电脑病毒木马入侵的方式有哪些
电脑病毒入侵电脑的 *** 太多了。通过各种文件就入侵了。
木马病毒对电脑的危害很多的,盗取个人信息、电脑死机、蓝屏等。所以中了病毒就要马上进行杀毒。
杀毒软件一直用的是腾讯电脑管家,首先第二代引擎--鹰眼杀毒引擎,大大减少了占用的系统空间,而且支持64种病毒、木马的查杀。比较全面、彻底。
打开电脑管家/闪电杀毒/全盘扫描/完成。杀毒后重启电脑,因为很多病毒要重启电脑之后才能清除干净。
中毒后,电脑经常会出现无法正常开机的情况下,重启电脑的时候,一直按着按F8不放,进入高级选项,然后从 *** 安全模式进入电脑系统。开机后的之一件事就是马上进行杀毒处理。
木马入侵主要手段
木马,全称特洛伊木马(Trojan horse),这个词语来源于古希腊神话,在计算机领域是一种客户/服务器程序,是黑客最常用的基于远程控制的工具。目前,比较有名的国产木马有:“冰河”、“广外女生”、“黑洞”、“黑冰”等;国外有名的木马则有:“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和 *** 安全危害相当大,因此,如何防范特洛伊木马入侵成为了计算机 *** 安全的重要内容之一。
1 木马的实现原理及特征
1.1 木马的实现原理
从本质上看,木马都是 *** 客户/服务模式,它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。
当攻击者要利用木马进行 *** 入侵,一般都要完成“向目标主机传播木马”,“启动和隐藏木马”,“建立连接”,“远程控制”等环节。
1.2 木马的特征
一个典型的木马程序通常具有以下四个特征:隐蔽性、欺骗性、顽固性和危害性。
(1)隐蔽性:隐蔽性是木马的生命力,也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面:
a.不产生图标。木马虽然在系统启动时会自动运行,但它不会在“任务栏”中产生一个图标。
b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。
(2)欺骗性:木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名,如dll、win、sys、explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常常修改几个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中而已。
(3)顽固性:很多木马的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。当木马被检查出来以后,仅仅删除木马程序是不行的,有的木马使用文件关联技术,当打开某种类型的文件时,这种木马又重新生成并运行。
(4)危害性:当木马被植入目标主机以后,攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码,控制系统的运行,进行有关文件的操作以及修改注册表等。
2 木马入侵手段
木马能不能完全发挥它的功能和作用,关键一步就是能否成功地进入到目标主机。随着 *** 知识的普及以及 *** 用户安全意识的提高,木马的入侵手段也随着发生了许多变化。
2.1木马的传统入侵手段
所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式,主要有以下几种:
1)电子邮件(E-mail)进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。
2) *** 下载进行传播:一般的木马服务端程序都不是很大,更大也不超过200K,有的甚至只有几K。如果把木马捆绑到其它正常文件上,是很难发现的。一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的 *** 传播:由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面,他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。
3)网页浏览传播:这种 *** 利用Java Applet编写出一个HTML网页,当我们浏览该页面时,Java Applet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。
4)利用系统的一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。
5)远程入侵进行传播:黑客通过破解密码和建立IPC$远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\WINDOWS\system32或者C:\WINNT\system32)中,然后通过远程操作让木马程序在某一个时间运行。
2.2 木马入侵手段的发展
以上的木马入侵手段虽然使用广泛,但也很容易引起用户的警觉,所以一些新的入侵手段也相继出现,主要有:
1) 基于DLL和远程线程插入的木马植入
这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。
DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后,需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间,即利用该线程通过调用Load Library函数来加载木马DLL,从而实现木马的传播。
2)利用蠕虫病毒传播木马
以前的木马传播大都比较被动,而使用E-mail传播效率又太低,系统漏洞很快又被打上补丁,所以在某种程度上限制了木马的传播能力。 *** 蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在 *** 上大批量地进行传播、复制,这就加快了木马的传播速度,扩大了其传播范围。
3 木马的防范措施
为了减少或避免木马给主机以及 *** 带来危害,我们可以从两方面来有效地防范木马:使用防火墙阻止木马入侵以及及时查杀入侵后的木马。
防火墙是抵挡木马入侵的之一道门,也是更好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接,防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查,在适当规则的限制下,如对通讯端口进行限制,只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是,仍然有一些木马可以绕过防火墙进入目标主机(比如反弹端口木马),还有一些将端口寄生在合法端口上的木马,防火墙对此也无能为力。因此,我们必须要能迅速地查杀出已经入侵的木马。木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的 *** 是安装杀毒软件,现在很多杀毒软件能删除 *** 上最猖獗的木马。但是,由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。 *** 是:
1)检查主机开放的端口
木马进行通讯时大都会开启一个通讯端口,这个端口一般是用户不常见的。检查端口可以使用专门的端口扫描器,也可以在“命令行提示符”下使用“net stat –an”命令进行查看,如图1所示。除了服务器默认使用的端口外,其它的开放端口都要引起警觉。
因为在注册表中可以设置一些启动加载项目,所以很多木马程序都会利用注册表来启动自己。事实上,只要是Run\RunOnce\RunonceEx\RunServices\RunServicesOnce等都是木马程序加载的入口,如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once;HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once或Run Services或RunServicesOnce。检查这些键值下是否有可疑的文件名,如果有,先关闭其进程,再删除键值和相应的应用程序。 对于一些文本(.txt)文件关联木马(比如“冰河”)和应用程序(.exe)文件关联木马(比如“广外女生”),除了以上步骤外,还要将HKEY_Classes_ROOT\txtfile\shell\open\command中的键值改为“c:\windows\notepad.exe %1”以及将HKEY_Classes_ROOT\exefile\shell\open\command中的键值改为“”%1” %*”。
3)检查启动组
虽然木马隐藏在启动组并不是十分安全,但这里的确是自动加载运行的好场所,因此还是有木马在这里驻留。启动组对应的文件夹为“C:\Documents and Settings\All Users\「开始」菜单\程序\启动”,要经常检查这个地方。
除了以上防范措施外,用户上网时应该避免访问一些非正规的网站或者下载文件;在收到带有附件的E-mail时,应该先对附件进行病毒扫描确保安全后再打开。
4 结束语
多年以来,木马与 *** 安全技术一直较量着,并且不断向前发展。未来的计算机木马将更注重底层的通讯编程,如针对网卡和Modem的通讯编程,这样可以有效地逃过安全检测,对 *** 安全形成新的威胁,我们对它的防范也将更加困难。
特洛伊木马属于以下哪种攻击方式?
木马是用于控制或者窃取东西的兵没有直接进行攻击...
强算是利用型攻击 就是利用你的所有数据
木马,病毒等恶意程序通常是利用什么 *** 植入电脑的?如何防范
预防木马病毒,应该采取以下措施
1.安装杀毒软件和个人防火墙,并及时升级。
2. 把个人防火墙设置好安全等级,防止未知程序向外传送数据。
3. 可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
4. 如果使用IE 浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
5. 不要执行任何来历不明的软件
6. 不要随意打开邮件附件。现在绝大部分木马病毒都是通过邮件来传递的,而且有的还会连环扩散,因此对邮件附件的运行尤其需要注意。
7. 重新选择新的客户端软件 很多木马病毒主要感染的是Microsoft 的OutLook 和OutLook Express 的邮件客户端软件,因为这两款软件全球使用量更大,黑客们对它们的漏洞已经洞察得比较透彻。如果选用其他的邮件软件,例如Foxmail 等,收到木马病毒攻击的可能性就将减小,至少不会反复感染给通信录中的好友。此外也可以直接通过Web方式来访问信箱,这样就能大大降低木马病毒的感染概率。
8. 将资源管理器配置成始终显示扩展名将Windows 资源管理器配置成始终显示扩展名,一些文件扩展名为vbs 、shs 、pif 的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。
9. 尽量少用共享文件夹如果因工作等原因必须将电脑设置成共享,则更好单独设置一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。
10. 运行反木马实时监控程序木马防范重要的一点就是在上网时更好运行反木马实时监控程序,TheCleaner 等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外再加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。
11. 经常升级系统和更新病毒库。经常关注微软和杀毒软件厂商网站上的安全公告,这些网站通常都会及时地将漏洞、木马和更新公布出来,并在之一时间发布补丁和新的病毒库等。
一般用户在使用电脑的过程中要注意的几点
1、天上是不会掉馅饼的。
你可能会收到这样的消息,告诉你点击某个网站就可以得到什么好处。这往往是病毒的制造者给你设的陷井,只要你照他说的做了,那你的电脑中病毒的可能性就会提高!因此说,不熟悉的网站要提高警觉。
2、减少好奇心。
邮件中的附件不要轻易点击。陌生人给你发送的邮件如果包含的附件,多数情况下附件是病毒文件。有一些附件为了引诱用户点击经常将自己伪装成美女图片、美女情书或是跟美女有关的东西。切记有时好奇心大了不一定是好事!
3、提高警惕。
现在的病毒也能做到假借你朋友的名义给你传送文件,所以说当收到朋友给你传来的文件后,向朋友问明文件的内容后再打开查看也不晚!
4、非必要的网站插件不要安装
去某些网站时总会提醒你安装某某插件。先了解插件的作用后再安装也不迟。当然有一些插件是需要安装的,比如:Flash插件、相关银行网站的安全插件等。对于一些不知名网站的插件或用处不大的插件,更好不要安装。
四,简述木马病毒对 *** 支付系统的攻击有哪些形式
比如窃取信息,DAO取等
除了防还要杀,保护预防查杀都要全面
新手建议安装腾讯电脑管家保护,是一款免费安全软件,能有效预防和解决计算机上常见的安全风险。拥有云查杀木马,系统加速,漏洞修复,实时防护,网速保护,电脑诊所,健康小助手等功能,且首创了“管理+杀毒”二合一的开创性功能依托管家云查杀和第二代自主研发反病毒引擎“鹰眼”,同时获得AV-Test和AV-C以及VB100%三项全球权威评测机构的反病毒测试和其他奖项,开创国内杀软的更好成绩,也是中国首款杀毒和优化管理功能二合一的安全软件
木马程序和病毒的攻击原理是什么?
木马原理
特洛伊木马属于客户/服务模式。它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例,被控制端可视为一台服务器,控制端则是一台客户机,服务端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。
为进一步了解木马,我们来看看它们的隐藏方式,木马隐藏 *** 主要有以下几种:
1.)在任务栏里隐藏
这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标,傻子都会明白怎么回事。在VB中,只要把form的Viseble属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.)在任务管理器里隐藏
查看正在运行的进程最简单的 *** 就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。所以,木马千方百计的伪装自己,使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。
3.)端口
一台机器由65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口,占用这些端口可能会造成系统不正常。这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?
4.)木马的加载方式隐蔽
木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马,你会运行它才怪呢。而随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。
5.)木马的命名
木马服务端程序的命名也有很大的学问。如果你不做任何修改的话,就使用原来的名字。谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除么?还有的就是更改一些后缀名,比如把dll改为dl等,你不仔细看的话,你会发现么?
6.)最新隐身技术
目前,除了以上所常用的隐身技术,又出现了一种更新、更隐蔽的 *** 。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种 *** 与一般 *** 不同,它基本上摆脱了原有的木马模式—监听端口,而采用替代系统功能的 *** (改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的 *** 监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。。
楼主电脑中木马病毒的时候不要着急,
建议楼主下载安装腾讯电脑管家来进行杀毒,
重启电脑按F8进入安全模式--打开腾讯电脑管家--杀毒--全盘扫描--完成后打开工具箱--顽固木马克星--深化扫描--完成重启电脑就可以了,
希望这样能够帮到楼主,