電腦木馬簡介
特洛伊木馬***以下簡稱木馬***,英文叫做“Trojanhouse”,其名稱取自希臘神話的特洛伊木馬記,它是一種基於遠端控制的黑客工具。在黑客進行的各種攻擊行為中,木馬都起到了開路先鋒的作用。下面由小編給你做出詳細的電腦木馬介紹!希望對你有幫助!
電腦木馬介紹:
一、木馬的危害
相信木馬對於眾多網民來說不算陌生。它是一種遠端控制工具,以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬,它就變成了一臺傀儡機,對方可以在你的電腦上上傳下載檔案,偷窺你的私人檔案,偷取你的各種密碼及口令資訊……中了木馬你的一切祕密都將暴露在別人面前,隱私?不復存在!
木馬在黑客入侵中也是一種不可缺少的工具。就在去年的10月28日,一個黑客入侵了美國微軟的入口網站,而網站的一些內部資訊則是被一種叫做QAZ的木馬傳出去的。就是這小小的QAZ讓龐大的微軟丟盡了顏面!
廣大網民比較熟悉的木馬當數國產軟體冰河了。冰河是由黃鑫開發的免費軟體,冰河面世後,以它簡單的操作方法和強大的控制能力令人膽寒,可以說是達到了談“冰”色變的地步。
二、木馬原理
特洛伊木馬屬於客戶/服務模式。它分為兩大部分,即客戶端和服務端。其原理是一臺主機提供服務***伺服器***,另一臺主機接受服務***客戶機***,作為伺服器的主機一般會開啟一個預設的埠進行監聽。如果有客戶機向伺服器的這一埠提出連線請求,伺服器上的相應程式就會自動執行,來應答客戶機的請求。這個程式被稱為守護程序。以大名鼎鼎的木馬冰河為例,被控制端可視為一臺伺服器,控制端則是一臺客戶機,服務端程式G_Server.exe是守護程序,G_Client.exe是客戶端應用程式。
為進一步瞭解木馬,我們來看看它們的隱藏方式,木馬隱藏方法主要有以下幾種:
1.***在工作列裡隱藏
這是最基本的。如果在windows的任務來歷出現一個莫名其妙的圖示,傻子都會明白怎麼回事。在VB中,只要把form的Viseble屬性設定為False,ShowInTaskBar設為False程式就不會出現在工作列裡了。
2.***在工作管理員裡隱藏
檢視正在執行的程序最簡單的方法就是按下ctrl+alt+del時出現的工作管理員。如果你按下ctrl+alt+del後可以看見一個木馬程式在執行,那麼這肯定不是什麼好的木馬。所以,木馬千方百計的偽裝自己,使自己不出現在工作管理員裡。木馬發現把自己設為“系統服務”就可以輕鬆的騙過去。因此希望通過按ctrl+alt+del發現木馬是不大現實的。
3.***埠
一臺機器由65536個埠,你會注意這麼多埠麼?而木馬就很注意你的埠。如果你稍微留意一下,不難發現,大多數木馬使用的埠在1024以上,而且呈越來越大的趨勢。當然也有佔用1024以下埠的木馬。但這些埠是常用埠,佔用這些埠可能會造成系統不正常。這樣的話,木馬就會很容易暴露。也許你知道一些木馬佔用的埠,你或許會經常掃描這些埠,但現在的木馬都提供埠修改功能,你有時間掃描65536個埠麼?
4.***木馬的載入方式隱蔽
木馬載入的方式可以說千奇百怪,無奇不有。但殊途同歸,都為了達到一個共同的目的,那就是使你執行木馬的服務端程式。如果木馬不加任何偽裝。就告訴你這是木馬,你會執行它才怪呢。而隨著網站互動化程序的不斷進步,越來越多的東西可以成為木馬的傳播介質,javas cript、VBs cript、ActiveX、XLM……..幾乎www每一個新功能都會導致木馬的快速進化。
5.***木馬的命名
木馬服務端程式的命名也有很大的學問。如果你不做任何修改的話,就使用原來的名字。誰不知道這是個木馬程式呢?所以木馬的命名也是千奇百怪。不過大多是改為和系統檔名差不多的名字,如果你對系統檔案不夠了解,那可就危險了。例如有的木馬把名字改為window.exe,如果不告訴你這是木馬的話,你敢刪除麼?還有的就是更改一些字尾名,比如把dll改為dl等,你不仔細看的話,你會發現麼?
6.***最新隱身技術
目前,除了以上所常用的隱身技術,又出現了一種更新、更隱蔽的方法。那就是修改虛擬裝置驅動程式***vxd***或修改動態連線庫***DLL***。這種方法與一般方法不同,它基本上擺脫了原有的木馬模式—監聽埠,而採用替代系統功能的方法***改寫vxd或DLL檔案***,木馬會將修改後的DLL替換系統已知的DLL,並對所有的函式呼叫進行過濾。對於常用的呼叫,使用函式轉發器直接轉發給被替換的系統DLL,對於一些事先約定好的特種情況,DLL會執行一些相應的操作。實際上這樣的木馬多隻是使用DLL進行監聽,一旦發現控制端的連線請求就啟用自身,綁在一個程序上進行正常的木馬操作。這樣做的好處是沒有增加新的檔案,不需要開啟新的埠,沒有新的程序,使用常規的方法監測不到它,在正常執行時木馬幾乎沒有任何症狀,而一旦木馬的控制端向被控制端發出特定的資訊後,隱藏的程式就立即開始運作。
三、木馬防範工具
防範木馬可以使用防火牆軟體和各種反黑軟體,用它們築起網上的馬其諾防線,上網會安全許多。
網上防火牆軟體很多,推薦使用“天網防火牆個人版”。它是一款完全的免費的軟體,安裝成功後,它就變成一面盾牌圖表縮小到任務來的系統托盤裡,並時刻監視黑客的一舉一動,當有黑客入侵時,它就會自動報警,並顯示入侵者的IP地址。
用滑鼠雙擊盾牌圖示,就會彈出天網的控制檯,控制檯上有“普通設定”、“高階設定”、“安全設定”、“檢測”和“關於”五個標籤。單擊“普通設定”標籤,會看到有區域網安全設定和網際網路安全設定兩個視窗。我們可以通過拖動滑塊來分別設定他們的安全級別等級。在此建議普通使用者選擇“中”***關閉了所有的TCP埠服務,但UDP埠服務還開放著,別人無法通過埠的漏洞來入侵,它阻擋了幾乎所有的藍屏攻擊和資訊洩漏問題,並且不會影響普通網路軟體的使用***
在控制檯上點“高階設定”就可以手工選擇是否取消“與網路連線”“ICMP”、“IGMP”、“TCP監聽”、“UDP監聽”和“NETBIOS”這幾個選項。如果上網後有人想連線你的電腦,天網防火牆會將其自動攔截,並告警提示,同時在控制檯的“安全紀錄”裡會將連線者的IP,協議,來源埠,防火牆採取的操作,時間記錄等攻擊資訊顯示出來。
在控制檯的“檢測”、“關於”標籤裡主要有安全漏洞的說明,防火牆軟體的版本號、註冊人的號碼等資訊。如果你受到攻擊想立刻斷開網路,點一下控制檯上的“停”就可以了。
四、木馬的查殺
木馬的查殺,可以採用自動和手動兩種方式。最簡單的刪除木馬的方法是安裝防毒軟體***自動***,現在很多防毒軟體能刪除網路最猖獗的木馬,建議安裝金山毒霸或安全之星XP,它們在查殺木馬方面很有一套!
由於防毒軟體的升級多數情況下慢於木馬的出現,因此學會手工查殺非常必要。方法是:
1.***檢查登錄檔
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”開頭的鍵值名,其下有沒有可疑的檔名。如果有,就需要刪除相應的鍵值,再刪除相應的應用程式。
2.***檢查啟動組
木馬們如果隱藏在啟動組雖然不是十分隱蔽,但這裡的確是自動載入執行的好場所,因此還是有木馬喜歡在這裡駐留的。啟動組對應的資料夾為:C:\windows\startmenu\programs\startup,在登錄檔中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
FoldersStartup="C:\windows\startmenu\programs\startup"。要注意經常檢查這兩個地方哦!
3.***Win.ini以及System.ini也是木馬們喜歡的隱蔽場所,要注意這些地方
比方說,Win.ini的[Windows]小節下的load和run後面在正常情況下是沒有跟什麼程式的,如果有了那就要小心了,看看是什麼;在System.ini的[boot]小節的Shell=Explorer.exe後面也是載入木馬的好場所,因此也要注意這裡了。當你看到變成這樣:Shell=Explorer.exewind0ws.exe,請注意那個wind0ws.exe很有可能就是木馬服務端程式!趕快檢查吧。
4.***對於下面所列檔案也要勤加檢查,木馬們也很可能隱藏在那裡
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.***如果是EXE檔案啟動,那麼執行這個程式,看木馬是否被裝入記憶體,埠是否開啟。
如果是的話,則說明要麼是該檔案啟動木馬程式,要麼是該檔案捆綁了木馬程式,只好再找一個這樣的程式,重新安裝一下了。
6.***萬變不離其宗,木馬啟動都有一個方式,它只是在一個特定的情況下啟動
所以,平時多注意一下你的埠,檢視一下正在執行的程式,用此來監測大部分木馬應該沒問題的。只要我們能夠提高自身的素質,加強網路安全意識,遠離木馬是完全可能的,沒準你也能成為木馬查殺高手呢!