游戲木馬

  什么是特洛伊木馬?

  “特洛伊木馬”(trojan horse)簡稱“木馬”,據說這個名稱來源于希臘神話《木馬屠城記》。古希臘有大軍圍攻特洛伊城,久久無法攻下。于是有人獻計制造一只高二丈的大木馬,假裝作戰馬神,讓士兵藏匿于巨大的木馬中,大部隊假裝撤退而將木馬擯棄于特洛伊城下。城中得知解圍的消息后,遂將“木馬”作為奇異的戰利品拖入城內,全城飲酒狂歡。到午夜時分,全城軍民盡入夢鄉,匿于木馬中的將士開秘門游繩而下,開啟城門及四處縱火,城外伏兵涌入,部隊里應外合,焚屠特洛伊城。后世稱這只大木馬為“特洛伊木馬”。如今黑客程序借用其名,有“一經潛入,后患無窮”之意。

  完整的木馬程序一般由兩個部份組成:一個是服務器程序,一個是控制器程序?!爸辛四抉R”就是指安裝了木馬的服務器程序,若你的電腦被安裝了服務器程序,則擁有控制器程序的人就可以通過網絡控制你的電腦、為所欲為,這時你電腦上的各種文件、程序,以及在你電腦上使用的賬號、密碼就無安全可言了。

  特洛伊木馬的防范

  提起木馬,大家一定會想起古希臘古老的故事,古希臘人用自己的智慧,把士兵藏在木馬內進入敵方城市從而占領敵方城市的故事。雖然有點老套,但是,木馬依然離不開這個故事的背景。木馬的全稱是“特洛伊木馬(Trojan Horse)”,也和病毒一樣,是一段程序,用來破壞或者干擾用戶正常使用電腦。

  首先我們要大概理解一下木馬類型。

  1. 破壞型:

  這種木馬是很令人討厭的,這個病毒可以自動的刪除電腦上的重要文件。

  2. 密碼發送型:

  主要是用來盜竊用戶隱私信息的,它可以把隱藏的密碼找出來發送到指定的信箱。也可以用來盜竊用戶的敏感口令等。同時,此類病毒最重要的是會記錄操作者的鍵盤操作,找到相關的有用的信息。

  3. 遠程訪問型:

  使用最多的是木馬。入侵者運行了客戶端,使用木馬者就可以通過遠程連接到對方電腦,訪問對方電腦資源。

  4. 鍵盤記錄木馬:

  這種鍵盤木馬一般都制作的很短小精悍,主要用來記錄中木馬者的鍵盤敲擊記錄,并且根據網絡訪問情況,給木馬使用者發送到指定的信箱等。

  5. DOS攻擊型:

  DOS的全稱是洪水式服務攻擊。是用來請求服務器請求,讓服務器忙與處理應答,而占用了大量的資源,最后服務器資源耗盡而死機。使用多臺電腦DOS攻擊取得的效果更好,可以用他來慢慢攻擊更多的電腦。

  6. 代理木馬:

  可以把自己的電腦從其他地方代理,然后重新訪問網絡服務器,起一個中轉的作用。

  7. FTP木馬:

  FTP木馬容量也很小,一般情況下是用來打開21端口來等待用戶連接。

  8. 程序殺手木馬:

  主要是用來關閉一些監控軟件等,這樣就可以讓木馬更安全的保留在系統中,防止被監控軟件發現,從而對用戶造成數據丟失,敏感信息泄露等故障。

  9. 反彈端口型木馬:

  反彈端口是為了躲避防火墻的過濾而制作的。因為防火墻會對連入的鏈接做一個很嚴格的過濾,對于連出的鏈接可能就不是那么嚴格了,所以利用這一點,把端口反彈,就可以更安全的使用了。

  以上為木馬的基本類型,對木馬進行了一些分類,以便用戶分類查詢。

  木馬除此之外,還有很多特征。和病毒特征一樣,了解這些木馬的特征后,就可以更方便的判斷木馬和找出對策來清除木馬了。

  (1)木馬具有很好的隱蔽性,能夠在用戶使用電腦的情況下,不知不覺的在電腦后臺運行。因為木馬怕被發覺,所以需要盡力隱藏,從開始植入目標電腦開始,就始終不會顯示,使用各種手段隱藏自己。而木馬的制作者已經注意到這個問題,把它們隱藏了起來,使用捆綁軟件或者修改注冊表文件等達到目的,不會在桌面或者系統內醒目的地方產生圖標,盡力隱藏在深層目錄或者系統文件夾下。同時,在進程中也隱藏了自己,把自身定義為系統進程,不讓用戶發覺。

  (2)木馬具有自動運行的特性。因為木馬是放到對方電腦上的,必須自動進行連接,并且自動修改目標電腦的設置,比如注冊表、啟動文件等。

  (3)木馬感染后并不公開,并且不知道其危害程度,這就減少了對木馬的了解,同時對木馬造成的危害沒有一個標準的評價。

  (4)木馬有自動恢復自身程序的功能。木馬可以自動運行,同樣可以具有自動修復自身程序的功能。自動運行的時候,可能還在某些地方多拷貝一些病毒文件,以防被殺毒軟件查殺或者程序損壞。

  (5)木馬可以自動打開端口。木馬算是一個智能的軟件,除了以上自動運行自動修復以外,還可以自動打開特定的連接端口,讓入侵者可以連接到受害者的電腦。

  (6)木馬的功能特殊。因為木馬是隱藏執行的,不希望讓用戶發覺,那么需要特別針對某些功能的特征下,盡量做的容量小一點。同時,木馬的特殊點還在于,它可以自動搜集一些受害者電腦內的信息。

  木馬特征

  木馬的自動啟動和隱藏功能是很重要的,這樣可以使木馬更長時間的潛伏在電腦內。同樣和軟件自動啟動一樣,可以加載或者修改到很多設置里。木馬的隱藏,可以讓用戶以及殺毒軟件很難找到木馬,保護自身程序的安全。一般隱藏的話,可以在任務欄和任務管理器中隱藏,因為一般情況下,系統都會把大部分軟件和進程放到任務欄和任務管理器中。另外,木馬的連接是依靠端口來連接的,所以木馬的端口號是很大的,因為用戶無法全部檢查那么多端口。但是木馬再怎么制作的好,也同樣有缺點,完全可以被殺毒軟件以及木馬專殺工具檢查出來。在對付特洛伊木馬程序方面,可以采用以下的方法。

  1、建議使用殺毒軟件檢查,并且把殺毒軟件病毒庫及時更新。因為如果殺毒軟件沒有檢查出的話,可能是您的病毒庫版本比較低,需要升級。

  2、檢查內存里是否有占用資源很多的非系統或者軟件進程,如果有的話,請先關閉以后再殺毒。

  3、檢查注冊表,注冊表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunserveice,這兩個里面是Windows的啟動運行目錄,可以查找一下是否有奇異的程序出現。

  4、檢查系統配置文件,系統配置文件包括了win.ini文件、system.ini文件以及config.sys文件,這三個文件里都記錄了操作系統啟動的時候需要啟動和加載的程序,而且可以查看文件路徑是否為正常程序。

  實際上清除木馬手段還有很多,相信大家通過以上內容的學習,能夠找出更好的清除方法,這里只介紹幾種常規的清除方法以便大家參考。另外,我們在使用電腦的時候,也應該注意對木馬的防范。 對于陌生人的電子郵件,需要檢查源地址,然后再去看信件里有什么內容。如果有附件的話,也有要小心查看,因為附件里可能隱藏了可執行文件的后綴。盡量打開病毒監控制,保持病毒庫的更新,同時建議使用木馬克星不定期檢查是否有木馬存在。當發現電腦的網絡狀態不正常的時候,需要馬上斷開網絡,然后檢查原因,看是否為木馬導致的。同時 ,在平時的使用過程中還需要注意c:、c:Windows、c:Windowssystem32這三個目錄下的文件,因為這三個目錄是木馬最習慣隱藏的地方。

  木馬并不是簡單的病毒而已,它可能會造成很多預想不到的破壞,而且可能使您的重要文件丟失等。不過,只要我們在平時的使用過程中,多加注意防護,就基本上可以放心使用電腦了。

  清除木馬方法

  1、檢查注冊表中RUN、RUNSERVEICE等幾項,先備份,記下可以啟動項的地址,再將可疑的刪除。

  2、刪除上述可疑鍵在硬盤中的執行文件。

  3、一般這種文件都在WINNT,SYSTEM,SYSTEM32這樣的文件夾下,他們一般不會單獨存在,很可能是有某個母文件復制過來的,檢查C、D、E等盤下有沒有可疑的.exe,.com或.bat文件,有則刪除之。

  4、檢查注冊表HKEY_LOCAL _ MACHINE 和 HKEY _ CURRENT _ USERSOFTWARE Microsoft Internet ExplorerMain中的幾項(如Local Page),如果被修改了,改回來就可以。

  5、檢查 HKEY _ CLASSES _ ROOTinifileshell opencommand 和 HKEY _ CLASSES_ROOTxt fileshellopencommand等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt,.ini等的默認打開程序讓病毒“長生不老,永殺不盡”的。

  6、如果有可能,對病毒的母文件進行反匯編,比如我上次中的那個病毒,通過用IDA反匯編,發現它還偷竊系統密碼并建立 %systemroot%systemmapis32a.dll 文件把密碼送到一個郵箱中,由于我用的是W2K,所以它當然沒有得手。 至此,病毒完全刪除!建議有能力的話,時刻注意系統的變化,奇怪端口、可疑進程等等?,F在的病毒都不像以前那樣對系統數據破壞很嚴重,也好發現的多,所以盡量自己殺毒(較簡單的病毒、木馬)。要提醒大家的是,經常去一些殺毒軟件的官方網站,上面有介紹如何查找及消滅木馬或病毒的一些技術文章。


上一篇:病毒預警 下一篇:防騙手冊

評論



熱門禮包更多

国产幕精品无码亚洲字幕资不卡