《木马基础知识》由会员分享,可在线阅读,更多相关《木马基础知识(8页珍藏版)》请在金锄头文库上搜索。
1、木马病毒的原理一个完整的特洛伊木马套装程序含了两部分: 服务端(服务器部分) 和客户端(控 制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的 电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程, 暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户 上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心 不良的程序的, 它可能看起来是有用或者有趣的计划(或者至少无害)对一不怀疑 的用户来说,但是实际上有害当它被运行。特洛伊木马不会自动运行,它是暗含在某
2、些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特洛伊木马 才会运行,信息或文档才会被破坏和遗失。特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。特洛伊木马有两种,universal的和transitive的,universal就是可以控制的,而 transitive 是不能控制,刻死的操作。“木马”程序会想尽一切办法隐藏自己,主要途径有:1. 在任务栏中隐藏自己,这是最基本的只要把 Form 的 Visible 属性设为 False、 ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。2. 在任务
3、管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它 也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行 服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自 动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、 注册表等等都是“木马”藏身的好地方。下面具体谈谈 “木马”是怎样自动加载的。 在win.ini文件中,在WINDOWS下面,“run=”和“load=”是可能加载“木 马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没 有,如果发现后面跟有路径与文件名不是你熟悉的启动文件
4、,你的计算机就可 能中上“木马”了。当然你也得看清楚,因为好多“木马”,如 “AOL Trojan 木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是 真正的系统启动文件。 在system.ini文件中,在BOOT下面有个“shel上文件名”。正确的文件名应该 是“ explorer.exe”,如果不是 “explorer.exe”,而是“shell= explorer.exe 程序 名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马” 了。在注册表中的情况最复杂,通过 regedit 命令打开注册表编辑器,在点击至: “ HKEY LOCAL MA
5、CHINESoftwareMicrosoftWindowsCurrentVersionRui”目录下,查看键值中 有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马” 程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0 木 马 ” , 它 将 注 册 表 “ HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersionRu”下的 Explorer 键 值改为 Explorer= “C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer 之间只有“i”与“1”
6、的差别。当然在注册表中还有很多地方都可以隐藏“木 马 ” 程 序 , 如 :“ HKEY CURRENT USERSoftwareMicrosoftWindowsCurrentVersionRun”、“ HKEY USERS * SoftwareMicrosoftWindowsCurrentVfersionRun” 的目录下都有可能,最好 的 办 法 就 是 在“ HKEY LOCAL MACHINESoftwareMicrosoftWindowsCurrentVersionRui”下找到“木马”程序 的文件名,再在整个注册表中搜索即可。木马的查杀:知道了“木马”的工作原理,查杀“木马”就变得
7、很容易,如果发现有“木马”存在 最安全也是最有效的方法:1. 就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。2. 然后编辑win.ini文件,将WINDOWS下面,“run= “木马”程序”或“load= “木 马”程序”更改为“ run=”和“load=”;3. 编辑system.ini文件,将BOOT下面的“shell= 木马文件”,更改为:“shell= explorer.exe”;4. 在注册表中,用regedit对注册表进行编辑,先在“ HKEY LOCAL MACHINESoftwareMicrosoftWindowsCurrentVersionRui”下找到“木马”程
8、序的文 件名,再在整个注册表中搜索并替换掉“木马”程序,注意:有时候还需注意的是:有的“木马”程序并不是直接将“ HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRuif 下的木马”键值删除就 行了,因为有的“木马”如:BladeRunner “木马”,如果你删除它,“木马”会立即 自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到 此 “木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文 件的键值删除。至此,我们就大功告成了如何查出木马的方法:一、检测网络连接如果你怀疑自己的计算机上被别人
9、安装了木马,或者是中了病毒,但是手里没有 完善的工具来检测是不是真有这样的事情发生,那可以使用 Windows 自带的网络命 令来看看谁在连接你的计算机。具体的命令格式是: netstat -an 这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分 proto(连接方式)、local address(本地连接地址)、foreign address( 和本地建立连接的地址 )、 state( 当前端口状态 )。通过这个命令的详细信息, 我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。二、禁用不明服务很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢, 用杀
10、毒软件也查不出问题, 这个时候很可能是别人通过入侵你的计算机后给你开放了 特别的某种服务,比如 IIS 信息服务等,这样你的杀毒软件是查不出来的。但是别急, 可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放 的服务,我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start ”来查看服务,再用“net stop server”来禁止服务。三、轻松检查账户很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。 他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使 用工具把这个账户提升到管理员权限,从表面上看
11、来这个账户还是和原来一样,但是 这个克隆的账户却是系统中最大的安全隐患。 恶意的攻击者可以通过这个账户任意地 控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名 ”查看这个用户是属于什么权限的,一般除了 Administrator 是 administr ators 组的,其他都不是 !如果你发现一个系统内置的用户是属于 administrators 组的, 那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user 用户名/del”来删掉这个用户吧!联网状
12、态下的客户端。对于没有联网的客户端,当其联网之后也会在第一时间内 收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过 程,也使用户的计算机时刻处于最佳的保护环境之下。四、对比 “msconfig.exe和Servicesmsc1。点击“开始,运行”输入“msconfig.exe 回车,打开”系统配置实用程序,然后 在“服务”选项卡中勾选 “隐藏所有 Microsoft 服务”,这时列表中显示的服务项都是非系 统程序。2。再点击 “开始,运行 ”,输入 Services.msc 回车,打开 “系统服务管理 ”,对比 两张表,在该 “服务列表 ”中可以逐一找出刚才显示的非系统
13、服务项。3。在“系统服务 ”管理界面中,找到那些服务后,双击打开,在 “常规 ”选项卡中的 可执行文件路径中可以看到服务的可执行文件位置, 一般正常安装的程序, 比如杀毒, MSN,防火墙,等,都会建立自己的系统服务,不在系统目录下,如果有第三方服务 指向的路径是在系统目录下,那么他就是 “木马 ”。选中它,选择表中的 “禁止”,重新 启动计算机即可。4 要点:有一个表的左侧:有被选中的服务程序说明,如果没用,它就是木马。杀毒软件是根据什么来进行病毒判断并查杀得呢?病毒检测的方法:在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒 方法有:特征代码法、校验和法、行为监
14、测法、软件模拟法这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。特征代码法:特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代 码法是检测已知病毒的最简单、开销最小的方法。特征代码法的实现步骤如下:采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时 采集COM型病毒样本和EXE型病毒样本。在病毒样本中,抽取特征代码。依据如下原则:抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一 方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。如果一种病毒的 特征代码增长一字节,要检测3
15、000种病毒,增加的空间就是3000字节。在保持唯一性的 前提下,尽量使特征代码长度短些,以减少空间与时间开销。在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特 征代码纳入病毒数据库。打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。 如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种 病毒。采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检 测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道 其特征代码,因而无法去检测这些新病毒。特征代码法的优点是:检
16、测准确快速、可识别病毒的名称、误报警率低、依据检测结果, 可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在 网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。其特点:A. 速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000 个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类 工具检测的高速性,将变得日益困难。B. 误报警率低。非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态 性病毒是病毒特征代码法的索命者。D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒 能先于检测工具,
