今天给大家带来{黑客24小时在线接单网站},和举例说明木马病毒的相关知识,如果可以可以选择收藏本站。
毕业论文
一、恶意代码的起源
电子邮件病毒的危害很多人已经深有体会,相信很多人都曾遭受过电子邮
件的毒手。互联网上80%左右的流行病毒都是通过电子邮件传播的,我们相
对来讲对电子邮件病毒都有了一定的防范意识,知道采取一些针对性的措施
来防范邮件病毒。但同时,另外一种安全危险却被大家普遍忽视,那就是恶
意网页。
其实恶意网页早就不是什么新鲜东西,甚至恶意网页的历史比电子邮件
病毒的时间都长,它是伴随着互联网的出现而出现的,跟互联网同步发展;
恶意网页前些年不像现在这么普遍存在,同时恶意网页大多数是在一些个人
站点的页面上,访问的绝对数量不小,相对数量较少,同时恶意网页一般不
具备传染性,所以恶意网页的危害性没有象电子邮件病毒一样产生那么大的
危害。大部分是IE首页被修改等,但是自从“万花病毒”的出现改变了人们
对网页代码的看法。 从去年开始,恶意网页的危害性渐渐的爆发出来,很多用户受到恶意网
页的攻击,注册表被修改。恶意网页的比例上升的很快,到去年年底的时候
恶意网页的求救信已经基本和邮件病毒持平,远远超过电子邮件病毒,所以,
恶意网页已经成为互联网世界的头号敌人,虽然直接危害暂时还不能和电子
邮件相抗衡,但是恶意网页将会是一个长期存在,对互联网安全构成重大威
胁的新敌人,足以引起所有上网用户的重视。
网页恶意代码到底是怎么产生的呢?其实它也和病毒一样是人为制造出
来的,早期的制造恶意代码的人大多数是出于个人目的,或是为了提高自己 网站的知名度、提高网站的浏览量,或者纯粹是一种恶作剧、一种破坏行为,
他们通过在其开通的网站主页源程序里加入几行具有破坏性的代码,当用户
打开网页进行浏览是能够修改用户的注册表,后果主要表现在IE默认主页被
修改,发展到后来出现了最有代表性的具有破坏性的网页恶意代码如“万花
病毒”和“混客绝情炸弹”。遭受恶意代码破坏的用户往往不清楚自己到底是
遭受到病毒的破坏还是黑客的攻击,往往手足无措。这个时候往往需要手动
修改注册表,而修改注册表对于普通用户来说又不是一件很容易的事,大多
数都会不知所措。本文以网络上常见的恶意代码病毒详细的介绍了各种恶意
代码的原理和预防、解决方法,使每一位朋友能解决在网络中遇到的问题。
剩下的在你消息里
木马病毒的概念及原理
木马病毒的概念及原理
“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。下面是我整理的木马病毒的概念及原理,希望可以帮到你!
在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上 下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。知道了木马名字的由来,我们该如何来应对它呢,假如电脑中了“木马”该怎么样清除?因此最关键的还是要知道“木马”的工作原理,这样就会很容易 发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,:),“木马”会在每次用户启动时自动装载服务 端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏 身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在WINDOWS下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下, 它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”, 如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是 “explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftware MicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这 里切记:有的“木马”程序生成的'文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindows CurrentVersionRun”下的Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USERSoftwareMicrosoftWindows CurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindows CurrentVersionRun”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINESoftware MicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客 通过网络对你进行攻击。然后编辑win.ini文件,将WINDOWS下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和 “load=”;编辑system.ini文件,将BOOT下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在 注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindows CurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程 序并不是直接将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersion Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下 “木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此, 我们就大功告成了。
木马病毒的相关案例
因好莱坞大片《特洛伊》而一举成名的“木马”(Trojan),在互联网时代让无数网民深受其害。无论是“网购”、“网银”还是“网游”的账户密码,只要与钱有关的网络交易,都是当下木马攻击的重灾区,用户稍有不慎极有可能遭受重大钱财损失甚至隐私被窃。以下列举一些案例。
No1:“支付大盗”
“支付大盗”花钱上百度首页。
2012年12月6日,一款名为“支付大盗”的新型网购木马被发现。木马网站利用百度排名机制伪装为“阿里旺旺官网”,诱骗网友下载运行木马,再暗中劫持受害者网上支付资金,把付款对象篡改为黑客账户。
No2:“新鬼影”
“新鬼影”借《江南Style》疯传。
火遍全球的《江南Style》很不幸被一种名为“新鬼影”的木马盯上了。此木马主要寄生在硬盘MBR(主引导扇区)中,如果用户电脑没有开启安全软件防护,中招后无论重装系统还是格式化硬盘,都无法将其彻底清除干净。
No3:“图片大盗”
“图片大盗”最爱私密照。
绝大多数网民都有一个困惑,为什么自己电脑中的私密照会莫名其妙的出现在网上。“图片大盗”木马运行后会全盘扫描搜集JPG、PNG格式图片,并筛选大小在100KB到2MB之间的文件,暗中将其发送到黑客服务器上,对受害者隐私造成严重危害。
No4:“浮云”
“浮云”木马震惊全国。
盗取网民钱财高达千万元的“浮云”成为了2012年度震惊全国的木马。首先诱骗网民支付一笔小额假订单,却在后台执行另外一个高额定单,用户确认后,高额转账资金就会进入黑客的账户。该木马可以对20多家银行的网上交易系统实施盗窃
No5:“黏虫”
“黏虫”木马专盗QQ。
“QQ黏虫”在2011年度就被业界评为十大高危木马之一,2012年该木马变种卷土重来,伪装成QQ登录框窃取用户QQ帐号及密码。值得警惕的是不法分子盗窃QQ后,除了窃取帐号关联的虚拟财产外,还有可能假冒身份向被害者的亲友借钱。
No6:“怪鱼”
“怪鱼”木马袭击微博。
2012年十一长假刚刚结束,一种名为“怪鱼”的新型木马开始肆虐网络。该木马充分利用了新兴的社交网络,在中招电脑上自动登录受害者微博帐号,发布虚假中奖等钓鱼网站链接,绝对是2012年最具欺骗性的钓鱼攻击方式之一。
No7:“打印机木马”
“打印机木马”疯狂消耗纸张。
2012年6月,号称史上最不环保的“打印机木马”(Trojan.Milicenso)现身,美国、印度、北欧等地区大批企业电脑中招,导致数千台打印机疯狂打印毫无意义的内容,直到耗完纸张或强行关闭打印机才会停止。
No8:“网银刺客”
“网银刺客”木马暗算多家网银。
2012年“3.15”期间大名鼎鼎的“网银刺客”木马开始大规模爆发,该木马恶意利用某截图软件,把正当合法软件作为自身保护伞,从而避开了不少杀毒软件的监控。运行后会暗中劫持网银支付资金,影响十余家主流网上银行。
No9:“遥控弹窗机”
“遥控弹窗机”木马爱上偷菜。
“遥控弹窗机”是一款伪装成“QQ农牧餐大师”等游戏外挂的恶意木马,运行后会劫持正常的QQ弹窗,不断弹出大量低俗页面及网购钓鱼弹窗,并暗中与黑客服务器连接,随时获取更新指令,使受害者面临网络帐号被盗、个人隐私泄露的危险。
No10:“Q币木马”
“Q币木马”元旦来袭。
新年历来是木马病毒活跃的高峰期,2012元旦爆发的“Q币木马”令不少网民深受其害。该木马伪造“元旦五折充值Q币”的虚假QQ弹窗,诱骗中招用户在Q币充值页面上进行支付,充值对象则被木马篡改为黑客的QQ号码,相当于掏钱替黑客买Q币。
No11: “修改中奖号码”
2009年6月,深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点,深圳市某技术公司软件开发工程师程某,利用在深圳福彩中心实施技术合作项目的机会,通过木马程序,攻击了存储福彩信息的数据库,并进一步进行了篡改彩票中奖数据的恶意行为,以期达到其牟取非法利益的目的。
求一篇关于计算机病毒的论文!
随着计算机技术的飞速发展和计算机应用的日益普及,目前计算机病毒几乎已经遍及社会的各个领域,近乎家喻户晓,只要接触过计算机的都能碰上它。你说它有多恐怖,也不是。但它总也挥之不去,伴随着计算机的发展,给计算机系统带来了巨大的破坏和潜在的威胁。因此,为了确保计算机系统的安全及网络信息的安全,研究对付计算机病毒的措施已刻不容缓同时计算机病毒也在不断地推陈出新。目前,病毒已成为困扰计算机系统安全和网络发展的重要问题,各行各业中的管理部门更是要增强计算机病毒的防范意识,最大限度地减少计算机病毒所带来的危害本文将通过我切身对计算机病毒的经历来阐述本人对计算机病 毒学的认识,结合参考文献加深对计算机病毒学的理解,以达到对计算机病毒能够防患于未然及普及这方面知识
关键词:计算机病毒 安全 防范
计算机病毒的主要来源:
1.搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒,例如像圆点一类的良性病毒。
2.软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。因为他们发现对软件上锁, 不如在其中藏有病毒对非法拷贝的打击大, 这更加助长了各种病毒的传播。
3.旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒----就是蓄意进行破坏。例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒, 就是雇员在工作中受挫或被辞退时故意制造的。它针对性强, 破坏性大, 产生于内部, 防不胜防。
4.用于研究或有益目的而设计的程序, 由于某种原因失去控制或产生了意想不到的效果。
计算机病毒的类型及特点:
归纳一下,计算机病毒有以下几种特点:一是隐蔽性强。病毒可以在毫无察觉的情况下感染计算机而不被人察觉,等到发现时,就已经造成了严重后果。二是繁殖能力强。电脑一旦染毒,可以很快“发病”。三是传染途径广。可通过移动设备、有线和无线网络、硬件设备等多渠道自动侵入计算机中,并不断传染。四是潜伏期长。病毒可以长期潜伏在计算机系统而不发作,等达到激发条件后,就发作破坏系统。五是破坏力大。计算机病毒一旦发作,轻则干扰系统的正常运行,重则破坏磁盘数据、删除文件,甚至导致整个计算机系统的瘫痪。
计算机病毒是通过复制自身从而感染其它程序的指令代码或程序。当染毒文件运行时,病毒也随之运行并自我复制来感染其它程序。不过,良性病毒没有恶意攻击性性的代码,只占用系统的资源,让系统运行减慢。但是对大多数的恶性病毒却是携带恶意攻击性的毒码,一旦被激发,即可感染和破坏。自80年代由莫里斯编写的第一个“蠕虫”病毒程序问世以来,世界上已出现了多种不同类型的病毒。主要有以下几种主要病毒,产生了以下几种主要病毒:
(一)系统病毒。系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。
(二)蠕虫病毒。蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
(三)木马病毒、黑客病毒。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的现在这两种类型都越来越趋向于整合了。
(四)脚本病毒。脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,
(五)宏病毒。其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。
(六)后门病毒。后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
(七)病毒种植程序病毒。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
(八)破坏性程序病毒。破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
(九)玩笑病毒。玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,实病毒并没有对用户电脑进行任何破坏。
(十)捆绑机病毒。捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。
必然,随着信息技术的日后不断发达,肯 定会产生新型的病毒。毕竟,我们知道,魔高一尺,道高一丈。本人 接触到计算机是初中那会, 伴随着计算机的认识也知道有计算机病毒 这玩意。真正受到病毒的破坏是 04 年,那时使用的是腾讯 QQ 聊天 工具,当时由于初步接触网络,防范意识相当薄弱,也可以说根本毫 无这病毒防患这方面的知识。当时病毒是通过 QQ 上的好友发送一张 图片。这时,只要你点击接受。那大小几十 KB 的文件就自动在你机 器后台执行。盗取上网帐号,造成财产的损失。然后,伴随的还有计 算机的运行缓慢等等一系列病后遗症。当时,深受其害的我,就开始 着手去关注这方面的知识。 现在回想起来, 其实那时的那病毒很简单, 防患起来更加容易。也许,这就是时间的魔力。 07 年,震惊国内的熊猫烧香病毒爆发。那时很清晰的记得正 值夏季。酷暑下,全国几百万受感染的计算机用户可谓是深受其害。 当然,我也正切身感受到了此病毒的危害。可爱却可恨的熊猫手持三 根燃烧的香做拜姿于桌面每个图标处。整个系统运行的极其缓慢。对 于我这种普通的网民而言危害到此为止。可是,对于众多商业用户及企事业单位用户就非常之杀伤了。造成了巨大财产损失。 因此,我更加去关注了并简单学习了计算机病毒这方面的知 识。
通过对这方面的兴趣爱好,我了解到,本人所遭受的病毒只 是计算机病毒传播途径的其中一种:通过网络 这种传染扩散极快, 能在很短时间内传遍网络上的机器。 随着 Internet 的风靡,给病毒的传播又增加了新的途径,它的发 展使病毒可能成为灾难, 病毒的传播更迅速, 反病毒的任务更加艰巨。 Internet 带来两种不同的安全威胁,一种威胁来自文件下载,这些被 浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。 大多数 Internet 邮件系统提供了在网络间传送附带格式化文档邮件的 功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌 入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。 现在,我们还知道计算机病毒传播的途径还有以下几种:通过 软盘 通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、 来历不 明的软件、 游戏盘等是最普遍的传染途径。 由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软 盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种 软件造成了病毒感染、泛滥蔓延的温床。 通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使 用、维修等, 将干净的软盘传染并再扩散。 通过光盘 因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可 能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒 不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒 防护担负专门责任, 也决不会有真正可靠可行的技术保障避免病毒的 传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来 了很大的便利。
其次,我了解到病毒是 木马在计算机领域中,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。所以木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
鉴于此,我总结了一下几点需要注意的:
1. 建立良好的安全习惯 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太 了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等, 这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户 端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又 对用户没有太大用处, 如果删除它们, 就能大大减少被攻击的可能性。
3. 经常升级安全补丁 据统计,有 80%的网络病毒是通过系统安全漏洞进行传播的, 象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载 最新的安全补丁,以防范未然。
4. 使用复杂的密码 有许多网络病毒就是通过猜测简单密码的方式攻击系统的, 因此 使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机 当您的计算机发现病毒或异常时应立刻断网, 以防止计算机受到 更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识 这样就可以及时发现新病毒并采取相应措施, 在关键时刻使自己 的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看 一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就 可以经常看看内存中是否有可疑程序。
7. 最好安装专业的杀毒软件进行全面监控 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济 的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将 一些主要监控经常打开(如邮件监控)、 内存监控等、 遇到问题要上报, 这样才能真正保障计算机的安全。
8. 用户还应该安装个人防火墙软件进行防黑 由于网络的发展,用户电脑面临的黑客攻击问题也越来越严 重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户 还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效 地防止网络上的黑客攻击。
小结:
四、结束语
通过上文本人结合自身于计算机使用经历,感怀计算机病小结毒。这就是信息技术的发展所带来的切身感受。继而得知以后的路还 很长,我们必须不断努力学习,不断与计算机病毒做斗争。相信未来 的计算机病毒会更加厉害,防不胜防。但是,更加相信邪不胜正,总 有解决它的办法。尽管现在的病毒种类各种各样,杀毒软件也比较先进。但病毒的更新,换代速度也非常之快,我们不要掉以轻心。要树立良好的安全意识,才能在计算机病毒的防护方面做到尽量避免损失。
关于TROJAN
检测和删除系统中的木马教程
一、木马(Trojan Horse)介绍
木马全称为特洛伊木马(Trojan Horse,英文则简称为Trojan)。此词语来源于古希腊的神话故事,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。
在计算机安全学中,特洛伊木马是指一种计算机程序,表面上或实际上有某种有用的功能,而含有隐藏的可以控制用户计算机系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上,木马也可以称为是计算机病毒。
由于很多用户对计算机安全问题了解不多,所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒,但它们并不能防范新出现的木马病毒(哪怕宣传上称有查杀未知病毒的功能)。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后,系统不能正常工作,或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的著名木马程序,新的查杀毒软件是连检查都检测不到,更不用说要删除它了(哪怕是使用的是的病毒库)。因此最关键的还是要知道特洛伊木马的工作原理,由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马,再根据其藏匿的方式对其进行删除。
二、木马工作的原理
在Windows系统中,木马一般作为一个网络服务程序在种了木马的机器后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。当该木马相应的客户端程序在此端口上请求连接时,它会与客户程序建立一TCP连接,从而被客户端远程控制。
既然是木马,当然不会那么容易让你看出破绽,对于程序设计人员来说,要隐藏自己所设计的窗口程序,主要途径有:在任务栏中将窗口隐藏,这个只要把 Form的Visible属性调整为False,ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身,只要将程序调整为系统服务程序就可以了。
好了,现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行,那么它就要乘计算机刚开机的时候得到运行,进而常驻内存中。想一想,Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢?你可能会想到“开始-程序-启动”中的项目!没错,这是Windows启动时要运行的东西,但要是木马服务器程序明显地放在这就不叫木马了。
木马基本上采用了Windows系统启动时自动加载应用程序的方法,包括有win.ini、system.ini和注册表等。
在win.ini文件中,[WINDOWS]下面,“run=”和“load=”行是Windows启动时要自动加载运行的程序项目,木马可能会在这现出原形。必须要仔细观察它们,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目,那么你的计算机就可能中上木马了。当然你也得看清楚,因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan,它把自身伪装成command.exe文件,如果不注意可能不会发现它,而误认它为正常的系统启动文件项。
在system.ini文件中,[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是 explorer.exe,而是“shell=Explorer.exe 程序名”,那么后面跟着的那个程序就是木马程序,明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件,这样的话,这里看起来还是正常的,无法瞧出破绽。
隐蔽性强的木马都在注册表中作文章,因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT,那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西,通过regedit等注册表编辑工具查看SAM主键,里面下应该是空的。
木马驻留计算机以后,还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接(一般为TCP连接),通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测,在第三部分有详细介绍。
三、检测木马的存在
知道木马启动运行、工作的原理,我们就可以着手来看看自己的计算机有没有木马存在了。
首先,查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。
1、查看system.ini文件
选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”
,如果不是这样,就可能中了木马了。下图所示为正常时的情况:
2、查看win.ini文件
选中win.ini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空
3、查看启动组
再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词,
极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都
屏蔽掉了
4、查看注册表
由“开始-运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:
“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己
不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的
服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项
“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入
Explorer=“CWINDOWSexpiorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母
的差别!
通过类似的方法对下列各个主键下面的键值进行检查:
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
如果操作系统是Windows NT,还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。
当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。
如果有留意,注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。
4、其它方法
上网过程中,在进行一些计算机正常使用操作时,发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。
如果怀疑你现在正在被木马控制,那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话,最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法:
由“开始-运行”,输入command,确定,开一个MS-DOS窗口。或者由“开始-程序-MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示:
显示出来的结果表示为四列,其意思分别为Proto:协议,Local Address:本地地址,Foreign Address
:远程地址,State:状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常(比如大于5000
),而Foreign Address中的地址又不为正常网络浏览的地址,那么可以判断你的机器正被
Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非
法连接你计算机的木马客户端。
当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat命令将看不
到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口
。对于Windows98来说,正常情况下,会出现如下的一些处于监听状态的端口(安装有NETBEUI协议):
如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络服务操作,那么在监听该
端口的就是特洛伊木马了!如下图所示的23456和23457端口都处于监听状态,很明显是木马造成的。
注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)没有运行任何
网络冲浪软件,也没有进行过任何网络操作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。
四、删除木马
好了,用上面的一些方法发现自己的计算机中了木马,那怎么办?当然要将木马删除了,难道还要保留它!首先要将网络断开,以排除来自网络的影响,再选择相应的方法来删除它。
1、由木马的客户端程序
由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等,很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序,下载并运行该程序,在客户程序对应位置填入本地计算机地址: 127.0.0.1和端口号,就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a”命令查出来。
这是最容易,相对来说也比较彻底载除木马的方法。不过也存在一些弊端,如果木马文件名给另外改了名字,就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码,既使客户端程序可以连接的上,没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码,那就另当别论了。还有,要是该木马的客户端程序没有提供卸载木马的功能,那么该方法就没什么用了。当然,现在多数木马客户端程序都是有这个功能的。
2、手工
不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......,那我们就手工慢慢来删除这该死的木马吧。
用msconfig打开系统配置实用程序,对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中,将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”;编辑system.ini文件,将 [BOOT]下面的“shell=xxx”,更改为:“shell=Explorer.exe”。
转贴于 华夏黑客同盟
用regedit打开注册表编辑器,对注册表进行编辑。先由上面的方法找到木马的程序名,再在整个注册表中搜索,并删除所有木马项目。由查找到的木马程序注册项,分析木马文件在硬盘中的位置(多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下)。启动到纯MS-DOS状态(而不是在Windows环境中开个MS-DOS窗口),用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件,还得通过“attrib -s -h -r”将对应文件的属性改变,才可以删除。
为保险起见,重新启动以后再由上面各种检测木马的方法对系统进行检查,以确保木马的确被删除了。
目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定(也就是感染了系统文件)。比如常用到的Explorer.exe,只要 Explorer.exe一得到运行,木马也就启动了。这种木马可以感染可执行文件,那就更象病毒了。由手工删除文件的方法处理木马后,一运行 Explorer.exe,木马又得以复生!这时要删除木马就得连Explorer.exe文件也给删除掉,再从别人相同操作系统版本的计算机中将该文件 Copy过来就可以了。
五、结束语
Internet上每天都有新的木马冒出来,所采取的隐蔽措施也是五花八门。在信息社会里,计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展,本文所讲述的检测、删除木马方法也总有一天会失效,最主要还是要靠用户提高警惕,防范所有的不安全事件于未然。
典型案例一:
我的机器已中了木马病毒Trojan.TRC.mIRC.f
是在c:\WINNT\system32\sy5tem文件中,我想要把文件删掉,可是提示为:源文件正在被使用,瑞星杀毒软件又不能杀掉,我的系统是win2oooprofessinal,并不能运行msconfig命令,请教:该怎么办?
回复:
从Windows XP中剥离的Msconfig程序完全可以在Windows 2000中使用。顺便提供 pchome下载点。
把它COPY 到Win2000的WinntSystem目录下,然后直接运行。
程序首先会弹出一个出错的消息框,提示找不到以下几个系统文件:Config.sys、Autoexec.bat、System.ini 及Win.ini,“忽略”它,点击“确定”之后就会看到 Msconfig 程序窗口。
参考文献:
关于{黑客24小时在线接单网站}和举例说明木马病毒的帮助到此结束了。