壹個完整的木馬程序由兩部分組成:服務器和控制器。就是植入種子電腦的“服務器”部分,所謂的“黑客”就是利用“控制器”進入運行“服務器”的電腦。運行木馬程序的“服務器”後,受害者電腦的壹個或幾個端口會被打開,黑客可以利用這些打開的端口進入電腦系統,安全和個人隱私將完全沒有保障!
病毒是附加在程序或文件上的壹段計算機代碼,它可以在計算機之間傳播。它在傳播時會感染電腦。病毒會破壞軟件、硬件和文件。
病毒(名詞):為自我復制的明確目的而編寫的代碼。病毒附著在主機程序上,然後試圖在計算機之間傳播。它可能會損壞硬件、軟件和信息。
就像人類病毒是按照嚴重程度來分類的(從埃博拉病毒到普通流感病毒),計算機病毒也有輕重之分,只造成壹些幹擾,重的會徹底破壞設備。謝天謝地,沒有人類的操作,真正的病毒是不會傳播的。妳必須與某人共享文件,並發送電子郵件來壹起移動它。
“特洛伊木馬”的全稱是“特洛伊馬”,最初是指古希臘士兵躲在特洛伊馬後進入敵方城市,從而占領敵方城市的故事。在互聯網上,“特洛伊馬”是指壹些程序員(或心懷惡意的馬夫)在其應用程序或可從網絡下載的遊戲插件或網頁中包含可以控制用戶電腦系統或通過電子郵件竊取用戶信息的惡意程序,可能導致用戶系統被破壞、信息丟失甚至癱瘓。
壹、特洛伊馬的特點
特洛伊馬屬於客戶/服務模式。它分為兩部分,即客戶端和服務器端。其原理是壹臺主機提供服務(服務端),另壹臺主機接收服務(客戶端)。作為服務器,主機通常會打開壹個默認端口進行監聽。如果客戶端向服務器的該端口發出連接請求,服務器上相應的程序將自動運行以允許客戶端的請求。這個程序叫做過程。
木馬壹般會尋找後門,盜取密碼。統計顯示,現在特洛伊馬占了病毒的四分之壹以上,而在近幾年激增的病毒潮中,特洛伊馬占有絕對優勢,未來幾年還會愈演愈烈。特洛伊馬是壹種特殊的病毒。如果壹不小心把它當軟件用,就會“栽”在電腦上。未來上網時,電腦的控制權將完全交給“黑客”,黑客可以通過跟蹤按鍵輸入竊取密碼、信用卡號等機密信息,還可以跟蹤、監視、控制、查看、修改電腦上的信息。
二、特洛伊馬的攻擊特點
在使用電腦的過程中,如果妳發現電腦的反應速度發生了明顯的變化,硬盤在不停的讀寫,鼠標不聽妳的,鍵盤無效,自己的壹些窗口被關閉,新的窗口莫名其妙的打開,網絡傳輸指示燈壹直閃爍,沒有大的程序在運行,但是系統越來越慢,系統資源被大量使用, 或者壹個程序運行後沒有反映(這類程序壹般比較小,十幾K到幾百K不等)
第三,特洛伊馬的工作原理和手動殺的介紹。
由於大部分玩家對安全問題了解不多,不知道如何清除電腦中的“木馬”。因此,最重要的是了解“特洛伊馬”的工作原理,這樣就很容易找到“特洛伊馬”。我相信看完這篇文章後,妳會成為壹個殺死特洛伊馬的專家。(如果妳成不了高手,建議妳用橡皮筋砸班竹家的玻璃,呵呵)
木馬會想盡辦法隱藏自己。主要的方式有:在任務欄中隱藏自己,只要將窗體的Visible屬性設置為False,這是最基本的。ShowInTaskBar設置為False,因此程序在運行時不會出現在任務欄中。在任務管理器中隱形:將程序設置為“系統服務”很容易偽裝自己。
A.啟動組類(即啟動計算機時運行的文件組)
當然,特洛伊會悄無聲息地啟動,妳當然不會指望用戶在每次啟動後都點擊“特洛伊”圖標來運行服務器(沒人會這麽傻)。特洛伊馬會在每次用戶啟動時自動加載服務器,而Windows系統啟動時自動加載應用程序的方法,特洛伊馬會用到,比如startup group、win.ini、system.ini、registry等等,這些都是特洛伊馬會藏身的好地方。通過win.ini和system.ini加載木馬在Windows系統中,win.ini和system.ini都存儲在C:windows目錄下,直接用記事本打開即可。通過修改win.ini文件中windows部分的“load=file.exe,run=file.exe”語句,可以自動加載木馬。此外,system.ini中的引導部分通常是“shell = explorer”。exe”(Windows系統的圖形界面命令解釋器)。讓我們具體談談特洛伊馬是如何自動加載的。
1.在win.ini文件中,在[WINDOWS]下,“run=”和“load=”是加載特洛伊木馬程序的可能方式,壹定要密切關註。壹般來說,它們的等號後面沒有什麽。如果妳發現它們後面的路徑和文件名不是妳熟悉的啟動文件,妳的電腦可能是特洛伊木馬。當然,妳得看清楚,因為很多“木馬”,比如“AOLTrojan木馬”,都是把自己偽裝成command.exe文件,不註意的話,妳可能發現不了它不是真正的系統啟動文件。
通過c:windowswininit.ini文件。許多特洛伊馬程序在這裏做壹些小把戲。這種方法常用於文件安裝過程中,程序安裝完成後立即執行文件。同時安裝的原文件是Windows刪除的,所以非常隱蔽。比如在wininit.ini中,如果Rename部分有以下內容:NUL=c:windowspicture.exe,這條語句將c:windowspicture.exe發送到NUL,意味著原文件pictrue.exe已經被刪除,所以運行時特別隱蔽。
2.在system.ini文件中,[BOOT]下有壹個“shell=文件名”。正確的文件名應該是“explorer.exe”。如果不是“explorer.exe”而是“shell=explorer.exe程序名”,那麽後面的程序就是“特洛伊馬”程序,也就是說妳已經贏了特洛伊馬。
Win.ini和system.ini文件可以通過單擊“開始”菜單中的“運行”來查看。只需在“運行”對話框中輸入“msconfig ”,然後單擊“確定”按鈕。這裏大家壹定要註意。如果妳對電腦不是很了解,請不要輸入這個命令或者刪除裏面的文件,否則壹切後果和損失由妳負責。斑竹和我不承擔任何責任。)
3.經常檢查下面列出的文件,木馬也可能藏在。
C: \ Windows \ winstart.bat和C:\ Windows \ win nit . ini以及Autoexec.bat
b、註冊表(註冊表就是註冊表,懂電腦的人壹看就知道)
1.從菜單加載。如果自動加載的文件是通過Windows菜單上的自定義直接添加的,壹般會放在“開始->中;程序-& gt;Start”,在Win98資源管理器中的位置是“C:windows startmenuprograms Start”。當文件以這種方式自動加載時,它們通常存儲在註冊表中的以下四個位置:
HKEY _當前用戶\軟件\微軟\ Windows \當前版本\資源管理器\外殼文件夾
HKEY _當前用戶\軟件\微軟\ Windows \當前版本\資源管理器\用戶!hellFolders
HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ current version \ explorer \ UserShellFolders
HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ current version \ explorer \ shell folders
2.註冊表中的情況是最復雜的。點擊“key本地-機器\軟件\微軟\ Windows \當前版本\運行”目錄,查看鍵值中是否有不熟悉的自動啟動文件,擴展名為EXE。請記住:由“特洛伊木馬”生成的壹些文件與系統自身的文件非常相似。想通過偽裝蒙混過關,比如“AcidBatteryv1.0特洛伊”,將註冊表“key本地-機器\軟件\微軟\ Windows \當前版本\運行”下的Explorer的鍵值改為“Explorer =" C: \ Windows \ Explorer。Exe”,而“特洛伊”程序不同於真正的壹個。當然,特洛伊木馬程序可以隱藏的地方有很多,比如“HKEY-當前-用戶\軟件\微軟\ Windows \當前版本\運行”和“HKEY-用戶\ * * * \軟件\微軟\ Windows \當前版本\運行”都有可能,最好的辦法就是在“HKEY-本地-機器\軟件\微軟\ Windows \當前版本\運行”下找到木馬程序的文件名,然後在整個註冊表中搜索。
3.此外,HKEY _類_根\ EXIFLE \ shell \ open \ command =在註冊表中。
“1”和“*”,如果“1”被修改為特洛伊,那麽每次啟動壹個可執行文件,特洛伊就會啟動壹次。比如著名的Ice木馬把TXT文件的Notepad.exe改成!它有自己的啟動文件,每次打開記事本都會自動啟動冰馬,非常隱蔽。
可以通過在運行對話框中鍵入“regedit”來查看註冊表。需要註意的是,在刪除和修改系統註冊表之前壹定要備份註冊表,因為對註冊表的操作很危險,而且特洛伊馬是隱藏的,所以可能會有壹些誤操作。如果發現錯誤,可以將備份的註冊表文件導入系統進行恢復。(這個命令也很危險。如果妳不懂電腦,請不要嘗試。記住)
c、端口(端口,其實就是網絡數據通過操作系統進入電腦的入口)
1,壹切都是壹樣的,有壹種方法可以啟動特洛伊馬,只是在特定的情況下啟動。所以平時多註意妳的端口。通用特洛伊默認端口有
BO31337,YAL1999,Deep2140,Throat3150,Glacier 7636,Sub71243。
那麽如何檢查這臺機器上哪些端口是打開的呢?
在dos中輸入以下命令:netstat-an,就可以看到自己的端口。壹般常見的網絡端口有:21,23,25,53,80,110,139。如果妳有其他端口,妳就要註意了,因為現在有了。(這些木馬的端口都是舊的。因為時間和安全的原因,現在很多新木馬的端口我都不知道,也不敢嘗試,因為技術更新太快,我跟不上。55555555555555)
2.因為特洛伊馬經常通過網絡連接,如果妳發現壹個可疑的網絡連接,妳可以推斷特洛伊馬的存在。最簡單的方法是使用Windows附帶的Netstat命令來檢查它。壹般情況下,如果妳沒有任何在線操作,在MS-DOS窗口中妳不會看到任何帶有Netstat命令的信息。此時,您可以使用“netstat-a”和“-a”選項來顯示計算機中當前處於監聽狀態的所有端口。如果未知端口處於監聽狀態,且目前沒有網絡服務操作,那麽很可能是特洛伊木馬在監聽該端口。
3、系統流程:
在Win2000/XP中按“CTL+ALT+DEL”進入任務管理器,可以看到系統所有正在運行的進程,逐壹查看可以找到木馬的活動進程。
在Win98下,查找進程的方法不是那麽方便,但是有壹些工具可以用來查找進程。通過檢查系統進程來檢測木馬是非常簡單容易的,但是壹定要熟悉系統,因為Windows運行的時候有壹些進程我們不是很熟悉,所以這個時候壹定要小心,木馬還是可以通過這個方法檢測出來的。
第四,推出軟件查殺木馬
以上都是人工檢測或清除木馬的方式,但壹般來說,木馬不是那麽容易發現的,而且木馬非常隱蔽。幸運的是,現在已經有很多反特洛伊軟件了。這裏有壹些軟件。
1,瑞星殺毒軟件。
2、個人版天網防火墻。根據反彈木馬的原理,即使妳贏了別人的木馬,由於防火墻把妳的電腦和外界隔開,木馬的客戶端也無法和妳連接。防火墻啟動後,壹旦有可疑網絡連接或特洛伊木馬控制電腦,防火墻就會報警,並顯示對方IP地址、接入端口等提示信息,手動設置後可使對方無法攻擊。但是對於壹些個別機器來說,運行天網會影響機器的運行速度。
3、特洛伊馬的克星。據我所知是只查殺木馬的軟件,也是能查殺木馬種類最多的軟件。顧名思義,克星不會做坤的無敵槌法或者北冥槌法,專治各種木馬。但也不是絕對的。看來“灰鴿子”可以屏蔽特洛伊馬的克星。(剛聽說沒試過。“灰鴿子”也是特洛伊馬,類似於冰川。目前,大多數特洛伊大盜都是未註冊版本。使用特洛伊克星檢查木馬時,如果提示發現木馬只能由註冊用戶清除,這只是作者的壹個小手段。其實他的意思是,如果發現木馬,只有註冊用戶才能清楚地知道。如果真的發現了木馬,軟件會告訴妳木馬的具體位置和名稱。我們只是用其他軟件和手段清除)
4。綠鷹PC萬能精靈他會實時監控妳的電腦,看《系統安全》舒服多了。
有了類似的防護軟件,妳的電腦基本是安全的。但道高壹尺,魔高壹丈。最近出現了壹個可以偽裝木馬的程序(不知道哪位高手做的,很厲害),就是把木馬排列組合生成多個木馬,而殺毒軟件只能殺母。那麽生成的特洛伊就找不到了,所以我們還是要掌握壹些地來手動移除特洛伊。
軟件對其他病毒的查殺非常有效,對木馬的檢查也相當成功,但要徹底清除並不理想,因為壹般來說,每次電腦啟動時木馬都會自動加載,但殺毒軟件並不能徹底清除特洛伊文件。壹般來說,殺毒軟件是更有效的防止特洛伊入侵的方法。
五、特洛伊馬防禦
隨著互聯網的普及和網遊裝備可以兌換人民幣的浪潮,木馬的傳播速度越來越快,新品種層出不窮。我們應該在發現和消除它的同時,更加註意采取措施進行預防。下面介紹幾種防止木馬的方法。(我只是借用妳的觀點。)
1.不要下載、接收或執行任何來歷不明的軟件或文件。
許多特洛伊病毒通過綁定到其他軟件或文件來傳播。這種綁定的軟件或文件壹旦運行,就會被感染。所以下載的時候要特別註意,壹般建議去壹些有信譽的網站。安裝軟件前,壹定要用殺毒軟件檢查。建議用專殺木馬的軟件檢查壹下,確保無毒無馬。
2.不要隨意打開郵件的附件,不要點擊郵件中的可疑圖片。(這裏還有壹個關於電子郵件的例子。請註意。)
3.將瀏覽器配置為始終顯示擴展。將Windows資源管理器配置為始終顯示擴展。壹些文件擴展名為vbs、shs、pif的文件,大多是特洛伊病毒的特征文件。如果遇到這些可疑的文件擴展名,就要註意了。
4.盡量少用* * *享受文件夾。如果因為工作等原因非要把電腦設置成* * *的話,最好單獨開壹個* * *文件!文件夾,把所有需要* * *的文件都放在這個* * *文件夾裏,註意不要把系統目錄設置成* * *。
5.運行反特洛伊實時監控程序。特洛伊防馬很重要的壹點就是上網時運行防特洛伊實時監控程序。壹般PC通用向導等軟件可以實時顯示當前運行的所有程序,並有詳細的描述信息。另外,如果加上壹些專業的最新殺毒軟件和個人防火墻進行監控,基本可以放心。
6.經常升級系統。很多木馬通過系統漏洞進行攻擊,微軟在發現這些漏洞後會盡快發布補丁。在很多情況下,打補丁的系統本身就是防止木馬的最好方法。
六、傳播特洛伊馬的個別例子(給妳介紹壹個郵件類)
1.來自網絡的攻擊越來越多。壹些帶有木馬的惡意網頁會利用軟件或系統操作平臺等安全漏洞,通過執行網頁HTML標記語言中嵌入的JavaApplet、javascript腳本語言程序和ActiveX軟件組件交互技術,支持自動執行代碼程序。強行修改用戶操作系統的註冊表和系統實用配置程序,從而達到非法控制系統資源、破壞數據、格式化硬盤、感染特洛伊木馬、竊取用戶數據的目的。
目前來自網頁的攻擊有兩種:壹種是通過編輯好的腳本程序修改IE瀏覽器;另壹種是直接破壞Windows系統。前者通常會修改IE瀏覽器的標題欄、默認主頁或者直接在妳的機器中“種植”木馬等。後者就是直接鎖定妳的鍵盤鼠標等輸入設備然後破壞系統。
(作者插話):好在目前“特洛伊馬”盜取千年用戶名和密碼的功能只是盜竊,並沒有發展成破壞行為。不然就是號碼被盜了,順便格式化了硬盤。這樣壹來,就不可能在第壹時間找回密碼了。我希望這不會發生。(阿門,我是佛)
題目來了,大家仔細看!
如果妳收到壹個郵件附件,裏面有壹個看起來像這樣的文件(或者看起來像這個文件,總之是特別吸引人的文件,格式還是很安全的。):QQ玩。txt,妳覺得壹定是純文本文件嗎?我得告訴妳,不壹定!它的實際文件名可以是QQ昵稱廣播。txt。{ 3050 f4fd 8-98 b5-11cf-bb82-00 aa 00 BDC E0 b }。
{ 3050 ff4d 8-98 b5-11cf-bb82-00 aa 00 bdce 0 b }表示註冊表中的HTML文件關聯。但是保存為文件名的時候就不會顯示出來了。妳看到的是壹個. txt文件,其實相當於QQ昵稱播放。txt.html:那麽為什麽直接打開這個文件會有危險呢?請查看該文檔的內容是否如下:
妳可能以為它會調用記事本運行,但是妳雙擊它,它就會調用HTML運行,在後臺自動開始通過網頁加載特洛伊文件。同時顯示類似“打開文件”的對話框欺騙妳。妳認為打開保險箱危險嗎?隨意附件裏的txt?
如何作弊:當妳雙擊這個偽裝。txt,真正的文件擴展名是。{ 3050 f4fd 8-98 b5-11cf-bb82-00 aa 00 bdce 0 b },這是。html文件,所以它將作為html文件運行,這是它運行的先決條件。
“WScript”在壹些惡意網頁木馬中也會被調用。
WScript的全稱是WindowsScriptingHost,是Win98新增的功能。它是壹個批處理語言/自動執行工具——它對應的程序“WScript.exe”是壹個腳本語言解釋器,位於c:\WINDOWS中,使腳本能夠像批處理壹樣執行。在WindowsScriptingHost腳本環境中,壹些對象是預定義的。通過自己內置的對象,可以實現獲取環境變量、創建快捷方式、加載程序、讀寫註冊表等功能。
最近聽很多玩家說,很多馬夫發郵件,名字類似“妳的千年密碼確認信”“妳的千年數據保護建議”,騙取玩家信任,點擊運行特洛伊郵件。希望廣大玩家在點擊這類郵件時壹定要看清郵件是否來自千禧官網。如果來自其他任何網站或個人郵箱,立即刪除。記得馬上刪除。不要冒險。
七、關於“特洛伊馬”的辯護(純屬個人觀點,不承擔法律責任)
防止特洛伊馬在家裏上網非常簡單。無非就是裝壹大堆殺毒軟件,及時升級。(不管新特洛伊傳播的多快,很快就會成為各種殺毒軟件的戰利品,除非這個人專門定制了個人特洛伊。)加天網防火墻(很多黑客利用密碼和漏洞進行遠程控制,可以防止密碼和漏洞入侵)基本可以解決問題,除非是好奇或者不小心打開了特洛伊服務器,我覺得這種情況還是占壹定比例的!
但是對於網絡沖浪者來說,即使是最好的防禦也是徒勞無功的退出。
據我所知,現在的網吧安全系數幾乎等於00000000,現在最厲害的就是裝了“原廠精靈”,但是.....個人認為用處不大,與其說是保護用戶密碼,不如說是網吧保護系統的壹種軟件。現在的木馬壹般都是郵件發送密碼,也就是說只要妳在輸入框輸入密碼,特洛伊控方就已經拿到妳的ID和密碼了(壹般不超過三分鐘)!對於在網吧上網的朋友來說,通過復制的方式輸入ID和密碼是最安全的。很多特洛伊程序其實就是壹個鍵盤記錄工具,在妳不知情的情況下記錄下妳所有的鍵盤輸入,然後通過網絡發送出去!太可怕了,但據我所知,公安部和文化部已經明令禁止在網吧安裝還原精靈,說是為了保存歷史記錄。唉~ ~這麽少的防禦措施也被禁了,哭)
總之,家庭上網用戶記得隨時更新自己的病毒庫,隨時檢查電腦進程,發現不明進程立即查殺,不要瀏覽壹些不明站點(我壹般是靠域名來分析站點的可靠性,壹般壹級域名不會有惡意代碼和網頁木馬),更不要說隨意接收發給妳的文件和郵件了!
網吧防盜真的很難。每個人都有。很復雜,就算老板花錢註冊壹匹特洛伊馬,呵呵。。。沒用的。想幹壞事的人也可以殺了他~ ~ ~個人認為網吧除了復制ID密碼粘貼到輸入框裏之外只好聽天由命了~ ~ ~ ~
八。大家用的醉翁巷1.1G的解釋。
如果妳用了別人的軟件,妳必須永遠公平對待他們。前段時間有人說軟件醉翁1.1G運行後沒有反應。關閉軟件時,壹些防護軟件提示:本軟件正在監控本地鍵盤!!
其實是醉文巷的hook.dll檔案。來說說我對“勾”的問題吧。
什麽是鉤子?
鉤子是Windows系統中壹種特殊的消息處理機制。鉤子可以監視系統或進程中的各種事件消息,攔截發送到目標窗口的消息並處理它們。這樣我們就可以在系統中安裝自定義的鉤子來監控系統中特定事件的發生,完成特定的功能,比如攔截鍵盤鼠標輸入,取屏幕上的文字,監控日誌等等。可以看出,使用鉤子可以實現許多特殊而有用的功能。所以高級程序員掌握hook的編程方法是很有必要的。
掛鉤類型
根據使用範圍,主要有線程掛鉤和系統掛鉤。
(1)線程鉤子監視指定線程的事件消息。
(2)系統鉤子監聽系統中所有線程的事件消息。因為系統鉤子會影響系統中的所有應用程序,所以鉤子函數必須放在獨立的動態鏈接庫(DLL)中。這是系統鉤子和線程鉤子的壹個很大的區別。
《醉翁巷Hook.dll》就是完成上述功能的程序。由於鉤子對程序的特殊性,壹些軟件報告他在記錄鍵盤動作,但不會報告他是特洛伊馬。(呵呵,真的很嚇人。但就算它錄下鍵盤動作,只要不發,也不會太危險)
九、大總結(就是上面的大總結)
每個人都知道特洛伊馬的工作原理,所以很容易殺死特洛伊馬。如果特洛伊馬存在,最安全有效的方法就是立即斷開電腦與網絡的連接,防止黑客通過網絡攻擊妳。然後根據實際情況處理。