特洛伊木馬攻防介紹
木馬程式用“瞞天過海”或“披著羊皮的狼”之類的詞來形容這類程式一點也不為過,直截了當的說法是木馬有兩個程式,一個是伺服器程式,一個是控制器程式,當你的電腦運行了伺服器程式後下面由小編給你做出詳細的特洛伊密碼攻防介紹!希望對你有幫助!
:
特洛伊木馬是什麼:
一個木馬要工作,那麼其伺服器程式必須在目標上執行,沒有人會主動要求去執行它,但是會有這麼一天,有人對你抱以和善的微笑說,"我這有一個好遊戲""我有漂亮的MM屏保和你分享一下"等等,當你開啟這些所謂的程式時,一個宿主程式已經悄悄潛入你的機子,第一步就這樣完成了,這完全是我們疏於防範造成的.
然後,木馬一般會在以下三個地方安營紮寨:登錄檔、win.ini、system.ini,因為電腦啟動的時候,需要裝載這三個檔案,大部分木馬是使用這三種方式啟動的.也有捆綁方式啟動的,木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標電腦上,可以捆綁到啟動程式上,也可以捆綁到一般程式的常用程式上.如果捆綁到一般的程式上,啟動是不確定的,這要看目標電腦主人了,如果他不執行,木馬就不會進入記憶體.捆綁方式是一種手動的安裝方式,一般捆綁的是非自動方式啟動的木馬.非捆綁方式的木馬因為會在登錄檔等位置留下痕跡,所以,很容易被發現,而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程式等,位置的多變使木馬由很強的隱蔽性.
木馬的伺服器程式檔案一般位置是在c:\windows和c:\windows\system中,為什麼要在這兩個目錄下,因為windows的一些系統檔案在這兩個位置,如果你誤刪了檔案,你的電腦可能崩潰,你不得不重新安裝系統.
木馬的檔名更是一種學問,木馬的檔名儘量和windows的系統檔案接近,這樣你就會弄糊塗了,比如木馬SubSeven 1.7版本的伺服器檔名是c:\windows\KERNEL16.DL,而windows由一個系統檔案是c:\windows\KERNEL32.DLL,他們之差一點點,但是刪錯了的話,結果可大不相同的哦,刪除KERNEL32.DLL會讓你死翹翹的哦.再比如,木馬phAse 1.0版本,生成的木馬是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系統檔案C:\WINDOWS\System\Msgsrv32.exe一模一樣,只是圖示有點兩樣,你可不要刪錯了哦.上面兩個是假扮系統檔案的型別,我們再來看看無中生有的型別,木馬SubSeven 1.5版本伺服器檔名是c:\windows\window.exe,看清楚了哦,少一個s的哦,如果不告訴你這是木馬,你有膽子刪嗎?
但是木馬有一個致命的缺點,相對固定的埠,黑客要進入你的電腦,必須要有通往你電腦的途徑,也就是說,木馬必須開啟某個埠,大家叫這個埠為“後門”,木馬也叫“後門工具”.這個不得不開啟的後門是很難隱蔽的,只能採取混淆的辦法,很多木馬的埠是固定的,讓人一眼就能看出是什麼樣的木馬造成的.所以,埠號可以改變,這是一種混淆的辦法.我們知道7306是木馬netspy的,木馬SUB7可以改變埠號,SUB7預設的埠是1243,但是如果把1243埠改成了7306呢,呵呵,一定會把目標電腦的主人弄混淆了.有些人會問,要是這個埠會自動改變那該多好呀,每次上網埠號自動改變,呵呵,真聰明,可惜聰明過頭了.比如,真有這樣的木馬裝在我的電腦上,每次上網的埠均會改變,你是黑客,你打算怎麼進入我的電腦呢?你知道這個木馬現在開放的埠號是多少嗎?想掃描我的電腦?埠一共有6萬多個,你什麼時候掃描完畢?半個小時,呵呵,我早發現了,早把你炸死了.即使我是菜鳥一個,你這樣高速度掃描我的電腦,也會導致我的電腦通訊阻塞,誰會在網速非常慢的情況下在網路上待半個小時?所以,這基本上是不太可能的事情.
木馬有很強的隱蔽性,在WINDOWS中,如果某個程式出現異常,用正常的手段不能退出的時候,採取的辦法時按“Ctrl+Alt+Del"鍵,跳出一個視窗,找到需要終止的程式,然後關閉它.早期的木馬會在按“Ctrl+Alt+Del"顯露出來,現在大多數木馬已經看不到了.所以只能採用記憶體工具來看記憶體中時候存在木馬.
木馬還具有很強潛伏的能力,表面上的木馬被發現並刪除以後,後備的木馬在一定的條件下會跳出來.這種條件主要是目標電腦主人的操作造成的.我們先來看一個典型的例子:木馬Glacier***冰河1.2正式版***現在已經升級到3.0版, 這個木馬有兩個伺服器程式,C:\WINDOWS\SYSTEM\Kernel32.exe掛在登錄檔的啟動組中,當電腦啟動的時候,會裝入記憶體,這是表面上的木馬.另一個是C:\WINDOWS\SYSTEM\Sysexplr.exe,也在登錄檔中,它修改了文字檔案的關聯,當你點選文字檔案的時候,它就啟動了,它會檢查Kernel32.exe是不是存在,如果存在的話,什麼事情也不做.當表面上的木馬Kernel32.exe被發現並刪除以後,目標電腦的主人可能會覺得自己已經刪除木馬了,應該是安全的了.如果目標電腦的主人在以後的日子中點選了文字檔案,那麼這個檔案檔案照樣執行,而Sysexplr.exe被啟動了.Sysexplr.exe會發現表面上的木馬Kernel32.exe已經被刪除,就會再生成一個Kernel32.exe,於是,目標電腦以後每次啟動電腦木馬又被裝上了.
說了這麼多,是不是感到很恐怖,很上火,彆著急,清涼解暑藥馬上就到.
特洛伊密碼攻防辦法:
特洛伊密碼攻防辦法1.必須提高防範意識,不要開啟陌生人信中的附件,哪怕他說的天花亂墜,熟人的也要確認一下來信的原地址是否合法.
特洛伊密碼攻防辦法2.多讀readme.txt.許多人出於研究目的下載了一些特洛伊木馬程式的軟體包,在沒有弄清軟體包中幾個程式的具體功能前,就匆匆地執行其中的程式,這樣往往就錯誤地執行了伺服器端程式而使使用者的計算機成為了特洛伊木馬的犧牲品.軟體包中經常附帶的readme.txt檔案會有程式的詳細功能介紹和使用說明,儘管它一般是英文的,但還是有必要先閱讀一下,如果實在讀不懂,那最好不要執行任何程式,丟棄軟體包當然是最保險的了.有必要養成在使用任何程式前先讀readme.txt的好習慣.
值得一提的是,有許多程式說明做成可執行的readme.exe形式,readme.exe往往捆綁有病毒或特洛伊木馬程式,或者乾脆就是由病毒程式、特洛伊木馬的伺服器端程式改名而得到的,目的就是讓使用者誤以為是程式說明檔案去執行它,可謂用心險惡.所以從網際網路上得來的readme.exe最好不要執行它.
特洛伊密碼攻防辦法3.使用防毒軟體.現在國內的防毒軟體都推出了清除某些特洛伊木馬的功能,如KV300、KILL98、瑞星等等,可以不定期地在離線的情況下進行檢查和清除.另外,有的防毒軟體還提供網路實時監控功能,這一功能可以在黑客從遠端執行使用者機器上的檔案時,提供報警或讓執行失敗,使黑客向用戶機器上載可執行檔案後無法正確執行,從而避免了進一步的損失,但是要記住,它不是萬能的.
特洛伊密碼攻防辦法4.立即結束通話.儘管造成上網速度突然變慢的原因有很多,但有理由懷疑這是由特洛伊木馬造成的,當入侵者使用特洛伊的客戶端程式訪問你的機器時,會與你的正常訪問搶佔寬頻,特別是當入侵者從遠端下載使用者硬碟上的檔案時,正常訪問會變得奇慢無比.這時,你可以雙擊工作列右下角的連線圖示,仔細觀察一下“已傳送位元組”項,如果數字變化成1~3kbps***每秒1~3千位元組***,幾乎可以確認有人在下載你的硬碟檔案,除非你正在使用ftp功能.對TCP/IP埠熟悉的使用者,可以在“MS-DOS方式”下鍵入“netstat-a"來觀察與你機器相連的當前所有通訊程序,當有具體的IP正使用不常見的埠***一般大於1024***與你通訊時,這一埠很可能就是特洛伊木馬的通訊埠.當發現上述可疑跡象後,你所能做的就是:立即結束通話,然後對硬碟有無特洛伊木馬進行認真的檢查.
特洛伊密碼攻防辦法5.觀察目錄.普通使用者應當經常觀察位於c:\、c:\windows、c:\windows\system這三個目錄下的檔案.用“記事本”逐一開啟c:\下的非執行類檔案***除exe、bat、com以外的檔案***,檢視是否發現特洛伊木馬、擊鍵程式的記錄檔案,在c:\Windows或c:\Windows\system下如果有光有檔名沒有圖示的可執行程式,你應該把它們刪除,然後再用防毒軟體進行認真的清理.
特洛伊密碼攻防辦法6.在刪除木馬之前,最最重要的一項工作是備份,需要備份登錄檔,防止系統崩潰,備份你認為是木馬的檔案,如果不是木馬就可以恢復,如果是木馬你就可以對木馬進行分析.不同的不馬有不同的清除方法,由於涉及面太大,這裡就不詳述了.
總之不管你喜歡不喜歡,木馬總是存在的,你只有去多多少少的瞭解一些木馬的知識,才不至於遭人暗算,警惕啊,我的朋友,在茫茫的大海中,總有那麼一雙眼睛在窺視著你.