• 欢迎使用超级蜘蛛池,超百万蜘蛛与您共享,蜘蛛池引蜘蛛快速提高网站擢用,收藏剪切的快捷键是什么 CTRL + D

什么是木马病毒,特洛伊木马?


木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台电脑。木马惯常有两个马念什么可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源古希腊传说(荷马史诗中木马计传奇故事的传奇故事,Trojan一词的新木马屠城记木马本意是新木马屠城记的,即代指新木马屠城记木马,也就是木马计传奇故事的传奇故事)。

“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我增殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行。向施种木马者提供打开被种主机的中心,使施种者可以任意毁坏,窃取被种者的文件。甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

“木马”与电脑网络中常常要用到的远程控制软件有些相似。但由于远程控制软件是“善意”的控制,因此惯常不具有隐蔽性失业是指;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,若果没有很强的隐蔽性失业是指的话,那就是“毫无价值”的

它是指通过一段特定的程序(木马程序)来控制另一台电脑。

木马惯常有两个马念什么可执行程序:

一个是客户端。即控制端;另一个是劳务端,即被控制端。植入被种者电脑的是“玉器”部分,而所谓的“黑客”正是利用“运算器”进入运行了“玉器”的电脑。运行了木马程序的“玉器”以后。被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无维护了!

木马的统筹者为了防止木马被发现,而行使多种手段打埋伏木马。木马的劳务一旦运行并被控制端连接,其控制端将享有劳务端的绝大多数操作权限,例如给电脑增加口令,移动,删除文件,修改注册表编辑器,更改电脑布局等。

随着病毒编写技术的发展,木马程序对用户的威胁更是大。尤其是某些木马程序行使了极其狡猾的手段来隐蔽自己,使平凡用户很难在中毒后发觉。

木马程序技术发展可以说非常迅速。主要是有些年轻人杂志出于好奇,想必急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了六代的改进:

是最原始的木马程序。主要是简单的密码窃取,通过电子邮件登录发送信息等。具备了木马最基本的功能。

在技术上有了很大的进步。冰河是中国木马的丰碑代表之一。

主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。

在进程打埋伏方面有了很大改动,行使了内核插入式的嵌入方式,利用远程插入线程技术。嵌入DLL线程。或者挂接PSAPI,实现木马程序的打埋伏,甚至在Windows NT/2000下,都达到了良好的打埋伏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。

驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度打埋伏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙拓展攻击,可将系统SSDT初始化。导致杀毒防火墙失去效应。有的驱动级木马可滞留BIOS,还要很难查杀。

随着养老金身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统思维。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑3d蜘蛛侠登场是这类木马的代表。

新木马屠城记木马

新木马屠城记木马目前一般可理解为“为拓展非法目的造句的电脑病毒”,在电脑中潜伏,以达到黑客目的造句。

原指一希腊传说。在古希腊传说中。希腊联军围困新木马屠城记久攻不下,于是假装撤退,留下一具巨大的中空木马,新木马屠城记守军不知是计,把木马运进城中作为艺品。半夜三更之际,木马腹中躲藏的希腊士兵打开城门中学,新木马屠城记沦陷。后人常用“新木马屠城记木马”这一典故,用来比喻在敌方院墙里埋下伏兵策应的活动。现在有的病毒伪装成一个实用工具在哪里。一个可爱的游戏。一个位图文件,甚至系统文件等等。这会诱使用户将其打开等操作直到PC或者玉器上。这样的病毒也被称为“新木马屠城记木马”(trojan wooden-horse),简称“木马”。

木马程序技术发展可以说非常迅速。主要是有些年轻人杂志出于好奇,想必急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了6代的改进:

第一代木马:伪装型病毒

这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个电脑木马是出现在1986年的PC-Write木马。它伪装成xp系统wifi共享软件PC-Write的2.72版本(actually。编写PC-Write的Quicksoft法人从未发行过2.72版本),一旦用户当真运行该木马程序,那么他的下场就是硬盘被格式化。在我刚刚上大学的时候,曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序,当你把你的用户ID,密码输入一个和正常的登录界面无异于的伪登录界面后后。木马程序一面保存你的ID,和密码,一面提示你密码错误让你重新输入,当你第二次登录时,你已成了木马的垫脚石。此时的第一代木马还不具备传染特征。

第二代木马:AIDS型木马

继PC-Write之后,1989年出现了AIDS木马。由于当场很少有人使用电子邮件登录,所以AIDS的作者为什么就利用现实生活中的邮件拓展散播:给其他人寄去一封封含有木马程序软盘的邮件。用之所以是因为造句叫这个名称是因为软盘中包含有AIDS和HIV症候的药品,预防措施等不无证件信息。软盘中的木马程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征(尽管通过传统的邮递方式)。

第三代木马:网络传播型木马

随着Internet的普及,这一代木马兼备伪装和传播两种特征并洞房花烛TCP/IP网络技术视频教程四处泛滥。同时他还有新的特征:

添加了后门功能。

所谓后门就是一种可以为电脑系统秘密开启访问入口的程序。这些程序就能够使潜艇攻击者在线观看绕过安全程序进入系统。该功能的目的造句就是收集系统中的重要信息。新东方财务报告,口令及交通银行信用卡号。别有洞天,潜艇攻击者在线观看还可以利用后门控制系统。使之化作攻击其它电脑的帮凶。由于后门是打埋伏在系统背后运行的,因此很难被实测到。它们不像病毒和蠕虫那样通过消耗金士顿内存而引起留心。

添加了击键记录功能。

从名称上就可以知道。该功能主要是记录用户所有的击键内容然后到位击键记录的日志文件发送给恶意用户。恶意用户可以从中找到户名,口令以及交通银行信用卡号等用户信息。这一代木马比较广为人知的有国外的BO2000(BackOrifice)和国内的冰河木马。它们有如下共同特点:基于网络的客户端/玉器无法下载应用程序。具有搜集信息,执行系统命令,重新设置机器。重新定向等功能。

当木马程序攻击平顺后,电脑就完全在黑客控制的傀儡主机,黑客成了超级用户,用户的所有电脑操作不但没有任何秘密而言,还要黑客可以远程控制傀儡主机对别的主机发动攻击。这会儿背俘获的傀儡主机成了黑客拓展尤为攻击的借口和跳板。

虽然木马程序手段更是隐蔽。但是苍蝇不叮无缝的蛋。只要加强个人安全防范窥见,还是可以大大降低中招的几率。对此笔者有如下建议:安装个人360防病毒软件下载软件,个人防火墙软件;不冷不热安装系统补丁;对不明来历的电子邮件登录和插件不予理睬;经常去安全网站转一转,为了不冷不热领略某些新木马的底细,做到吃透,旗开得胜;

  • 是最原始的木马程序。主要是简单的密码窃取,通过电子邮件登录发送信息等,具备了木马最基本的功能。

  • 在技术上有了很大的进步,冰河是中国木马的丰碑代表之一。

  • 主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。

  • 在进程打埋伏方面有了很大改动,行使了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的打埋伏,甚至在WindowsNT/2000下。都达到了良好的打埋伏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。

  • 驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度打埋伏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙拓展攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可滞留BIOS,还要很难查杀。

  • 随着养老金身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统思维。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑3d蜘蛛侠登场是这类木马的代表。

木马种类

1,管顶型真空破坏器

唯一的功能就是破坏还要删除文件,可以自动的删除电脑上的DLL,EXE等重要文件。

2,密码发送型

可以找到打埋伏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式主义存放在电脑中,认为这样方便;还有人喜欢用WINDOWS提供的密码瞬时记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件。把它们送到黑客手中。也有些黑客软件长久潜伏,记录操作者为什么的无声键盘推荐操作,从中寻找有用的密码。

在这里提醒一期,不要认为自己在文档软件官方下载中加了密码而把重要的保密文件存在公用电脑中,那你就张冠李戴了。口是心非的人完全可以用穷举法暴力圈重译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当下运行的所有程序的所有窗口(包括控件)拓展遍历,通过窗口标题查找密码输入和出确认重新输入窗口,通过按钮标题查找我们应该单击的按钮。通过ES_PASSWORD查找我们要求键入的密码窗口。

向密码输入窗口发送WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中,把密码保存在一个文件中,为了在下一个序列的密码再次拓展穷举或多部机器同时拓展分流穷举,直到找到密码为止。此类程序在黑客网站上一蹴而就,精通程序统筹的人,完全可以自编一个。

若果真的想将账号密码储存在电脑里,可以先将数据写在TXT文件里。再将后缀名改成.17864(随便输入),这可以最大限度地防止黑客的入侵。要求用的时候再改赶来。

3,远程访问型

最广泛的是新木马屠城记木马。只需有人运行了劳务端程序。若果客户知道了劳务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"被害人"正在缘何,自是这个程序完全可以用在正道上的。比如监视学生机的操作。

程序中用的UDP(User Datagram Protocol。用户报文协议)是因特网上广泛行使的通信协议之一。与TCP协议不同,它是一种非连接的传输协议,没有确认机制,可靠性实验不如TCP,但它的效率却比TCP高,用于远程屏幕监视还是比较适合的。它不区分玉器端和客户端,只区分发送端和接收端,编程上较为简单,故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。

⒋无声键盘推荐记录木马

这种新木马屠城记木马是非常简单的。它们只做一件事情,就是记录被害人的无声键盘推荐敲击还要在LOG文件里查找密码。这种新木马屠城记木马随着Windows的启动而启动。它们有在线和离线记录这样的选项,望文生义,它们分别记录你在线和离线状态下敲击无声键盘推荐时的按键情况。说来你按过什么按键,下木马的人都知道,从这些按键中他很容易就会得到你的密码等有用信息,甚至是你的交通银行信用卡账号哦!自是,对于这种类型的木马,邮件发送功能也是不可或缺的。

⒌Dos攻击木马

随着DoS攻击更是广泛的应用,被用作DoS攻击的木马也更是流行起来。当你入侵了一台机器。给他种上DoS攻击木马,那么日后这台电脑就化作你DoS攻击的最得力助手了。你控制的肉鸡数量路由器天线越多越好,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染电脑上,而是体现在潜艇攻击者在线观看可以利用它来攻击一台又一台电脑,给网络造成很大的伤害和带来海损。

还有一种接近DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机变动繁多主题的信件,对特定的邮箱不停地发送邮件。一直到对方瘫痪,不能接受邮件为止。

⒍代理木马

黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的。给被控制的肉鸡种上代理木马,让其变成潜艇攻击者在线观看发动攻击的跳板就是代理木马最重要的任务。通过代理木马,潜艇攻击者在线观看可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。

⒎FTP木马

这种木马可能是最简单和古老的木马了,它的唯一功能就是打开21端口,等待用户连接。新FTP木马还加上了密码功能,只有潜艇攻击者在线观看本人才知道正确的密码,从而进入对方电脑。

⒏程序杀手木马

上面的木马功能虽然丰富多采,无以复加到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用。

⒐反弹端口型木马

木马是木马苹果开发者在分析了防火墙的特性后发现:防火墙对于连入的链接比比会拓展非常严格的过滤,但是对于连出的链接却粗心防范。与一般的木马相反,反弹端口型木马的劳务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定计监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现接近TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,略微疏忽一点,你就会以为是自己在浏览网页。

木马判断方法

当下最为常见的木马惯常是基于TCP/UDP协议拓展client端与server端之间的通讯的,既然利用到这两个马念什么协议,就不可逆转要在server端(就是被种了木马的机器了)打开监听端口来等待连接。例如资深的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。我们可以利用查看本机开放端口的方法来检查自己可否被种了木马或其它黑客程序。以下是详实方法介绍。

1. Windows本身自带的netstat命令

关于netstat命令,我们先来看看windows帮助文件中的介绍:

Netstat

显示协议统计和当下的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

参数

-a

显示所有连接和侦听端口。玉器连接惯常不显示。

-e

显示以太网受限统计。该参数可以与 -s 选项洞房花烛使用。

-n

以数字格式显示地址和端小组口号霸气押韵(而不是尝试查找名称)。

-s

显示每个协议的统计。默认情况下,显示 TCP,ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。

-p protocol

显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。若果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp。icmp 或 ip。

-r

显示路由表的内容。

interval

重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。若果省略该参数,netstat 将打印一次当下的布局信息。

看完这些帮助文件,我们应该明白netstat命令的使用方法了。就让我们现学现用,用这个命令看一期自己的机器开放的端口。进入到命令行下。使用netstat命令的a和n两个马念什么参数:

C:>netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING

UDP 0.0.0.0:445 0.0.0.0:0

UDP 0.0.0.0:1046 0.0.0.0:0

UDP 0.0.0.0:1047 0.0.0.0:0

解释一期。Active Connections是指当下本机活动连接,Proto是指连接使用的协议名称,Local Address是本地电脑的 IP 地址和连接正在使用的端小组口号霸气押韵,Foreign Address是连接该端口的远程电脑的 IP 地址和端小组口号霸气押韵,State则是表明TCP 连接的状态,你可以看到后面五征三行玉米收割机的监听端口是UDP协议的。所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。

2.事情在windows2000下的命令行工具fport

使用windows2000的朋友歌词要比使用windows9X的幸运某些,因为可以使用fport这个程序来显示本机开放端口与进程的对应证件。

Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应无法下载应用程序的完整路径,进程名称等信息的软件。在命令行下使用,请看例子:

D:>fport.exe

FPort v1.33 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone,Inc.

Pid Process Port Proto Path

748 tcpsvcs -> 7TCP C:WINNTSystem32tcpsvcs.exe

748 tcpsvcs -> 9TCP C:WINNTSystem32cpsvcs.exe

748 tcpsvcs -> 19TCP C:WINNTSystem32cpsvcs.exe

416 svchost -> 135 TCP C:WINNTsystem32svchost.exe

可否此地无银三百两了。这下。各个端口究竟是什么程序打开的就都在你眼皮底下了。若果发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的木马!

Fport的时新版本是2.0。在很多网站都提供下载。但是为了安全起见,自是最好还是到它的老家去下:

⒊与Fport功能接近的图形化界面工具Active Ports

Active Ports为SmartLine出品,你可以用来监视电脑所有打开的TCP/IP/UDP端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)可否正在活动。

它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时。可以立即将端口关闭。这个软件事情在Windows NT/2000/XP平台下。你可以在得到它。

其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应证件,因为windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出端口与进程的对应来。

上面介绍了几种查看本机开放端口,以及端口和进程对应证件的方法,通过这些方法可以轻松的发现基于TCP/UDP协议的木马,希望能给你的爱机带来帮助。但是对木马非同儿戏防范。还要若果碰上反弹端口木马,利用驱动程序及动态链接库技术制作的新木马时,以上这些方法就很难查出木马的痕迹了。

所以我们一定要养成良好的上网习惯,不要随意运行邮件中的附件,安装一套杀毒软件,像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使用。在上网时打开网络防火墙和病毒实时监控,保护自己的机器不被可恨的木马入侵。

灰鸽子木马

灰鸽子[1] 是国内一个著名的后门程序。在Windows目录下,灰鸽子变种木马运行后,会自我并自行将安装程序删除。

灰鸽子[1] 是国内一个著名的后门程序。灰鸽子变种木马运行后,会自我复制到Windows目录下,并自行将安装程序删除。修改注册表编辑器,将病毒文件注册为劳务项实现开架自启。木马程序还会注入所有的进程中,打埋伏自我。防止被杀毒软件查杀。自动开启IE孵卵器,为了与外界拓展通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点。盗取用户信息,下载其它特定程序。

冰河木马

冰河木马开发于1999年,跟灰鸽子接近,在统筹之初。苹果开发者的本意是编写一个功能强大的远程控制软件。就依靠其强大的功能化作了黑客们发动入侵的工具,并完毕了国外木马世界一统的局面,跟后来的灰鸽子等等化作国产木马的标志和人称代名词。HK联盟Mask曾利用它入侵过数千台电脑,其中不包括国外电脑。

蜜蜂大盗

“蜜蜂大盗”有强大的信息窃取,远程监控怎么设置功能。病毒具有窃取几乎所有的密码,自动打开染毒者的摄像头,拓展远程监控怎么设置。遥控QQ,遥控系统设置并中止防火墙等多种危害。该病毒自身为合成文件,运行木马程序后,进程进程优先级较高不能正常手工清除,免杀任何一款杀毒软件,很难清除。

本文链接:http://www.microurbanism.net/article/700.html

评论专区

您的大名*
电子邮件登录*
个人网址 
评论内容 
验证码     

热门超级蜘蛛工具

Baidu