24小时接单的黑客

黑客接单,黑客教程,黑客技术,黑客找黑客,技术黑客

揭开木马病毒(木马病毒攻击)

本文目录一览:

电脑重装了,但是用瑞星再线查毒还有病毒。

下载一个传奇终结者的专杀或是木马克星(Iparmor)

下载地址:

或是手动杀毒

以下是手动杀毒::

流行病毒EXERT.exe 病毒LSASS.exe的专杀工具下载

手工清除:传奇终结者变种JBA(Trojan.PSW.Lmir.jba) EXERT.exe

病毒名称:传奇终结者变种JBA(Trojan.PSW.Lmir.jba)

病毒类型:通过 *** 传播的盗号木马

病毒危害级别:★★★☆

病毒发作现象及危害:

该病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程,使其不能正常运行。它会频繁检查“传奇”客户端的窗口,如果窗口存在,就会取得当前鼠标的位置,并记录键盘信息,最后把记录下来的信息发送到指定邮箱,从而窃取用户的游戏账号和密码等。

这个病毒比较狠毒,手工清除较为复杂。请用户务必按照步骤严格操作,否则很可能出现无法清除干净的情况。建议一般用户更好使用杀毒软件来清除这个病毒。

红色警报----揭开最近无数人被盗号之迷 木马程序利用windows系统的lsass漏洞通过 *** 传播,就如冲击波哪样,你只要上网就有可能中这个木马

最近几天总觉得自己电脑用得不顺手,我想应该是中了病毒什么的所至。于是打开诺顿查杀病毒,全盘扫描了一次,居然一无所获。没有办法,只好手动查找了。点击运行,输入:msconfig,回车,没有反应,再试一次,还是没反应。问题出现,系统配置程序肯定是被病毒搞定了。再试试注册表看看,运行——regedit,回车,注册表编辑器还可以用。马上查看启动项有没异常,发现如下:看图

看上图,真正严重的来了!这病毒居然感染了 *** ,和梦幻文件,原来这是个盗号的木马程序!还好本人电脑在Unix主机的硬件防火墙下面,小马儿就算偷取了账号密码也无法发送出去,不然被盗人群中就有我一个了。

目前这病毒还没有哪个杀毒软件能识别出来,更不用说杀掉了。

现在我已经用GHOST复原了系统,如果你发现被盯上了就马上找人格掉硬盘重装系统,然后更改游戏密码和 *** 密码吧,小马儿防不胜防,手工清除怕有遗漏,一失手就......

----------------------------------------------------------------------------------------------------------------------

此病毒利windows系统的lsass漏洞通过 *** 传播,就如冲击波哪样,你只要上网就有可能中这个木马.目前没有绝后办法,中了就只能重装系统,或手工清除,手工清除非常麻烦,我在金山毒霸论坛找到的 *** 如下:

一、 结束病毒进程

鼠标右键点击“任务栏”,选择“任务管理器”。点击菜单“查看”-“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。

找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号。

点击“开始”-》“运行”,输入“CMD”,点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”,比如我的计算机上就输入“ntsd –c q -p 1464”。

二、 删除病毒文件

打开“我的电脑”,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:

C:\Program Files\Common Files\INTEXPLORE.pif、

C:\Program Files\Internet Explorer\INTEXPLORE.com、

C:\WINDOWS\EXERT.exe、

C:\WINDOWS\IO.SYS.BAK、

C:\WINDOWS\LSASS.exe、

C:\WINDOWS\Debug\DebugProgram.exe、

C:\WINDOWS\system32\dxdiag.com、

C:\WINDOWS\system32\MSCONFIG.COM、

C:\WINDOWS\system32\regedit.com

如果硬盘有其他分区,则在其他分区上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。

三、删除注册表中的其他垃圾信息

这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:

HKEY_CLASSES_ROOT\WindowFiles、

HKEY_CURRENT_USER\Software\VB and VBA Program Settings、

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。

将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”

将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”

将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”

将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”

将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”

将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。

重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕

u盘被木马病毒盗窃了,文件很重要,可以找回来吗

您好

这应该是被删除或者是被隐藏了,而不是盗窃了

您可以到腾讯电脑管家官网下载电脑管家

使用电脑管家——杀毒——指定位置查杀——选择U盘目录——扫描杀毒检测一下

如果检测结果为无毒,您就使用电脑管家——电脑诊所——右上角搜索【文件数据恢复】来恢复被删除的文件即可。

如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难

腾讯电脑管家企业平台:

木马结构

由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。

揭开木马的神秘面纱

[color=Red][b]声明:[/b][/color]本内容转载于网上!作者请勿见怪!

[color=Blue][b]前 言[/b][/color]

在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现哪些功能?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之一 冰河为例,向大家剖析木马的基本原理,为大家揭开木马的神秘面纱。

木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。

[color=Blue][b]一、基础篇(揭开木马的神秘面纱)[/b][/color]

无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个 *** 客户/服务程序。那么,就让我们从 *** 客户/服务程序的编写开始。

1.基本概念:

*** 客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!甚至还有人跟我争得面红耳赤,昏倒!!)

2.程序实现:

在VB中,可以使用Winsock控件来编写 *** 客户/服务程序, 实现 *** 如下:

(其中,G_Server和G_Client均为Winsock控件)

服务端:

G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)

G_Server.Listen(等待连接)

客户端:

G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)

G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)

(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)

G_Client.Connect (调用Winsock控件的连接 *** )

一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_Server.Accept requestID

End Sub

客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)

如果客户断开连接,则关闭连接并重新监听端口

Private Sub G_Server_Close()

G_Server.Close (关闭连接)

G_Server.Listen (再次监听)

End Sub

其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令......

[color=Blue][b]二、控制篇(木马控制了这个世界!)[/b][/color]

由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)

因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述, 主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数, 请查询WinAPI手册。

1.远程监控(控制对方鼠标、键盘,并监视对方屏幕)

keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。

mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)

mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

dwFlags:

MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

MOUSEEVENTF_MOVE 移动鼠标

MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下

MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起

MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下

MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下

MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下

MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下

dx,dy:

MOUSEEVENTF_ABSOLUTE中的鼠标坐标

2.记录各种口令信息(出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)

3.获取系统信息

a.取得计算机名 GetComputerName

b.更改计算机名 SetComputerName

c.当前用户 GetUserName函数

d.系统路径

Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象)

Set SystemDir = FileSystem0bject.getspecialfolder(1)

(取系统目录)

Set SystemDir = FileSystem0bject.getspecialfolder(0)

(取Windows安装目录)

(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)

e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx

f.当前显示分辨率

Width = screen.Width \ screen.TwipsPerPixelX

Height= screen.Height \ screen.TwipsPerPixelY

其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表

比如计算机名和计算机标识吧:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP

中的Comment,ComputerName和WorkGroup

注册公司和用户名:

HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo

至于如何取得注册表键值请看第6部分

4.限制系统功能

a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:

ExitWindowsEx(ByVal uFlags,0)

当uFlags=0 EWX_LOGOFF 中止进程,然后注销

=1 EWX_SHUTDOWN 关掉系统电源

=2 EWX_REBOOT 重新引导系统

=4 EWX_FORCE 强迫中止没有响应的进程

b.锁定鼠标

ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以

注:RECT是一个矩形,定义如下:

Type RECT

Left As Long

Top As Long

Right As Long

Bottom As Long

End Type

c.锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的......

d.让对方掉线 RasHangUp......

e.终止进程 ExitProcess......

f.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口

5.远程文件操作

无论在哪种编程语言里, 文件操作功能都是比较简单的, 在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现

6.注册表操作

在VB中只要Set RegEdit=CreateObject("WScript.Shell")

就可以使用以下的注册表功能:

删除键值:RegEdit.RegDelete RegKey

增加键值:RegEdit.Write RegKey,RegValue

获取键值:RegEdit.RegRead (Value)

记住,注册表的键值要写全路径,否则会出错的。

7.发送信息

很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。

8.点对点通讯

呵呵,这个嘛随便去看看什么聊天软件就行了

(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑......)

9.换墙纸

Call SystemParametersInfo(20,0,"BMP路径名称",H1)

值得注意的是,如果使用了Active Desktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找比尔盖子吧。

[color=Blue][b]三、潜行篇(Windows,一个捉迷藏的大森林)[/b][/color]

木马并不是合法的 *** 服务程序(即使你是把木马装在女朋友的机子上,也是不合法的,当然,这种行为我可以理解,呵呵),因此,它必须想尽一切办法隐藏自己,好在,Windows是一个捉迷藏的大森林!

1、在任务栏中隐藏自己:

这是最基本的了,如果连这个都做不到......(想象一下,如果Windows的任务栏里出现一个国际象棋中木马的图标...@#$%!#@$...也太嚣张了吧!)

在VB中,只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。

2、在任务管理器中隐形:(就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程)

这个有点难度,不过还是难不倒我们,将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。

在VB中如下的代码可以实现这一功能:

Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long

Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long

(以上为声明)

Private Sub Form_Load()

RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)

End Sub

Private Sub Form_Unload()

RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)

End Sub

3、如何悄没声息地启动:

你当然不会指望用户每次启动后点击木马图标来运行服务端,木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端(之一重要的是如何让对方中木马,嘿嘿,这部分的内容将在后面提到)

Windows支持多种在系统启动时自动加载应用程序的 *** (简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种 *** 确保你不能摆脱它(怎么听起来有点死缠烂打呀....哎呦,谁呀谁呀,那什么黄鑫,不要拿鸡蛋扔我!)首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了system\kernl32.exe(system是系统目录), 其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化)下生成一个叫sysexplr.exe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本?), sysexplr.exe文件就会重新生成krnel32.exe, 然后你还是被冰河控制著。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555)

4、端口

木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243....)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露; 而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)

5.最新的隐身技术

目前,除了冰河使用的隐身技术外,更新、更隐蔽的 *** 已经出现,那就是-驱动程序及动态链接库技术(冰河3.0会采用这种 *** 吗?)。

驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的 *** (改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的 *** 查杀)、不需要打开新的端口(所以不能用端口监视的 *** 查杀)、没有新的进程(所以使用进程查看的 *** 发现不了它,也不能用kill进程的 *** 终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作......

事实上,我已经看到过几个这样类型的木马,其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪)

[color=Blue][b]四、XX篇(魔高一尺、道高一丈)[/b][/color]

本文主要是探讨木马的基本原理, 木马的XX并非是本文的重点(也不是我的长处),具体的XX请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载 *** 做一个小小的总结:

1.端口扫描

端口扫描是检查远程机器有无木马的更好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中)

但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。

2.查看连接

查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。

3.检查注册表

上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。

4.查找文件

查找木马特定的文件也是一个常用的 *** (这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......)冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlpr.exe(什么什么,不是超级解霸吗?)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样(废话,Server端程序都没了,还能干嘛?)

黄鑫:"咳咳,不是那么简单哦......"(狡猾地笑)

是的, 如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上, *** 有三种:

a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)

b.在我的电脑-查看-文件夹选项-文件类型中编辑

c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中始终用该程序打开......,然后找到notepad,点一下就OK了。(这个最简单,推荐使用)

黄鑫:"我...我笑不起来了 :( "

提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它......你苦了!连regedit都不能运行了!

5.杀病毒软件

之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此, 不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来)

另外,对于驱动程序/动态链接库木马,有一种 *** 可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用!)

[color=Blue][b]五、狡诈篇(只要你的一点点疏忽......)[/b][/color]

只要你有一点点的疏忽,就有可能被人安装了木马,知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。

1.网上“帮”人种植木马的伎俩主要有以下的几条

a.软哄硬骗法;

这个 *** 很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭, 有的......反正目的都一样,就是让你去运行一个木马的服务端。

b.组装合成法

就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。

c.改名换姓法

这个 *** 出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体 *** 是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)

d.愿者上钩法

木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗;奉劝:不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意...(什么乱七八糟呀)

2. 几点注意(一些陈词滥调)

a.不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点,这些站点一般都有专人杀马杀毒;

b.不要过于相信别人,不能随便运行别人给的软件;

(特别是认识的,不要以为认识了就安全了,就是认识的人才会给你装木马,哈哈,挑拨离间......)

c.经常检查自己的系统文件、注册表、端口什么的,经常去安全站点查看最新的木马公告;

d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)

e.如果上网时发现莫名奇妙地硬盘乱响或猫上的数据灯乱闪,要小心;

(我常常会突然关掉所有连接,然后盯著我的猫,你也可以试试,要是这时数据传送灯还在拼命闪,恭喜,你中木马了,快逃吧!)

[color=Blue][b]六、后 记[/b][/color]

这篇文章的问世首先要感谢冰河的作者-黄鑫,我对他说:“我要写篇关于冰河的文章”,他说:“写呗”,然后就有了这篇文章的初稿(黄鑫:“不是吧,你答应要用稿费请我吃饭的,不要赖哦”),随后,黄鑫给我提了很多建议并提供了不少资料,谢谢冰河。

其次是西祠的yagami,他是公认的木马专家,在我写作期间,他不仅在木马的检测、杀除方面提出了不少自己的看法,还给我找来了几个木马的源代码作为参考,不过这个家伙实在太忙,所以想看《特洛伊木马看过来》的朋友就只有耐心地等待了。

第三个值得一提的家伙是武 *** ,我的初稿一出来,他就忙不迭地贴出去了,当时我很狼狈,只能加紧写,争取早日完成,赶快把漏洞百出的初稿换下来,要不然,嘿嘿,估计大家也要等个一年半载的才能看到这篇文章了。

这篇文章的初稿出来以后,有很多朋友问:为什么不用C++,而要用VB来写木马的源码说明呢?呵呵,其一是我很懒,VB比 VC要容易多了,还不会把windows搞死机(我用VC写程序曾经把系统搞崩溃过的:P);其二,本文中能用API的,我基本上都用了,VB只是很小的一块, WINAPI嘛,移植起来是很容易的;其三,正如我前面强调的,本文只是对木马的结构和原理进行一番讨论,并非教人如何编写木马程序,要知道,公安部已经正式下文:在他人计算机内下毒的要处以刑事处分。相比而言,VB代码的危害性要小很多的(如果完全用VB做一个冰河,大概要一兆多,还不连那些控件和动态链接库文件,呵呵,这么庞大的程序,能 悄 悄 地在别人的机子里捣鬼吗?)

最后,作为冰河的朋友,我希望大家能抱著学术的态度来看这篇文章,同样能抱著学术的态度来看待冰河木马,不要用冰河做坏事,我替黄鑫先谢谢你了!(监视自己的女朋友不算,不过冰河不会对因为使用冰河导致和女友吵架直至分手负任何责任)

当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的 *** ,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。

在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。

知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的 *** 就是马上将计算机与 *** 断开,防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。

简述病毒与木马的相同点与不同点,还有病毒和木马的代表事件

木马不是病毒

木马与病毒、蠕虫、后门程序并列从属于恶意程序范畴

区别:

计算机病毒具有如下几个特征:感染性、隐藏性、潜伏性、可触发性、衍生性、破坏性

病毒是最早出现的计算机恶意程序

所以我们以病毒为标杆,拿其他类型的恶意程序来对比一下就知道有什么区别了

首先是您关心的木马:

木马并不具有感染性,木马并不会使那些正常的文件变成木马,但病毒可以感染正常文件使其成为病毒或者病毒传播的介质

木马不具有隐藏性和潜伏性,木马程序都是我们看得到的,并没有把自己隐藏起来,也不像病毒那样通过系统中断或者其他的一些什么机制来定期发作,木马只是伪装成一个你想要使用的正常程序,甚至具有正常程序的一切功能,当你使用这些正常的功能的同时,木马的行为也就同时发作了。

木马没有破坏性,纯粹的木马旨在盗取用户资料,取得用户的信息,并不会破坏用户的系统。

从上面几点就能很清楚的看出木马和病毒的区别了

蠕虫不感染、不隐藏、不破坏计算机,它是通过阻塞 *** 或者恶意侵占用户资源来造成系统运行的不稳定甚至崩溃

后门程序则本身是正常程序,或出于某种恶意的设计或出于疏忽大意,这些正常程序中留有可能被利用来破坏计算机的漏洞,就成为了后门程序……前些时间被炒的沸沸扬扬的暴风影音后门事件就是暴风影音处于商业利益诱导留的一个后门,最终被黑客利用制造了极大的破坏。

虽说有区别,不过这些区别只是理论定义上的。木马制造者可不会因为定义上说木马不破坏计算机,他就不制造破坏计算机的木马。而且事实上现在确实有这种木马了,这种木马其实是木马和病毒的混合体,同样的,也有蠕虫与病毒的混合体。还有后门、木马、病毒形成一个自动下载发作的程序链协同作战的。所以这些区别仅仅做个了解即可,他们之间的界限正在慢慢模糊~

至于代表事件

传统的计算机病毒分类是根据感染型态来区分,以下为各类型简介:

• 开机型

米开朗基罗病毒,潜伏一年,"硬"是要得(这个没看懂)

• 文件型

(1)非常驻型

Datacrime II 资料杀手-低阶格式化硬盘,高度破坏资料

(2)常驻型

Friday 13th黑色(13号)星期五-"亮"出底细

• 复合型

Flip 翻转-下午4:00 屏幕倒立表演准时开始

• 隐形飞机型

FRODO VIRUS(福禄多病毒)-"毒"钟文件配置表

• 千面人

PE_MARBURG -掀起全球"战争游戏"

• 文件宏

Taiwan NO.1 文件宏病毒-数学能力大考验

• 特洛伊木马病毒 VS.计算机蠕虫

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

• 黑客型病毒

Nimda 走后门、发黑色信件、瘫痪 ***

认识计算机病毒与黑客

2.1开机型病毒 (Boot Strap Sector Virus):

开机型病毒是藏匿在磁盘片或硬盘的之一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。 @实例

Michelangelo米开朗基罗病毒-潜伏一年,"硬"是要得

发病日: 3月6日

发现日:1991.3

产地:瑞典(也有一说为台湾)

病征:米开朗基罗是一只典型的开机型病毒,最擅长侵入计算机硬盘机的硬盘分割区(Partition Table)和开机区(Boot Sector),以及软盘的开机区(Boot Sector),而且它会常驻在计算机系统的内存中,虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径,事实上只有一种,那就是使用不当的磁盘开机,如果该磁盘正好感染了米开朗基罗,于是,不管是不是成功的开机,可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘,平常看起来计算机都颇正常的,一到3月6日使用者一开机若出现黑画面,那表示硬盘资料已经跟你说 Bye Bye 了。

历史意义:文件宏病毒发迹前,连续数年蝉联破坏力最强的毒王宝座

Top

2.2文件型病毒 (File Infector Virus):

文件型病毒通常寄生在可执行文件(如 *.COM, *.EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :

(1) 非常驻型病毒(Non-memory Resident Virus) :

非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。

@实例:

Datacrime II 资料杀手-低阶格式化硬盘,高度破坏资料

发病日:10月12日起至12月31日

发现日:1989.3

产地:荷兰

病征:每年10月12日到12月31号之间,除了星期一之外DATA CRIME II 会在屏幕上显示:*DATA CRIME II VIRUS*

然后低阶格式化硬盘第0号磁柱 (CYLINDER0从HEAD 0~HEAD 8)FORMAT后,会听到BEEP一声当机,从此一蹶不振。

历史意义:虽然声称为杀手,但它已经快绝迹了

(2) 常驻型病毒(Memory Resident Virus) :

常驻型病毒躲在内存中,其行为就好象是寄生在各类的低阶功能一般(如 Interrupts),由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中, 只要执行文件被执行, 它就对其进行感染的动作, 其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。

@实例:

Friday 13th黑色(13号)星期五-"亮"出底细

发病日: 每逢13号星期五

发现日:1987

产地:南非

病征:十三号星期五来临时,黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快,其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒,如:Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等...。其感染的本质几乎大同小异,其中Friday 13th-C病毒,当它进行感染文件时,屏幕上会显示一行客套语:"We hope we haven''t inconvenienced you"

历史意义:为13号星期五的传说添加更多黑色成分

Top

2.3复合型病毒 (Multi-Partite Virus):

复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染 *.COM, *.EXE 文件,也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病,其破坏的程度将会非常可观!

@实例:

Flip 翻转-下午4:00 屏幕倒立表演准时开始

发病日:每月2日

发现日:1990.7

产地:瑞士(也有一说为西德)

病征:每个月 2 号,如果使用被寄生的磁盘或硬盘开机时,则在16 时至16时59分之间,屏幕会呈水平翻动。

历史意义:之一只使具有特异功能的病毒

Top

2.4隐型飞机式病毒 (Stealth Virus):

隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义, 它通过控制DOS的中断向量,把所有受其感染的文件"假还原",再把"看似跟原来一模一样"的文件丢回给 DOS。

@实例

FRODO 福禄多 -"毒"钟文件配置表

别 名:4096

发现日:1990.1

发病日:9月22日-12月31日

产地:以色列

病征:4096病毒最喜欢感染.COM, .EXE和.OVL文件,顾名思义被感染的文件长度都会增加4,096 bytes。它会感染资料文件和执行文件(包括:COM、.EXE)和.OVL等覆盖文件。当执行被感染的文件时,会发现速度慢很多,因为FAT (文件配置表) 已经被破坏了。此外,9月22日-12月31日会导致系统当机。

历史意义:即使你用DIR 指令检查感染文件,其长度、日期都没有改变,果真是伪装秀的始祖。

Top

2.5千面人病毒 (Polymorphic/Mutation Virus):

千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说,无疑是一个严重的考验!有些高竿的千面人病毒,几乎无法找到相同的病毒码。

@实例

PE_MARBURG -掀起全球"战争游戏"

发病日:不一定(中毒后的3个月)

发现日:1998.8

产地:英国

病征:Marburg 病毒在被感染三个月后才会发作,若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样 (例如,中毒时间是9月15日上午11点,若该应用程序在12月15日上午11点再次被执行),则 Marburg 病毒就会在屏幕上显示一堆的 "X"。如附图。

历史意义:专挑盛行的计算机光盘游戏下毒,1998年更受欢迎的 MGM/EA「战争游戏」,因其中有一个文件意外地感染 Marburg 病毒,而在8 月迅速扩散。

感染 PE_ Marburg 病毒后的 3 个月,即会在桌面上出现一堆任意排序的 "X" 符号

2.6宏病毒 (Macro Virus):

宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。

@实例:

Taiwan NO.1 文件宏病毒- 数学能力大考验

发病日:每月13日

发现日:1996.2

产地:台湾

病征:出现连计算机都难以计算的数学乘法题目,并要求输入正确答案,一旦答错,则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。

历史意义:1.台湾本土地一只文件宏病毒。2. 1996年年度杀手,1997年三月踢下米开朗基罗,登上毒王宝座。3. 被列入ICSA(国际计算机安全协会)「In The Wild」病毒数据库。(凡难以驯服、恶性重大者皆会列入此黑名单)

2.7特洛伊木马病毒 VS.计算机蠕虫

特洛依木马( Trojan )和计算机蠕虫( Worm )之间,有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力。

特洛伊木马程序的伪装术

特洛依木马( Trojan )病毒是近年崛起的新品种,为帮助各位读者了解这类病毒的真面目,我们先来看一段「木马屠城记」的小故事:

话说风流的特洛伊王子,在遇上美丽的有夫之妇希腊皇后后,竟无法自拔的将其诱拐回特洛伊国,此举竟引发了为期十年的特洛依大战。然而,这场历经九年的大战,为何在最后一年会竟终结在一只木马上呢?原来,眼见特洛伊城久攻不下,于是希腊人便特制了一匹巨大的木马,打算来个"木马屠城计"!希腊人在木马中精心安排了一批视死如归的勇士,借故战败撤退,以便诱敌上勾。果然,被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计,当晚便把木马拉进城中,打算来个欢天喜地的庆功宴。哪知道,就在大家兴高采烈喝酒欢庆之际,木马中的精锐诸将,早已暗中打开城门,一举来个里应外合的大抢攻。顿时之间,一个美丽的城市就变成了一堆瓦砾、焦土,而从此消失在历史中。

后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行,并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序,我们便称之为「特洛伊木马型」或「特洛伊型」病毒。

特洛伊木马程序不像传统的计算机病毒一样会感染其它文件,特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中,然后伺机执行其恶意行为,例如格式化碟、删除文件、窃取密码等。

计算机蠕虫在 *** 中匍匐前进

计算机蠕虫大家过去可能比较陌生,不过近年来应该常常听到,顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机 *** 中爬行,从一台计算机爬到另外一台计算机, *** 有很多种例如透过局域 *** 或是 E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫 "。例如:" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染 Word 的 Normal.dot(此为计算机病毒特性),而且会通过 Outlook E-mail 大量散播(此为计算机蠕虫特性)。

事实上,在真实世界中单一型态的恶性程序其实愈来愈少了,许多恶性程序不但具有传统病毒的特性,更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"(ExploreZip)。探险虫会覆盖掉在局域 *** 上远程计算机中的重要文件(此为特洛伊木马程序特性),并且会透过局域 *** 将自己安装到远程计算机上(此为计算机蠕虫特性)。

@实例:

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

发病日: 不一定

发现日:1999.6.14

产地:以色列

病征:通过电子邮件系统传播的特洛依病毒,与梅莉莎不同之处是这只病毒除了会传播之外,还具有破坏性。计算机受到感染后,其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下,自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下:Hi Recipient Name!I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely, All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时,这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者执行了这个病毒,它会存取使用者的C:到Z:磁盘驱动器,寻找以下扩展名的文件,并将所找到的文件以0来填空。造成使用者资料的损失。.c (c source code files).cpp (c++ source code files).h (program header files).a *** (assembly source code).doc (Microsoft Word).xls (Microsoft Excel).ppt (Microsoft PowerPoint)

历史意义:

• 开机后再生,即刻连锁破坏

--传统病毒:立刻关机,重新开机,停止它正进行的破坏行动--探险虫:不似传统病毒,一旦重新开机,即寻找 *** 上的下个受害者

2.8 黑客型病毒

-走后门、发黑色信件、瘫痪 ***

自从 2001七月 CodeRed红色警戒利用 IIS 漏洞,揭开黑客与病毒并肩作战的攻击模式以来,CodeRed 在病毒史上的地位,就如同之一只病毒 Brain 一样,具有难以抹灭的历史意义。

如同 *** 安全专家预料的,CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖,日后的病毒将以其为样本,变本加厉地在 *** 上展开新型态的攻击行为。果不其然,在造成全球 26.2 亿美金的损失后, 不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒,其破坏指数却远高于 CodeRed。 Nimda 反传统的攻击模式,不仅考验着 MIS 人员的应变能力,更使得传统的防毒软件面临更高的挑战。

继红色代码之后,出现一只全新攻击模式的新病毒,透过相当罕见的多重感染管道在 *** 上大量散播,包含: 电子邮件、 *** 资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多,病毒入口多,相对的清除工作也相当费事。尤其是下载微软的 Patch,无法自动执行,必须每一台计算机逐一执行,容易失去抢救的时效。

每一台中了Nimda 的计算机,都会自动扫描 *** 上符合身份的受害目标,因此常造成 *** 带宽被占据,形成无限循环的 DoS阻断式攻击。另外,若该台计算机先前曾遭受 CodeRed 植入后门程序,那么两相挂勾的结果,将导致黑客为所欲为地进入受害者计算机,进而以此为中继站对其它计算机发动攻势。

类似Nimda威胁 *** 安全的新型态病毒,将会是 MIS 人员更大的挑战。"

实例:Nimda

发现日:2001.9

发病日:随时随地

产地:不详

病征:通过eMail、 *** 芳邻、程序安全漏洞,以每 15 秒一次的攻击频率,袭击数以万计的计算机,在 24 小时内窜升为全球感染率之一的病毒

历史意义:

计算机病毒与黑客并肩挑衅,首创猛爆型感染先例,不需通过潜伏期一台计算机一台计算机感染,瞬间让 *** 上的计算机几乎零时差地被病毒攻击

认识计算机病毒与黑客

防止计算机黑客的入侵方式,最熟悉的就是装置「防火墙 」(Firewall),这是一套专门放在 Internet 大门口 (Gateway) 的身份认证系统,其目的是用来隔离 Internet 外面的计算机与企业内部的局域 *** ,任何不受欢迎的使用者都无法通过防火墙而进入内部 *** 。有如机场入境关口的海关人员,必须核对身份一样,身份不合者,则谢绝进入。否则,一旦让 *** 进入国境破坏治安,要再发布通缉令逮捕,可就大费周章了。

一般而言,计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事,所以黑客们通常就会用采用另一种迂回战术,直接窃取使用者的帐号及密码,如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞,大肆为所欲为。

--宽带大开方便之门

CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件,其中之一的关键因素是宽带 *** (Broadband)的"always-on" (固接,即二十四小时联机)特性特性所打开的方便之门。

宽带上网,主要是指 Cable modem 与 xDSL这两种技术,它们的共同特性,不单在于所提供的带宽远较传统的 *** 拨接为大,同时也让二十四小时固接上网变得更加便宜。事实上,这两种技术的在本质上就是持续联机的,在线路两端的计算机随时可以互相沟通。

当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时,前提必须在该计算机联机状态方可产生作用,而无任何保护措施的宽还用户,"雀屏中选"的机率便大幅提升了。

当我们期望Broadband(宽带 *** )能让我们外出时仍可随时连上家用计算机,甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时,同样的,黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水,黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾,有效地阻止黑客与病毒的觊觎,才能开启宽带 *** 的美丽新世界。

计算机及 *** 家电镇日处于always-on的状态,也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代,家庭用户对黑客而言就像是一个移动的目标,非常难以锁定,如果黑客想攻击的目标没有拨接上 *** ,那幺再厉害的黑客也是一筹莫展,只能苦苦等候。相对的,宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会,而较大的带宽不但提供家庭用户更宽广的进出渠道,也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事(见表一),然而 CodeRed却改写了这个的定律,过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵,但CodeRed却以病毒大规模感染的手法,瞬间即可植入后门程序,更加暴露了 *** 安全的严重问题

怎么在网吧有效的预防木马病毒啊,谢谢

网吧预防:

如果你是网吧管理员可以在服务器上安装杀毒软件。

如果你是消费者,那请选择有质量的网吧

之一:网吧机器上有冰点或其他强力自动关机还原的网吧

第二:选择条件比较好点的网吧。

第三:不要进可疑的非法程序网站

比如:外挂等。

  • 评论列表:
  •  酒奴邮友
     发布于 2022-07-14 05:47:57  回复该评论
  • 性。计算机受到感染后,其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下,自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部
  •  馥妴寺瞳
     发布于 2022-07-14 07:09:53  回复该评论
  • “"C:\Program Files\Internet Explorer\iexplore.exe" %1”将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_C

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.