壹個完整的“木馬”程序包含了兩部分:“服務器”和“控制器”。植入被種者電腦的是“服務器”部分,而所謂的“黑客”正是利用“控制器”進入運行了“服務器”的電腦。運行了木馬程序的“服務器”以後,被種者的電腦就會有壹個或幾個端口被打開,使黑客可以利用這些打開的端口進入電腦系統,安全和個人隱私也就全無保障了!
病毒是附著於程序或文件中的壹段計算機代碼,它可在計算機之間傳播。它壹邊傳播壹邊感染計算機。病毒可損壞軟件、硬件和文件。
病毒 (n.):以自我復制為明確目的編寫的代碼。病毒附著於宿主程序,然後試圖在計算機之間傳播。它可能損壞硬件、軟件和信息。
與人體病毒按嚴重性分類(從 Ebola 病毒到普通的流感病毒)壹樣,計算機病毒也有輕重之分,輕者僅產生壹些幹擾,重者徹底摧毀設備。令人欣慰的是,在沒有人員操作的情況下,真正的病毒不會傳播。必須通過某個人***享文件和發送電子郵件來將它壹起移動。
“木馬”全稱是“特洛伊木馬(TrojanHorse)”,原指古希臘士兵藏在木馬內進入敵方城市從而占領敵方城市的故事。在Internet上,“特洛伊木馬”指壹些程序設計人員(或居心不良的馬夫)在其可從網絡上下載(Download)的應用程序或遊戲外掛、或網頁中,包含了可以控制用戶的計算機系統或通過郵件盜取用戶信息的惡意程序,可能造成用戶的系統被破壞、信息丟失甚至令系統癱瘓。
壹、木馬的特性
特洛伊木馬屬於客戶/服務模式。它分為兩大部分,既客戶端和服務端。其原理是壹臺主機提供服務(服務器端),另壹臺主機接受服務(客戶端),作為服務器的主機壹般會打開壹個默認的端口進行監聽。如果有客戶機向服務器的這壹端口提出連接請求,服務器上的相應程序就會自動運行,來答應客戶機的請求。這個程序被稱為進程。
木馬壹般以尋找後門、竊取密碼為主。統計表明,現在木馬在病毒中所占的比例已經超過了四分之壹,而在近年湧起的病毒潮中,木馬類病毒占絕對優勢,並將在未來的若幹年內愈演愈烈。木馬是壹類特殊的病毒,如果不小心把它當成壹個軟件來使用,該木馬就會被“種”到電腦上,以後上網時,電腦控制權就完全交給了“黑客”,他便能通過跟蹤擊鍵輸入等方式,竊取密碼、信用卡號碼等機密資料,而且還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作。
二、木馬發作特性
在使用計算機的過程中如果您發現:計算機反應速度發生了明顯變化,硬盤在不停地讀寫,鼠標不聽使喚,鍵盤無效,自己的壹些窗口在被關閉,新的窗口被莫名其妙地打開,網絡傳輸指示燈壹直在閃爍,沒有運行大的程序,而系統卻越來越慢,系統資源站用很多,或運行了某個程序沒有反映(此類程序壹般不大,從十幾k到幾百k都有)或在關閉某個程序時防火墻探測到有郵件發出……這些不正常現象表明:您的計算機中了木馬病毒。
三、木馬的工作原理以及手動查殺介紹
由於大多玩家對安全問題了解不多,所以並不知道自己的計算機中了“木馬”該怎麽樣清除。因此最關鍵的還是要知道“木馬”的工作原理,這樣就會很容易發現“木馬”。相信妳看了這篇文章之後,就會成為壹名查殺“木馬”的高手了。(如果成不了高手建議大家用皮筋打斑竹家玻璃,嘿嘿)
“木馬”程序會想盡壹切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False。ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為“系統服務”可以很輕松地偽裝自己。
A、啟動組類(就是機器啟動時運行的文件組)
當然木馬也會悄無聲息地啟動,妳當然不會指望用戶每次啟動後點擊“木馬”圖標來運行服務端,(沒有人會這麽傻吧)。“木馬”會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動加載應用程序的方法,“木馬”都會用上,如:啟動組、win.ini、system.ini、註冊表等等都是“木馬”藏身的好地方。通過win.ini和system.ini來加載木馬。在Windows系統中,win.ini和system.ini這兩個系統配置文件都存放在C:windows目錄下,妳可以直接用記事本打開。可以通過修改win.ini文件中windows節的“load=file.exe,run=file.exe”語句來達到木馬自動加載的目的。此外在system.ini中的boot節,正常的情況下是“Shell=Explorer.exe”(Windows系統的圖形界面命令解釋器)。下面具體談談“木馬”是怎樣自動加載的。
1、在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加載“木馬”程序的途徑,必須仔細留心它們。壹般情況下,它們的等號後面什麽都沒有,如果發現後面跟有路徑與文件名不是妳熟悉的啟動文件,妳的計算機就可能中上“木馬”了。當然妳也得看清楚,因為好多“木馬”,如“AOLTrojan木馬”,它把自身偽裝成command.exe文件,如果不註意可能不會發現它不是真正的系統啟動文件。
通過c:windowswininit.ini文件。很多木馬程序在這裏做壹些小動作,這種方法往往是在文件的安裝過程中被使用,程序安裝完成之後文件就立即執行,與此同時安裝的原文件被Windows刪除幹凈,因此隱蔽性非常強,例如在wininit.ini中如果Rename節有如下內容:NUL=c:windowspicture.exe,該語句將c:windowspicture.exe發往NUL,這就意味著原來的文件pictrue.exe已經被刪除,因此它運行起來就格外隱蔽。
2、在system.ini文件中,在[BOOT]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那麽後面跟著的那個程序就是“木馬”程序,就是說妳已經中“木馬”了。
win.ini、system.ini文件可以通過“開始”菜單裏的“運行”來查看。只要在“運行”對話框中輸入“msconfig”,後點擊“確定”按鈕就行了。(這裏大家壹定要註意,如果妳對計算機不是很了解,請不要輸入此命令或刪除裏邊的文件,否則壹切後果和損失自己負責。斑竹和本人不承擔任何責任。)
3、對於下面所列的文件也要勤加檢查,木馬們也可能隱藏在
C:\windows\winstart.bat和C:\windows\winnint.ini,還有Autoexec.bat
B、註冊表(註冊表就是註冊表,懂電腦的人壹看就知道了)
1、從菜單中加載。如果自動加載的文件是直接通過在Windows菜單上自定義添加的,壹般都會放在主菜單的“開始->程序->啟動”處,在Win98資源管理器裏的位置是“C:windowsstartmenuprograms啟動”處。通過這種方式使文件自動加載時,壹般都會將其存放在註冊表中下述4個位置上:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
2、在註冊表中的情況最復雜,在點擊至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這裏切記:有的“木馬”程序生成的文件很像系統自身文件,想通過偽裝蒙混過關,如“AcidBatteryv1.0木馬”,它將註冊表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”,“木馬”程序與真正的Explorer之間只有“i”與“l”的差別。當然在註冊表中還有很多地方都可以隱藏“木馬”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能,最好的辦法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬”程序的文件名,再在整個註冊表中搜索即可。
3、此外在註冊表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
“1”“*”處,如果其中的“1”被修改為木馬,那麽每次啟動壹個該可執行文件時木馬就會啟動壹次,例如著名的冰河木馬就是將TXT文件的Notepad.exe改成!了它自己的啟動文件,每次打開記事本時就會自動啟動冰河木馬,做得非常隱蔽。
註冊表可以通過在“運行”對話框中輸入“regedit”來查看。需要說明的是,對系統註冊表進行刪除修改操作前壹定要將註冊表備份,因為對註冊表操作有壹定的危險性,加上木馬的隱藏較隱蔽,可能會有壹些誤操作,如果發現錯誤,可以將備份的註冊表文件導入到系統中進行恢復。(次命令同樣很危險,如不懂計算機請不要嘗試。切記)
C、端口(端口,其實就是網絡數據通過操作系統進入計算機的入口)
1、萬變不離其宗,木馬啟動都有壹個方式,它只是在壹個特定的情況下啟動。所以平常多註意妳的端口。壹般的木馬默認端口有
BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243
那麽如何查看本機開放哪些端口呢?
在dos裏輸入以下命令:netstat-an,就能看到自己的端口了,壹般網絡常用端口有:21,23,25,53,80,110,139,如果妳的端口還有其他的,妳可要註意了,因為現在有許多木馬可以自己設定端口。(上面這些木馬的端口是以前的,由於時間和安全的關系現在好多新木馬的端口我不知道,也不敢去試,因為技術更新的太快了,我跟不上了。55555555555555)
2、由於木馬的運行常通過網絡的連接來實現的,因此如果發現可疑的網絡連接就可以推測木馬的存在,最簡單的辦法是利用Windows自帶的Netstat命令來查看。壹般情況下,如果沒有進行任何上網操作,在MS-DOS窗口中用Netstat命令將看不到什麽信息,此時可以使用“netstat-a”,“-a”選項用以顯示計算機中目前所有處於監聽狀態的端口。如果出現不明端口處於監聽狀態,而目前又沒有進行任何網絡服務的操作,那麽在監聽該端口的很可能是木馬。
3、系統進程:
在Win2000/XP中按下“CTL+ALT+DEL”,進入任務管理器,就可看到系統正在運行的全部進程,壹壹清查即可發現木馬的活動進程。
在Win98下,查找進程的方法不那麽方便,但有壹些查找進程的工具可供使用。通過查看系統進程這種方法來檢測木馬非常簡便易行,但是對系統必須熟悉,因為Windows系統在運行時本身就有壹些我們不是很熟悉的進程在運行著,因此這個時候壹定要小心操作,木馬還是可以通過這種方法被檢測出來的。
四、軟件查殺木馬介紹
上面所介紹的都是以手工方式來檢測或者清除木馬,但壹般情況下木馬沒有那麽容易就能發現,木馬是很會隱藏的哦。幸好在已經有了不少的反木馬軟件。下面介紹幾款軟件,
1、瑞星殺毒軟件。
2、個人版天網防火墻。根據反彈式木馬的原理,就算妳中了別人的木馬,但由於防火墻把妳的計算機和外界隔開,木馬的客戶端也連接不上妳。防火墻啟動之後,壹旦有可疑的網絡連接或者木馬對電腦進行控制,防火墻就會報警,同時顯示出對方的IP地址、接入端口等提示信息,通過手工設置之後即可使對方無法進行攻擊。不過對於壹些個別機器來說,運行天網會影響機器的運行速度。
3、木馬克星。目前具我所知,是只查殺木馬的軟件,也是能查殺木馬種類最多的軟件。顧名思義,木馬克星不克乾坤無敵槌也不克北冥槌法,專克各種木馬。但也不是絕對哦,好象“灰鴿子”能屏蔽掉木馬克星。(聽說而已沒試過哦。“灰鴿子”也是壹種木馬,和冰河差不多。)(現在木馬克星大多是沒註冊的版本。用木馬克星查木馬時,要是提示妳發現木馬只有註冊用戶才能清除,這只是作者的壹個小手段,其實他的意思是如果發現木馬,那麽只有註冊用戶才能清楚,要是真的發現了木馬,軟件會告訴妳木馬的具體位置和名字是什麽。我們用其他的軟件和手段清除不就行了)
4。綠鷹PC萬能精靈。他會實時監控妳的計算機,看著“系統安全”心理舒服多了。
有了類似的這些防護軟件,妳的計算機基本上是安全了。但道高壹尺,魔高壹丈。最近又出現了壹種可以把木馬偽裝易容的程序(不知道是哪個高手搞的,很是厲害),就是把木馬本體根據排列組合生成多個木馬,而殺毒軟件只能查殺他們的母體。而後生成的木馬就不能查到了,所以手動人工的清除木馬我們還是要掌握壹些地。
軟件查殺其他病毒很有效,對木馬的檢查也是蠻成功地,但徹底地清除不很理想,因為壹般情況下木馬在電腦每次啟動時都會自動加載,而殺病毒軟件卻不能完全清除木馬文件,總的說來,殺病毒軟件作為防止木馬的入侵來說更有效。
五、木馬的防禦
隨著網絡的普及和網絡遊戲裝備可以換人民幣的浪潮,木馬的傳播越來越快,而且新的變種層出不窮,我們在檢測清除它的同時,更要註意采取措施來預防它,下面列舉幾種預防木馬的方法。(大家的意見,我借用而已)
1、不要下載、接收、執行任何來歷不明的軟件或文件
很多木馬病毒都是通過綁定在其他的軟件或文件中來實現傳播的,壹旦運行了這個被綁定的軟件或文件就會被感染,因此在下載的時候需要特別註意,壹般推薦去壹些信譽比較高的站點。在軟件安裝之前壹定要用反病毒軟件檢查壹下,建議用專門查殺木馬的軟件來進行檢查,確定無毒和無馬後再使用。
2、不要隨意打開郵件的附件,也不要點擊郵件中的可疑圖片。(後邊另外介紹壹個關於郵件的例子,大家註意收看。)
3、將資源管理器配置成始終顯示擴展名。將Windows資源管理器配置成始終顯示擴展名,壹些文件擴展名為vbs、shs、pif的文件多為木馬病毒的特征文件,如果碰到這些可疑的文件擴展名時就應該引起註意。
4、盡量少用***享文件夾。如果因工作等原因必須將電腦設置成***享,則最好單獨開壹個***享文!件夾,把所有需***享的文件都放在這個***享文件夾中,註意千萬不要將系統目錄設置成***享。
5、運行反木馬實時監控程序。木馬防範重要的壹點就是在上網時最好運行反木馬實時監控程序,PC萬用精靈等軟件壹般都能實時顯示當前所有運行程序並有詳細的描述信息。此外如加上壹些專業的最新殺毒軟件、個人防火墻等進行監控基本就可以放心了。
6、經常升級系統。很多木馬都是通過系統漏洞來進行攻擊的,微軟公司發現這些漏洞之後都會在第壹時間內發布補丁,很多時候打過補丁之後的系統本身就是壹種最好的木馬防範辦法。
六、木馬傳播的個別範例(給大家介紹壹個郵件類的)
1、來自網絡的攻擊手段越來越多了,壹些帶木馬的惡意網頁會利用軟件或系統操作平臺等的安全漏洞,通過執行嵌入在網頁HTML超文本標記語言內的JavaApplet小應用程序、javascript腳本語言程序、ActiveX軟件部件交互技術支持可自動執行的代碼程序,強行修改用戶操作系統的註冊表及系統實用配置程序,從而達到非法控制系統資源、破壞數據、格式化硬盤、感染木馬程序、盜取用戶數據資料等目的。
目前來自網頁的攻擊分為兩種:壹種是通過編輯的腳本程序修改IE瀏覽器;另外壹種是直接破壞Windows系統。前者壹般會修改IE瀏覽器的標題欄、默認主頁或直接將木馬“種”在妳的機器裏等等;後者是直接鎖定妳的鍵盤、鼠標等輸入設備然後對系統進行破壞。
(作者插言):還好目前盜取千年用戶名和密碼的“木馬”功能還僅僅是偷盜行為,沒有發展成破壞行為。要不然號被盜了,在順便把硬盤被格式化了。那樣想第壹時間找回密碼就都沒可能。希望這種情況不要發生。(啊門我彌佗佛)
下邊是正題了,大家看仔細了!
假如您收到的郵件附件中有壹個看起來是這樣的文件(或者貌似這類文件,總之是特別誘人的文件,而且格式還很安全。):QQ靚號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不壹定!它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在註冊表裏是HTML文件關聯的意思。但是存成文件名的時候它並不會顯現出來,您看到的就是個.txt文件,這個文件實際上等同於QQ靚號放送.txt.html。那麽直接打開這個文件為什麽有危險呢?請看如果這個文件的內容如下:
您可能以為它會調用記事本來運行,可是如果您雙擊它,結果它卻調用了HTML來運行,並且自動在後臺開始通過網頁加載木馬文件。同時顯示“正在打開文件”之類的這樣壹個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?
欺騙實現原理:當您雙擊這個偽裝起來的.txt時候,由於真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,於是就會以html文件的形式運行,這是它能運行起來的先決條件。
在某些惡意網頁木馬中還會調用“WScript”。
WScript全稱WindowsScriptingHost,它是Win98新加進的功能,是壹種批次語言/自動執行工具——它所對應的程序“WScript.exe”是壹個腳本語言解釋器,位於c:\WINDOWS下,正是它使得腳本可以被執行,就象執行批處理壹樣。在WindowsScriptingHost腳本環境裏,預定義了壹些對象,通過它自帶的幾個內置對象,可以實現獲取環境變量、創建快捷方式、加載程序、讀寫註冊表等功能。
最近聽不少玩家反映,許多馬夫通過冒充千年官方網站的辦法給玩家發名字類似“您的千年密碼確認函”、“您的千年資料保護建議”等的郵件,來騙取玩家的信任,來點擊運行該木馬郵件。希望廣大玩家在點擊這類郵件時壹定要看清郵件是否來自於千年官方網站。如是來自其他什麽網站或個人郵箱的,馬上刪除,記得壹定要馬上刪除,別抱任何僥幸心理。
七、關於“木馬”的防禦(純屬個人意見,不付法律責任)
防止木馬對在家上網來說是很簡單的事,無非就是裝壹大堆殺毒軟件,並及時升級。(再新的木馬只要傳播速度快的話很快就會成為各種殺毒軟件的戰利品,除非此人專門定做個人木馬)在加上天網防火墻(很多黑客就是利用口令和漏洞進行遠程控制,該防火墻可以防止口令和漏洞入侵)基本上就可以解決問題啦,除非是自己好奇或是不小心打開了木馬服務端,我想這種情況還是占壹定的比例!
但是對網吧上網的來說,再好的防禦也是白撤。
據我所知,現在的網吧安全系數幾乎等於00000000,現在最厲害的應該就是裝個還“原精靈吧”,但是......我個人認為那東西用處不是很大,說是保護用戶密碼還不如說它是網吧保護系統的壹種軟件。現在的木馬壹般都是通過郵件方式傳送密碼的,也就是說,妳只要在輸入框內輸入妳的密碼之後,木馬控制方就已經得到妳的ID和密碼了(壹般不會超過三分鐘)!對網吧上網的朋友來說,靠復制方法輸入ID和密碼算最安全的了,很多木馬程序實際上就是壹個鍵盤記錄工具,在妳不知情的情況下把妳的鍵盤輸入情況全部記錄了下來,然後通過網絡發送出去!(好可怕哦,不過具我所知現在公安部和文化部已經明令禁止網吧安裝還原精靈了,說是為了保留歷史記錄雲雲。唉~~就這麽點防禦手段也給封殺了,哭哦)
總之,家庭上網用戶記得隨時更新自己的病毒庫,隨時檢查計算機進程,發現不明進程馬上格殺,不瀏覽壹些不明站點(我通常是靠域名來分析站點的可靠程度,壹般壹級域名都不會出現惡意代碼和網頁木馬),更別隨意接收別人給妳發送的文件和郵件!
網吧防盜真的很困難了,什麽人都有,復雜了,就算老板花錢去註冊壹個木馬克星,呵呵。。。都沒用,想做壞事的人同樣能把他幹掉~~~~我個人認為,網吧上網除了復制ID密碼粘貼到輸入框,其他的就得聽天由命了~~~~~
八、關於大家都用的醉翁巷1.1G的說明
用了人家的軟件,就總要替人家說句公道話。前些時候,有人說醉翁1.1G軟件運行後,沒什麽反映。當關閉軟件的壹剎那,壹些防護類軟件提示:此軟件正在監視本機鍵盤!!
其實就是醉翁巷中的hook.dll文件在作怪。下面給大家說說“勾子”的我問題。
什麽是勾子
在Windows系統中,勾子(hook)是壹種特殊的消息處理機制。勾子可以監視系統或進程中的各種事件消息,截獲發往目標窗口的消息並進行處理。這樣,我們就可以在系統中安裝自定義的勾子,監視系統中特定事件的發生,完成特定的功能,比如截獲鍵盤、鼠標的輸入,屏幕取詞,日誌監視等等。可見,利用勾子可以實現許多特殊而有用的功能。因此,對於高級編程人員來說,掌握勾子的編程方法是很有必要的。
勾子的類型
按使用範圍分類,主要有線程勾子和系統勾子
(1)線程勾子監視指定線程的事件消息。
(2)系統勾子監視系統中的所有線程的事件消息。因為系統勾子會影響系統中所有的應用程序,所以勾子函數必須放在獨立的動態鏈接庫(DLL)中。這是系統勾子和線程勾子很大的不同之處。
醉翁巷中的hook.dll就是完成以上功能的程序,由於勾子對程序的特殊性,所以會有部分軟件報告發現他在記錄鍵盤動作,不過不會報告說他是木馬。(呵呵搞的確實挺嚇人的。不過就算它記錄鍵盤動作,只要不發送就沒太大危險了)
九、大總結(就是對上邊的大總結啦)
大家知道了“木馬”的工作原理,查殺“木馬”就變得很容易,如果發現有“木馬”存在,最安全也是最有效的方法就是馬上將計算機與網絡斷開,防止黑客通過網絡對妳進行攻擊。然後在根據實際情況進行處理。