你
的信用卡账号哦!当然,对于这种类型的木马,很多都具有邮件发送功能,会自动将密码发送到黑客指定的邮箱。
(5)DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当黑客入侵一台机器后,给
他种上DoS攻击木马,那么日后这台计算机就成为黑客DoS攻击的最得力助手了。黑客控制的肉鸡数量越多,发
动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在黑客利用
它来攻击一台又一台计算机,给 *** 造成很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对
特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
(6)FTP木马
这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马
还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。
(7)反弹端口型木马
木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于
连出的链接却疏于防范。与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控
制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的被动
端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口时,发现类似TCP
UserIP:1026 Controller IP:80 ESTABLISHED的情况,稍微疏忽一点,就会以为是自己在浏览网页,因为浏
览网页都会打开80端口的。
(8) *** 木马
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上
*** 木马,让其变成攻击者发动攻击的跳板就是 *** 木马最重要的任务。通过 *** 木马,攻击者可以在匿名的
情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。
(9)程序杀手木马
上面的木马功能虽然形形 *** ,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常
见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程
序,让其他的木马更好地发挥作用。
提示
(8)、(9)两种类型的木马实际上是其它类型的木马可能具有的功能,如很多远程访问型木马都可以使
用 *** 服务器的方式连接肉机,而且连上肉机上首先检查对方不是开启了防火墙,如果有,则杀掉其进程,
这样更有利于黑客隐藏身份,从而实现远程控制的目的。
2、木马是如何侵入系统的
我们知道:一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控
制植入木马的计算机,服务器端程序就是我们通常所说的木马程序。攻击者要通过木马攻击计算机系统,所做的之一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
提示
注意木马的客户端和服务器端的称谓,被置了木马的机器称为服务器端,而黑客控制的一端称为客户端。
目前木马入侵的主要途径是通过一定的 *** 把木马执行文件植入被攻击者的电脑系统里,如通过邮件发送、文件下载、网页浏览等,然后通过一定的提示误导被攻击者打开执行文件,比如谎称该木马执行文件是朋友的贺卡文件,用户在毫无防备的情况下打开这个文件后,确实有贺卡的画面出现,但这时木马可能已经在后台悄悄运行了。
那为什么用户一般都不会发现自己的主机运行了木马程序呢?
这主要是因为木马的执行文件一般都非常小,更大不过几十K。因此,如果把木马捆绑到其他正常文件上是很难发现的。有一些网站提供的软件下载往往是捆绑了木马文件的,在执行这些下载的文件时,也同时运行了木马。
木马在被植入主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,攻击者有这些信息才能够与木马里应外合控制攻击主机。
由于任何木马都有一个服务端程序,要对一台目标机进行远程控制都必须将服务端程序送入目标机,并诱骗目标机执行该程序。这是用木马进行远程控制中的重要一步,也是很有技巧的一步。
木马的传播方式主要有两种:
① 通过E-mail,由控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件就会感染木马。
这一种方式关键的一点,就是如何让对方打开附件。一般情况可在邮件主题写一些吸引人的、易引起人好奇的内容,促使对方毫无知觉地自动种上木马,被你控制。
② 通过软件下载,一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装了。
要想对方下载你放在网站上的软件,可以取一些特诱惑人的名称,如某某明星的图片,某某软件的破解版等让人易上当的名称,从而也让别人在不知不觉中种上木马,将端口开放给你,任你使用。
在早期的木马里面,大多是通过发送电子邮件的方式把入侵主机信息告诉攻击者,有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者,这样攻击者就不用直接连接攻击主机即可获得一些重要数据,如攻击OICQ密码的GOP木马即是如此。
不过,使用电子邮件的方式对攻击者来说并不是更好的选择,因为如果木马被发现,就可以通过该电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。
除了邮件植入外,木马还可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入,由于IE浏览器在执行Script脚本上存在安全漏洞,因此,木马就可以利用这些漏洞很容易植入被攻击的电脑。
此外,木马还可以利用一些系统漏洞植入,如著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序使IIS服务器崩溃,同时在服务器上执行木马程序,从而植入木马。
3、木马是如何实施攻击的
木马可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。它可能泄漏一些系统的私有信息,或者控制该系统,这样,它实际上就潜伏着很大的危险性。
通常木马采取六个步骤实施攻击:配置木马 (伪装木马)→传播木马 (通过E-mail或者下载)→运行木马 (自动安装、自启动)→信息泄漏 (E-mail、IRC或ICQ的方式把你的信息泄露出去)→建立连接→远程控制。
至此,木马就彻底掌握了主动权,而你,就坐以待毙吧!