本文目录一览:
-
4、女生木马病毒
我的电脑中了木马病毒
木马小常识
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。
一、木马的危害
相信木马对于众多网民来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!
木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日,一个黑客入侵了美国微软的门户网站,而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面!
广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作方法和强大的控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。
二、木马原理
特洛伊木马属于客户/服务模式。它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例,被控制端可视为一台服务器,控制端则是一台客户机,服务端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。
为进一步了解木马,我们来看看它们的隐藏方式,木马隐藏方法主要有以下几种:
1.)在任务栏里隐藏
这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标,傻子都会明白怎么回事。在VB中,只要把form的Viseble属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.)在任务管理器里隐藏
查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。所以,木马千方百计的伪装自己,使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。
3.)端口
一台机器由65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口,占用这些端口可能会造成系统不正常。这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?
4.)木马的加载方式隐蔽
木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马,你会运行它才怪呢。而随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。
5.)木马的命名
木马服务端程序的命名也有很大的学问。如果你不做任何修改的话,就使用原来的名字。谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除么?还有的就是更改一些后缀名,比如把dll改为dl等,你不仔细看的话,你会发现么?
6.)最新隐身技术
目前,除了以上所常用的隐身技术,又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同,它基本上摆脱了原有的木马模式—监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
三、木马防范工具
防范木马可以使用防火墙软件和各种反黑软件,用它们筑起网上的马其诺防线,上网会安全许多。
网上防火墙软件很多,推荐使用“天网防火墙个人版”。它是一款完全的免费的软件,安装成功后,它就变成一面盾牌图表缩小到任务来的系统托盘里,并时刻监视黑客的一举一动,当有黑客入侵时,它就会自动报警,并显示入侵者的IP地址。
用鼠标双击盾牌图标,就会弹出天网的控制台,控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签,会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务,但UDP端口服务还开放着,别人无法通过端口的漏洞来入侵,它阻挡了几乎所有的蓝屏攻击和信息泄漏问题,并且不会影响普通网络软件的使用)
在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑,天网防火墙会将其自动拦截,并告警提示,同时在控制台的“安全纪录”里会将连接者的IP,协议,来源端口,防火墙采取的操作,时间记录等攻击信息显示出来。
在控制台的“检测”、“关于”标签里主要有安全漏洞的说明,防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络,点一下控制台上的“停”就可以了。
四、木马的查杀
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
我的电脑中了“女生宿舍”木马病毒,这个病毒的危害是什么?
女生宿舍病毒,这个病毒利用Browser Help Object,在打开IE浏览器时加载广告,准确的说,应该是广告程序,单纯的查杀有可能还有后遗症,如果还有症状的话,可以用以下方法:
1.在命令行窗口,用 regsvr32 /u Navihelper.dll 命令,先将此dll卸载。
2.将位于 %System%/Windows/System32/ 的 host.dat 和 navihelper.dll 两个文件删除。
3.在 %System%/Windows/System32/ 目录下,新建两个文件,文件名为host.dat和navihelper.dll,并将这两个文件设置为只读即可.
你有可能是安装了不安全的插件,或在浏览某网站时,被暗中感染了脚本病毒.也有可能是某软件中捆绑的
我不幸中了木马女生病毒,请问怎么杀
昨晚一位很要好的网友向我告急,说己中了广外女生木马怎么清除,这可是老家伙啦,想当年这马的功力竟然与冰河齐驱共架。而且要彻底清除的确也挺麻烦的!!花了一晚上时间终于帮朋友搞定了,总结了一下经验,来这也撒一把~``呵呵
由于广外女生木马启动方式跟一般的木马不太一样,他非常狡猾把启动项目设置在了注册表的另外位置内,而且自动创建了好几个启动文件关联,这也就是一般杀毒软件不能彻底查杀他的原因之一。
一,我先简单介绍一下木马喜欢藏身的地方。
木马基本上采用了windows系统启动时自动加载应用程序的方法,包括有win.ini、system.ini和注册表等。
1.潜伏在win.ini中
木马想要达到控制或监视计算机的目的,就必须要运行,在win.in文件中,[WINDOWS]下面“run=”和“load=”行是windows启动时要自动加载运行的程序项目,于是潜伏在win.in中是木马感觉比较惬意的地方。大家不妨打开win.in来看看,在他的[WINDOWS]字段中有启动命令“run=”和“load=”,在正常情况下等号后面应该是空白的,不能有任何程序!如果有程序,比方说:
run=c:\windows\diagcfg.exe
load=c:\windows\diagcfg.exe
这时你就要小心了,这个diagcfg就是广外女生木马!
2.潜伏在system.ini中
木马就象你肚子里的蛔虫,什么地方有空他就往什么地方钻。WINDOWS安装目录下的system.ini也是木马喜欢藏身的地方,打开这个文件,在该文件的[boot]字段中,正常情况下有一个shell=Explorer.exe 项(后面不跟任何程序),如果是shell=Explorer.exe diagcfg.exe ,那么恭喜你,你中彩了,后面的“diagcfg.exe”就是木马程序。现在有些木马还将explorer.exe文件与其他进程捆绑成一个文件,在这里是看不出他的破绽,更增加了他的隐蔽性。
另外,在system.ini中的[386Enh]字段中要注意检查“driver=路径/程序名”这里也有可能被木马所利用。还有system.ini中的[mic]、[drivers32]字段,这些字段是起到加载驱动程序的作用,也是添加木马的好场所,可要注意哦!
(哦——对了!考虑到都是抢惯肉了对杀马灭虫等还不太熟悉~```,在这里我把打开“system.ini”、“win.ini”的方法告诉你:开始/运行,输入msconfig/确定。运行windows自带的“系统配置实用程序”,自己在里面找吧。windows2000里没这个东西,你也可以在运行里输入:sysedit 来打开)
3.凡是能自动加载的地方,木马都喜欢安家。winstart.bat也是一个能自动被windows加载运行的文件,他多数情况为应用程序及windows自动生成,在执行了win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8健在选择逐步跟踪启动过程方式得知)。由于autoexec.bat的功能可以由winstart.bat代替完成,因此木马完全可以像在autoexec.bat中那样被加载运行,危险由此而来!
4.内置到注册表中
由于隐藏到以上方法木马很快就会被人查处,于是木马又打起了注册表的注意。注册表本身就非常庞大复杂,众多的启动项目及易掩人耳目。往往很多书中都会大惊小怪的告戒读者千万别动注册表,那很危险。我本人就很不同意这一观点!是非常不同意!!如果你学不会走路你就永远长不大!你怕摔交你就永远生长在婴儿期!!在windows系统有很多功能只有通过修改注册表才能调整。我建议在修改注册表之前先备份注册表或用ghost给整个系统备份,基本就可高枕无忧了。还是言归正传吧:
隐蔽性强的木马都喜欢在注册表里做文章,所以一定要检查以下键值:
HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run
…………………………………………………………………………………\RunOnce
…………………………………………………………………………………\RunOnceEx
…………………………………………………………………………………\RunServices
…………………………………………………………………………………\RunServicesOnce
HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion\Run
…………………………………………………………………………………\RunOnce
…………………………………………………………………………………\RunOnceEx
…………………………………………………………………………………\RunServices
…………………………………………………………………………………\RunServicesOnce
HKEY_USERS\.Default\software\microsoft\windows\CurrentVersion\Run
…………………………………………………………………………………\RunOnce
…………………………………………………………………………………\RunOnceEx
…………………………………………………………………………………\RunServices
…………………………………………………………………………………\RunServicesOnce
上面这些主键下面的启动项目都可以成为木马的藏生之处,可要小心哦!如果是WINDOWS NT系统,那还的留心以下键值:
HKEY_LOCAL_MACHINE\software\SAM ,正常情况SAM里面应该是空的。
(我这里说的NT系统就是平常我们用的2000啦XP啦等..这些都属于NT平台)
二.手工清除广外女生方法。
1.广外女生木马是一个驻留、启动方法比较典型性的木马,我以win2000为例直接切入正体。 因为我只用2000,别的系统也差不多的啦,自己参照一下吧~`````
如果一不小心运行了广外女生木马服务端会在C:\winnt\system32目录下增加一个文件“diagcfg.exe”,你也可以打开任务管理器查看,会发现其中有一个DIAGCFG。EXE的进程,这就是木马原身。但这时千万不能直接删除diagcfg.exe,否则系统就无法正常运行了。
再到注册表看看他到底藏在哪儿。(用注册表监察工具regsnap查出,在此不在累述过程,因为这不是本文重点)
HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\commandold value:string""%1" %*"
new value:string:"C:\winnt\system32\DIAGCFG.EXE "%1" %*"
这个键值由原来的"%1" %*被修改为了C:\winnt\system32\DIAGCFG.EXE "%1" %*,广外女生为什么要这样修改呢?有什么作用呢?
这就是运行可执行文件格式,被改为C:\winnt\system32\DIAGCFG.EXE "%1" %*之后每次再运行可执行文件时都要先执行C:\winnt\system32\DIAGCFG.EXE 这个程序。
他的启动方法与一般木马不太一样,一般木马是在HKEY_\software\microsoft\windows\CurrentVersion\Run键值里加载自己的启动项目,但这种方式被杀毒软件所熟知,所以很容易查杀。而广外女生就比较狡猾了,他把启动项目设在了另外的位置,这也就是杀毒软件不容易查杀他的原因之一。
2.好了,现在就开始手工清除他了,睁大眼睛看着!
注意:清除广外女生木马的步骤次序不能颠倒,否则无法彻底清楚此木马!!!
1/.开始/运行/“regedit”/确定。打开注册表。
HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\,先不要修改,因为如果这时修改注册表的话,diagcfg.exe进程仍然会立即把他改回来。
2/.打开“任务管理器”,找到diagcfg.exe进程,选中他按“结束进程”来关掉这个进程。注意:一定也不要先关进程再打开注册表,否则执行regedit.exe时又会启动diagcfg.exe。前功尽弃!
3/.把HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\的键值由原来的 C:\winnt\system32\DIAGCFG.EXE "%1" %*改为“%1” %* 。
4/.这时就可以删除C:\winnt\system32\目录下的diagcfg.exe了。切记不可先删除这个文件,否则,就无法在系统中运行任何可执行文件了。
最后说一下:广外女生木马后台监听端口为6267(默认),至于如何用fport查找广外女生木马端口和该木马如何查找snfw.exe、kav9x.exe的进程,也就是“天网防火墙”和“金山毒霸”的进程,然后将其杀掉。在此我就不多罗嗦了,因为本人很笨,一直以来都很少用过杀毒软件,最多也是帮别人装的时候用过一下。
女生木马病毒
是广外女生把```是一种类识与灰鸽子一类的木马````是属于一种后门试木马``在其他电脑上运行了客户端就可以远程控制 那它电脑上的一切操作就跟自己在使用的电脑一样方便
一部中国部队电影,里面有一位女计算机博士懂木马病毒,最后控制导弹返航,成功完成训练任务
你问应该是《无懈可击》。CCTV6的官网电影网上就有,可以点播。
剧情是
西北某战区,一场旨在检验和提高我军协同作战的高技术合成演习“07任务”,进入最后二十四小时倒计时。演习导演部总指挥向全体参演部队发布命令前,指挥所信息中心指挥系统发现有“黑客”入侵。“黑客”通过远程控制,已经完全进入“07任务”,指挥部发布的所有命令将受到来自“黑客”的干扰和破坏。
演习还没有开始,指挥系统就遭到“黑客”袭击,此时无论是延迟“07任务”和停闭指挥系统,都将宣告演习失败。紧急关头,在总部远程控制方面的专家纪参谋和赵参谋陪同首长出国的情况下,指挥所信息中心戴天明组长想到了一个人:方颖。方颖是我军西北通信学院刚刚毕业的博士生,远程控制方面的专家。为查找“黑客”,破译“黑客”密码,即将出国参加国际信息研讨会的方颖被他的男朋友、也是信息中心作战参谋的姚力驾驶直升机中途拦截。来到指挥所,方颖发现要想找到隐藏的“黑客”,只有进入“07任务”信息终端。然而,在演习开始前二十四小时要想进入“07任务”终端,绝非易事。知难而进的戴天明、姚力和方颖整装出发,强行通过“07任务”外围检查站,利用戈壁滩上两个偷猎者的汽车,巧妙接近“07任务”发射终端。戴天明的行动在信息全部静默的情况下,遭到指挥部警卫连的追捕。在三个人随时都面临着被狙击手击毙的危险时,姚力巧妙引开追捕分队,帮助戴天明和方颖进入“07任务”发射终端。
然而,方颖很快就发现“黑客”也是远程控制方面的高手。尽管方颖的努力,有效地阻止了“黑客”的干扰和破坏,但要想确保演习成功,惟一的办法就是将隐藏的“黑客”抓获。通过“07任务”终端,方颖进入“黑客”的程序,锁定了一名“黑客”。
姚力和方颖“内外”联手锁定目标时,“黑客”已经人去车空,“07任务”依然被逃逸的“黑客”所控制。此时,海军的一枚导弹已经被“黑客”修改弹道,直接飞向“07任务”指挥所。千钧一发之际,方颖和姚力携手作战将“黑客”抓捕,修改导弹弹道化险为夷。“黑客”显身时,姚力才知道,“黑客”原来就是总部的纪参谋,而“黑客”袭击也是导演部设置的演习中的一部分。至此,指挥系统恢复正常,浩大的演习准时开始。