认识自己的木马程序是什么-认识自己的木马程序

hacker|
208

如何才能知道自己的电脑上有没有中了木马

木马程序会隐藏自己.

主要途径有:

a,在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。

b,在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端

c,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都

是“木马”藏身的好地方。下面具体谈谈 “木马”是怎样自动加载的。

在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现

后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如 “AOL Trojan木马”,它把自身伪装成

command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是 “explorer.exe”,而是“shell= explorer.exe 程序名”,那么

后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。

在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL- MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查

看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery

v1.0木马”,它将注册表“HKEY-LOCAL- MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的 Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”

,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-

USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY- USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就

是在 “HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索即可。

知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进

行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=” 和 “load=”;编辑system.ini文件,将[BOOT]下面的

“shell=‘木马’文件”,更改为:“shell= explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-

MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木

马”程序并不是直接将“HKEY-LOCAL- MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了,因为有的“木马” 如:BladeRunner“木

马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此 “木马”文件并删除掉。重新启动计算机,然

后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了

电脑中木马的简单识别方法和对策。

如何识别木马

木马程序一般分为客户端程序和服务端程序两部分,客户端程序用于远程控制计算机。而服务端程序,则隐藏到远程计算机中,接收并执行客户端程序发出的命令。所以当黑客通过网络控制一台远程计算机时,第一步就需要将服务端程序植入到远程计算机。为了能够让用户执行木马程序,黑客常常通过各种方式对它进行伪装,这种伪装就是我们说的木马画皮。自木马诞生以来,黑客们为了木马的隐蔽性,各种伪装伎俩可谓层出不穷,让人防不胜防。那么就让我们一起来练就一双火眼金睛,拆穿木马画皮伎俩,将这些不速之客拒之门外。

画皮第一计:图标伪装

伪装等级:★★★★

在Windows系统中,每种文件类型使用不同的图标进行表示,用户通过一种图标就可以轻易地判断出这是那种文件类型。黑客为了迷惑用户,将木马服务端程序的图标换成一些常见的文件类型的图标,这样当用户运行以后,噩梦也就开始了。

实例:黑洞2001服务端的安装程序使用了文件夹的图标,当你隐藏了已知文件类型的扩展名时,这个文件看上去就是一个文件夹,当你好奇地点击它,打算进去看看有什么文件的时候,潘多拉的盒子就打开了。

识别方法

平时我们在运行一个文件的时候,常常习惯于利用鼠标双击运行它,这样Windows系统首先会判断文件类型打开其关联程序,然后再打开这个文件。这样运行方法就很容易激活修改了图标的木马程序。其实,我们只需要换一种方式,就可以避免。比如我们看到一个文本文件的文件后,并不要双击打开它,而是首先打开记事本程序,然后通过“文件”菜单中的“打开”命令来打开这个文件,如果显示出的是乱码,那么这个“文本文件”就肯定有问题。

安全专家点评:更换图标是最基本的木马服务端的伪装方式,但是只使用这一种方式是远远不够的。黑客会将它和文件更名、文件捆绑等一系列的伪装方式进行组合,这样才能骗得用户运行。所以不要随意执行别人发来的文件,那怕他是你的朋友也要谨慎一些。

画皮第二计:改名换姓

伪装等级:★★★

图标修改往往和文件改名是一起进行的,黑客往往将文件的名称取得非常的诱人,比如“漂亮的妹妹”之类,骗用户去运行它。当木马服务端程序运行以后,服务端程序也会将自己的进程设置为和正常的系统进程相似的名称,从而使用户不容易产生怀疑,被其麻痹。

实例:如图2所示,这是笔者制作的木马服务端安装程序,它在电脑上显示为“漂亮的妹妹.bmp”。如果你把它当作一个图像文件来打开的话,笔者的木马也就在你的电脑中安营扎寨了。

识别方法

首先要明确,不论木马如何伪装自己的图标和文件名,它的后缀部分必须是一个可执行的扩展名,比如EXE、COM、BAT等,否则木马不会运行自己的代码, 在Windows系统的默认设置下会隐藏已知文件的扩展名,如果木马把自己的文件名改成了“XXX.bmp.exe”这个样子,扩展名“.exe”隐藏后,木马的文件名就会变成“XXX.bmp”,再给这个文件配一个图像文件的图标,这个文件就会变成“一只披着羊皮的狼”。在“文件夹选项”对话框中选取“隐藏已知文件类型的扩展名”选项,具体的操作为:打开资源管理器,在菜单栏选择“工具→文件夹选择”打开“文件夹选择”对话框,去掉“隐藏已知文件类型的扩展名”复选框中的小钩即可撕掉这部分木马的画皮。

安全专家点评:这种方式在利用P2P程序进行文件传输的时候常常用到,而且通常是和图标伪装一起使用,让用户防不胜防。所以无论从那里得到的文件,在使用以前都通过杀毒软件对它进行一番查杀最好。

画皮第三计:文件捆绑

伪装等级:★★★★★

文件捆绑就是通过使用文件捆绑器将木马服务端和正常的文件捆绑在一起,达到欺骗对方从而运行捆绑的木马程序。捆绑后的文件很有迷惑性,而且加上木马一般在后台运行,用户点击后不会出现什么异状,往往会在不知不觉中中招。

实例:笔者将木马程序捆绑在电子书后得到的文件,和文件捆绑后得到的文件并没有损害,用户点击后仍能够看到电子书中的内容。这种方法有很大的迷惑性。

识别方法

使用木马捆绑克星、FBFD等程序检查可疑的可执行文件,当文件进行了捆绑,程序就会出现类似“文件可能经过捆绑,请小心使用!”这样的提示。木马捆绑克星除了能检测出可执行文件中的其他程序,而且还能把捆绑在其中的程序分离出来。

安全专家点评:随着人们网络安全意识的提高,以前很多的黑客攻击手段已经得到了有效的遏制,可是利用文件捆绑来进行木马服务端程序的传播,却一直受到黑客的钟爱。所以用户在运行可执行文件时,一定要提高警惕。

画皮第四计:出错显示

伪装等级:★★★

绝大多数木马服务端安装时不会出现任何图形界面,因此,如果一个程序双击后没有任何反应,有经验的网民就会怀疑它是木马。为了消除这部分人心中的疑虑,黑客会让木马在被运行时弹出一个错误提示对话框。

实例:如今的木马程序,很多都有“安装完毕后显示提示”的选项,例如木马HDSPY,用户在配置服务端程序后,在“提示内容”输入框中输入需要的提示内容,例如“文件已损坏,无法打开”等。当用户运行服务端程序后,就会弹出我们设置的内容。

识别方法

如果该文件是木马程序,用户在看到了出错信息的时候往往已经中招。所以用户看到错误信息的时候要有所警觉,这个时候就要通过扫描系统端口判断自己是否中了木马。比如可以采用X-Scan对自己的系统进行扫描。如果发现可疑端口就要进行相应的查杀。

安全专家点评:这种方法虽然在早期可以骗得用户,但随着人们安全意识的提高,往往给人一种“画蛇添足”的感觉。

画皮第五计:自我销毁

伪装等级:★★★

大多数木马本身只有一个文件,它的安装程序其实就是木马服务端程序,当你双击了一个木马的安装程序后,它会把自己拷贝到系统目录或其它目录,因此,一些有经验的网民如果怀疑一个程序是木马,它会根据安装程序的大小在硬盘上搜索木马文件。为了对付这部分网民,一些木马设计了自我销毁的功能,当它把自己拷贝到系统目录或其它目录后,它会把自己删除,让你无据可查。

识别方法

对于这种方法就需要对系统的注册表进行即时监测和使用木马利用杀毒软件对系统以及注册表进行及时监控。一般木马会在系统注册表中留下痕迹。这个时候我们就可以根据这些蛛丝马迹揪出这些木马。

安全专家点评:利用这种方式进行木马种植的,主要是利用了网页木马和远程溢出等方式。因为黑客利用网页木马或远程溢出,都是在用户不知情的情况下,将木马植入远程系统的。既然远程用户不知情,利用木马的自我销毁功能就可以做到“来无影去无踪”。

画皮第六计:网页“嫁衣”

伪装等级:★★★★

网页木马是黑客成功利用了系统以及一些程序的漏洞,诱骗用户浏览某个特殊的网页,在用户浏览的时候,网页木马就会成功地利用系统的漏洞,从而将设置的木马服务端程序“悄悄地”安装到远程系统中。

实例:制作网页木马有很多现成的工具,动鲨网页木马生成器就是很优秀的一款,该木马生成器利用了微软的IE Help ActiveX控件漏洞绕过本地安全域。

识别方法

如果你在访问了一个不熟悉的网页后,计算机上网的速度突然下降,甚至出现假死的情况,那么就可能是中了网页木马了。大家可以在访问不熟悉的网页前用“view-source”这个IE命令查看网页的源代码。如果发现源代码中有iframe src="ww.XXX.htm" name="zhu" width="0" height="0" frameborder="0"之类的就不要访问了。

安全专家点评:利用网页木马传播木马服务端程序,是当前非常流行的一种方法。受害者在不经意之间就被种植了木马程序。对不熟悉的网页最好不要去访问,如果访问后系统出现问题要断网查杀木马。

画皮第七计:邮件附件

伪装等级:★★

通过电子邮件的附件,进行简单的文件传输,本来是为了方便用户。可黑客正是看中了这一点,通过伪造一些著名的企业或用户好友的邮件来欺骗用户,通过邮件附件来传播木马服务端程序。

实例:黑客在邮件附件中加入木马后,一般会使用比较有迷惑性的语句来骗取用户的信任。比如 “这是Windows最新的安全补丁程序,请运行后重新启动系统。”

识别方法

不要立即运行邮件附件,而是将它“另存为”到一个文件夹,然后对文件夹进行查杀检测,发现问题立即删除。

安全专家点评:利用电子邮件的附件,是最常见的木马和病毒的传播方法。一般没有经验的用户会上当中招。但是因为很多邮件系统自带杀毒系统,所以现在已经不是很流行了。”

什么是木马,它都有些什么特性,我该怎么识别它,

IT168

对于木马,我们大家基本都听说过,但怎样识别木马、怎样避免自己的机子被种植木马以及怎样清除种植了的木马对有些朋友来说也许就比较陌生了。下面我们就围绕这几点进行一些介绍。

一:通过病

毒名称识别木马

世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:病毒前缀.病毒名.病毒后缀 。

木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写),一些黑客程序如:网络枭雄(Hack.Nether.Client)等。

二:了解木马种植方式才能防止别人种植木马

目前常见的木马种植方式有以下几种:

1.网吧种植

这个似乎在以前很流行,先关闭网吧的放火墙,再安装木马客户端,立刻结帐下机,注意,重点是不要重起机器,因为现在网吧都有还原精灵,所以在不关机器的情况下,木马是不会给发现的。因此,在网吧上网,首先要重起机器,其次看看杀毒软件有没有打开。最后建议,不要在网吧打开有重要密码的东西,如网络银行等。毕竟现在木马客户端躲避防火墙的能力很强,其次是还存在其他的病毒。

2.通讯软件传送

发一条消息给你,说,“这个我的照片哦,快看看。”当你接受并打开的时候,你已经中了木马了。(此时,你打开的文件好象“没有任何反应”)“她”可能接着说说:“呀,发错了。再见。”防御:不要轻易接受别人传的东西,其次是打开前要用杀毒软件查毒。

3.恐怖的捆绑

捆绑软件现在很多,具体使用就是把木马客户端和一个其他文件捆绑在一起(拿JPG图象为例),你看到的文件可能是.jpg,图标也是正常(第2条直接传的木马客户端是个windows无法识别文件的图标,比较好认),特别是现在有些捆绑软件对捆绑过后的软件进行优化,杀毒软件很难识别其中是否包含木马程序。建议:不要打开陌生人传递的文件。特别是图象文件。

4.高深的编译

对木马客户程序进行编译。让木马更加难以识别。

5.微妙的网页嵌入

将木马安装在自己的主页里面,当你打开页面就自动下载运行。“你中奖了,请去www.**.com领取你的奖品”,黑客可能这么和你说。建议:陌生人提供的网页不要打开,不要去很奇怪名字的网站。及时升级杀毒软件。

对于木马,我们大家基本都听说过,但怎样识别木马、怎样避免自己的机子被种植木马以及怎样清除种植了的木马对有些朋友来说也许就比较陌生了。下面我们就围绕这几点进行一些介绍。

一:通过病毒名称识别木马

世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:病毒前缀.病毒名.病毒后缀 。

木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写),一些黑客程序如:网络枭雄(Hack.Nether.Client)等。

二:了解木马种植方式才能防止别人种植木马

目前常见的木马种植方式有以下几种:

1.网吧种植

这个似乎在以前很流行,先关闭网吧的放火墙,再安装木马客户端,立刻结帐下机,注意,重点是不要重起机器,因为现在网吧都有还原精灵,所以在不关机器的情况下,木马是不会给发现的。因此,在网吧上网,首先要重起机器,其次看看杀毒软件有没有打开。最后建议,不要在网吧打开有重要密码的东西,如网络银行等。毕竟现在木马客户端躲避防火墙的能力很强,其次是还存在其他的病毒。

2.通讯软件传送

发一条消息给你,说,“这个我的照片哦,快看看。”当你接受并打开的时候,你已经中了木马了。(此时,你打开的文件好象“没有任何反应”)“她”可能接着说说:“呀,发错了。再见。”防御:不要轻易接受别人传的东西,其次是打开前要用杀毒软件查毒。

3.恐怖的捆绑

捆绑软件现在很多,具体使用就是把木马客户端和一个其他文件捆绑在一起(拿JPG图象为例),你看到的文件可能是.jpg,图标也是正常(第2条直接传的木马客户端是个windows无法识别文件的图标,比较好认),特别是现在有些捆绑软件对捆绑过后的软件进行优化,杀毒软件很难识别其中是否包含木马程序。建议:不要打开陌生人传递的文件。特别是图象文件。

4.高深的编译

对木马客户程序进行编译。让木马更加难以识别。

5.微妙的网页嵌入

将木马安装在自己的主页里面,当你打开页面就自动下载运行。“你中奖了,请去www.**.com领取你的奖品”,黑客可能这么和你说。建议:陌生人提供的网页不要打开,不要去很奇怪名字的网站。及时升级杀毒软件。

三:电脑被种植了木马的症状

在使用计算机的过程中如果您发现以下现象,则很有可能是被种植了“木马”:

a. 计算机反应速度明显变慢

b. 硬盘在不停地读写

c.键盘、鼠标不受控制

d.一些窗口被无缘无故地关闭

e.莫名其妙地打开新窗口

f.网络传输指示灯一直在闪烁

g.没有运行大的程序而系统却越来越慢

h.系统资源占用很多

i运行了某个程序没有反映(此类程序一般不大,从十几k到几百k都有)

j.在关闭某个程序时防火墙探测到有邮件发出

k.密码突然被改变,或者他人得知您的密码或私人信息

l.文件无故丢失,数据被无故删改

四:几种常见木马的清除方法

一旦我们的电脑被种植了木马,我们应选择一款针对木马的杀毒软件进行清除,同时,我们也可以手工清除木马程序。下面我们介绍几种常见木马的手工清除方法,通过手工清除木马的介绍,我们可以对木马有一个更好的了解。

1,洛伊木马TROJ_QAZ.A

1、单击“开始│运行” 键入:Regedit,按Enter键

2、找到注册键:

HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run

3、在右边的窗口中,找出任何包含下列数据的注册键值: startIE=XXXXNotepad.exe

4、在右边的窗口中,选中该键值,按删除键后再选是,删除该值。 退出注册表修改。 单击 “开始│关闭系统”,选择“重启动”后单击“是”。

5、重命名Note.com为Notepad.exe。

2,冰河v1.1 v2.2

这是国产最好的木马 作者:Snokebin

1.清除木马v1.1

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

查找以下的两个路径,并删除

" C:\windows\system\ kernel32.exe"

" C:\windows\system\ sysexplr.exe"

关闭Regedit

重新启动到MSDOS方式

删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序

重新启动。

2.清除木马v2.2

服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。

因此,不能明确说明。

你可以察看注册表,把可疑的文件路径删除。

重新启动到MSDOS方式

删除于注册表相对应的木马程序

重新启动Windows。

3,Trojan.QQ3344

1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2.随时升级杀毒软件。

3.安装系统漏洞补丁

由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

iFrame漏洞补丁地址:

五:对木马绑定文件的剥离方法

当我们需要的一款文件被发现绑定了木马程序,而我们又需要这款原文件时,我们可以采取下面的方法进行文件剥离。

第一步:用UltraEdit的十六进制方式打开绑定程序,选中第二个MZ到第三个MZ之间的内容(即第二个文件),将该部分复制。然后新建一个文件,粘贴,保存为EXE文件。

第二步:选中第三个MZ至文件末尾之间的内容(即第三个文件),同样复制,新建文件后粘贴、保存为EXE文件。

第三步:现在你要通过检查两个文件的图标及大小来判断哪个文件是所需的正常程序。一般来说,所需程序文件与捆绑后的图标一致,且文件体积较大的那个文件就是我们所要的原文件。

六:总结

防范木马首先应在自己的电脑中安装一款合适的防杀病毒软件并及时升级,同时在日常工作中不要打开未知文件以及陌生人传来的文件,不要随便打开陌生网页,升级最新版本的操作系统。

什么是木马程序

木马特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。

从木马的发展来看,基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。

所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。

鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。

(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。

(2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。

(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能:

(1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。

(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后,原木马文件将自动销毁,这 样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下图:

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例:

其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:

(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口 的。

(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。

(3)4000端口:这是OICQ的通讯端口。

(4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。

四.信息泄露:

一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。

五.建立连接:

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。

如上图所示A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们 重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到 这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控 制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于 拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中 B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制:

木马连接建立后,控制端端口和木马端口之间将会出现一条通道,见下图

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。

(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。

(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信 息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪

木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

人类木马程序的特征

       今日第二天阅读李欣频的《人类木马程序》,第二章“人类木马程序的特征”。一边看,一边思考,里面有很多新鲜词汇,我觉得好的都摘抄下来,以及有一些自己的思考。

       这个章节主要叙述了人类木马程序的六大特征,在我仔细拜读的过程中,也在慢慢扫描自己身上的木马,进而察觉,通过扫毒软件清除自带木马。那么接下来我讲述一下哪六大特征。

       第一个特征:让人误以为是真的,以为是不可改变的真理、真相。

       绝大部分的木马程序都是被所谓的“正面信念”包裹着,因为我们从小到大的教育是要往正向走,所以 对于表面看似正向的讯息没有警觉 ,木马程序通常不会被我们的防御系统挡在外面,这就是为什么正面思考很多时候反而变成了锁住自己的木马程序。

       作者用名言“吃得苦中苦,方为人上人”举例说明其中暗藏的木马程序模组。“吃得苦中苦”暗藏着不自信之择苦模组;“方为人上人”暗藏着怕落后模组。

       我是一个矛盾的人,时而自信时而自卑。如果是我一直重复练习,比较熟练的领域,我确实可以表现出来自信,毕竟是自己能够掌控的事情。但是对于没有接触过的比如舞台,我就会自卑,我想着自己的普通,穿着普通,气质普通,个子也不高,你看,我在写这些的时候,这些不自信模组就在无意识中进入了我的大脑。

       我又不想努力,不想去学习穿搭,因为要花钱,于是我就想着我这辈子就这样了吧,只能一直在自己的小圈子里蹦跶,在自己的舒适圈里自信一会,因为出了舒适圈我就会开始自卑,觉得自己不够好。

       当我看到别人参加了什么线下课程,看到别人又通过什么方式变现了,又get到了什么新技能,又有什么开心的事情,这些都会让产生怕落后的木马程序。

       我知道我要觉察自己的这些木马程序,然后 通过学习,通过接纳的方式清除这些木马程序。

        第二个特征:让人只选择看到、听到与这组木马程序相符合的概念,不符合此概念的,既看不到,也听不到,可称之为“不注意视盲、耳聋”。

       在爱情里、婚姻里,误会可以让人冲昏头脑。有一对夫妻,突然有一段时间,老公经常夜不归宿,按照老公的说法是天天在公司加班(估且是真的)。老婆觉得不放心,有一天晚上在老公公司楼下等他,看到老公出来还挺高兴的,觉得真的在加班。让人没想到是老公居然和自己的闺蜜一起出来,然后闺蜜还上了他的车。这个故事接下来的结局,大家可以想象,妻子很可能大闹一场,认为老公是不是在外偷情,这个时候妻子的大脑已经被植入了怀疑模组,只相信自己看到的、听到的,完全不想听丈夫的解释。

       第三个特征:有竞争与评比标准,让人变得有压力,感觉能量萎缩、不开心、扭曲本貌、自责自己不够好,以为未来可以有一个“更好的自己”。所以当事人会抓着木马程序不放,也不愿改变,因为他以为这是可以激励让自己更好、不断前进向上的信念。

       当你带着“觉得自己不够好”的焦虑频率时,木马就会进入你心城中的洞缺,创造出各种让你花钱、花时间、花生命的开始。我们经常会看到整容上瘾的新闻,整完鼻子,整嘴唇,各种整,最后损害了自己的健康;觉得自己不够好,想通过学习来改善自己,于是只能去付费,认为付费了自己就可以学到很多,但最后发现什么也没有学到,更焦虑了。因为各种上课让自己负债累累,内心还沾沾自喜觉得自己付出了好多,很努力,却不知已中焦虑、觉得自己不被爱的木马程序模组。

       我每年都去考试,但是每年都因为时间,因为自己内心不够强大而考不过。于是总想着去哪报个班,报完线上班,报线下班,想着花钱了我就会更加努力,肯定就可以考过了。最后发现越报课越焦虑,越焦虑越考不过,原来我中木马程序多年却不知道,看了这本书,才知道,我们要自己主动去觉察木马程序,然后将阻碍成长的木马程序清除。

       人和人比气死人,当我们一旦把自己和别人比,焦虑木马程序马上植入,我们的行为举止又将引来自毁模组,这一系列的“鬼打墙”让我们真的像旋转木马一样,一直在原地打圈圈,无法往前前进。

       第四个特征:想要达到的目标与内在潜藏的木马程序冲突却不自知,就像一支箭无法同时射向两个靶心,内在所欲与外在行为来回拉扯的“矛盾性”,导致梦想永远不会聚焦成真。

       人一旦中了木马程序,内心真正想要的,与木马程序内建的方向会形成相违的状态,而当事人浑然不知。学习了演讲后,发现人性真是这样,很多人都是这样矛盾的活着。明明我们每个人的内心都非常渴望舞台,但是你要真有机会上台,你就发憱、害怕、胡思乱想,

        我有一个朋友一直备孕未果,她和先生检查身体都没有任何问题。我问她:“如果现在有了孩子,你最害怕什么?”她不假思索的说:“我害怕失去自由,害怕房贷,害怕没有工作,害怕没有钱。”你看当你问自己这些问题的时候,你就知道了问题所在,内心想要的和木马程序内建反向不一致,这些问题就是搜出卡在你和愿望之间的木马程序的强力扫毒软件。

        愿望不在未来或者远方,而应该转向聆听内在真正渴求的声音。当我们有愿望时,问自己:我真正的动机是什么?我到底想要什么?我能把自己调整成已完成的频率状态吗?

        第 五个特征:木马程序被内建成功后,当事人会无意识、不经思考地直接反应、说话、动作、行为,而越来越偏离自己真正想要的。而且中了一个主要模组之后,会导致自己的关系网络,包括家庭关系、伴侣关系、人际关系、工作事业、财富资源、身体健康……全方位都一起联动出问题。

       只要是对未到的未来预设“负向频率”,都是木马程序。一旦木马程序内建完毕,往往会使当事人形成“快速且自动化无意识”的处理方式。除非当事人觉察并中止,否则就会以木马程序所发射的频率为聚焦目标,来建构接下来的实相---我们的习惯就是我们自身推定的结果。

      第六个特征:让人从这组木马程序,开始启动一连串“追逐虚幻不实目标”的过程,无穷无尽直到崩盘或筋疲力尽为止,这会浪费非常多的生命时间,甚至严重到自弃自毁。

      在你觉察到自己或者别人又是重复“鬼打墙”般的话语与行为时,请先用“是爱还是恐惧”来做初步筛选。

      比如我想去参加一个训练营的复训,这大概是第三次复训吧,我是出于内心真正想学习,是为了好玩,为了自己开心,还是为了让自己不落后别人。这是初步筛选,我是因为焦虑而上的这个课,那么我是带着焦虑的频率去的。

       看到这里,终于懂了一点李欣频每次在直播的时候说的调频是什么意思了。当潜意识和无意识层保持一致,我们就没有木马程序。初步筛选没有成功,还可以进行深度快筛法,如果不去上这个课,行吗?如果不上这个课就会感到焦虑不安,这就算是中了木马程序,因为在内心过度依赖这个课带来的开心学习。

       在清除木马程序之前,所有“努力向前”都是在强大你的木马,直到你被耗尽能量,完全锁死。

木马是什么 木马是什么程序 了解木马病毐

木马程序是目前比较流行的一类病毒文件,它与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行,或以捆绑在网页中的形式,当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件和隐私,甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;而木马程序则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的。

木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行,电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!

随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来 (在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。

要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的。

因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能,所以,预防DLL木马也是相当重要的。

在WinNT系统,DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录,里面的文件很多,在里面隐藏当然很方便了),针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车,再输入cd C:\Windows\System32回车,这就转换目录到了System32目录(要还是不知道怎么进入的,请参看DOS的cd命令的使用),输入命令:dir *.exeexebackup.txt dir *.dlldllbackup.txt回车。

这样,我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时,则要考虑是不是系统中已经潜入了DLL木马。

这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中,然后运行 CMD—fc exebackup.txt exebackup1.txtdifferent.txt fc dllbackup.txt dllbackup1.txtdifferent.txt(使用FC命令比较前后两次的DLL和EXE文件,并将结果输入到 different.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

没有是最好,如果有的话也不要直接删除掉,可以先把它移到回收站里,若系统没有异常反应再将之彻底删除,或者把DLL文件上报给反病毒研究中心检查。

最后,防治木马的危害,专家建议大家应采取以下措施:

第一,安装反病毒软件和个人防火墙,并及时升级。

第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。

第三,使用安全性比较好的浏览器和电子邮件客户端工具。

第四,操作系统的补丁要经常进行更新。

第五,不要随便打开陌生网友传送的文件和下载、使用破解软件。

相信大家只要做好安全防护工作,防治木马并不是那么可怕的。

0条大神的评论

发表评论