来源:蜘蛛抓取(WebSpider)
时间:2017-11-23 05:07
标签:
培训基地是什么意思
您的位置: &
国外超强反弹木马——NetShadow
优质期刊推荐只需一步,快速开始
后使用快捷导航
如何查找反弹木马
该用户从未签到
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
才可以下载或查看,没有帐号?
自从“反弹连接技术”被木马广泛应用,我们的电脑就多了个内奸,总有人向外告诉我们电脑中的秘密。
使用“反弹技术”的远程控制软件,在被控制计算机上运行服务端(被控制方)后,该计算机会主动连接客户端(控制方),而客户端无须进行进行操作则等鱼进网。这样的木马反弹连接、刺穿防火墙,服务端遁形,进程插入、让进程蒸发,还针对各种杀软作相应的免杀。大名鼎鼎的灰鸽子就是应用反弹技术的觉者,据说有诸如上兴、PCshare等等许多。这些木马为了逃过的查杀花了很大力气,遁入无形中。在计算机里以10万计的文件中找到它,很难。
对于菜鸟来说,如何查出这样的反弹木马?又如何防住这样的反弹木马?
据说在安全模式下可以找到隐藏文件,还有的说在防火墙的应用规则中对于IE等系统进程要仔细防范,对于要访问网络的的进程要看是什么进程、要访问哪里。
俺菜菜,很想知道如何找出这样的马儿,俺不想被人脱光了看。555。
请大家指点下!
[ 本帖最后由 kscb0327714 于
11:01 编辑 ]
这个东西一言难尽啊
给您两点建议:
1、努力学习安全知识,争取早日脱离菜鸟行列。
2、还是安安心心的用杀毒软件吧,剩心。
向您学习,您不教我不会。
金山网镖中应用规则中就可以对访问网络的程序进行审查,看图。
网镖.jpg (16.05 KB, 下载次数: 12)
11:28 上传
不过网镖的应用规则审查,需要你对程序有足够的认识,并且要对所访问的站点的服务器有所了解。你知道要访问的IP地址是哪里的吗?这一点网镖不能准确地告诉你,还需要进行查询。对于一个陌生的要访问的IP要有所警觉。比如你要访问北京的网站,它却要去美国的什么州的奥斯汀分校进行连接,你要注意了。说不定IE中被插入某些进程。
希望网镖能准确用文字告知要访问的IP地点,不仅仅用数字218.238.252.*告知。这一点风云墙要好一些。同时也希望网镖的访问框中不要隐藏项目,直接显示全部信息,点鼠标点得手累。
[ 本帖最后由 山上有都督 于
11:29 编辑 ]
回复 2# 的帖子
我也想知道如何查找,请上尉指点一二。能详细的讲解吗?
灰鸽子能插入IE进程,也能插入explorer.exe,对于插入这些进程的如何查找。可以禁止explorer.exe访问网络,总不能禁止IE上网吧?
[ 本帖最后由 山上有都督 于
11:38 编辑 ]
很多玩鸽子的人在配置鸽子时都会尽量的避免使用常用端口,例如访问远程TCP80等,因为这些端口经常会被正常程序占用不利于远程控制,因此只要我们的防火墙应用程序规则支持端口控制的话(如果支持IP控制更好),基本上就能让相当一部分鸽子有进无出,以IE为例我们可以设置只允许IE访问远程的TCP80、UDP53,回环地址上监听其它的全部禁止访问、当然这也不是绝对的,必竟猥琐的人还是有的,如果实在不放心可以使用SREng、IceSword来查看IE进程下是否有可疑的DLL和线程以进一步确认。
[ 本帖最后由 tanlimo 于
12:01 编辑 ]
我的权限1次只能评1分,谢谢指教。
谢谢楼上两位的回复。
其实查杀与防范并重,通过防范看出些可疑之处,然后进行查杀,实在查杀不了就先防着了。呵呵。
回复 5# 的帖子
用防火墙可以啊,不过有时它也允许IE打开其它端口,不然不能上网。
&不放心可以使用SREng、IceSword来查看IE进程下是否有可疑的DLL和线程以进一步确认。&
偶就是用这些工具看不出什么东东,才郁闷啊。请上尉指教。
上面不是说了吗,如果只是看看网页就只让IE访问远程的TCP80\UDP53\允许本地回环地址监听基本上就行了,当然如果你还要访问https的话在开个TCP443、要看在线电影就开个tcp554、也可以,不用的时候再将TCP443、554、禁止就行了。
既然楼主能够熟练的使用SREng、IceSword查找木马,那完全没有担心反弹木马的必要。
关于SRENG的使用,上尉有些心得,在以前的贴子中已经述及.偶借来与楼主共同学习.
对于有没有渗透IE的木马,在打开IE后,用SREng扫个报告看看IE调用了那些dll文件应该能看出什么。
SREng的一般判读方法:
1、一般没有版本信息的
[C:\WINDOWS\system32\d8w18004t.dll]&&[N/A, ]
2、文件名很怪异的、有明显迷惑性的
[C:\WINDOWS\system32\system.dll]&&[N/A, ]
[C:\WINDOWS\system32\svchost.dll]&&[N/A, ]
[C:\WINDOWS\system32\aig.dll]&&[N/A, ]
[C:\WINDOWS\system32\13Rdfjiw.dll]&&[N/A, ]
3、路径很奇怪的
?:\DOCUME~1\XXXXX~1\LOCALS~1\Temp\XXX.dll [N/A, ]
?:\Program Files\Common Files\Microsoft Shared\MSInfo\XXX.dll[N/A, ]
?:\windows\temp\XXX.dll[N/A, ]
?:\WINDOWS\Downloaded Program Files\XXX.dll[N/A, ]
& & 4、每个进程中都能看到它身影的(篇幅原因这里只拿iexplore.exe和ctfmon.exe来举例)
[PID: 656 / XXXXX][D:\Program Files\Internet Explorer\iexplore.exe]&&[Microsoft Corporation, 6.00. (xpsp_sp2_rtm.8)]
& &&& [E:\Program Files\Common Files\XXX.dll [N/A, ]
[PID: 424 / tanlimoXP][D:\WINDOWS\system32\ctfmon.exe]&&[Microsoft Corporation, 5.1. (xpsp_sp2_rtm.8)]
[E:\Program Files\Common Files\XXX.dll [N/A, ]
.......
5、将自已直接插到winlogon.exe、svchost.exe等核心进程下的
将以上五点综合考虑后基本上就可以判断为可疑的DLL(库文件),你可以将这些文件上传到多引擎扫描或者上报到杀软官方来最后确定,如果对自已的系统比较了解甚至可以直接清除掉。
但对于冰刃的使用,还没有见上尉讲解过。呵呵,偶也想听听上尉的讲解。
[ 本帖最后由 山上有都督 于
22:43 编辑 ]
回复 8# 的帖子
对于SRENG和冰刃,我也只是了解,对它们产生的报告,说实话我看不懂。我菜得很。
请上尉讲解下。
同时谢谢楼上两位的精彩回复。
也请多多讲解Wsyscheck{123_082}
Wsyscheck很简单啊
转一篇Wsyscheck的说明文档
1:软件设置中的模块、服务简洁显示
&&简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。
&&SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。
2:关于Wsyscheck的颜色显示
&&红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。
&&红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。
&&使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
&&在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。
&&进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。
&&在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的&微软文件校验&会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信)
SSDT管理页:
&&默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。
&&SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。
&&使用“恢复所有函数”功能则同时恢复上述两种HOOK。
&&发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。
活动文件页:
&&红色显示的常规启动项的内容。
3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。”
&&多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。
&&驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。
4:关于卸载模块
&&对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的写法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。
5:关于文件删除
&&驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启可观察到文件已消失。
&&文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个(因为右键“删除”是删除到回收站)。
&&对于用以上功能仍删除不了的文件,可以使用Wsyscheck的或“dos删除功能”,使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文件”,执行后自动清理文件并去掉它所添加的启动项。“dos删除”在多系统情况下可能存在一些问题,请慎用。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。
&&“重启删除”仅作为驱动无法加载情况下使用的一种辅助手段,“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。
&&如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%SystemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。
6:关于进程的结束后的反复创建
&&可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能,,所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。
&&另外,软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。
&&开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。
&&要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
7:关于如何清理木马的简单方法:
&&最简单的方法是:驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能(即先用强删除功能消灭木马文件),执行完后重启系统,,再清除它的启动项,注册表项等加载途径。
&&如果遇到较难处理的木马,以下步骤可以作为一个参考:
&&a.如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。
&&b.如果结束木马进程后反复发现木马启动,可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”,让其不再启动后删除。
& &还可以配合使用“禁止进程与文件创建”让其不再创建新进程、创建文件无效而清理它。
&&c.有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP,而类型是Auto,则它已运行过一次,所以有可能启动了别的木马程序。
& &d.强烈建议注意一下“禁用程序管理”,目前利用IFEO禁用杀软或启动木马程序的木马是比较流行的。
& &e.活动文件页列出了可能的启动途径,所以耐心一点检查一下是否有木马的启动项目。
& &f.文件搜索中利用“限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。
& &g.对于检测出的启动项,如果不是十分肯定,可以定位到注册表,将这个启动程序的路径前加上“;”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。
& &h.对于以Autorun.inf方式启动的木马,可以用工具下的“清除Autorun.inf”功能(可配合“禁止进程与文件创建”使用以取得最好的效果)。如果手动清理,操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在手动删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。清理时完后检查一下各盘根目录以保证完全清理了Autorun.inf文件。
& &i.使用“禁止进程与文件创建”注意一下新增的日志页,以便找到木马的根源。如果在日志页观察到反复写创建文件,反复写注册表,反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程,需要手动分析一下该进程的模块(配合查看一下活动页的加载项有助于快速找到木马插入系统进程的模块)。清理文件注册表完成后不要退出“禁止进程与文件创建”,而应直接使用工具下的“重启计算机”,以确保我们的清理成功。
& &j.对于已确定的木马文件,能直接删除就删除,不能直接删除就找到它的启动项删除启并重启系统让系统不再加载此程序后再做文件删除。如果木马保护的比较好,上述方式失效,可以用DOS删除功能先删文件再清理启动项。
8:Wsyscheck可以带参数运行以提高自身的优先级
&&Wsyscheck 1 高于标准&&Wsyscheck 2 高&&Wsyscheck 3 实时
&&例如需要实时启动Wsyscheck,可以编辑一个批处理 RunWs.bat ,内容为 Wsyscheck 3
&&将RunWs.bat与Wsyscheck放在一起,双击RunWs.bat即可让Wsyscheck以实时优先级启动。
9:随手工具说明(指菜单工具下的子菜单功能)
&&清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。
&&清除Autorun.inf:程序分析各盘根目录下的Autorun.inf指向的文件,删除各盘的Autorun.inf及其指向的文件。
&&修复隐藏文件显示及禁用硬盘自动播放:菜单栏太长写不完,本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。
&&修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。
&&构建安全环境:还原SSDT(某些杀软还原SSDT会引起死机,本功能仅测试在Kv系列,Kav6.0下使用没有问题,其它版本请自行测试。如不确定,使用本功能前最好退出杀软进程),只保留系统必须的几个进程,然后执行上述三个子菜单功能。
&&如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。
& && && && && && && && && && && && && && && && && && && && &Wangsea
& && && && && && && && && && && && && && && && && && && && &
[ 本帖最后由 tanlimo 于
13:45 编辑 ]
助人为乐 我也评次分
乐于助人。学习。
现在它的版本是多少?
我的是1.64.2.0
上尉对于冰刃有什么心得?
有介绍说,冰刃的进程查看功能即可看到隐藏的木马进程(红色标示部分)。如果IE进程用红色标示出来,那表示IE进程中有隐藏的小马了?在内存模块中是不是也是红色标示的部分有问题呢?
有没有能躲过冰刃的木马呢?
[ 本帖最后由 山上有都督 于
14:01 编辑 ]
回复 13# 的帖子
论坛有下载,学习版主推荐用的。
请问这个好用不?
回复 13# 的帖子
Wsyscheck好象要加壳运行,而且要加入启动服务项。为什么?
谢谢楼上几位的精彩回复,这些东东我要慢慢消化吸收。
原帖由 kscb0327714 于
14:28 发表
Wsyscheck好象要加壳运行,而且要加入启动服务项。为什么?
Wsyscheck只加载驱动,没听说过还要注册服务项的,不知你是通过什么方式知道它要加壳运行还有启动服务项的?
回复 18# 的帖子
WSK.jpg (29.99 KB, 下载次数: 13)
15:07 上传
而且我还发现我的explorer.exe程序就在刚才被网镖未经询问就允许访问网络了。
同时,Wsyscheck也要访问网络,但被网镖拦截。
[ 本帖最后由 kscb0327714 于
15:08 编辑 ]
Wsyscheck的这个加载驱动是正常的,不用担心。
网镖默认情况下是自动允许explorer.exe访问网络的,这个我一直认为不妥,你可以在应用规则中禁止它访问网络
逛了这许久,何不进去瞧瞧?
关注我们:计算机木马_百度百科
计算机木马
计算机(又名)是一种,常被用作控制远程计算机的工具。英文单词“Troj”,直译为“”。&木马&程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不&刻意&地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。
计算机木马来源
木马入侵过程
,全称特洛伊木马(Trojan horse),这个词语来源于古希腊神话,在计算机领域是一种客户/服务器程序(c/s)或邮件客户端程序(如阿里巴巴QQ大盗),是黑客最常用的基于远程控制的工具。目前,比较有名的国产木马有:“熊猫烧香(武汉男孩)”“冰河”、“广外女生”、“黑洞”、“黑冰”等;国外有名的木马则有:“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大,因此,如何防范木马入侵成为了计算机网络安全的重要内容之一。
这个词来源于一个古老的故事:相传战争,在攻打时,久攻不下。后来希腊人使用了一个计策,用木头造一些大的,空肚子里藏了很多装备精良的勇士,然后佯装又一次攻打失败,逃跑时就把那个大木马遗弃。守城的士兵就把它当战利品带到城里去了。到了半夜,肚子里的勇士们都悄悄的溜出来,和外面早就准备好的战士们来了个漂亮的里应外合,一举拿下了城。这就是的来历。从这个故事,大家很容易联想到计算机的功能。[1]
计算机木马原理
一个完整的“”程序包含了两部分:“服务器”和“控制器”。植入你的电脑的是它的“服务器”部分,而所谓的“”正是利用“控制器”进入运行了“服务器”的电脑。[2]
众所周知,基于接入互联网的电脑有0到6×256个端口。通常我们上网的时候,电脑通过139端口与外界保持联系。运行了的“服务器”以后,你的电脑就会有另一个或几个端口被打开,使可以利用这些打开的端口进入你的系统,你的系统安全和个人隐私也就全无保障了!
如此“泛滥”,究竟我们怎么样才能知道我们的电脑被种上了木马呢?
计算机一般由两部分组成,和控制端,也就是常用的C/S(CONTROL/SERVE)模式。
(S端Server):远程计算机机运行。一旦执行成功就可以被控制或者造成其他的破坏,这就要看种的人怎么想和木马本身的功能,这些控制功能,主要采用调用Windows的实现,在早期的dos,则依靠DOS终端和系统功能调用来实现(INT 21H),服务段设置哪些控制,视编程者的需要,各不相同。
控制端(C端Client)也叫,客户端程序主要是配套服务段端程序的功能,通过网络向发布控制指令,控制段运行在本地计算机。
正像历史上的“”一样,被称作“木马”的程序也是一种掩藏在美丽外表下打入我们电脑内部的东西。确切地说,“”是一种经过伪装的欺骗性程序,它通过将自身伪装吸引用户下载执行,从而破坏或窃取使用者的重要文件和资料。
与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它的主要作用是向施种木马者打开被种者电脑的门户,使对方可以任意毁坏、窃取你的文件,甚至远程操控你的电脑。与计算机网络中常常要用到的是有区别的。虽然二者在主要功能上都可以实现,但由于是“善意”的控制,因此通常不具有隐蔽性。则完全相反,木马要达到的正是“偷窃”性的,因此如果没有很强的隐蔽性的话,那么木马简直就是“毫无价值”的。因此判别与的两个重要标准是其使用目的和隐蔽性。
计算机木马特殊类型
计算机木马反弹端口木马
普通的都是由C端发送请求S端来连接,但有些另类的木马就不是这样,它由S端向C端发送请求。这样做有什么好处呢?大家知道,都有监控网络的作用,但它们大多都只监控由外面近来的数据,对由里向外数据的却不闻不问。反弹端口正好利用了这一点来躲开的阻挡,以使自己顺利完成任务。大名鼎鼎的“”、“”就是这样一类。它由S端向C端发送一个连接请求,C端的数据在经过防火墙时,防火墙会以为是发出去的正常数据(一般向外发送的数据,防火墙都以为是正常的)的返回信息,于是不予拦截,这就给它了可钻的空子。
计算机木马无进程木马
“进程”是一个比较抽象的概念,可以理解为排队买电影票,每一个窗口(其实就是端口)排的人可以理解为一个进程,有多少窗口就有多少个进程。普通在运行时都有自己独立的进程(某一特定窗口排的人,先当作小偷),利用“柳叶擦眼”一类的优秀进程查看就可以发现和终止它。这岂不是太扫兴了?好不容易写出个就这么被你发现了。为了更好的隐藏自己,的制作者就想了一些办法,把木马的程隐藏进正常的进程()内。打个比方,正常的进程(系统和正当文件的进程)可以理解为正常排队买票的人。而的进程(排队假装买票的小偷),他们如果都排在某一个窗口(通过某一特定端口进行通讯),很容易就被发现了,于是那些小偷就想办法混到正常排队人当中(实现了木马进程的隐藏),这样就不容易被发现,而且也不容易被终止。在实际中,即使你发现了隐藏在某一正常进程中的进程,你也不敢轻易终止它,因为一旦终止了木马的进程,正常的宿主进程也就被终止,这可能导致一些严重的后果。所以可以看出,无进程实际上是“隐藏进程木马”,而这也是它的高明之处。在实际中不可能出现真正意义上的“无进程”。最近出现的“”就是典型的例子。
在实现方面,Hook隐藏进程、有dll注入、dll调用等方法。这里要澄清,这里所说的&无进程&并非真的无进程,因为进程是调用的资源分配依据和最基本单位,没有进程就代表没有任何的计算机资源(CPU使用、内存使用、磁盘读写权利、)。无进程表示进程被隐藏或者利用现成的进程加入自己的线程从而实现的。
计算机木马无控制端木马
这类最显著的特点是C端和S端是集成到一起的或者只是一个自行获取信息的,一次配置好就不能再更改。功能一般比较专一,针对性强。经常用来偷取QQ、Email和网络游戏的密码等。
计算机木马嵌套型木马
先用自己写的小程序或者利用系统的(BUG),夺取到某写特定的权限,上传文件,干掉和等,然后上传修改过或没修改过的功能强大的,进一步夺取控制权。于是这个小程序或者就和那个功能强大的真正的联合起来,组成了一款“嵌套型木马”,其特点是不容发现和查杀,“具有良好的发展前景”。如“”。
计算机木马其他木马
严格意义上讲,这里所说的其他并不是真正的木马,它们只能算做是木马入侵时的吧。典型的有恶意网页代码,让你浏览后不知不觉就被完全共享了所有的硬盘,然后方便别人给你种下,为进一步入侵做好准备。
计算机木马木马捆绑
,通俗地讲就是把木马的代码嵌入其他类型的文件,便于伪装,比如,大名鼎鼎的国产木马“”,他就自带一个捆绑工具,可以把木马代码嵌入到网页文件、图片文件、等多种支持或运行代码的文件中。当接受方收到这些文件时,几乎感觉不到有任何异样,但在,代码却悄然进入内存并运行。
如果你的电脑莫名其妙地或重启,如果硬盘在无操作的情况下频繁被访问,如果系统无端搜索软驱、光驱,如果系统速度异常缓慢,占用率过高...你是否已经意识到你的电脑可能被植入了?
“”,不是历史上那场惊心动魄的战争,而是互联网上广为祸患的一种危险程序。在今天的网络上可谓无所不在,像“BO Back Orifice ”、“”都是一种甚至,连掌上电脑(PDA)的世界也已经出现了“木马”程序(Liberty Crack)。人们谈“马”色变,下面,我就给大家说说可怕的“”到底是怎么回事。
计算机木马传播途径
的传播途径很多,常见的有如下几类:
通过电子邮件的附件传播
这是最常见,也是最有效的一种方式,大部分病毒(特别是)都用此方式传播。首先,传播者对木马进行伪装,方法很多,如、、、、取双等,使其具有很大的迷惑性。一般的做法是先在本地机器将伪装,再使用杀毒程序将伪装后的木马查杀测试,如果不能被查到就说明伪装成功。然后利用一些把伪装后的藏到一幅图片内或者其他可运行的文件内,发送出去。
通过下载文件传播
从网上下载的文件,即使大的门户网站也不能保证任何时候他的问件都安全,一些个人主页、小网站等就更不用说了。下载文件传播方式一般有两种,一种是直接把下载链接指向,也就是说你下载的并不是你需要的文件。另一种是采用方式,将捆绑到你需要下载的文件中。
通过网页传播
大家都知道很多VBS脚本病毒(著名的vbs病毒是)就是通过网页传播的,也不例外。网页内如果包含了某些恶意代码,使得IE自动下载并执行某一。这样你在不知不觉中就被人种上了。顺便说一句,很多人在访问网页后IE设置被修改甚至被锁定,也是网页上用编写的的恶意代码作怪。
通过聊天工具传播
目前,QQ、ICQ、MSN、等网络聊天工具盛行,而这些工具都具备功能,不怀好意者很容易利用对方的信任传播和病毒文件。
计算机木马运行征兆
如果电脑莫名其妙地死机或重启;
如果硬盘在无操作的情况下频繁被访问;
如果系统无端搜索软驱、;
如果系统速度异常缓慢,系统资源占用率过高……
这些时候,你要小心了!你很可能已经和“”发生了“亲密接触”!到底这些“恐怖分子”是如何在我们电脑里“安家落户”的呢?
计算机木马隐藏启动
进入计算机以后,需要经过某种方式激活自身,运行并加载到系统自启动程序序列。了解怎样激活自身,是找到并且清除木马的关键所在。
计算机木马检查方法
一、自动查杀:利用各种进行杀毒。一般的杀毒都具备查杀的功能。现在在线查杀大多都不需收费,也有很多免费的杀毒供大家使用,并不需要像90年代那样因为杀毒软件费用而被迫手动查杀。
二、手动查杀:
1、自动运行检查:一般的为了能够最大限度获取你的权利,都会设置自动运行(autorun),常见的自动运行有:注册表关键值(请参考参考资料)。(媒体自动播放,U盘病毒常用),内核加载(Linux病毒手法)等。
2、端口检查:你可以使用专业的端口(如自带的工具)也可以使用系统自带的工具。(1)在在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:依次点击“开始→运行”,键入“cmd”并回车,打开窗口。在状态下键入“netstat -a -n”,按下后就可以看到以数字形式显示的TCP和UDP连接的及状态。
(2)在linux下可以使用netstate命令:
打开终端,输入netstat -anp 按回车后即可端口占用状态。
计算机木马手工删除
如果你认为找到后,删除不过是举手之劳,那你就大错特错了。删除,有时候恰恰是最困难的工作,如果删除不彻底,木马很容易“死灰复燃”。首先想到的方法应该是使用杀毒, 毕竟优秀的杀毒软件都是千锤百炼出来的“反恐”高手。那么手工删除要注意什么呢?
许多本身具有自动检测其自启动项目的功能,如果你在未删除木马的情况下先行删除了其启动项目,木马马上又能将这些启动信息重新写入相关的文件或注册表相关位置。因此,最稳妥的方法是,在确定的位置以后,先重新启动计算机并进入DOS状态,在DOS下删掉后,再返回Windows,删除它的相关启动信息。
其次是文件名的麻烦——木马为了更好地隐藏自己和给你制造麻烦,生成的文件名类似Windows的名。比如SubSeven 1.7版本的服务器文件名是c:\windows\kernel16.dll,而Windows有一个系统文件是c:\windows\。又如,phAse 1.0版本,生成的是c:\windows\system\Msgsrv32.exe,和Windows的系统文件一模一样,只是图标不同,你能正确区分这些并且删除吗?另外,别忘了,文件名是可以改的。你可能认为中了netbus就该有Mring.exe或者SysEdit.exe这样的文件出现,但是我把它改成123.exe你又能如何呢?所以,千万别一味依赖“常识”。
最后也是最困难的,就是的“多重攻击”带来的麻烦。比如一种名叫“聪明基因”的国产“文件关联”型木马,只要被运行,就会生成c:\windows\MBBManager.exe和Explore32.exe以及c:\windows\system\editor.exe三个文件,它们用的都是HTM文件图标,如果你的系统设置是不显示已知文件类型的扩展名,还真会以为它们是HTM文件呢!Explore32.exe关联HLP文件,MBBManager.exe在启动时加载,Editor.exe关联TXT文件。当你发现并删除了MBBManager.exe,以为大功告成的时候,只要打开HLP文件或文本文件,哪怕只是一次,Explore32.exe和Editor.exe就被激活并再次生成MBBManager.exe。类似手段甚至更厉害的还有很多。要手工清除,非得有充分的电脑知识,丰富的经验,冷静的头脑,敏锐的洞察力以及高度的警惕性和超强的分析能力才行——你做得到吗?防患于未然木马如此凶残,你还有信心战胜它吗?别急,其实对付木马的最好方法,就是将它“拒之门外”。在这个横行的年代,我们实在有必要加强安全防护意识。、杀毒都要经常更新;要慎重选择的地方,尽量不要到一些来历不明的个人主页下载软件;对下载的软件,务必先用杀毒软件扫描后才可以进行安装,以防其中包藏祸害;另外就是不要打开来历不明邮件中的附件,不要执行别人发给你的所谓“有趣”的小程序……
此外,一旦中了,首先要断开网络连接,因为这样就是神仙也操纵不了你了,然后你可以耐心地去清除它。还有就是删除前做好,以防操作失误。
总之,网络也是一个复杂的社会。并且不同于现实社会的是,在这个虚拟世界里我们并不能见到对方的真实面目。所以,我们更是难辨真伪。在这样的环境中生存,我们一定要处处严加防范!这样,才能保证我们的安全
.360问答.[引用日期]
.360问答. [引用日期]
