很明顯妳中毒了,如果妳不想重裝系統,可以試壹下用口碑較好的殺毒軟件進行殺毒,如:卡巴斯基,其文件查殺能力與內存查殺能力都是出類拔萃的!對付病毒木馬,妳不可以太依靠殺毒軟件,有些病毒木馬妳的殺毒軟件根本殺不死或者是查都查不出來,關鍵的問題還是在於防範於未然!!下面偶就對木馬病毒的來源,工作原理,防範方法等問題作個具體介紹,希望對妳會有所幫助!!
二、什麽是計算機病毒與木馬
計算機病毒是壹個程序,壹段可執行碼。它和我們常用的各種軟件如播放器、QQ聊天軟件等壹樣都屬於應用程序,計算機病毒與普通應用程序的區別在於它壹般具有傳染性、隱蔽性、破壞性等特點。計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(或程序)裏, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的壹組程序或指令集合。
特洛伊木馬(以下簡稱木馬),英文叫做“Trojan house”,其名稱取自希臘神話的特洛伊木馬記。它是壹種基於遠程控制的黑客工具,具有隱蔽性和非授權性的特點。木馬程序通常由客戶端(Client)和服務端(Server)兩部分組成,服務端被種植到遠程計算機上,客戶端由黑客在自己的主機上運行,客戶端可以向服務端發送各種指令來控制服務端的電腦。
計算機病毒和木馬都是壹種應用程序,病毒的主要特點在於傳染性和破壞性,木馬的主要特點在於遠程控制,木馬與病毒相比更具有潛在的危險性。
三、什麽是計算機漏洞
顧名思義,計算機漏洞就是指計算機軟件在程序設計上的缺陷,留下了隱患。黑客利用計算機漏洞可能完全控制妳的電腦。微軟的操作系統本身就存在著大量的漏洞(微軟的主要操作系統有:MS-DOS,Windows 98/Me,Windows NT,Windows 2000,Windows XP,Windows 2003等),比較著名的漏洞有MS05039溢出漏洞、MS0601圖形呈形引擎導致的遠程執行代碼漏洞、HELP控件跨域執行代碼漏洞等,黑客利用這些漏洞曾壹度使互聯網病毒泛濫。
四、流行木馬工作過程詳解
1. 密碼竊取木馬,在此以QQ竊密木馬“阿拉QQ大盜”為例:
阿拉QQ大盜在互聯網上很流行,通過對木馬程序進行初步的配置後它可以自動生成壹個木馬程序,如果妳的計算機不幸運行此程序後,妳的QQ將會在指定的時間內被強行關閉,當妳再次登陸QQ時,妳的號碼及密碼就會被此木馬程序悄悄的發送到木馬制造者指定的收信程序中,從此妳的QQ號就不再是妳的了。
2. 遠程控制木馬,在此以讓人望而生畏的“灰鴿子”為例:
灰鴿子是壹款很有名的遠程控制軟件,它由服務端和控制端兩部分組成。它屬於反彈端口型的木馬程序,當妳的電腦不幸中了灰鴿子服務端後,服務端會自動向木馬制造者設置的地址發送連接請求,當服務端與客戶端建立網絡連接後,木馬制造者將擁有妳的電腦的完全控制權,包括密碼竊取(如竊取妳的寬帶上網帳號進行網上消費)、屏幕監控(木馬制造者可以遠程看到妳的桌面,妳在做什麽他可是了如指掌)、數據下載(妳的所有資料都可以被他竊取)、格式化硬盤(讓妳的所有數據灰飛煙滅)、遠程開啟視頻(如果妳安裝了攝像頭的話,對方可以悄悄的打開妳的視頻而不被妳察覺,真實的妳也會展現在黑客面前)。
五、木馬、病毒的傳播途徑
通過上面的介紹,相信大家對木馬、病毒的危害巳經有壹個感觀的認識了,妳也許會問:木馬、病毒是如何進入我的計算機的呢?下面我就對木馬、病毒的幾種主要傳播手段做壹個簡單介紹。
1. 通過硬件存儲介質傳播
前面講過計算機病毒有自動復制傳染的特性,所以如果U盤、MP3、SD卡、軟盤、移動硬盤等移動存儲設備如果接入感染了病毒的計算機後,其本身可能也會被感染病毒,如果再接入沒有被感染病毒的計算機後,該計算機可能也會被傳染病毒。
2. 通過局域網***享傳播
前面提到了計算機的漏洞,微軟的IPC***享就存在嚴重漏洞,許多病毒可以通過IPC默認***享自動感染局域網內的所有計算機。(我們在局域網內實現***享打印機、***享文件都是利用IPC來實現***享的)
3. 通過與應用軟件捆綁傳播
此種手段較為高明,木馬制作者把木馬程序捆綁到壹個比較常用的應用軟件上,比如Photoshop、QQ、Realplayer、Word等軟件上,然後把這些捆綁了木馬程序的應用軟件放到互聯網上提供給網友下載,當妳下載下來安裝這些軟件的時候,被捆綁其上的木馬也被妳同時安裝到自己的電腦中了,這壹過程是不被妳察覺的。
4. 通過電子郵件附件傳播
木馬制作者可以直接把木馬程序作為附件發送給妳,利用社會工程學的知識來騙妳打開附件,比如說是妳的同學,發給妳壹張新拍的照片,如果妳信以為真,那可能就中計了。直接發送木馬程序對於稍有網絡安全意識的人來講還是可以防範的,因為木馬程序既然是應用程序,那麽它的後綴名必定是.EXE。更高級的附件發送木馬手法還是挺高明的,比如把木馬程序的圖標改為圖片文件的圖標或是Word文檔的圖標來進行魚目混珠,還可以利用Word的宏命令直接把木馬程序寫入Word文檔中,這樣就更難察覺了。
5. 通過網頁木馬傳播
什麽是網頁木馬?答:網頁木馬就是利用計算機漏洞構造出的具有特殊功能的網頁,當妳打開此網頁且妳的計算機有此網頁利用的漏洞時,妳的電腦就會自動從指定的網址下載木馬程序到妳的電腦上並自動運行。這壹切都是在隱蔽狀態下進行的,對於妳來說,妳只不過就是打開了壹個網頁而巳,沒有進行任何其它操作,但是妳的電腦巳經中毒了。相對於其它傳播手段而言,此種傳播手段的傳播效率最高!大約90%以上的木馬程序都是通過網頁木馬來進行傳播的。妳也許會說妳沒有上什麽不正規的網站,怎麽也會中毒?事實上目前的許多網站都存在著各種各樣的漏洞,黑客利用這些漏洞可以入侵網站,包括有名的網易、搜狐、新浪等大型知名網站都曾遭遇過黑客入侵而被篡改主頁。黑客入侵網站後如果在這些網站的首頁加上壹段調用網頁木馬的代碼,那麽當妳瀏覽這壹網站時妳就可能中了木馬了。
6. 通過郵件網頁木馬傳播
前面巳講到什麽是網頁木馬,那麽郵件網頁木馬顧名思義就是通過郵件傳播的網頁木馬了,木馬制造者通過編輯電子郵件的源代碼,可以發送壹封網頁格式的電子郵件給妳,此種格式的郵件如果在源代碼中加入調用網頁木馬的代碼就稱為郵件網頁木馬,此中郵件沒有附件,妳只要打開了這封郵就會中馬,不需要進行其它任何操作!它相對於網頁木馬的優點在於可以發送到指定的郵箱指定目標進行攻擊。
7. 通過影音文件網頁木馬傳播
不知大家是否有過這樣的經歷,下載到壹部自己喜愛的電影,正在觀看時突然彈出來壹個網頁,這個網頁就有可能是網頁木馬了(也有可能只是做廣告),視頻文件是可以添加事件的,可以讓它在播放到指定時間時打開壹個網頁,如果打開的網頁是網頁木馬,那麽妳的電腦從此就中毒了。此種木馬常見於壹些不正規的小網站提供的電影下載中或是BT等***享視頻中。
六、殺毒軟件與防火墻的工作原理
殺毒軟件殺毒的壹個重要依據就是根據自己病毒庫中的特征碼定義,所謂特征碼就是某程序所特有的代碼段,病毒特征碼就是指某病毒所特有的代碼,殺毒軟件在對文件進行殺毒時對文件內的內碼逐壹進行檢查,壹旦發現此文件中含有某種病毒的特征碼那麽它就認為是某種病毒,無論這個文件到底是不是病毒。比較高級的殺毒軟件通常對同壹種病毒有兩種特征碼定義:文件特征碼和內存特征碼。程序是運行於內存中的,內存中的代碼與文件本身的代碼是不同的,有些文件直接用殺毒軟件查殺是沒有病毒的,但是妳壹旦運行它就會查出有病毒就是這個原因。
“黑客會打上我的主意嗎?”這麽想就對了,黑客就想鉆雞蛋縫的蒼蠅壹樣,看到壹絲從系統漏洞發出的光亮就會蠢蠢欲動!好,如何保護妳的網絡呢?計算機的高手們也許壹張嘴就提議妳安裝網絡的防火墻,那麽第壹個問題就來了:到底什麽是防火墻呢?防火墻就是壹種過濾塞(目前妳這麽理解不算錯),妳可以讓妳喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網絡的世界裏,要由防火墻過濾的就是承載通信數據的通信包。 天下的防火墻至少都會說兩個詞:Yes或者No。大多數防火墻采用的技術和標準可謂五花八門。這些防火墻的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟件模塊;有的幹脆就是獨立的壹套操作系統。還有壹些應用型的防火墻只對特定類型的網絡連接提供保護(比如SMTP或者HTTP協議等)。還有壹些基於硬件的防火墻產品其實應該歸入安全路由器壹類。以上的產品都可以叫做防火墻,因為他們的工作方式都是壹樣的:分析出入防火墻的數據包,決定放行還是把他們扔到壹邊。值得壹提的是,只要妳想上網,妳的防火墻就壹定會對壹些程序和端口說“YES”來放行的。
七、道高壹尺魔高壹丈,木馬病毒如何逃過防火墻與殺毒軟件的攔截查殺
前面講到殺毒軟件殺毒的壹個重要依據就是特征碼,那麽如果壹個程序中不含有病毒庫中定義的所有特征碼的話,殺毒軟件就自然不會認為這個程序是病毒了!黑客高手們通常的做法是做出來壹個木馬、病毒程序後,用各種殺毒軟件去殺它,而後取得各種殺毒軟件對此程序的特征碼的定義,然後就是修改特征碼,把征征碼的代碼改用其它的程序代碼來實現相同的功能,經過大多數殺毒軟件的輪攻與修改後,這個病毒就可以順利逃過各種殺毒軟件的查殺了!前面亦有提到只要妳想上網,防火墻就會對某些程序(如IE瀏覽器)和端口放行,那麽病毒木馬通過線程插入系統進程的技術可以將自身置入系統進程之中,木馬程序通常會利用80端口進行遠程連接(WEB服務默認端口),這樣只要妳的電腦可以上網,那麽木馬程序同樣也會被防火墻放行!對於黑客高手而言,普通的殺毒軟件和防火墻(普通用戶用到的殺毒軟件及防火墻)就等於是花邊,對們來說是不起什麽作用的!所以當妳用殺毒軟件把妳的所有硬盤都掃了壹遍而沒有發現病毒時妳也不要沾沾自喜,很可能妳中了做了免殺處理的病毒,這樣雖然妳中毒了妳的殺毒軟件也會視若無睹。-
八、木馬隱藏技術,木馬程序藏身何處
木馬程序無論如何神秘,但歸根究底,仍是Win32平臺下的壹種程序。Win32應用程序通常會有應用程序界面,比如系統中自帶的“計算器”就有提供各種數字按鈕的應用程序界面。木馬雖然屬於Win32應用程序,但其壹般不包含窗體或隱藏了窗體,並且將木馬文件屬性設置為“隱藏”,這就是最基本的隱藏手段,稍有經驗的用戶只需打開“任務管理器”,並且將“文件夾選項”中的“顯示所有文件”勾選即可輕松找出木馬,於是便出現了下面要介紹的“進程隱藏”技術。
第壹代進程隱藏技術:Windows 98的後門
在Windows 98中,微軟提供了壹種能將進程註冊為服務進程的方法。盡管微軟沒有公開提供這種方法的技術實現細節(因為Windows的後續版本中沒有提供這個機制),但仍有高手發現了這個秘密,這種技術稱為RegisterServiceProcess。只要利用此方法,任何程序的進程都能將自己註冊為服務進程,而服務進程在Windows 98中的任務管理器中恰巧又是不顯示的,所以便被木馬程序鉆了空子。
第二代進程隱藏技術:進程插入
壹個進程可以包含若幹線程(Thread),線程可以幫助應用程序同時做幾件事(比如壹個線程向磁盤寫入文件,另壹個則接收用戶的按鍵操作並及時做出反應,互相不幹擾),在程序被運行後中,系統首先要做的就是為該程序進程建立壹個默認線程,然後程序可以根據需要自行添加或刪除相關的線程。
壹旦木馬的DLL插入了另壹個進程的地址空間後,就可以對另壹個進程為所欲為,這裏以盜QQ密碼的木馬為便進行簡單講解。
普通情況下,壹個應用程序所接收的鍵盤、鼠標操作,別的應用程序是無權“過問”的。可盜號木馬是怎麽偷偷記錄下我的密碼的呢?木馬首先將1個DLL文件插入到QQ的進程中並成為QQ進程中的壹個線程,這樣該木馬DLL就赫然成為了QQ的壹部分!然後在用戶輸入密碼時,因為此時木馬DLL已經進入QQ進程內部,所以也就能夠接收到用戶傳遞給QQ的密碼鍵入了,真是“家賊難防”啊!
不要相信自己的眼睛:恐怖的進程“蒸發”
嚴格地來講,這應該算是第2.5代的進程隱藏技術了,可是它卻比前幾種技術更為可怕得多。這種技術使得木馬不必將自己插入到其他進程中,而可以直接消失!
它通過Hook技術對系統中所有程序的進程檢測相關API的調用進行了監控,“任務管理器”之所以能夠顯示出系統中所有的進程,也是因為其調用了EnumProcesses等進程相關的API函數,進程信息都包含在該函數的返回結果中,由發出調用請求的程序接收返回結果並進行處理(如“任務管理器”在接收到結果後就在進程列表中顯示出來)。
而木馬由於事先對該API函數進行了Hook,所以在“任務管理器”(或其他調用了列舉進程函數的程序)調用EnumProcesses函數時(此時的API函數充當了“內線”的角色),木馬便得到了通知,並且在函數將結果(列出所有進程)返回給程序前,就已將自身的進程信息從返回結果中抹去了。就好比妳正在看電視節目,卻有人不知不覺中將電視接上了DVD,妳在不知不覺中就被欺騙了。
所以無論是“任務管理器”還是殺毒軟件,想對這種木馬的進程進行檢測都是徒勞的。這種木馬目前沒有非常有效的查殺手段,只有在其運行前由殺毒軟件檢測到木馬文件並阻止其病毒體的運行。當時還有壹種技術是由木馬程序將其自身的進程信息從Windows系統用以記錄進程信息的“進程鏈表”中刪除,這樣進程管理工具就無法從“進程鏈表”中獲得木馬的進程信息了。但由於缺乏平臺通用性而且在程序運行時有壹些問題,所以沒有被廣泛采用。
什麽是Hook?Hook是Windows中提供的壹種用以替換DOS下“中斷”的壹種系統機制,中文譯名為“掛鉤”或“鉤子”。在對特定的系統事件(包括上文中的特定API函數的調用事件)進行Hook後,壹旦發生已Hook的事件,對該事件進行Hook的程序(如:木馬)就會收到系統的通知,這時程序就能在第壹時間對該事件做出響應(木馬程序便搶在函數返回前對結果進行了修改)。
毫無蹤跡:全方位立體隱藏
利用剛才介紹的Hook隱藏進程的手段,木馬可以輕而易舉地實現文件的隱藏,只需將Hook技術應用在文件相關的API函數上即可,這樣無論是“資源管理器”還是殺毒軟件都無法找出木馬所在了。更令人吃驚的是,現在已經有木馬(如:灰鴿子)利用該技術實現了文件和進程的隱藏。要防止這種木馬最好的手段仍是利用殺毒軟件在其運行前進行攔截。
跟殺毒軟件對著幹:反殺毒軟件外殼
木馬再狡猾,可是壹旦被殺毒軟件定義了特征碼,在運行前就被攔截了。要躲過殺毒軟件的追殺,很多木馬就被加了殼,相當於給木馬穿了件衣服,這樣殺毒軟件就認不出來了,但有部分殺毒軟件會嘗試對常用殼進行脫殼,然後再查殺(小樣,別以為穿上件馬夾我就不認識妳了)。除了被動的隱藏外,最近還發現了能夠主動和殺毒軟件對著幹的殼,木馬在加了這種殼之後,壹旦運行,則外殼先得到程序控制權,由其通過各種手段對系統中安裝的殺毒軟件進行破壞,最後在確認安全(殺毒軟件的保護已被瓦解)後由殼釋放包裹在自己“體內”的木馬體並執行之。對付這種木馬的方法是使用具有脫殼能力的殺毒軟件對系統進行保護。
什麽是殼?顧名思義,妳可以很輕易地猜到,這是壹種包在外面的東西。沒錯,殼能夠將文件(比如EXE)包住,然後在文件被運行時,首先由殼獲得控制權,然後釋放並運行包裹著的文件體。很多殼能對自己包住的文件體進行加密,這樣就可以防止殺毒軟件的查殺。比如原先殺毒軟件定義的該木馬的特征是“12345”,如果發現某文件中含有這個特征,就認為該文件是木馬,而帶有加密功能的殼則會對文件體進行加密(如:原先的特征是“12345”,加密後變成了“54321”,這樣殺毒軟件當然不能靠文件特征進行檢查了)。脫殼指的就是將文件外邊的殼去除,恢復文件沒有加殼前的狀態。
九、普通用戶網絡安全的出路:防勝於殺
綜上可見,依賴於防火墻和殺毒軟件想做到百毒不侵那是不可能辦到的事情!可以這樣說,只要妳接入互聯網那就有可能中毒,而且有可能中了毒也查不出有毒,那麽對於沒有專業的網絡安全知識的普通用戶來說,如何才能保障自身的網絡安全呢?
1. 打好系統補丁,修復系統漏洞
前面講到病毒的最大來源就是網頁木馬,而網頁木馬必定依賴於系統漏洞而生存,如果妳的系統沒有網頁木馬所利用的漏洞,自然它就不能發揮任何作用了!所以防範木馬病毒進入電腦的最佳辦法就是及時打好系統補丁,然後用漏洞掃描工具檢測壹下系統是否存在漏洞,直到修復到沒有任何巳公布的漏洞而巳。
2. 及時更新殺毒軟件的病毒庫
雖然殺毒軟件不是萬能的,但是安裝壹個好的殺毒軟件還是很有必要的,微軟公司每年都會公布出大量的系統漏洞,然後在官方網站提供漏洞補丁供用戶下載,然而仍然有許多未被發現的漏洞有可能被黑客利用,所以裝個比較好的殺毒軟件還是很必要的,推薦卡巴斯基和瑞星,卡巴斯基除了利用特征碼殺毒外,還啟用了虛擬機技術和行為跟蹤技術,其文件查殺與內存查殺能力可謂是出類拔萃!瑞星與其它殺毒軟件相比最出色的地方就在於內存查殺能力相當強大,缺點就是許多病毒木馬都特別針對瑞星做了反查殺處理。
3. 做好系統備份,做好災難恢復的準備
既然打補丁和安裝殺毒軟件都不是萬能的,那麽就要做好中毒的準備,及時做好系統備份,壹旦出現災難性故障可以迅速恢復操作系統,免去數據丟失的風險和重裝系統的麻煩。