12969847

游戏木马

什么是特洛伊木马?

  “特洛伊木马”(trojan horse)简称“木马”,据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。

  完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码就无安全可言了。

  特洛伊木马的防范

  提起木马,大家一定会想起古希腊古老的故事,古希腊人用自己的智慧,把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。虽然有点老套,但是,木马依然离不开这个故事的背景。木马的全称是“特洛伊木马(Trojan Horse)”,也和病毒一样,是一段程序,用来破坏或者干扰用户正常使用电脑。

  首先我们要大概理解一下木马类型。

  1. 破坏型:

  这种木马是很令人讨厌的,这个病毒可以自动的删除电脑上的重要文件。

  2. 密码发送型:

  主要是用来盗窃用户隐私信息的,它可以把隐藏的密码找出来发送到指定的信箱。也可以用来盗窃用户的敏感口令等。同时,此类病毒最重要的是会记录操作者的键盘操作,找到相关的有用的信息。

  3. 远程访问型:

  使用最多的是木马。入侵者运行了客户端,使用木马者就可以通过远程连接到对方电脑,访问对方电脑资源。

  4. 键盘记录木马:

  这种键盘木马一般都制作的很短小精悍,主要用来记录中木马者的键盘敲击记录,并且根据网络访问情况,给木马使用者发送到指定的信箱等。

  5. DOS攻击型:

  DOS的全称是洪水式服务攻击。是用来请求服务器请求,让服务器忙与处理应答,而占用了大量的资源,最后服务器资源耗尽而死机。使用多台电脑DOS攻击取得的效果更好,可以用他来慢慢攻击更多的电脑。

  6. 代理木马:

  可以把自己的电脑从其他地方代理,然后重新访问网络服务器,起一个中转的作用。

  7. FTP木马:

  FTP木马容量也很小,一般情况下是用来打开21端口来等待用户连接。

  8. 程序杀手木马:

  主要是用来关闭一些监控软件等,这样就可以让木马更安全的保留在系统中,防止被监控软件发现,从而对用户造成数据丢失,敏感信息泄露等故障。

  9. 反弹端口型木马:

  反弹端口是为了躲避防火墙的过滤而制作的。因为防火墙会对连入的链接做一个很严格的过滤,对于连出的链接可能就不是那么严格了,所以利用这一点,把端口反弹,就可以更安全的使用了。

  以上为木马的基本类型,对木马进行了一些分类,以便用户分类查询。

  木马除此之外,还有很多特征。和病毒特征一样,了解这些木马的特征后,就可以更方便的判断木马和找出对策来清除木马了。

  (1)木马具有很好的隐蔽性,能够在用户使用电脑的情况下,不知不觉的在电脑后台运行。因为木马怕被发觉,所以需要尽力隐藏,从开始植入目标电脑开始,就始终不会显示,使用各种手段隐藏自己。而木马的制作者已经注意到这个问题,把它们隐藏了起来,使用捆绑软件或者修改注册表文件等达到目的,不会在桌面或者系统内醒目的地方产生图标,尽力隐藏在深层目录或者系统文件夹下。同时,在进程中也隐藏了自己,把自身定义为系统进程,不让用户发觉。

  (2)木马具有自动运行的特性。因为木马是放到对方电脑上的,必须自动进行连接,并且自动修改目标电脑的设置,比如注册表、启动文件等。

  (3)木马感染后并不公开,并且不知道其危害程度,这就减少了对木马的了解,同时对木马造成的危害没有一个标准的评价。

  (4)木马有自动恢复自身程序的功能。木马可以自动运行,同样可以具有自动修复自身程序的功能。自动运行的时候,可能还在某些地方多拷贝一些病毒文件,以防被杀毒软件查杀或者程序损坏。

  (5)木马可以自动打开端口。木马算是一个智能的软件,除了以上自动运行自动修复以外,还可以自动打开特定的连接端口,让入侵者可以连接到受害者的电脑。

  (6)木马的功能特殊。因为木马是隐藏执行的,不希望让用户发觉,那么需要特别针对某些功能的特征下,尽量做的容量小一点。同时,木马的特殊点还在于,它可以自动搜集一些受害者电脑内的信息。

  木马特征

  木马的自动启动和隐藏功能是很重要的,这样可以使木马更长时间的潜伏在电脑内。同样和软件自动启动一样,可以加载或者修改到很多设置里。木马的隐藏,可以让用户以及杀毒软件很难找到木马,保护自身程序的安全。一般隐藏的话,可以在任务栏和任务管理器中隐藏,因为一般情况下,系统都会把大部分软件和进程放到任务栏和任务管理器中。另外,木马的连接是依靠端口来连接的,所以木马的端口号是很大的,因为用户无法全部检查那么多端口。但是木马再怎么制作的好,也同样有缺点,完全可以被杀毒软件以及木马专杀工具检查出来。在对付特洛伊木马程序方面,可以采用以下的方法。

  1、建议使用杀毒软件检查,并且把杀毒软件病毒库及时更新。因为如果杀毒软件没有检查出的话,可能是您的病毒库版本比较低,需要升级。

  2、检查内存里是否有占用资源很多的非系统或者软件进程,如果有的话,请先关闭以后再杀毒。

  3、检查注册表,注册表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunserveice,这两个里面是Windows的启动运行目录,可以查找一下是否有奇异的程序出现。

  4、检查系统配置文件,系统配置文件包括了win.ini文件、system.ini文件以及config.sys文件,这三个文件里都记录了操作系统启动的时候需要启动和加载的程序,而且可以查看文件路径是否为正常程序。

  实际上清除木马手段还有很多,相信大家通过以上内容的学习,能够找出更好的清除方法,这里只介绍几种常规的清除方法以便大家参考。另外,我们在使用电脑的时候,也应该注意对木马的防范。 对于陌生人的电子邮件,需要检查源地址,然后再去看信件里有什么内容。如果有附件的话,也有要小心查看,因为附件里可能隐藏了可执行文件的后缀。尽量打开病毒监控制,保持病毒库的更新,同时建议使用木马克星不定期检查是否有木马存在。当发现电脑的网络状态不正常的时候,需要马上断开网络,然后检查原因,看是否为木马导致的。同时 ,在平时的使用过程中还需要注意c:、c:Windows、c:Windowssystem32这三个目录下的文件,因为这三个目录是木马最习惯隐藏的地方。

  木马并不是简单的病毒而已,它可能会造成很多预想不到的破坏,而且可能使您的重要文件丢失等。不过,只要我们在平时的使用过程中,多加注意防护,就基本上可以放心使用电脑了。

  清除木马方法

  1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。

  2、删除上述可疑键在硬盘中的执行文件。

  3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。

  4、检查注册表HKEY_LOCAL _ MACHINE 和 HKEY _ CURRENT _ USERSOFTWARE Microsoft Internet ExplorerMain中的几项(如Local Page),如果被修改了,改回来就可以。

  5、检查 HKEY _ CLASSES _ ROOTinifileshell opencommand 和 HKEY _ CLASSES_ROOTxt fileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。

  6、如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用IDA反汇编,发现它还偷窃系统密码并建立 %systemroot%systemmapis32a.dll 文件把密码送到一个邮箱中,由于我用的是W2K,所以它当然没有得手。 至此,病毒完全删除!建议有能力的话,时刻注意系统的变化,奇怪端口、可疑进程等等。现在的病毒都不像以前那样对系统数据破坏很严重,也好发现的多,所以尽量自己杀毒(较简单的病毒、木马)。要提醒大家的是,经常去一些杀毒软件的官方网站,上面有介绍如何查找及消灭木马或病毒的一些技术文章。


上一篇:病毒预警 下一篇:被盗物品找回

评论



开服列表SERVER LIST

最新开服

开服预告

热门礼包更多