黑木馬改裝圖片
❶ 這是什麼木馬~~
特洛伊木馬(以下簡稱木馬),英文叫做「Trojan house」,其名稱取自希臘神話的特洛伊木馬記。
它是一種基於遠程式控制制的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會採用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往只能望「馬」興嘆。
所謂非授權性是指一旦控制端與服務端連接後,控制端將享有服務端的大部分操作許可權,包括修改文件,修改注冊表,控制滑鼠,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網路還處於以UNIX平台為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到系統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。
鑒於木馬的巨大危害性,我們將分原理篇,防禦與反擊篇,資料篇三部分來詳細介紹木馬,希望大家對特洛伊木馬這種攻擊手段有一個透徹的了解。
原 理 篇
基礎知識
在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。
一個完整的木馬系統由硬體部分,軟體部分和具體連接部分組成。
(1)硬體部分:建立木馬連接所必須的硬體實體。 控制端:對服務端進行遠程式控制制的一方。 服務端:被控制端遠程式控制制的一方。 INTERNET:控制端對服務端進行遠程式控制制,數據傳輸的網路載體。
(2)軟體部分:實現遠程式控制制所必須的軟體程序。 控制端程序:控制端用以遠程式控制制服務端的程序。 木馬程序:潛入服務端內部,獲取其操作許可權的程序。 木馬配置程序:設置木馬程序的埠號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。
(3)具體連接部分:通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP,服務端IP:即控制端,服務端的網路地址,也是木馬進行數據傳輸的目的地。 控制端埠,木馬埠:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或木馬 程序。
木馬原理
用木馬這種黑客工具進行網路入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能:
(1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會採用多種偽裝手段,如修改圖標 ,捆綁文件,定製埠,自我銷毀等,我們將在「傳播木馬」這一節中詳細介紹。
(2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,IRC號 ,ICO號等等,具體的我們將在「信息反饋」這一節中詳細介紹。
二.傳播木馬
(1)傳播方式:
木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人只要打開附件系統就會感染木馬;另一種是軟體下載,一些非正規的網站以提供軟體下載為 名義, 將木馬捆綁在軟體安裝程序上,下載後,只要一運行這些程序,木馬就會自動安裝。
(2)偽裝方式:
鑒於木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑製作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目 的。
(一)修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴你,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提 心吊膽,疑神疑鬼的。
(二)捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的 情況下 ,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。
(三)出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的 設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務 端用戶打開木 馬程序時,會彈出一個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如「文件已破壞,無法打開的!」之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了 系統。
(四)定製埠
很多老式的木馬埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 埠就 知道感染了什麼木馬,所以現在很多新式的木馬都加入了定製埠的功能,控制端用戶可 以在1024---65535之間任選一個埠作為木馬埠(一般不選1024以下的埠),這樣就給判斷 所感染木馬類型帶 來了麻煩。
(五)自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後,木馬 會將自己拷貝到WINDOWS的系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),一般來說 原木馬文件 和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬 的朋友只要在近來 收到的信件和下載的軟體中找到原木馬文件,然後根據原木馬的大小去系統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬後,原木馬文件將自動銷毀,這 樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。
(六)木馬更名
安裝到系統文件夾中的木馬的文件名一般是固定的,那麼只要根據一些查殺木馬的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以現在有很多木馬都允許控 制端用戶自由定製安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。
三.運行木馬
服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然後在注冊表,啟動組,非啟動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啟動木馬了,具體過程見下圖:
(1)由觸發條件激活木馬
觸發條件是指啟動木馬的條件,大致出現在下面八個地方:
1.注冊表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。
2.WIN.INI:C:\WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在[windows]欄位中有啟動 命令 load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:\WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動命令。
4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都 需要控制端用戶與服務端建立連接後,將已添加木馬啟動命令的同名 文件上傳 到服務端覆蓋這兩個文件才行。
5.*.INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬 啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。
6.注冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個例子,國產 木馬「冰河」就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將「C :\WINDOWS \NOTEPAD.EXE %1」該為「C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1」,這時你雙 擊一個TXT文件 後,原本應用NOTEPAD打開文件的,現在卻變成啟動木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬 ,不同之處只在於「文件類型」這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找一下。
7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然後控制端用戶用工具 軟體將木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。
8.啟動菜單:在「開始---程序---啟動」選項下也可能有木馬的觸發條件。
(2)木馬運行過程
木馬被激活後,進入內存,並開啟事先定義的木馬埠,准備與控制端建立連接。這時服務端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看埠狀態,一般個人電腦在離線狀態下是不會有埠 開放的,如果有埠開放,你就要注意是否感染木馬了。下面是電腦感染木馬後,用NETSTAT命令查 看埠的兩個實例:
其中①是服務端與控制端建立連接時的顯示狀態,②是服務端與控制端還未建立連接時的顯示狀態。
在上網過程中要下載軟體,發送信件,網上聊天等必然打開一些埠,下面是一些常用的埠:
(1)1---1024之間的埠:這些埠叫保留埠,是專給一些對外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木馬會用保留埠作為木馬埠 的。
(2)1025以上的連續埠:在上網瀏覽網站時,瀏覽器會打開多個連續的埠下載文字,圖片到本地 硬碟上,這些埠都是1025以上的連續埠。
(3)4000埠:這是OICQ的通訊埠。
(4)6667埠:這是IRC的通訊埠。 除上述的埠基本可以排除在外,如發現還有其它埠打開,尤其是數值比較大的埠,那就要懷疑 是否感染了木馬,當然如果木馬有定製埠的功能,那任何埠都有可能是木馬埠。
四.信息泄露:
一般來說,設計成熟的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集 一些服務端的軟硬體信息,並通過E-MAIL,IRC或ICO的方式告知控制端用戶。下圖是一個典型的信息反 饋郵件。
從這封郵件中我們可以知道服務端的一些軟硬體信息,包括使用的操作系統,系統目錄,硬碟分區況, 系統口令等,在這些信息中,最重要的是服務端IP,因為只有得到這個參數,控制端才能與服務端建立 連接,具體的連接方法我們會在下一節中講解。
五.建立連接:
這一節我們講解一下木馬連接是怎樣建立的 。一個木馬連接的建立首先必須滿足兩個條件:一是 服務端已安裝了木馬程序;二是控制端,服務端都要在線 。在此基礎上控制端可以通過木馬埠與服 務端建立連接.
❷ 如何做木馬免殺
木馬免殺濃縮精華版教程
第一部分:對國內外殺毒軟體分析
在講定位內存特徵碼前,先要分析國內外著名殺毒軟體的內存查殺特點。大家在使用木馬過程都會發現,內存查殺,一般都指得被瑞星的內存查殺。瑞星的內存查殺功能是同類殺毒軟體中最強的一款殺毒軟體。像強悍的卡巴,金山,等等它們的內存查殺意義不大,會製作免殺木馬的人都知道,像這類殺毒軟體,只要文件免殺,內存也就免殺了.還有江民也有內存查殺功能,但內存查殺功能比較弱.只針對影響力非常大的病毒程序.一般的黑客軟體都沒有提取內存特徵碼.
第二部分:木馬免殺的對策
一. 要使一個木馬免殺,首先要准備一個不加殼的木馬,這點非常重要,否則下面的免殺操作就不能進行下去。
二.然後我們要木馬的內存免殺,從上面分析可以看出,目前的內存查殺,只有瑞星最強,其它殺毒軟體內存查殺現在還不起作用所以我們只針對瑞星的內存查殺,要進行內存特徵碼的定位和修改,才能內存免殺。
三.對符其它的殺毒軟體,比如江民,金山,諾頓,卡巴.我們可以採用下面的方法,或這些方面的組合使用.
1>.入口點加1免殺法.
2>.變化入口地址免殺法
3>.加花指令法免殺法
4>.加殼或加偽裝殼免殺法.
5>.打亂殼的頭文件免殺法.
6>.修改文件特徵碼免殺法.
第三部分:免殺技術實例演示部分
一.入口點加1免殺法:
1.用到工具:PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺.
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可.
二.變化入口地址免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址.
三.加花指令法免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟體的免殺.
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們准備好的花指令填進去填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令的著地址.
四.加殼或加偽裝殼免殺法:
1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺.
3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的免殺效果更佳.
五.打亂殼的頭文件或殼中加花免殺法:
1.用到工具:秘密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好.
3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.
六.修改文件特徵碼免殺法:
1.用到工具:特徵碼定位器,OllyDbg
2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟體的免殺,要達到多種殺毒軟體的免殺,必需修改各種殺毒軟體的特徵碼.但免殺效果好.
3.操作要點:對某種殺毒軟體的特徵碼的定位到修改一系列慢長過程.
第四部分:快速定位與修改瑞星內存特徵碼
一.瑞星內存特徵碼特點:由於技術原因,目前瑞星的內存特徵碼在90%以上把字元串作為病毒特徵碼,這樣對我們的定位和修改帶來了方便.
二.定位與修改要點:
1>.首先用特徵碼定位器大致定位出瑞星內存特徵碼位置
2>.然後用UE打開,找到這個大致位置,看看,哪些方面對應的是字元串,用0替換後再用內存查殺進行查殺.直到找到內存特徵碼後,只要把字元串的大小寫互換就能達到內存免殺效果.
第五部分:免殺方案實例演示部分
1.完全免殺方案一:
內存特徵碼修改 + 加UPX殼 + 秘密行動工具打亂UPX殼的頭文件.
2.完全免殺方案二:
內存特徵碼修改 + 加壓縮殼 + 加殼的偽裝
3.完全免殺方案三:
內存特徵碼修改 + 修改各種殺毒軟體的文件特徵碼 + 加壓縮殼
4.完全免殺方案四:
內存特徵碼修改 + 加花指令 + 加壓殼
5.完全變態免殺方案五:
內存特徵碼修改 + 加花指令 + 入口點加1 + 加壓縮殼UPX + 打亂殼的頭文件
還有其它免殺方案可任意組合.達到更好的免殺效果.
❸ 怎麼把木馬的格式改成圖片格式
您好
建議您不要這么做,使用木馬病毒屬於違反犯罪行為
另外,隨著雲殺毒技術的發展,例如像電腦管家這樣的殺毒軟體,採用了2大雲殺毒引擎和全國最大的雲病毒庫,可以通過智能雲鑒定,輕松徹底清除木馬病毒
所以即使您製作了捆綁病毒依然會被檢測出來,所以還是不要嘗試為好。
如果還有其他疑問和問題,歡迎再次來電腦管家企業平台進行提問,我們將盡全力為您解答疑難
騰訊電腦管家企業平台:http://..com/c/guanjia/
❹ 木馬是什麼
在神話傳說中,特洛伊木馬表面上是「禮物」,但實際卻藏匿了大量襲擊特洛伊城的希臘士兵。現在,特洛伊木馬是一些表面有用的軟體程序,實際目的是危害計算機安全性並破壞計算機。最近的特洛伊木馬都以電子郵件的形式傳播。郵件的附件聲稱是 Microsoft 安全更新程序,但實際上是一些試圖禁用防病毒軟體和防火牆軟體的病毒。
特洛伊木馬 (n.):一種表面有用,但實際有破壞作用的計算機程序。
一旦用戶禁不起誘惑打開了自認為合法的程序,特洛伊木馬便趁機傳播。為了更好地保護用戶,Microsoft 常通過電子郵件發出安全公告,但這些郵件從不包含附件。我們也將在向客戶發送電子郵件前在 安全布告欄 中公布安全警報。
特洛伊木馬也可能包含在免費下載軟體中。絕不要從不信任來源下載軟體。始終通過Microsoft Windows Update 或Microsoft Office Update下載 Microsoft 更新程序或修補程序。
參考資料:http://www.microsoft.com/china/security/articles/virus101.asp
❺ 河南重大殺人案,改裝木馬誘拐分屍,殺害17名男性青年,結果怎樣
這個「改裝木馬殺人案件」,不少人都聽說過,這樣事件的發生,很多人都不敢相信案件的真實性。利用改裝的木馬,將多名男性青少年誘拐至家中,進行了分屍殺害。
將受害人騙在「智能木馬」上,用布條將受害人勒死,直至逮捕歸案,黃勇殺害了17名男性青少年,輕傷1人。一般將受害人騙到木馬上後,黃勇用白色布條將其勒死,然後將其分屍肢解埋在自家院子裡面或者是房屋地下,並將受害者衣服焚燒。
2003年11月22日黃勇被逮捕,12月9日,河南省駐馬店市中級人民法院開庭公開審理此案。駐馬店市中級人民法院依據《中華人民共和國刑法》第232條、第570條第一款,以故意殺人罪判處黃勇死刑,剝奪政治權利終身。黃勇一審被判處死刑後未提出上訴。12月26日上午9時,河南省高級人民法院在平輿縣召開公開宣判大會,宣布河南平輿特大殺人案案犯黃勇死刑,並立即執行。宣判大會後,黃勇在平輿縣刑場被執行槍決。受害人家屬與各界代表多達300人參加了宣判大會。
引發的深思
是什麼使得黃勇做出如此暴虐之事?黃勇自小孤僻,經常生活在自己的世界中,從小看一些錄像帶,使得黃勇產生了游戲中虛幻邪惡的念頭,最終黃勇將目光轉向現實,並在網吧中尋找下手目標。
這樣的事情發生,使得我們深受觸動,但是在震驚之餘,還有深思,對於青少年監管引導方面,無論是家長、學校還是有關部門,都應該負起責任,保障青少年健康成長。
❻ 找出隱藏的木馬
某一天,你在繳納電話費時出現大筆的網路服務費;登錄QQ和收取郵件時,卻老是被告知「密碼錯誤」;上網過程中,突然覺得計算機不聽使喚了,這時你就該想到自己是不是被人黑了。 黑客要想直接進入你的機器是很難的,通常的方法是將木馬植入你的機器中,如網上下載的程序;或是「網友」發來的「好玩」的程序。如果你被黑了,應該怎麼辦? 為預防病毒的侵襲,很多用戶都在個人電腦中安裝了防病毒軟體,只要及時升級,很多殺毒軟體都能清除大多數木馬,像「木馬剋星」這類軟體還可以找出潛伏在機器中的木馬。另外LockDown、天網個人防火牆等黑客監視程序都能夠監視黑客的非法連接。但是如果黑客對木馬的程序名進行了修改,對於這種隱藏很深的木馬又該怎樣清除呢? 在上網過程中,如果你突然發現計算機不聽使喚了,或是出現一些如光碟機自動彈出又自動關閉等奇怪現象,應該立即聯想到是被黑了。對於撥號上網用戶來說,要馬上下線中止黑客的連接;而對區域網用戶來說,由於長期連在網上,時刻可能遭到攻擊,一般都要安裝個人網路防火牆。這時只需點擊防火牆的〔斷開網路〕按鈕,就可以馬上中止黑客的連接,不管他是來自網際網路還是區域網內的用戶。與網路斷開的同時,還應立即按下〔Ctrl+Alt+Del〕復合鍵來查看一下系統是否運行了什麼可疑的程序,一旦發現,應馬上停止它。如果你的系統是Windows 98或者Windows 2000,最好運行[開始]→[程序]→[附件]→[系統工具]→[系統信息],雙擊「軟體環境」,選擇「正在運行任務」,在任務列表中尋找自己不熟悉的或者自己並沒有運行的程序並刪除它。 可是木馬還能死而復生,為什麼呢?這是因為黑客對木馬設置了文件類型關聯,通常是對最常用的文件類型關聯,如TXT、EXE等。當你打開了被關聯類型的文件時,木馬服務端程序首先會被執行,然後再執行系統默認的打開程序。所以必須檢查注冊表中相應的項是否被木馬所修改,並記錄下修改後的鍵值,然後在資源管理器中找到這些鍵值對應的程序並刪除,再重新啟動機器即可達到清除木馬的目的。 QQ登錄不上去,老是報告與上次密碼不一致,有可能就是自己的密碼被黑了。如果你已經在騰訊網站申請了密碼保護,那麼你可以到騰訊網站填寫你的密碼保護信息,取回你的密碼。如果沒申請保護的話,那恐怕就只有同你心愛的QQ說拜拜了。有時你的QQ會收到大量的信息,使你根本無法接收到好友發來的信息,這是有人在使用QQ炸彈,遇到這種情況,你大可不必驚慌,只需關掉QQ下線,再上線,就沒問題了。 個人電腦用戶除了需採取一些技術措施來盡量減少上網風險外,在上網時還需注意不輕易打開來歷不明的文件、對下載的任何東西都進行病毒檢測、關閉瀏覽器和電子郵件客戶端的腳本執行功能、安裝IE補丁等,只有這樣才能充分享受網路的「利」,避免網路的「弊」,在網上自由翱翔。
灰鴿子(Backdoor.Huigezi)作者現在還沒有停止對灰鴿子的開發,再加上有些人為了避開殺毒軟體的查殺故意給灰鴿子加上各種不同的殼,造成現在網路上不斷有新的灰鴿子變種出現。如果您的機器出現灰鴿子症狀但用殺毒軟體查不到,那很可能是中了還沒有被截獲的新變種。這個時候,就需要手工殺掉灰鴿子。
手工清除灰鴿子並不難,重要的是我們必須懂得它的運行原理。
灰鴿子的運行原理
灰鴿子木馬分兩部分:客戶端和服務端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server.exe,然後黑客通過各種渠道傳播這個木馬(俗稱種木馬或者開後門)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然後假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運行;也可以建立一個個人網頁,誘騙你點擊,利用IE漏洞把木馬下載到你的機器上並運行;還可以將文件上傳到某個軟體下載站點,冒充成一個有趣的軟體誘騙用戶下載……
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下木馬程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子木馬。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」,然後點擊「確定」。
2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除。另外,如果你發現了瑞星殺毒軟體查不到的灰鴿子變種,也歡迎登陸瑞星新病毒上報網站(http://up.rising.com.cn)上傳樣本。
灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
注意:為防止誤操作,清除前一定要做好備份。
一、清除灰鴿子的服務
2000/XP系統:
1、打開注冊表編輯器(點擊「開始」-》「運行」,輸入「Regedit.exe」,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。
2、點擊菜單「編輯」-》「查找」,「查找目標」輸入「game.exe」,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。
二、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子已經被清除干凈。
小結
本文給出了一個手工檢測和清除灰鴿子的通用方法,適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種採用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。當你確定機器中了灰鴿子木馬而用本文所述的方法又檢測不到時,最好找有經驗的朋友幫忙解決。
特洛伊木馬完全解析
一位客戶的PC出現了奇怪的症狀,速度變慢,CD-ROM托盤毫無規律地進進出出,從來沒有見過的錯誤信息,屏幕圖像翻轉,等等。我切斷了他的Internet連接,然後按照對付惡意軟體的標准步驟執行檢查,終於找出了罪魁禍首:兩個遠程訪問特洛伊木馬——一個是Cult of the Dead Cow臭名昭著的Back Orifice,還有一個是不太常見的The Thing。在這次事件中,攻擊者似乎是個小孩,他只想搞些惡作劇,讓別人上不了網,或者交換一些色情資料,但沒有什麼更危險的舉動。如果攻擊者有其他更危險的目標,那麼他可能已經從客戶的機器及其網路上竊得許多機密資料了。
特洛伊木馬比任何其他惡意代碼都要危險,要保障安全,最好的辦法就是熟悉特洛伊木馬的類型、工作原理,掌握如何檢測和預防這些不懷好意的代碼。
一、初識特洛伊木馬
特洛伊木馬是一種惡意程序,它們悄悄地在宿主機器上運行,就在用戶毫無察覺的情況下,讓攻擊者獲得了遠程訪問和控制系統的許可權。一般而言,大多數特洛伊木馬都模仿一些正規的遠程式控制制軟體的功能,如Symantec的pcAnywhere,但特洛伊木馬也有一些明顯的特點,例如它的安裝和操作都是在隱蔽之中完成。攻擊者經常把特洛伊木馬隱藏在一些游戲或小軟體之中,誘使粗心的用戶在自己的機器上運行。最常見的情況是,上當的用戶要麼從不正規的網站下載和運行了帶惡意代碼的軟體,要麼不小心點擊了帶惡意代碼的郵件附件。
大多數特洛伊木馬包括客戶端和伺服器端兩個部分。攻擊者利用一種稱為綁定程序的工具將伺服器部分綁定到某個合法軟體上,誘使用戶運行合法軟體。只要用戶一運行軟體,特洛伊木馬的伺服器部分就在用戶毫無知覺的情況下完成了安裝過程。通常,特洛伊木馬的伺服器部分都是可以定製的,攻擊者可以定製的項目一般包括:伺服器運行的IP埠號,程序啟動時機,如何發出調用,如何隱身,是否加密。另外,攻擊者還可以設置登錄伺服器的密碼、確定通信方式。
伺服器向攻擊者通知的方式可能是發送一個email,宣告自己當前已成功接管的機器;或者可能是聯系某個隱藏的Internet交流通道,廣播被侵佔機器的IP地址;另外,當特洛伊木馬的伺服器部分啟動之後,它還可以直接與攻擊者機器上運行的客戶程序通過預先定義的埠進行通信。不管特洛伊木馬的伺服器和客戶程序如何建立聯系,有一點是不變的,攻擊者總是利用客戶程序向伺服器程序發送命令,達到操控用戶機器的目的。
特洛伊木馬攻擊者既可以隨心所欲地查看已被入侵的機器,也可以用廣播方式發布命令,指示所有在他控制之下的特洛伊木馬一起行動,或者向更廣泛的范圍傳播,或者做其他危險的事情。實際上,只要用一個預先定義好的關鍵詞,就可以讓所有被入侵的機器格式化自己的硬碟,或者向另一台主機發起攻擊。攻擊者經常會用特洛伊木馬侵佔大量的機器,然後針對某一要害主機發起分布式拒絕服務攻擊(Denial of Service,即DoS),當受害者覺察到網路要被異乎尋常的通信量淹沒,試圖找出攻擊者時,他只能追蹤到大批懵然不知、同樣也是受害者的DSL或線纜數據機用戶,真正的攻擊者早就溜之大吉。
二、極度危險的惡意程序
對於大多數惡意程序,只要把它們刪除,危險就算過去,威脅也不再存在,但特洛伊木馬有些特殊。特洛伊木馬和病毒、蠕蟲之類的惡意程序一樣,也會刪除或修改文件、格式化硬碟、上傳和下載文件、騷擾用戶、驅逐其他惡意程序,例如,經常可以看到攻擊者霸佔被入侵機器來保存游戲或攻擊工具,用戶所有的磁碟空間幾乎都被侵佔殆盡,但除此之外,特洛伊木馬還有其獨一無二的特點——竊取內容,遠程式控制制——這使得它們成為最危險的惡意軟體。
首先,特洛伊木馬具有捕獲每一個用戶屏幕、每一次鍵擊事件的能力,這意味著攻擊者能夠輕松地竊取用戶的密碼、目錄路徑、驅動器映射,甚至醫療記錄、銀行帳戶和信用卡、個人通信方面的信息。如果PC帶有一個麥克風,特洛伊木馬能夠竊聽談話內容。如果PC帶有攝像頭,許多特洛伊木馬能夠把它打開,捕獲視頻內容——在惡意代碼的世界中,目前還沒有比特洛伊木馬更威脅用戶隱私的,凡是你在PC前所說、所做的一切,都有可能被記錄。
一些特洛伊木馬帶有包嗅探器,它能夠捕獲和分析流經網卡的每一個數據包。攻擊者可以利用特洛伊木馬竊取的信息設置後門,即使木馬後來被清除了,攻擊者仍可以利用以前留下的後門方便地闖入。
其次,如果一個未經授權的用戶掌握了遠程式控制制宿主機器的能力,宿主機器就變成了強大的攻擊武器。遠程攻擊者不僅擁有了隨意操控PC本身資源的能力,而且還能夠冒充PC合法用戶,例如冒充合法用戶發送郵件、修改文檔,當然還可以利用被侵佔的機器攻擊其他機器。二年前,一個家庭用戶請我幫忙,要我幫他向交易機構證明他並沒有提交一筆看來明顯虧損的股票交易。交易機構確實在該筆交易中記錄了他的PC的IP地址,而且在他的瀏覽器緩沖區中,我也找到了該筆有爭議的交易的痕跡。另外,我還找到了SubSeven(即Backdoor_G)特洛伊木馬的跡象。雖然沒有證據顯示出特洛伊木馬與這筆令他損失慘重的股票交易直接有關,但可以看出交易發生之時特洛伊木馬正處於活動狀態。
三、特洛伊木馬的類型
常見的特洛伊木馬,例如Back Orifice和SubSeven等,都是多用途的攻擊工具包,功能非常全面,包括捕獲屏幕、聲音、視頻內容的功能。這些特洛伊木馬可以當作鍵記錄器、遠程式控制制器、FTP伺服器、HTTP伺服器、Telnet伺服器,還能夠尋找和竊取密碼。攻擊者可以配置特洛伊木馬監聽的埠、運行方式,以及木馬是否通過email、IRC或其他通信手段聯系發起攻擊的人。一些危害大的特洛伊木馬還有一定的反偵測能力,能夠採取各種方式隱藏自身,加密通信,甚至提供了專業級的API供其它攻擊者開發附加的功能。由於功能全面,所以這些特洛伊木馬的體積也往往較大,通常達到100 KB至300 KB,相對而言,要把它們安裝到用戶機器上而不引起任何人注意的難度也較大。
對於功能比較單一的特洛伊木馬,攻擊者會力圖使它保持較小的體積,通常是10 KB到30 KB,以便快速激活而不引起注意。這些木馬通常作為鍵記錄器使用,它們把受害用戶的每一個鍵擊事件記錄下來,保存到某個隱藏的文件,這樣攻擊者就可以下載文件分析用戶的操作了。還有一些特洛伊木馬具有FTP、Web或聊天伺服器的功能。通常,這些微型的木馬只用來竊取難以獲得的初始遠程式控制制能力,保障最初入侵行動的安全,以便在不太可能引起注意的適當時機上載和安裝一個功能全面的大型特洛伊木馬。
隨便找一個Internet搜索網站,搜索一下關鍵詞Remote Access Trojan,很快就可以得到數百種特洛伊木馬——種類如此繁多,以至於大多數專門收集特洛伊木馬的Web網站不得不按照字母順序進行排列,每一個字母下有數打甚至一百多個木馬。下面我們就來看看兩種最流行的特洛伊木馬:Back Orifice和SubSeven。
■ Back Orifice
1998年,Cult of the Dead Cow開發了Back Orifice。這個程序很快在特洛伊木馬領域出盡風頭,它不僅有一個可編程的API,還有許多其他新型的功能,令許多正規的遠程式控制制軟體也相形失色。Back Orifice 2000(即BO2K)按照GNU GPL(General Public License)發行,希望能夠吸引一批正規用戶,以此與老牌的遠程式控制制軟體如pcAnywhere展開競爭。
但是,它默認的隱蔽操作模式和明顯帶有攻擊色彩的意圖使得許多用戶不太可能在短時間內接受。攻擊者可以利用BO2K的伺服器配置工具可以配置許多伺服器參數,包括TCP或UDP、埠號、加密類型、秘密激活(在Windows 9x機器上運行得較好,在Windows NT機器上則略遜一籌)、密碼、插件等。
Back Orifice的許多特性給人以深刻的印象,例如鍵擊事件記錄、HTTP文件瀏覽、注冊表編輯、音頻和視頻捕獲、密碼竊取、TCP/IP埠重定向、消息發送、遠程重新啟動、遠程鎖定、數據包加密、文件壓縮,等等。Back Orifice帶有一個軟體開發工具包(SDK),允許通過插件擴展其功能。
默認的bo_peep.dll插件允許攻擊者遠程式控制制機器的鍵盤和滑鼠。就實際應用方面而言,Back Orifice對錯誤的輸入命令非常敏感,經驗不足的新手可能會使它頻繁地崩潰,不過到了經驗豐富的老手那裡,它又會變得馴服而又強悍。
■ SubSeven
SubSeven可能比Back Orifice還要受歡迎,這個特洛伊木馬一直處於各大反病毒軟體廠商的感染統計榜前列。SubSeven可以作為鍵記錄器、包嗅探器使用,還具有埠重定向、注冊表修改、麥克風和攝像頭記錄的功能。圖二顯示了一部分SubSeven的客戶端命令和伺服器配置選項。
SubSeven具有許多令受害者難堪的功能:攻擊者可以遠程交換滑鼠按鍵,關閉/打開Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del組合鍵,注銷用戶,打開和關閉CD-ROM驅動器,關閉和打開監視器,翻轉屏幕顯示,關閉和重新啟動計算機,等等。
SubSeven利用ICQ、IRC、email甚至CGI腳本和攻擊發起人聯系,它能夠隨機地更改伺服器埠,並向攻擊者通知埠的變化。另外,SubSeven還提供了專用的代碼來竊取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保護程序的密碼。
四、檢測和清除特洛伊木馬
如果一個企業網路曾經遭受病毒和Email蠕蟲的肆虐,那麼這個網路很可能也是特洛伊木馬的首選攻擊目標。由於木馬會被綁定程序和攻擊者加密,因此對於常規的反病毒軟體來說,查找木馬要比查找蠕蟲和病毒困難得多。另一方面,特洛伊木馬造成的損害卻可能遠遠高於普通的蠕蟲和病毒。因此,檢測和清除特洛伊木馬是系統管理員的首要任務。
要反擊惡意代碼,最佳的武器是最新的、成熟的病毒掃描工具。掃描工具能夠檢測出大多數特洛伊木馬,並盡可能地使清理過程自動化。許多管理員過分依賴某些專門針對特洛伊木馬的工具來檢測和清除木馬,但某些工具的效果令人懷疑,至少不值得完全信任。不過,Agnitum的Tauscan確實稱得上頂級的掃描軟體,過去幾年的成功已經證明了它的效果。
特洛伊木馬入侵的一個明顯證據是受害機器上意外地打開了某個埠,特別地,如果這個埠正好是特洛伊木馬常用的埠,木馬入侵的證據就更加肯定了。一旦發現有木馬入侵的證據,應當盡快切斷該機器的網路連接,減少攻擊者探測和進一步攻擊的機會。打開任務管理器,關閉所有連接到Internet的程序,例如Email程序、IM程序等,從系統托盤上關閉所有正在運行的程序。注意暫時不要啟動到安全模式,啟動到安全模式通常會阻止特洛伊木馬裝入內存,為檢測木馬帶來困難。
大多數操作系統,當然包括Windows,都帶有檢測IP網路狀態的Netstat工具,它能夠顯示出本地機器上所有活動的監聽埠(包括UDP和TCP)。打開一個命令行窗口,執行「Netstat -a」命令就可以顯示出本地機器上所有打開的IP埠,注意一下是否存在意外打開的埠(當然,這要求對埠的概念和常用程序所用的埠有一定的了解)。
顯示了一次Netstat檢測的例子,檢測結果表明一個Back Orifice使用的埠(即31337)已經被激活,木馬客戶程序使用的是遠程機器(ROGERLAP)上的1216埠。除了已知的木馬常用埠之外,另外還要特別留意未知的FTP伺服器(埠21)和Web伺服器(埠80)。
但是,Netstat命令有一個缺點,它能夠顯示出哪些IP埠已經激活,但卻沒有顯示出哪些程序或文件激活了這些埠。要找出哪個執行文件創建了哪個網路連接,必須使用埠枚舉工具,例如,Winternals Software的TCPView Professional Edition就是一個優秀的埠枚舉工具。Tauscan除了能夠識別特洛伊木馬,也能夠建立程序與埠的聯系。另外,Windows XP的Netstat工具提供了一個新的-o選項,能夠顯示出正在使用埠的程序或服務的進程標識符(PID),有了PID,用任務管理器就可以方便地根據PID找到對應的程序。
如果手頭沒有埠枚舉工具,無法快速找出幕後肇事者的真正身份,請按照下列步驟操作:尋找自動啟動的陌生程序,查找位置包括注冊表、.ini文件、啟動文件夾等。然後將機器重新啟動進入安全模式,可能的話,用Netstat命令確認一下特洛伊木馬尚未裝入內存。接下來,分別運行各個前面找出的有疑問的程序,每次運行一個,分別用Netstat命令檢查新打開的埠。如果某個程序初始化了一個Internet連接,那就要特別小心了。深入研究一下所有可疑的程序,刪除所有不能信任的軟體。
Netstat命令和埠枚舉工具非常適合於檢測一台機器,但如果要檢測的是整個網路,又該怎麼辦?大多數入侵檢測系統(Intrusion Detection System,IDS)都具有在常規通信中捕獲常見特洛伊木馬數據包的能力。FTP和HTTP數據具有可識別的特殊數據結構,特洛伊木馬數據包也一樣。只要正確配置和經常更新IDS,它甚至能夠可靠地檢測出經過加密處理的Back Orifice和SubSeven通信。請參見http://www.snort.org,了解常見的源代碼開放IDS工具。
五、處理遺留問題
檢測和清除了特洛伊木馬之後,另一個重要的問題浮現了:遠程攻擊者是否已經竊取了某些敏感信息?危害程度多大?要給出確切的答案很困難,但你可以通過下列問題確定危害程度。首先,特洛伊木馬存在多長時間了?文件創建日期不一定值得完全信賴,但可資參考。利用Windows資源管理器查看特洛伊木馬執行文件的創建日期和最近訪問日期,如果執行文件的創建日期很早,最近訪問日期卻很近,那麼攻擊者利用該木馬可能已經有相當長的時間了。
其次,攻擊者在入侵機器之後有哪些行動?攻擊者訪問了機密資料庫、發送Email、訪問其他遠程網路或共享目錄了嗎?攻擊者獲取管理員許可權了嗎?仔細檢查被入侵的機器尋找線索,例如文件和程序的訪問日期是否在用戶的辦公時間之外?
在安全要求較低的環境中,大多數用戶可以在清除特洛伊木馬之後恢復正常工作,只要日後努力防止遠程攻擊者再次得逞就可以了。至於安全性要求一般的場合,最好能夠修改一下所有的密碼,以及其他比較敏感的信息(例如信用卡號碼等)。
在安全性要求較高的場合,任何未知的潛在風險都是不可忍受的,必要時應當調整管理員或網路安全的負責人,徹底檢測整個網路,修改所有密碼,在此基礎上再執行後繼風險分析。對於被入侵的機器,重新進行徹底的格式化和安裝。
特洛伊木馬造成的危害可能是非常驚人的,由於它具有遠程式控制制機器以及捕獲屏幕、鍵擊、音頻、視頻的能力,所以其危害程度要遠遠超過普通的病毒和蠕蟲。深入了解特洛伊木馬的運行原理,在此基礎上採取正確的防衛措施,只有這樣才能有效減少特洛伊木馬帶來的危害.
回答者:阿喃 - 經理 四級 12-31 17:00
--------------------------------------------------------------------------------
您覺得最佳答案好不好? 目前有 0 個人評價
50% (0)
50% (0)
其他回答 共 2 條
特洛伊木馬完全解析
一位客戶的PC出現了奇怪的症狀,速度變慢,CD-ROM托盤毫無規律地進進出出,從來沒有見過的錯誤信息,屏幕圖像翻轉,等等。我切斷了他的Internet連接,然後按照對付惡意軟體的標准步驟執行檢查,終於找出了罪魁禍首:兩個遠程訪問特洛伊木馬——一個是Cult of the Dead Cow臭名昭著的Back Orifice,還有一個是不太常見的The Thing。在這次事件中,攻擊者似乎是個小孩,他只想搞些惡作劇,讓別人上不了網,或者交換一些色情資料,但沒有什麼更危險的舉動。如果攻擊者有其他更危險的目標,那麼他可能已經從客戶的機器及其網路上竊得許多機密資料了。
特洛伊木馬比任何其他惡意代碼都要危險,要保障安全,最好的辦法就是熟悉特洛伊木馬的類型、工作原理,掌握如何檢測和預防這些不懷好意的代碼。
一、初識特洛伊木馬
特洛伊木馬是一種惡意程序,它們悄悄地在宿主機器上運行,就在用戶毫無察覺的情況下,讓攻擊者獲得了遠程訪問和控制系統的許可權。一般而言,大多數特洛伊木馬都模仿一些正規的遠程式控制制軟體的功能,如Symantec的pcAnywhere,但特洛伊木馬也有一些明顯的特點,例如它的安裝和操作都是在隱蔽之中完成。攻擊者經常把特洛伊木馬隱藏在一些游戲或小軟體之中,誘使粗心的用戶在自己的機器上運行。最常見的情況是,上當的用戶要麼從不正規的網站下載和運行了帶惡意代碼的軟體,要麼不小心點擊了帶惡意代碼的郵件附件。
大多數特洛伊木馬包括客戶端和伺服器端兩個部分。攻擊者利用一種稱為綁定程序的工具將伺服器部分綁定到某個合法軟體上,誘使用戶運行合法軟體
❼ win10桌面部分圖標變白
1、首先在電腦中,點擊變白的圖標,然後單擊右鍵,選擇屬性,如下圖所示。
❽ 什麼是木馬啊有哪些特徵
木馬簡介前言
在我潛意識中說起「木馬」馬上就聯想到三國時期諸葛亮先生發明的木牛流馬,當初怎麼就想不通它與病毒扯上關系了。經過一番了解,原來它是借用了一個古希臘士兵藏在木馬中潛入敵方城市,從而一舉佔領敵方城市的故事,因為現在所講的木馬病毒侵入遠程主機的方式在戰略上與其攻城的方式一致。通個這樣的解釋相信大多數朋友對木馬入侵主機的方式所有領悟:它就是通過潛入你的電腦系統,通過種種隱蔽的方式在系統啟動時自動在後台執行的程序,以「里應外合」的工作方式,用伺服器/客戶端的通訊手段,達到當你上網時控制你的電腦,以竊取你的密碼、游覽你的硬碟資源,修改你的文件或注冊表、偷看你的郵件等等。
一旦你的電腦被它控制,則通常表現為藍屏然死機;CD-ROM莫名其妙地自己彈出;滑鼠左右鍵功能顛倒或者失靈或文件被刪除;時而死機,時而又重新啟動;在沒有執行什麼操作的時候,卻在拚命讀寫硬碟;系統莫明其妙地對軟碟機進行搜索;沒有運行大的程序,而系統的速度越來越慢,系統資源佔用很多;用CTRL+ALT+DEL調出任務表,發現有多個名字相同的程序在運行,而且可能會隨時間的增加而增多等等。
不過要知道,即使發現了你的機器染上木馬病毒,也不必那麼害怕,因為木馬病毒與一般病毒在目的上有很大的區別,即使木馬運行了,也不一定會對你的機器造成危害。但肯定有壞處,你的上網密碼有可能已經跑到別人的收件箱里了,這樣黑客們就可以盜用你的上網賬號上網了!木馬程序也是病毒程序的一類,但更具體的被認為黑客程序,因為它入侵的目的是為發布這些木馬程序的人,即所謂的黑客服務的。
本文將就木馬的一些特徵、木馬入侵的一些常用手法及清除方法以及如何避免木馬的入侵以及幾款常見木馬程序的清除四個方面作一些綜合說明。
木馬的基本特徵
木馬是病毒的一種,同時木馬程序又有許多種不同的種類,那是受不同的人、不同時期開發來區別的,如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等這些都屬於木馬病毒種類。綜合現在流行的木馬程序,它們都有以下基本特徵:
1、隱蔽性是其首要的特徵
如其它所有的病毒一樣,木馬也是一種病毒,它必需隱藏在你的系統之中,它會想盡一切辦法不讓你發現它。很多人的對木馬和遠程式控制制軟體有點分不清,因為我前面講了木馬程序就要通過木馬程序駐留目標機器後通過遠程式控制制功能控制目標機器。實際上他們兩者的最大區別就是在於這一點,舉個例子來說吧,象我們進行區域網間通訊的常軟體——PCanywhere大家一定不陌生吧,大家也知道它是一款遠程通訊軟體。PCanwhere在伺服器端運行時,客戶端與伺服器端連接成功後客戶端機上會出現很醒目的提示標志。而木馬類的軟體的伺服器端在運行的時候應用各種手段隱藏自己,不可能還出現什麼提示,這些黑客們早就想到了方方面面可能發生的跡象,把它們扼殺了。例如大家所熟悉木馬修改注冊表和ini文件以便機器在下一次啟動後仍能載入木馬程式,它不是自己生成一個啟動程序,而是依附在其它程序之中。有些把伺服器端和正常程序綁定成一個程序的軟體,叫做exe-binder綁定程式,可以讓人在使用綁定的程式時,木馬也入侵了系統,甚至有個別木馬程序能把它自身的exe文件和伺服器端的圖片文件綁定,在你看圖片的時候,木馬也侵入了你的系統。 它的隱蔽性主要體現在以下兩個方面:
a、不產生圖標
它雖然在你系統啟動時會自動運行,但它不會在「任務欄」中產生一個圖標,這是容易理解的,不然的話,憑你的火眼金睛你一定會發現它的。我們知道要想在任務欄中隱藏圖標,只需要在木馬程序開發時把「Form」的「Visible 」屬性設置為「False」、把「ShowintaskBar」屬性設置為「Flase」即可;
b、木馬程序自動在任務管理器中隱藏,並以「系統服務」的方式欺騙操作系統。
2、它具有自動運行性
它是一個當你系統啟動時即自動運行的程序,所以它必需潛入在你的啟動配置文件中,如win.ini、system.ini、winstart.bat以及啟動組等文件之中。
3、木馬程序具有欺騙性
木馬程序要達到其長期隱蔽的目的,就必需藉助系統中已有的文件,以防被你發現,它經常使用的是常見的文件名或擴展名,如「dll\win\sys\explorer等字樣,或者仿製一些不易被人區別的文件名,如字母「l」與數字「1」、字母「o」與數字「0」,常修改基本個文件中的這些難以分辨的字元,更有甚者乾脆就借用系統文件中已有的文件名,只不過它保存在不同路徑之中。還有的木馬程序為了隱藏自己,也常把自己設置成一個ZIP文件式圖標,當你一不小心打開它時,它就馬上運行。等等這些手段那些編制木馬程序的人還在不斷地研究、發掘,總之是越來越隱蔽,越來越專業,所以有人稱木馬程序為「騙子程序」。
4、具備自動恢復功能
現在很多的木馬程序中的功能模塊已不再是由單一的文件組成,而是具有多重備份,可以相互恢復。
5、能自動打開特別的埠
木馬程序潛入人的電腦之中的目的不主要為了破壞你的系統,更是為了獲取你的系統中有用的信息,這樣就必需當你上網時能與遠端客戶進行通訊,這樣木馬程序就會用伺服器/客戶端的通訊手段把信息告訴黑客們,以便黑客們控制你的機器,或實施更加進一步入侵企圖。你知不知道你的電腦有多少個對外的「門」,不知道吧,告訴你別嚇著,根據TCP/IP協議,每台電腦可以有256乘以256扇門,也即從0到65535號「門,但我們常用的只有少數幾個,你想有這么門可以進,還能進不來?當然有門我們還是可以關上它們的,這我在預防木馬的辦法中將會講到。
6、 功能的特殊性
通常的木馬的功能都是十分特殊的,除了普通的文件操作以外,還有些木馬具有搜索cache中的口令、設置口令、掃描目標機器人的IP地址、進行鍵盤記錄、遠程注冊表的操作、以及鎖定滑鼠等功能,上面所講的遠程式控制制軟體的功能當然不會有的,畢竟遠程式控制制軟體是用來控制遠程機器,方便自己操作而已,而不是用來黑對方的機器的。
7、黑客組織趨於公開化
以往還從未發現有什麼公開化的病毒組織(也許是我孤陋寡聞),多數病毒是由個別人出於好奇(當然也有專門從事這一職業的),想試一下自己的病毒程序開發水平而做的,但他(她)絕對不敢公開,因為一旦發現是有可能被判坐牢或罰款的,這樣的例子已不再什麼新聞了。如果以前真的也有專門開發病毒的病毒組織,但應絕對是屬於「地下」的。現在倒好,什麼專門開發木馬程序的組織到處都是,不光存在,而且還公開在網上大肆招兵買馬,似乎已經合法化。正因如此所以黑客程序不斷升級、層出不窮,黑的手段也越來越高明。我不知道為什麼,但據講其理由是「為了自衛、為了愛國」 。
木馬入侵的常用手法及清除方法
雖然木馬程序千變萬化,但正如一位木馬組織的負責人所講,大多數木馬程序沒有特別的功能,入侵的手法也差不多,只是以前有關木馬程序的重復,只是改了個名而已,現在他們都要講究效率,據說他們要杜絕重復開發,浪費資源。當然我們也只能講講以前的一些通用入侵手法,因為我們畢竟不是木馬的開發者,不可能有先知先覺。
1、在win.ini文件中載入
一般在win.ini文件中的[windwos]段中有如下載入項:
run= load= ,一般此兩項為空,如圖1所示。
圖1
如果你發現你的系統中的此兩項載入了任何可疑的程序時,應特別當心,這時可根據其提供的源文件路徑和功能進一步檢查。我們知道這兩項分別是用來當系統啟動時自動運行和載入程序的,如果木馬程序載入到這兩個子項中之後,那麼當你的系統啟動後即可自動運行或載入了。當然也有可能你的系統之中確是需要載入某一程序,但你要知道這更是木馬利用的好機會,它往往會在現有載入的程序文件名之後再加一個它自己的文件名或者參數,這個文件名也往往用你常見的文件,如command.exe、sys.com等來偽裝。
2、在System.ini文件中載入
我們知道在系統信息文件system.ini中也有一個啟動載入項,那就是在[BOOT]子項中的「Shell」項,如圖2所示。
圖2
在這里木馬最慣用的伎倆就是把本應是「Explorer」變成它自己的程序名,名稱偽裝成幾乎與原來的一樣,只需稍稍改"Explorer」的字母「l」改為數字「1」,或者把其中的「o」改為數字「0」,這些改變如果不仔細留意是很難被人發現的,這就是我們前面所講的欺騙性。當然也有的木馬不是這樣做的,而是直接把「Explorer」改為別的什麼名字,因為他知道還是有很多朋友不知道這里就一定是「Explorer」,或者在「Explorer」加上點什麼東東,加上的那些東東肯定就是木馬程序了。
3、修改注冊表
如果經常研究注冊表的朋友一定知道,在注冊表中我們也可以設置一些啟動載入項目的,編制木馬程序的高手們當然不會放過這樣的機會的,況且他們知道注冊表中更安全,因為會看注冊表的人更少。事實上,只要是」Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木馬程序載入的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce],如圖3所示;
圖3
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce],如圖4所示。
圖4
你只要按照其指定的源文件路徑一路查過去,並具體研究一下它在你系統這中的作用就不難發現這些鍵值的作用了,不過同樣要注意木馬的欺騙性,它可是最善於偽裝自己呵!同時還要仔細觀察一下在這些鍵值項中是否有類似netspy.exe、空格、.exe或其它可疑的文件名,如有則立即刪除。
4、修改文件打開關聯
木馬程序發展到了今天,他們發現以上的那些老招式不靈了,為了更加隱蔽自己,他們所採用隱蔽的手段也是越來越高明了(不過這也是萬物的生存之道,你說呢?),它們採用修改文件打開關聯來達到載入的目的,當你打開了一個已修改了打開關聯的文件時,木馬也就開始了它的運作,如冰河木馬就是利用文本文件(.txt)這個最常見,但又最不引人注目的文件格式關聯來載入自己,當有人打開文本文件時就自動載入了冰河木馬。
修改關聯的途經還是選擇了注冊表的修改,它主要選擇的是文件格式中的「打開」、「編輯」、「列印」項目,如冰河木馬修改的對象如圖5所示,
圖5
如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的鍵值不是「c:\windows\notepad.exe %1」,而是改為「sy***plr.exe %1」。
以上所介紹的幾種木馬入侵方式,如果發現了我們當然是立即對其刪除,並要立即與網路斷開,切斷黑客通訊的途徑,在以上各種途徑中查找,如果是在注冊表發現的,則要利用注冊表的查找功能全部查找一篇,清除所有的木馬隱藏的窩點,做到徹底清除。如果作了注冊表備份,最好全部刪除注冊表後再導入原來的備份注冊表。
在清除木馬前一定要注意,如果木馬正在運行,則你無法刪除其程序,這時你可以重啟動到DOS方式然後將其刪除。有的木馬會自動檢查其在注冊表中的自啟動項,如果你是在木馬處於活動時刪除該項的話它能自動恢復,這時你可以重啟到DOS下將其程序刪除後再進入Win9x下將其注冊表中的自啟動項刪除。