學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>病毒知識(shí)>

電腦木馬簡(jiǎn)介

時(shí)間: 林輝766 分享

  特洛伊木馬(以下簡(jiǎn)稱木馬),英文叫做“Trojanhouse”,其名稱取自希臘神話的特洛伊木馬記,它是一種基于遠(yuǎn)程控制的黑客工具。在黑客進(jìn)行的各種攻擊行為中,木馬都起到了開路先鋒的作用。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的電腦木馬介紹!希望對(duì)你有幫助!

  電腦木馬介紹:

  一、木馬的危害

  相信木馬對(duì)于眾多網(wǎng)民來說不算陌生。它是一種遠(yuǎn)程控制工具,以簡(jiǎn)便、易行、有效而深受廣大黑客青睞。一臺(tái)電腦一旦中上木馬,它就變成了一臺(tái)傀儡機(jī),對(duì)方可以在你的電腦上上傳下載文件,偷窺你的私人文件,偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前,隱私?不復(fù)存在!

  木馬在黑客入侵中也是一種不可缺少的工具。就在去年的10月28日,一個(gè)黑客入侵了美國微軟的門戶網(wǎng)站,而網(wǎng)站的一些內(nèi)部信息則是被一種叫做QAZ的木馬傳出去的。就是這小小的QAZ讓龐大的微軟丟盡了顏面!

  廣大網(wǎng)民比較熟悉的木馬當(dāng)數(shù)國產(chǎn)軟件冰河了。冰河是由黃鑫開發(fā)的免費(fèi)軟件,冰河面世后,以它簡(jiǎn)單的操作方法和強(qiáng)大的控制能力令人膽寒,可以說是達(dá)到了談“冰”色變的地步。

  二、木馬原理

  特洛伊木馬屬于客戶/服務(wù)模式。它分為兩大部分,即客戶端和服務(wù)端。其原理是一臺(tái)主機(jī)提供服務(wù)(服務(wù)器),另一臺(tái)主機(jī)接受服務(wù)(客戶機(jī)),作為服務(wù)器的主機(jī)一般會(huì)打開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽。如果有客戶機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求,服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行,來應(yīng)答客戶機(jī)的請(qǐng)求。這個(gè)程序被稱為守護(hù)進(jìn)程。以大名鼎鼎的木馬冰河為例,被控制端可視為一臺(tái)服務(wù)器,控制端則是一臺(tái)客戶機(jī),服務(wù)端程序G_Server.exe是守護(hù)進(jìn)程,G_Client.exe是客戶端應(yīng)用程序。

  為進(jìn)一步了解木馬,我們來看看它們的隱藏方式,木馬隱藏方法主要有以下幾種:

  1.)在任務(wù)欄里隱藏

  這是最基本的。如果在windows的任務(wù)來歷出現(xiàn)一個(gè)莫名其妙的圖標(biāo),傻子都會(huì)明白怎么回事。在VB中,只要把form的Viseble屬性設(shè)置為False,ShowInTaskBar設(shè)為False程序就不會(huì)出現(xiàn)在任務(wù)欄里了。

  2.)在任務(wù)管理器里隱藏

  查看正在運(yùn)行的進(jìn)程最簡(jiǎn)單的方法就是按下ctrl+alt+del時(shí)出現(xiàn)的任務(wù)管理器。如果你按下ctrl+alt+del后可以看見一個(gè)木馬程序在運(yùn)行,那么這肯定不是什么好的木馬。所以,木馬千方百計(jì)的偽裝自己,使自己不出現(xiàn)在任務(wù)管理器里。木馬發(fā)現(xiàn)把自己設(shè)為“系統(tǒng)服務(wù)”就可以輕松的騙過去。因此希望通過按ctrl+alt+del發(fā)現(xiàn)木馬是不大現(xiàn)實(shí)的。

  3.)端口

  一臺(tái)機(jī)器由65536個(gè)端口,你會(huì)注意這么多端口么?而木馬就很注意你的端口。如果你稍微留意一下,不難發(fā)現(xiàn),大多數(shù)木馬使用的端口在1024以上,而且呈越來越大的趨勢(shì)。當(dāng)然也有占用1024以下端口的木馬。但這些端口是常用端口,占用這些端口可能會(huì)造成系統(tǒng)不正常。這樣的話,木馬就會(huì)很容易暴露。也許你知道一些木馬占用的端口,你或許會(huì)經(jīng)常掃描這些端口,但現(xiàn)在的木馬都提供端口修改功能,你有時(shí)間掃描65536個(gè)端口么?

  4.)木馬的加載方式隱蔽

  木馬加載的方式可以說千奇百怪,無奇不有。但殊途同歸,都為了達(dá)到一個(gè)共同的目的,那就是使你運(yùn)行木馬的服務(wù)端程序。如果木馬不加任何偽裝。就告訴你這是木馬,你會(huì)運(yùn)行它才怪呢。而隨著網(wǎng)站互動(dòng)化進(jìn)程的不斷進(jìn)步,越來越多的東西可以成為木馬的傳播介質(zhì),javas cript、VBs cript、ActiveX、XLM……..幾乎www每一個(gè)新功能都會(huì)導(dǎo)致木馬的快速進(jìn)化。

  5.)木馬的命名

  木馬服務(wù)端程序的命名也有很大的學(xué)問。如果你不做任何修改的話,就使用原來的名字。誰不知道這是個(gè)木馬程序呢?所以木馬的命名也是千奇百怪。不過大多是改為和系統(tǒng)文件名差不多的名字,如果你對(duì)系統(tǒng)文件不夠了解,那可就危險(xiǎn)了。例如有的木馬把名字改為window.exe,如果不告訴你這是木馬的話,你敢刪除么?還有的就是更改一些后綴名,比如把dll改為dl等,你不仔細(xì)看的話,你會(huì)發(fā)現(xiàn)么?

  6.)最新隱身技術(shù)

  目前,除了以上所常用的隱身技術(shù),又出現(xiàn)了一種更新、更隱蔽的方法。那就是修改虛擬設(shè)備驅(qū)動(dòng)程序(vxd)或修改動(dòng)態(tài)連接庫(DLL)。這種方法與一般方法不同,它基本上擺脫了原有的木馬模式—監(jiān)聽端口,而采用替代系統(tǒng)功能的方法(改寫vxd或DLL文件),木馬會(huì)將修改后的DLL替換系統(tǒng)已知的DLL,并對(duì)所有的函數(shù)調(diào)用進(jìn)行過濾。對(duì)于常用的調(diào)用,使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL,對(duì)于一些事先約定好的特種情況,DLL會(huì)執(zhí)行一些相應(yīng)的操作。實(shí)際上這樣的木馬多只是使用DLL進(jìn)行監(jiān)聽,一旦發(fā)現(xiàn)控制端的連接請(qǐng)求就激活自身,綁在一個(gè)進(jìn)程上進(jìn)行正常的木馬操作。這樣做的好處是沒有增加新的文件,不需要打開新的端口,沒有新的進(jìn)程,使用常規(guī)的方法監(jiān)測(cè)不到它,在正常運(yùn)行時(shí)木馬幾乎沒有任何癥狀,而一旦木馬的控制端向被控制端發(fā)出特定的信息后,隱藏的程序就立即開始運(yùn)作。

  三、木馬防范工具

  防范木馬可以使用防火墻軟件和各種反黑軟件,用它們筑起網(wǎng)上的馬其諾防線,上網(wǎng)會(huì)安全許多。

  網(wǎng)上防火墻軟件很多,推薦使用“天網(wǎng)防火墻個(gè)人版”。它是一款完全的免費(fèi)的軟件,安裝成功后,它就變成一面盾牌圖表縮小到任務(wù)來的系統(tǒng)托盤里,并時(shí)刻監(jiān)視黑客的一舉一動(dòng),當(dāng)有黑客入侵時(shí),它就會(huì)自動(dòng)報(bào)警,并顯示入侵者的IP地址。

  用鼠標(biāo)雙擊盾牌圖標(biāo),就會(huì)彈出天網(wǎng)的控制臺(tái),控制臺(tái)上有“普通設(shè)置”、“高級(jí)設(shè)置”、“安全設(shè)置”、“檢測(cè)”和“關(guān)于”五個(gè)標(biāo)簽。單擊“普通設(shè)置”標(biāo)簽,會(huì)看到有局域網(wǎng)安全設(shè)置和互聯(lián)網(wǎng)安全設(shè)置兩個(gè)窗口。我們可以通過拖動(dòng)滑塊來分別設(shè)置他們的安全級(jí)別等級(jí)。在此建議普通用戶選擇“中”(關(guān)閉了所有的TCP端口服務(wù),但UDP端口服務(wù)還開放著,別人無法通過端口的漏洞來入侵,它阻擋了幾乎所有的藍(lán)屏攻擊和信息泄漏問題,并且不會(huì)影響普通網(wǎng)絡(luò)軟件的使用)

  在控制臺(tái)上點(diǎn)“高級(jí)設(shè)置”就可以手工選擇是否取消“與網(wǎng)絡(luò)連接”“ICMP”、“IGMP”、“TCP監(jiān)聽”、“UDP監(jiān)聽”和“NETBIOS”這幾個(gè)選項(xiàng)。如果上網(wǎng)后有人想連接你的電腦,天網(wǎng)防火墻會(huì)將其自動(dòng)攔截,并告警提示,同時(shí)在控制臺(tái)的“安全紀(jì)錄”里會(huì)將連接者的IP,協(xié)議,來源端口,防火墻采取的操作,時(shí)間記錄等攻擊信息顯示出來。

  在控制臺(tái)的“檢測(cè)”、“關(guān)于”標(biāo)簽里主要有安全漏洞的說明,防火墻軟件的版本號(hào)、注冊(cè)人的號(hào)碼等信息。如果你受到攻擊想立刻斷開網(wǎng)絡(luò),點(diǎn)一下控制臺(tái)上的“停”就可以了。

  四、木馬的查殺

  木馬的查殺,可以采用自動(dòng)和手動(dòng)兩種方式。最簡(jiǎn)單的刪除木馬的方法是安裝殺毒軟件(自動(dòng)),現(xiàn)在很多殺毒軟件能刪除網(wǎng)絡(luò)最猖獗的木馬,建議安裝金山毒霸或安全之星XP,它們?cè)诓闅⒛抉R方面很有一套!

  由于殺毒軟件的升級(jí)多數(shù)情況下慢于木馬的出現(xiàn),因此學(xué)會(huì)手工查殺非常必要。方法是:

  1.)檢查注冊(cè)表

  看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”開頭的鍵值名,其下有沒有可疑的文件名。如果有,就需要?jiǎng)h除相應(yīng)的鍵值,再刪除相應(yīng)的應(yīng)用程序。

  2.)檢查啟動(dòng)組

  木馬們?nèi)绻[藏在啟動(dòng)組雖然不是十分隱蔽,但這里的確是自動(dòng)加載運(yùn)行的好場(chǎng)所,因此還是有木馬喜歡在這里駐留的。啟動(dòng)組對(duì)應(yīng)的文件夾為:C:\windows\startmenu\programs\startup,在注冊(cè)表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

  FoldersStartup="C:\windows\startmenu\programs\startup"。要注意經(jīng)常檢查這兩個(gè)地方哦!

  3.)Win.ini以及System.ini也是木馬們喜歡的隱蔽場(chǎng)所,要注意這些地方

  比方說,Win.ini的[Windows]小節(jié)下的load和run后面在正常情況下是沒有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小節(jié)的Shell=Explorer.exe后面也是加載木馬的好場(chǎng)所,因此也要注意這里了。當(dāng)你看到變成這樣:Shell=Explorer.exewind0ws.exe,請(qǐng)注意那個(gè)wind0ws.exe很有可能就是木馬服務(wù)端程序!趕快檢查吧。

  4.)對(duì)于下面所列文件也要勤加檢查,木馬們也很可能隱藏在那里

  C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。

  5.)如果是EXE文件啟動(dòng),那么運(yùn)行這個(gè)程序,看木馬是否被裝入內(nèi)存,端口是否打開。

  如果是的話,則說明要么是該文件啟動(dòng)木馬程序,要么是該文件捆綁了木馬程序,只好再找一個(gè)這樣的程序,重新安裝一下了。

  6.)萬變不離其宗,木馬啟動(dòng)都有一個(gè)方式,它只是在一個(gè)特定的情況下啟動(dòng)

  所以,平時(shí)多注意一下你的端口,查看一下正在運(yùn)行的程序,用此來監(jiān)測(cè)大部分木馬應(yīng)該沒問題的。只要我們能夠提高自身的素質(zhì),加強(qiáng)網(wǎng)絡(luò)安全意識(shí),遠(yuǎn)離木馬是完全可能的,沒準(zhǔn)你也能成為木馬查殺高手呢!
看了“電腦木馬介紹”文章的還看了:

1.電腦病毒木馬防治介紹

2.黑客泄露電腦病毒木馬介紹

3.電腦病毒木馬藏于錄取通知書介紹

4.電腦中了電腦病毒木馬解決方法介紹

5.電腦病毒木馬

電腦木馬簡(jiǎn)介

特洛伊木馬(以下簡(jiǎn)稱木馬),英文叫做Trojanhouse,其名稱取自希臘神話的特洛伊木馬記,它是一種基于遠(yuǎn)程控制的黑客工具。在黑客進(jìn)行的各種攻擊行為中,木馬都起到了開路先鋒的作用。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的電腦木馬介紹!希望對(duì)
推薦度:
點(diǎn)擊下載文檔文檔為doc格式

精選文章

  • 殺死頑固病毒木馬方法
    殺死頑固病毒木馬方法

    電腦病毒殺不死,還在危害著我們電腦,那么我們?cè)撛趺崔k呢!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的殺死頑固病毒木馬方法介紹!希望對(duì)你有幫助! 殺死頑固病毒

  • 專殺電腦病毒方法介紹
    專殺電腦病毒方法介紹

    有什么好的清除電腦病毒的方法介紹呢!這樣就能好好保護(hù)自己的電腦了!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的專殺電腦病毒方法介紹!希望對(duì)你有幫助! 專殺電

  • 電腦病毒木馬殺毒軟件介紹
    電腦病毒木馬殺毒軟件介紹

    還在為電腦中了病毒木馬二找不到好的殺毒軟件嗎!你還在憂慮嗎!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的電腦病毒木馬殺毒軟件介紹!希望對(duì)你有幫助! 電腦病毒

  • 電腦病毒種類名稱有哪些
    電腦病毒種類名稱有哪些

    計(jì)算機(jī)病毒(Computer Virus)在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義,病毒指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)

621389