抖音怎么发照片集-excel抽奖程序
2023年4月3日发(作者:苹果12电池多少毫安)
⽊马病毒浅析
⽊马(Trojan),也称⽊马病毒,是指通过特定的程序(⽊马程序)来控制另⼀台计算机。⽊马通常有两个可执⾏程序:
⼀个是控制端,另⼀个是被控制端。⽊马这个名字来源于古希腊传说(荷马史诗中⽊马计的故事,Trojan⼀词的特洛伊
⽊马本意是特洛伊的,即代指特洛伊⽊马,也就是⽊马计的故事)。“⽊马”程序是⽬前⽐较流⾏的病毒⽂件,与⼀般的
病毒不同,它不会⾃我繁殖,也并不“刻意”地去感染其他⽂件,它通过将⾃⾝伪装吸引⽤户下载执⾏,向施种⽊马者提
供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的⽂件,甚⾄远程操控被种主机。⽊马病毒的产⽣严重危
害着现代⽹络的安全运⾏。
⼀、⽊马的含义
“⽊马”与计算机⽹络中常常要⽤到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽
性;“⽊马”则完全相反,⽊马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫⽆价值”的。
它是指通过⼀段特定的程序(⽊马程序)来控制另⼀台计算机。⽊马通常有
两个可执⾏程序:⼀个是客户端,即控制端;另⼀个是服务端,即被控制端。植⼊被种者电脑的是“服务器”部分,⽽所
谓的“⿊客”正是利⽤“控制器”进⼊运⾏了“服务器”的电脑。运⾏了⽊马程序的“服务器”以后,被种者的电脑就会有⼀个或
⼏个端⼝被打开,使⿊客可以利⽤这些打开的端⼝进⼊电脑系统,安全和个⼈隐私也就全⽆保障了!⽊马的设计者为了
防⽌⽊马被发现,⽽采⽤多种⼿段隐藏⽊马。⽊马的服务⼀旦运⾏并被控制端连接,其控制端将享有服务端的⼤部分操
作权限,例如给计算机增加⼝令,浏览、移动、复制、删除⽂件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,⽊马程序对⽤户的威胁越来越⼤,尤其是⼀些⽊马程序采⽤了极其狡猾的⼿段来隐蔽⾃⼰,
使普通⽤户很难在中毒后发觉。
⼆、⽊马的原理
⼀个完整的特洛伊⽊马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植⼊对⽅电脑的是服务
端,⽽⿊客正是利⽤客户端进⼊运⾏了服务端的电脑。运⾏了⽊马程序的服务端以后,会产⽣⼀个有着容易迷惑⽤户的
名称的进程,暗中打开端⼝,向指定地点发送数据(如⽹络游戏的密码,即时通信软件密码和⽤户上⽹密码等),⿊客
甚⾄可以利⽤这些打开的端⼝进⼊电脑系统。
特洛伊⽊马程序不能⾃动操作,⼀个特洛伊⽊马程序是包含或者安装⼀个存⼼不良的程序的,它可能看起来是有⽤或
者有趣的计划(或者⾄少⽆害)对⼀不怀疑的⽤户来说,但是实际上有害当它被运⾏。特洛伊⽊马不会⾃动运⾏,它是
暗含在某些⽤户感兴趣的⽂档中,⽤户下载时附带的。当⽤户运⾏⽂档程序时,特洛伊⽊马才会运⾏,信息或⽂档才会
被破坏和遗失。特洛伊⽊马和后门不⼀样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在⽇后随意进⼊
系统⽽设置的。
特洛伊⽊马有两种,universal的和transitive的,universal就是可以控制的,⽽transitive是不能控制,刻死的操作。
三、⽊马的特征
特洛伊⽊马不经电脑⽤户准许就可获得电脑的使⽤权。程序容量⼗分轻⼩,运⾏时不会浪费太多资源,因此没有使⽤杀
毒软件是难以发觉的,运⾏时很难阻⽌它的⾏动,运⾏后,⽴刻⾃动登录在系统引导区,之后每次在Windows加载时⾃
动运⾏,或⽴刻⾃动变更⽂件名,甚⾄隐形,或马上⾃动复制到其他⽂件夹中,运⾏连⽤户本⾝都⽆法运⾏的动作。
四、⽊马的发展
⽊马程序技术发展可以说⾮常迅速。主要是有些年轻⼈出于好奇,或是急于显⽰⾃⼰实⼒,不断改进⽊马程序的编写。
⾄今⽊马程序已经经历了六代的改进:
第⼀代,是最原始的⽊马程序。主要是简单的密码窃取,通过电⼦邮件发送信息等,具备了⽊马最基本的功能。
第⼆代,在技术上有了很⼤的进步,冰河是中国⽊马的典型代表之⼀。
第三代,主要改进在数据传递技术⽅⾯,出现了ICMP等类型的⽊马,利⽤畸形报⽂传递数据,增加了杀毒软件查杀识
第三代,主要改进在数据传递技术⽅⾯,出现了ICMP等类型的⽊马,利⽤畸形报⽂传递数据,增加了杀毒软件查杀识
别的难度。
第四代,在进程隐藏⽅⾯有了很⼤改动,采⽤了内核插⼊式的嵌⼊⽅式,利⽤远程插⼊线程技术,嵌⼊DLL线程。或者
挂接PSAPI,实现⽊马程序的隐藏,甚⾄在WindowsNT/2000下,都达到了良好的隐藏效果。灰鸽⼦和蜜蜂⼤盗是⽐较
出名的DLL⽊马。
第五代,驱动级⽊马。驱动级⽊马多数都使⽤了⼤量的Rootkit技术来达到在深度隐藏的效果,并深⼊到内核空间的,感
染后针对杀毒软件和⽹络防⽕墙进⾏攻击,可将系统SSDT初始化,导致杀毒防⽕墙失去效应。有的驱动级⽊马可驻留
BIOS,并且很难查杀。
第六代,随着⾝份认证UsbKey和杀毒软件主动防御的兴起,黏⾍技术类型和特殊反显技术类型⽊马逐渐开始系统化。
前者主要以盗取和篡改⽤户敏感信息为主,后者以动态⼝令和硬证书攻击为主。PassCopy和暗⿊蜘蛛侠是这类⽊马的
代表。
五、⽊马的种类
⽹游⽊马
随着⽹络在线游戏的普及和升温,中国拥有规模庞⼤的⽹游玩家。⽹络游戏中的⾦钱、装备等虚拟财富与现实财富之间
的界限越来越模糊。与此同时,以盗取⽹游帐号密码为⽬的的⽊马病毒也随之发展泛滥起来。
⽹络游戏⽊马通常采⽤记录⽤户键盘输⼊、Hook游戏进程API函数等⽅法获取⽤户的密码和帐号。窃取到的信息⼀般通
过发送电⼦邮件或向远程脚本程序提交的⽅式发送给⽊马作者。
⽹络游戏⽊马的种类和数量,在国产⽊马病毒中都⾸屈⼀指。流⾏的⽹络游戏⽆⼀不受⽹游⽊马的威胁。⼀款新游戏正
式发布后,往往在⼀到两个星期内,就会有相应的⽊马程序被制作出来。⼤量的⽊马⽣成器和⿊客⽹站的公开销售也是
⽹游⽊马泛滥的原因之⼀。
⽹银⽊马
⽹银⽊马是针对⽹上交易系统编写的⽊马病毒,其⽬的是盗取⽤户的卡号、密码,甚⾄安全证书。此类⽊马种类数量虽
然⽐不上⽹游⽊马,但它的危害更加直接,受害⽤户的损失更加惨重。
⽹银⽊马通常针对性较强,⽊马作者可能⾸先对某银⾏的⽹上交易系统进⾏仔细分析,然后针对安全薄弱环节编写病毒
程序。2013年,安全软件电脑管家截获⽹银⽊马最新变种“弼马温”,弼马温病毒能够毫⽆痕迹的修改⽀付界⾯,使⽤户
根本⽆法察觉。通过不良⽹站提供假QVOD下载地址进⾏⼴泛传播,当⽤户下载这⼀挂马播放器⽂件安装后就会中⽊
马,该病毒运⾏后即开始监视⽤户⽹络交易,屏蔽余额⽀付和快捷⽀付,强制⽤户使⽤⽹银,并借机篡改订单,盗取财
产。
随着中国⽹上交易的普及,受到外来⽹银⽊马威胁的⽤户也在不断增加。
下载类
这种⽊马程序的体积⼀般很⼩,其功能是从⽹络上下载其他病毒程序或安装⼴告软件。由于体积很⼩,下载类⽊马更容
易传播,传播速度也更快。通常功能强⼤、体积也很⼤的后门类病毒,如“灰鸽⼦”、“⿊洞”等,传播时都单独编写⼀个⼩
巧的下载型⽊马,⽤户中毒后会把后门主程序下载到本机运⾏。
代理类
⽤户感染代理类⽊马后,会在本机开启HTTP、SOCKS等代理服务功能。⿊客把受感染计算机作为跳板,以被感染⽤户
的⾝份进⾏⿊客活动,达到隐藏⾃⼰的⽬的。
FTP⽊马
FTP型⽊马打开被控制计算机的21号端⼝(FTP所使⽤的默认端⼝),使每⼀个⼈都可以⽤⼀个FTP客户端程序来不⽤密
码连接到受控制端计算机,并且可以进⾏最⾼权限的上传和下载,窃取受害者的机密⽂件。新FTP⽊马还加上了密码功
码连接到受控制端计算机,并且可以进⾏最⾼权限的上传和下载,窃取受害者的机密⽂件。新FTP⽊马还加上了密码功
能,这样,只有攻击者本⼈才知道正确的密码,从⽽进⼊对⽅计算机。
通讯软件类
国内即时通讯软件百花齐放。QQ、新浪UC、⽹易泡泡、盛⼤圈圈……⽹上聊天的⽤户群⼗分庞⼤。常见的即时通讯类
⽊马⼀般有3种:
(1)、发送消息型
通过即时通讯软件⾃动发送含有恶意⽹址的消息,⽬的在于让收到消息的⽤户点击⽹址中毒,⽤户中毒后⼜会向更多好
友发送病毒消息。此类病毒常⽤技术是搜索聊天窗⼝,进⽽控制该窗⼝⾃动发送⽂本内容。发送消息型⽊马常常充当⽹
游⽊马的⼴告,如“武汉男⽣2005”⽊马,可以通过MSN、QQ、UC等多种聊天软件发送带毒⽹址,其主要功能是盗取传
奇游戏的帐号和密码。
(2)、盗号型
主要⽬标在于即时通讯软件的登录帐号和密码。⼯作原理和⽹游⽊马类似。病毒作者盗得他⼈帐号后,可能偷窥聊天记
录等隐私内容,在各种通讯软件内向好友发送不良信息、⼴告推销等语句,或将帐号卖掉赚取利润。
(3)、传播⾃⾝型
2005年初,“MSN性感鸡”等通过MSN传播的蠕⾍泛滥了⼀阵之后,MSN推出新版本,禁⽌⽤户传送可执⾏⽂件。2005
年上半年,“QQ龟”和“QQ爱⾍”这两个国产病毒通过QQ聊天软件发送⾃⾝进⾏传播,感染⽤户数量极⼤,在江民公司统
计的2005年上半年⼗⼤病毒排⾏榜上分列第⼀和第四名。从技术⾓度分析,发送⽂件类的QQ蠕⾍是以前发送消息类QQ
⽊马的进化,采⽤的基本技术都是搜寻到聊天窗⼝后,对聊天窗⼝进⾏控制,来达到发送⽂件或消息的⽬的。只不过发
送⽂件的操作⽐发送消息复杂很多。
⽹页点击类
⽹页点击类⽊马会恶意模拟⽤户点击⼴告等动作,在短时间内可以产⽣数以万计的点击量。病毒作者的编写⽬的⼀般是
为了赚取⾼额的⼴告推⼴费⽤。此类病毒的技术简单,⼀般只是向服务器发送HTTPGET请求。
六、⽊马的查杀
⾸先找到感染⽂件,其⼿动⽅法是结束相关进程然后删除⽂件。但是⽬前互联⽹上出现了各种杀毒软件及专杀,我们可
以借助这些安全⼯具进⾏查杀。
⽊马和病毒都是⼀种⼈为的程序,都属于电脑病毒,为什么⽊马要单独提出来说呢?⼤家都知道以前的电脑病毒的作
⽤,其实完全就是为了搞破坏,破坏电脑⾥的资料数据,除了破坏之外其它⽆⾮就是有些病毒制造者为了达到某些⽬的
⽽进⾏的威慑和敲诈勒索的作⽤,或为了炫耀⾃⼰的技术."⽊马"不⼀样,⽊马的作⽤是⾚裸裸的偷监视别⼈和盗窃别⼈
密码,数据等,如盗窃管理员密码-⼦⽹密码搞破坏,或者好玩,偷窃上⽹密码⽤于别处,游戏帐号,股票帐号,甚⾄
⽹上银⾏帐户等等.达到偷窥别⼈隐私和得到经济利益为⽬的.所以⽊马的作⽤⽐早期的电脑病毒更加有⽤.更能够直接达
到使⽤者的⽬的!导致许多别有⽤⼼的程序开发者⼤量的编写这类带有偷窃和监视别⼈电脑的侵⼊性程序,这就是⽹上
⼤量⽊马泛滥成灾的原因.鉴于⽊马的这些巨⼤危害性和它与早期病毒的作⽤性质不⼀样,所以⽊马虽然属于病毒中的⼀
类,但是要单独的从病毒类型中间剥离出来.独⽴的称之为"⽊马"程序。
⼀般来说⼀种杀毒软件程序,它的⽊马专杀程序能够查杀某某⽊马的话,那么它⾃⼰的普通杀毒程序也当然能够杀掉这
种⽊马,因为在⽊马泛滥的今天,为⽊马单独设计⼀个专门的⽊马查杀⼯具,那是能提⾼该杀毒软件的产品档次的,对
其声誉也⼤⼤的有益,实际上⼀般的普通杀毒软件⾥都包含了对⽊马的查杀功能.如果⼤家说某某杀毒软件没有⽊马专杀
的程序,那这家杀毒软件⼚商⾃⼰也好像有点过意不去,即使它的普通杀毒软件⾥当然的有杀除⽊马的功能。并且,在
互联⽹上公开的病毒,⼀般杀毒⼚商都会更新病毒库,便以查杀。
还有⼀点就是,把查杀⽊马程序单独剥离出来,可以提⾼查杀效率,很多杀毒软件⾥的⽊马专杀程序只对⽊马进⾏查杀,
不去检查普通病毒库⾥的病毒代码,也就是说当⽤户运⾏⽊马专杀程序的时候,程序只调⽤⽊马代码库⾥的数据,⽽不
调⽤病毒代码库⾥的数据,⼤⼤提⾼⽊马查杀速度.我们知道查杀普通病毒的速度是⽐较慢的,因为有太多太多的病毒.
每个⽂件要经过⼏万条⽊马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.
省去普通病毒代码检验,是不是就提⾼了效率,提⾼了速度呢?也就是说好多杀毒软件⾃带的⽊马专杀程序只查杀⽊马
省去普通病毒代码检验,是不是就提⾼了效率,提⾼了速度呢?也就是说好多杀毒软件⾃带的⽊马专杀程序只查杀⽊马
⽽⼀般不去查杀病毒,但是它⾃⾝的普通病毒查杀程序既查杀病毒⼜查杀⽊马!
如何查出:
在使⽤常见的⽊马查杀软件及杀软件的同时,系统⾃带的⼀些基本命令也可以发现⽊马病毒:
1、检测⽹络连接
如果你怀疑⾃⼰的计算机上被别⼈安装了⽊马,或者是中了病毒,但是⼿⾥没有完善的⼯具来检测是不是真有这样的事
情发⽣,那可以使⽤Windows⾃带的⽹络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat-an这个命令能看到所有和本地计算机建⽴连接的IP,它包含四个部分——proto(连接⽅
式)、localaddress(本地连接地址)、foreignaddress(和本地建⽴连接的地址)、state(当前端⼝状态)。通过这
个命令的详细信息,我们就可以完全监控计算机上的连接,从⽽达到控制计算机的⽬的。
2、禁⽤不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,⽤杀毒软件也查不出问题,这个时候很
可能是别⼈通过⼊侵你的计算机后给你开放了特别的某种服务,⽐如IIS信息服务等,这样你的杀毒软件是查不出来的。
但是别急,可以通过“netstart”来查看系统中究竟有什么服务在开启,如果发现了不是⾃⼰开放的服务,我们就可以有针
对性地禁⽤这个服务了。
⽅法就是直接输⼊“netstart”来查看服务,再⽤“netstopserver”来禁⽌服务。
3、轻松检查账户
很长⼀段时间,恶意的攻击者⾮常喜欢使⽤克隆账号的⽅法来控制你的计算机。他们采⽤的⽅法就是激活⼀个系统中的
默认账户,但这个账户是不经常⽤的,然后使⽤⼯具把这个账户提升到管理员权限,从表⾯上看来这个账户还是和原来
⼀样,但是这个克隆的账户却是系统中最⼤的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况,可以⽤很简单的⽅法对账户进⾏检测。
⾸先在命令⾏下输⼊netuser,查看计算机上有些什么⽤户,然后再使⽤“netuser⽤户名”查看这个⽤户是属于什么权限
的,⼀般除了Administrator是administrators组的,其他都不是!如果你发现⼀个系统内置的⽤户是属于administrators
组的,那⼏乎肯定你被⼊侵了,⽽且别⼈在你的计算机上克隆了账户。快使⽤“netuser⽤户名/del”来删掉这个⽤户吧!
联⽹状态下的客户端。对于没有联⽹的客户端,当其联⽹之后也会在第⼀时间内收到更新信息将病毒特征库更新到最新
版本。不仅省去了⽤户去⼿动更新的烦琐过程,也使⽤户的计算机时刻处于最佳的保护环境之下。
4、对⽐系统服务项
(1)、点击“开始,运⾏”输⼊“"回车,打开”系统配置实⽤程序,然后在“服务”选项卡中勾选“隐藏所有
Microsoft服务”,这时列表中显⽰的服务项都是⾮系统程序。
(2)、再点击“开始,运⾏”,输⼊"回车,打开“系统服务管理”,对⽐两张表,在该“服务列表”中可以逐⼀
找出刚才显⽰的⾮系统服务项。
(3)、在“系统服务”管理界⾯中,找到那些服务后,双击打开,在“常规”选项卡中的可执⾏⽂件路径中可以看到服务的
可执⾏⽂件位置,⼀般正常安装的程序,⽐如杀毒,MSN,防⽕墙,等,都会建⽴⾃⼰的系统服务,不在系统⽬录下,
如果有第三⽅服务指向的路径是在系统⽬录下,那么他就是“⽊马”。选中它,选择表中的“禁⽌”,重新启动计算机即可。
(4)、要点:有⼀个表的左侧:有被选中的服务程序说明,如果没⽤,它就是⽊马。
危害
1、盗取我们的⽹游账号,威胁我们的虚拟财产的安全
1、盗取我们的⽹游账号,威胁我们的虚拟财产的安全
⽊马病毒会盗取我们的⽹游账号,它会盗取我们帐号后,并⽴即将帐号中的游戏装备转移,再由⽊马病毒使⽤者出售这
些盗取的游戏装备和游戏币⽽获利。
2、盗取我们的⽹银信息,威胁我们的真实财产的安全
⽊马采⽤键盘记录等⽅式盗取我们的⽹银帐号和密码,并发送给⿊客,直接导致我们的经济损失。
3、利⽤即时通讯软件盗取我们的⾝份,传播⽊马病毒等不良信息
中了此类⽊马病毒后,可能导致我们的经济损失。在中了⽊马后电脑会下载病毒作者指定的程序任意程序,具有不确定
的危害性。如恶作剧等。
4、给我们的电脑打开后门,使我们的电脑可能被⿊客控制
如灰鸽⼦⽊马等。当我们中了此类⽊马后,我们的电脑就可能沦为⾁鸡,成为⿊客⼿中的⼯具。
防御
⽊马查杀(查杀软件很多,有些病毒软件都能杀⽊马)
防⽕墙(分硬件和软件)家⾥⾯的就⽤软件好了,如果是公司或其他地⽅就硬件和软件⼀起⽤。
基本能防御⼤部分⽊马,但是的软件都不是万能的,还要学点专业知识,有了这些,你的电脑就安全多了。⾼⼿也很
多,只要你不随便访问来历不明的⽹站,使⽤来历不明的软件(很多盗版或破解软件都带⽊马,这个看你⾃⼰经验去区
分),还要及时更新系统漏洞,如果你都做到了,⽊马,病毒。就不容易进⼊你的电脑了。
七、⽊马的删除
1、禁⽤系统还原
如果您运⾏的是WindowsMe或WindowsXP,建议您暂时关闭“系统还原”。此功能默认情况下是启⽤的,⼀旦计算机
中的⽂件被破坏,Windows可使⽤该功能将其还原。如果病毒、蠕⾍或特洛伊⽊马感染了计算机,则系统还原功能会
在该计算机上备份病毒、蠕⾍或特洛伊⽊马。
Windows禁⽌包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或⼯具⽆法删除SystemRestore⽂件
夹中的威胁。这样,系统还原就可能将受感染⽂件还原到计算机上,即使您已经清除了所有其他位置的受感染⽂件。
此外,病毒扫描可能还会检测到SystemRestore⽂件夹中的威胁,即使您已将该威胁删除。
注意:蠕⾍移除⼲净后,请按照上述⽂章所述恢复系统还原的设置。
2、安全模式或VGA模式
关闭计算机,等待⾄少30秒钟后重新启动到安全模式或者VGA模式
Windows95/98/Me/2000/XP⽤户:将计算机重启到安全模式。所有Windows32-bit作系统,除了WindowsNT,可以
被重启到安全模式。更多信息请参阅⽂档如何以安全模式启动计算机。
WindowsNT4⽤户:将计算机重启到VGA模式。
扫描和删除受感染⽂件启动防病毒程序,并确保已将其配置为扫描所有⽂件。运⾏完整的系统扫描。如果检测到任何⽂
件被感染,请单击“删除”。如有必要,清除InternetExplorer历史和⽂件。如果该程序是在
TemporaryInternetFiles⽂件夹中的压缩⽂件内检测到的,请执⾏以下步骤:
启动InternetExplorer。单击“⼯具”>;“Internet选项”。单击“常规”选项卡“Internet临时⽂件”部分中,单击“删除⽂件”,然
后在出现提⽰后单击“确定”。在“历史”部分,单击“清除历史”,然后在出现提⽰后单击“是”。
⼋、藏⾝之地
⽊马是⼀种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在⼈不知⿁不觉的状态下控制你或者
监视你。下⾯就是⽊马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招。
1、集成到程序中
其实⽊马也是⼀个服务器――客户端程序,它为了不让⽤户能轻易地把它删除,就常常集成到程序⾥,⼀旦⽤户激活⽊
马程序,那么⽊马⽂件和某⼀应⽤程序捆绑在⼀起,然后上传到服务端覆盖原⽂件,这样即使⽊马被删除了,只要运⾏
捆绑了⽊马的应⽤程序,⽊马⼜会被安装上去了。绑定到某⼀应⽤程序中,如绑定到系统⽂件,那么每⼀次Windows启
动均会启动⽊马。
2、隐藏在配置⽂件中
⽊马实在是太狡猾,知道菜鸟们平时使⽤的是图形化界⾯的操作系统,对于那些已经不太重要的配置⽂件⼤多数是不闻
不问了,这正好给⽊马提供了⼀个藏⾝之处。⽽且利⽤配置⽂件的特殊作⽤,⽊马很容易就能在⼤家的计算机中运⾏、
发作,从⽽偷窥或者监视⼤家。不过,这种⽅式不是很隐蔽,容易被发现,所以在和中加载⽊
马程序的并不多见,但也不能因此⽽掉以轻⼼。
3、潜伏在中
⽊马要想达到控制或者监视计算机的⽬的,必须要运⾏,然⽽没有⼈会傻到⾃⼰在⾃⼰的计算机中运⾏这个该死的⽊
马。当然,⽊马也早有⼼理准备,知道⼈类是⾼智商的动物,不会帮助它⼯作的,因此它必须找⼀个既安全⼜能在系统
启动时⾃动运⾏的地⽅,于是潜伏在中是⽊马感觉⽐较惬意的地⽅。⼤家不妨打开来看看,在它的
[windows]字段中有启动命令“load=”和“run=”,在⼀般情况下“=”后⾯是空⽩的,如果有后跟程序,⽐⽅说是这个样⼦:
run=c:d=c:。这时你就要⼩⼼了,这个很可能是⽊马。
4、伪装在普通⽂件中
这个⽅法出现的⽐较晚,不过很流⾏,对于不熟练的windows操作者,很容易上当。具体⽅法是把可执⾏⽂件伪装成图
⽚或⽂本——在程序中把图标改成Windows的默认图⽚图标,再把⽂件名改为*.,由于Win98默认设置是“不显⽰
已知的⽂件后缀名”,⽂件将会显⽰为*.jpg,不注意的⼈⼀点这个图标就中⽊马了(如果你在程序中嵌⼀张图⽚就更完
美了)。
5、内置到注册表中
上⾯的⽅法让⽊马着实舒服了⼀阵,既没有⼈能找到它,⼜能⾃动运⾏,真是快哉!然⽽好景不长,⼈类很快就把它的
马脚揪了出来,并对它进⾏了严厉的惩罚!但是它还⼼有不⽢,总结了失败教训后,认为上⾯的藏⾝之处很容易找,注
册表!的确注册表由于⽐较复杂,⽊马常常喜欢藏在这⾥快活,赶快检查⼀下,有什么程序在其下,睁⼤眼睛仔细看
了,别放过⽊马:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY-
tSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。
6、在驱动程序中藏⾝
⽊马真是⽆处不在呀!什么地⽅有空⼦,它就往哪⾥钻!这不,Windows安装⽬录下的也是⽊马喜欢隐蔽的
地⽅。还是⼩⼼点,打开这个⽂件看看,它与正常⽂件有什么不同,在该⽂件的[boot]字段中,是不是有这样的内容,
那就是shell=,如果确实有这样的内容,那你就不幸了,因为这⾥的就是⽊马服务端程序!
另外,在中的[386Enh]字段,要注意检查在此段内的“driver=路径程序名”,这⾥也有可能被⽊马所利⽤。再
有,在中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作⽤,但也是增添⽊马
程序的好场所,你该知道也要注意这⾥。
7、隐形于启动组中
有时⽊马并不在乎⾃⼰的⾏踪,它更注意的是能否⾃动加载到系统中,因为⼀旦⽊马加载到系统中,任你⽤什么⽅法你
都⽆法将它赶跑(哎,这⽊马脸⽪也真是太厚),因此按照这个逻辑,启动组也是⽊马可以藏⾝的好地⽅,因为这⾥的
确是⾃动加载运⾏的好场所。假设启动组对应的⽂件夹为:
C:windowsstartmenuprogramsstartup
在注册表中的位置:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersStartup=“C:
windowsstartmenuprogramsstartup”
要注意经常检查启动组。
8、在中
按照上⾯的逻辑理论,凡是利于⽊马能⾃动加载的地⽅,⽊马都喜欢待。这不,也是⼀个能⾃动被
Windows加载运⾏的⽂件,它多数情况下为应⽤程序及Windows⾃动⽣成,在执⾏了并加载了多数驱动程序
之后开始执⾏(这⼀点可通过启动时按F8键再选择逐步跟踪启动过程的启动⽅式可得知)。由于的功能可
以由代替完成,因此⽊马完全可以像在中那样被加载运⾏,危险由此⽽来。
9、捆绑在启动⽂件中
即应⽤程序的启动配置⽂件,控制端利⽤这些⽂件能启动程序的特点,将制作好的带有⽊马启动命令的同名⽂件上传到
服务端覆盖这同名⽂件,这样就可以达到启动⽊马的⽬的了。
10、设置在超级连接中
⽊马的主⼈在⽹页上放置恶意代码,引诱⽤户点击,⽤户点击的结果不⾔⽽喻:开门揖盗!奉劝不要随便点击⽹页上的
链接,除⾮你了解它,信任它。
九、危害⽹站
恶意程序破坏⽹站
页⾯中的⽊马主要指的就是利⽤⽹站建设的安全漏洞来窃取⽹站机密的⼯具。其通过执⾏嵌⼊在⽹页HTML超⽂本标记
语⾔内的JavaApplet⼩应⽤程序,Java脚本语⾔程序,ActiveX软件部件⽹络交互技术⽀持可⾃动执⾏的代码程序,以
强⾏修改⽤户操作系统的注册表设置及系统实⽤配置程序,或⾮法控制系统资源盗取⽤户⽂件,或恶意删除硬盘⽂件、
格式化硬盘为⾏为⽬标的⾮法恶意程序。这种⾮法恶意程序能够得以被⾃动执⾏,在于它完全不受⽤户的控制。⼀旦浏
览含有该病毒的⽹页,即可以在你不知不觉的情况下马上中招,给⽤户的系统带来⼀般性的、轻度性的、严重恶性等不
同程度的破坏。
下载存在漏洞
⽹站建设中⼀旦被发现有⽊马的痕迹,主要原因就是在其它站点下载所致,⽬前国内的⼤多数中⼩⽹站都是从⽹络上下
载的免费系统建成的,这些系统在设计的时候存在或多或少的安全漏洞,如动⽹和动易以前都存在过上传漏洞,导致骇
客可以上传⽊马⾄⽹站,轻易获得管理权限。同时Win2003本⾝也存在设计缺陷,如前段时间出现的新漏洞:“IIS6⽬
录检查漏洞”。
⼗、伪装⽅法
鉴于⽊马病毒的危害性,很多⼈对⽊马知识还是有⼀定了解的,这对⽊马的传播起了⼀定的抑制作⽤,这是⽊马设计者
所不愿见到的,因此他们开发了多种功能来伪装⽊马,以达到降低⽤户警觉,欺骗⽤户的⽬的。
修改图标
当你在E-MAIL的附件中看到这个图标时,是否会认为这是个⽂本⽂件呢?但是我不得不告诉你,这也有可能是个⽊马程
序,已经有⽊马可以将⽊马服务端程序的图标改成HTML,TXT,ZIP等各种⽂件的图标,这有相当⼤的迷惑性,但是提供
这种功能的⽊马还不多见,并且这种伪装也不是⽆懈可击的,所以不必整天提⼼吊胆,疑神疑⿁的。
捆绑⽂件
这种伪装⼿段是将⽊马捆绑到⼀个安装程序上,当安装程序运⾏时,⽊马在⽤户毫⽆察觉的情况下,偷偷的进⼊了系
统。⾄于被捆绑的⽂件⼀般是可执⾏⽂件(即EXE,COM⼀类的⽂件)。
出错显⽰
有⼀定⽊马知识的⼈都知道,如果打开⼀个⽂件,没有任何反应,这很可能就是个⽊马程序,⽊马的设计者也意识到了
这个缺陷,所以已经有⽊马提供了⼀个叫做出错显⽰的功能。当服务端⽤户打开⽊马程序时,会弹出⼀个错误提⽰框
(这当然是假的),错误内容可⾃由定义,⼤多会定制成⼀些诸如“⽂件已破坏,⽆法打开的!”之类的信息,当服务端
⽤户信以为真时,⽊马却悄悄侵⼊了系统。
定制端⼝
很多⽼式的⽊马端⼝都是固定的,这给判断是否感染了⽊马带来了⽅便,只要查⼀下特定的端⼝就知道感染了什么⽊
马,所以很多新式的⽊马都加⼊了定制端⼝的功能,控制端⽤户可以在1024---65535之间任选⼀个端⼝作为⽊马端⼝
(⼀般不选1024以下的端⼝),这样就给判断所感染⽊马类型带来了⿇烦。
⾃我销毁
这项功能是为了弥补⽊马的⼀个缺陷。我们知道当服务端⽤户打开含有⽊马的⽂件后,⽊马会将⾃⼰拷贝到WINDOWS
的系统⽂件夹中(C:WINDOWS或C:WINDOWSSYSTEM⽬录下),⼀般来说原⽊马⽂件和系统⽂件夹中的⽊马⽂件
的⼤⼩是⼀样的(捆绑⽂件的⽊马除外),那么中了⽊马的朋友只要在收到的信件和下载的软件中找到原⽊马⽂件,然
后根据原⽊马的⼤⼩去系统⽂件夹找相同⼤⼩的⽂件,判断⼀下哪个是⽊马就⾏了。⽽⽊马的⾃我销毁功能是指安装完
⽊马后,原⽊马⽂件将⾃动销毁,这样服务端⽤户就很难找到⽊马的来源,在没有查杀⽊马的⼯具帮助下,就很难删除
⽊马了。
⽊马更名
安装到系统⽂件夹中的⽊马的⽂件名⼀般是固定的,那么只要根据⼀些查杀⽊马的⽂章,按图索骥在系统⽂件夹查找特
定的⽂件,就可以断定中了什么⽊马。所以有很多⽊马都允许控制端⽤户⾃由定制安装后的⽊马⽂件名,这样很难判断
所感染的⽊马类型了。
⼗⼀、相关案例
因好莱坞⼤⽚《特洛伊》⽽⼀举成名的“⽊马”(Trojan),在互联⽹时代让⽆数⽹民深受其害。⽆论是“⽹购”、“⽹银”还
是“⽹游”的账户密码,只要与钱有关的⽹络交易,都是当下⽊马攻击的重灾区,⽤户稍有不慎极有可能遭受重⼤钱财损
失甚⾄隐私被窃。以下列举⼀些案例。
⽀付⼤盗
“⽀付⼤盗”花钱上百度⾸页。
“⽀付⼤盗”⽊马出现在百度搜索结果⾸位
2012年12⽉6⽇,⼀款名为“⽀付⼤盗”的新型⽹购⽊马被发现。⽊马⽹站利⽤百度排名机制伪装为“阿⾥旺旺官⽹”,诱骗
⽹友下载运⾏⽊马,再暗中劫持受害者⽹上⽀付资⾦,把付款对象篡改为⿊客账户。
新⿁影
新⿁影
“新⿁影”借《江南Style》疯传。
⽕遍全球的《江南Style》很不幸被⼀种名为“新⿁影”的⽊马盯上了。此⽊马主要寄⽣在硬盘MBR(主引导扇区)中,如
果⽤户电脑没有开启安全软件防护,中招后⽆论重装系统还是格式化硬盘,都⽆法将其彻底清除⼲净。
图⽚⼤盗
“图⽚⼤盗”最爱私密照。
绝⼤多数⽹民都有⼀个困惑,为什么⾃⼰电脑中的私密照会莫名其妙的出现在⽹上。“图⽚⼤盗”⽊马运⾏后会全盘扫描
搜集JPG、PNG格式图⽚,并筛选⼤⼩在100KB到2MB之间的⽂件,暗中将其发送到⿊客服务器上,对受害者隐私造成
严重危害。
浮云
“浮云”⽊马震惊全国。
盗取⽹民钱财⾼达千万元的“浮云”成为了2012年度震惊全国的⽊马。⾸先诱骗⽹民⽀付⼀笔⼩额假订单,却在后台执⾏
另外⼀个⾼额定单,⽤户确认后,⾼额转账资⾦就会进⼊⿊客的账户。该⽊马可以对20多家银⾏的⽹上交易系统实施盗
窃。
黏⾍
“黏⾍”⽊马专盗QQ。
“黏⾍”⽊马制造的虚假QQ登录框
“QQ黏⾍”在2011年度就被业界评为⼗⼤⾼危⽊马之⼀,2012年该⽊马变种卷⼟重来,伪装成QQ登录框窃取⽤户QQ帐
号及密码。值得警惕的是不法分⼦盗窃QQ后,除了窃取帐号关联的虚拟财产外,还有可能假冒⾝份向被害者的亲友借
钱。
怪鱼
“怪鱼”⽊马袭击微博。
2012年⼗⼀长假刚刚结束,⼀种名为“怪鱼”的新型⽊马开始肆虐⽹络。该⽊马充分利⽤了新兴的社交⽹络,在中招电脑
上⾃动登录受害者微博帐号,发布虚假中奖等钓鱼⽹站链接,绝对是2012年最具欺骗性的钓鱼攻击⽅式之⼀。
打印机⽊马
“打印机⽊马”疯狂消耗纸张。
打印机⽊马病毒疯狂打印纸张
2012年6⽉,号称史上最不环保的“打印机⽊马”(nso)现⾝,美国、印度、北欧等地区⼤批企业电脑中
招,导致数千台打印机疯狂打印毫⽆意义的内容,直到耗完纸张或强⾏关闭打印机才会停⽌。
⽹银刺客
“⽹银刺客”⽊马暗算多家⽹银。
2012年“3.15”期间⼤名⿍⿍的“⽹银刺客”⽊马开始⼤规模爆发,该⽊马恶意利⽤某截图软件,把正当合法软件作为⾃⾝
保护伞,从⽽避开了不少杀毒软件的监控。运⾏后会暗中劫持⽹银⽀付资⾦,影响⼗余家主流⽹上银⾏。
遥控弹窗机
“遥控弹窗机”⽊马爱上偷菜。
“遥控弹窗机”是⼀款伪装成“QQ农牧餐⼤师”等游戏外挂的恶意⽊马,运⾏后会劫持正常的QQ弹窗,不断弹出⼤量低俗页
⾯及⽹购钓鱼弹窗,并暗中与⿊客服务器连接,随时获取更新指令,使受害者⾯临⽹络帐号被盗、个⼈隐私泄露的危
险。
Q币⽊马
“Q币⽊马”元旦来袭。
新年历来是⽊马病毒活跃的⾼峰期,2012元旦爆发的“Q币⽊马”令不少⽹民深受其害。该⽊马伪造“元旦五折充值Q币”的
虚假QQ弹窗,诱骗中招⽤户在Q币充值页⾯上进⾏⽀付,充值对象则被⽊马篡改为⿊客的QQ号码,相当于掏钱替⿊客
买Q币。
修改中奖号码
2009年6⽉,深圳⼀起涉及3305万元的福利彩票诈骗案成了社会关注的焦点,深圳市某技术公司软件开发⼯程师程某,
利⽤在深圳福彩中⼼实施技术合作项⽬的机会,通过⽊马程序,攻击了存储福彩信息的数据库,并进⼀步进⾏了篡改彩
票中奖数据的恶意⾏为,以期达到其牟取⾮法利益的⽬的。
蓝⾊⽕焰⽊马
《蓝⾊⽕焰⽊马》是⼀种国产⽊马,由于它没有客户端程序,所以⿊客能很轻易地利⽤机器⾥⼏乎所有和⽹络相关的程
序来控制它,它的服务端程序是运⾏在Windows平台上的,本质上可以说是⼀个微型的Telent、FTP和Web服务器程
序,只要外部使⽤Telent、FTP和浏览器就能控制它了。
查找⽅法
运⾏了《蓝⾊⽕焰⽊马》服务端程序“bf_”,会在C:WINDOWSSYSTEM⽂件夹下⽣成三个⽊马⽂
件“”、“”、“”,前两个⽂件⽆论⼤⼩、图标都和原⽊马⽂件⼀模⼀样;最后⼀个⽂件
为DLL⽂件,⼤⼩为18K。⼀般是利⽤19191端⼝,最新是10K的“微型版”,则使⽤9191端⼝连接。在MSDOS
窗⼝下运⾏“netstat-a”命令即可,如果发现有19191或9191端⼝开放,就表⽰中了《蓝⾊⽕焰》⽊马。
清除⽅法
1、在“开始”菜单的“运⾏”中输⼊Regedit,打开注册表编辑器,进⼊:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,找到"Network
Services"="C:",删除串值NetworkServices及其键值。
2、HKEY_CLASSES_ROOTtxtfileshellopencommand和
HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand之下,将C:
HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand之下,将C:
%1中的“%1”更改为“%1”。
3.到C:WINDOWSSYSTEM下,将、、这三个⽂件彻底删除。
⼗⼆、攻击⽊马
随着DOS攻击越来越⼴泛的应⽤,被⽤作DOS攻击的⽊马也越来越流⾏起来。当你⼊侵了⼀台机器,给他种上DOS攻
击⽊马,那么⽇后这台计算机就成为你DOS攻击的最得⼒助⼿了。你控制的⾁鸡数量越多,你发动DOS攻击取得成功
的机率就越⼤。所以,这种⽊马的危害不是体现在被感染计算机上,⽽是体现在攻击者可以利⽤它来攻击⼀台⼜⼀台计
算机,给⽹络造成很⼤的伤害和带来损失。还有⼀种类似DOS的⽊马叫做邮件炸弹⽊马,⼀旦机器被感染,⽊马就会随
机⽣成各种各样主题的信件,对特定的邮箱不停地发送邮件,⼀直到对⽅瘫痪、不能接受邮件为⽌。
更多推荐
木马后门
发布评论