木马小常识.docx
《木马小常识.docx》由会员分享,可在线阅读,更多相关《木马小常识.docx(16页珍藏版)》请在冰豆网上搜索。
木马小常识
木马小常识
特洛伊木马(以下简称木马),英文叫做“Trojanhouse”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。
在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。
一、木马的危害
相信木马对于众多网民来说不算陌生。
它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。
一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?
不复存在!
木马在黑客入侵中也是一种不可缺少的工具。
就在去年的10月28日,一个黑客入侵了美国微软的门户网站,而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。
就是这小小的QAZ让庞大的微软丢尽了颜面!
广大网民比较熟悉的木马当数国产软件冰河了。
冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作方法和强大的控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。
二、木马原理
特洛伊木马属于客户/服务模式。
它分为两大部分,即客户端和服务端。
其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。
如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。
这个程序被称为守护进程。
以大名鼎鼎的木马冰河为例,被控制端可视为一台服务器,控制端则是一台客户机,服务端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。
为进一步了解木马,我们来看看它们的隐藏方式,木马隐藏方法主要有以下几种:
1.)在任务栏里隐藏
这是最基本的。
如果在windows的任务来历出现一个莫名其妙的图标,傻子都会明白怎么回事。
在VB中,只要把form的Viseble属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.)在任务管理器里隐藏
查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。
如果你按下ctrl+alt+del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。
所以,木马千方百计的伪装自己,使自己不出现在任务管理器里。
木马发现把自己设为“系统服务”就可以轻松的骗过去。
因此希望通过按ctrl+alt+del发现木马是不大现实的。
3.)端口
一台机器由65536个端口,你会注意这么多端口么?
而木马就很注意你的端口。
如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。
当然也有占用1024以下端口的木马。
但这些端口是常用端口,占用这些端口可能会造成系统不正常。
这样的话,木马就会很容易暴露。
也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?
4.)木马的加载方式隐蔽
木马加载的方式可以说千奇百怪,无奇不有。
但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。
如果木马不加任何伪装。
就告诉你这是木马,你会运行它才怪呢。
而随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。
5.)木马的命名
木马服务端程序的命名也有很大的学问。
如果你不做任何修改的话,就使用原来的名字。
谁不知道这是个木马程序呢?
所以木马的命名也是千奇百怪。
不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。
例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除么?
还有的就是更改一些后缀名,比如把dll改为dl等,你不仔细看的话,你会发现么?
6.)最新隐身技术
目前,除了以上所常用的隐身技术,又出现了一种更新、更隐蔽的方法。
那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。
这种方法与一般方法不同,它基本上摆脱了原有的木马模式—监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。
对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。
实际上这样的木马多只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。
这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
三、木马防范工具
防范木马可以使用防火墙软件和各种反黑软件,用它们筑起网上的马其诺防线,上网会安全许多。
网上防火墙软件很多,推荐使用“天网防火墙个人版”。
它是一款完全的免费的软件,安装成功后,它就变成一面盾牌图表缩小到任务来的系统托盘里,并时刻监视黑客的一举一动,当有黑客入侵时,它就会自动报警,并显示入侵者的IP地址。
用鼠标双击盾牌图标,就会弹出天网的控制台,控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。
单击“普通设置”标签,会看到有局域网安全设置和互联网安全设置两个窗口。
我们可以通过拖动滑块来分别设置他们的安全级别等级。
在此建议普通用户选择“中”(关闭了所有的TCP端口服务,但UDP端口服务还开放着,别人无法通过端口的漏洞来入侵,它阻挡了几乎所有的蓝屏攻击和信息泄漏问题,并且不会影响普通网络软件的使用)
在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。
如果上网后有人想连接你的电脑,天网防火墙会将其自动拦截,并告警提示,同时在控制台的“安全纪录”里会将连接者的IP,协议,来源端口,防火墙采取的操作,时间记录等攻击信息显示出来。
在控制台的“检测”、“关于”标签里主要有安全漏洞的说明,防火墙软件的版本号、注册人的号码等信息。
如果你受到攻击想立刻断开网络,点一下控制台上的“停”就可以了。
四、木马的查杀
木马的查杀,可以采用自动和手动两种方式。
最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。
方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。
如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。
启动组对应的文件夹为:
C:
\windows\startmenu\programs\startup,在注册表中的位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
FoldersStartup="C:
\windows\startmenu\programs\startup"。
要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。
当你看到变成这样:
Shell=Explorer.exewind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!
赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:
\windows\winstart.bat、C:
\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。
如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
只要我们能够提高自身的素质,加强网络安全意识,远离木马是完全可能的,没准你也能成为木马查杀高手呢!
状态在线剖析恶意网页修改注册表的十二种现象
剖析恶意网页修改注册表的十二种现象
近来,屡屡发生网友在浏览网页时,造成注册表被修改,使得IE默认连接首页、标题栏及IE右键菜单被改为浏览网页时的地址(多为广告信息),更有甚者使浏览者的电脑在启动时出现一个提示窗口显示自己的广告,而且有愈演愈烈之势,遇到这种情况我们该怎样办呢?
一、注册表被修改的原因及解决办法
其实,该恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。
1、IE默认连接首页被修改
IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式,这是最常见的篡改手段,受害者众多。
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage
通过修改“StartPage”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“万花谷”就会将你的IE默认连接首页修改为“”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。
解决办法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main
下,在右半部分窗口中找到串值“StartPage”双击,将StartPage的键值改为“about:
blank”即可;
③同理,展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
在右半部分窗口中找到串值“StartPage”,然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,一切OK了!
特殊例子:
当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。
其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
解决办法:
运行注册表编辑器regedit.exe,然后依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:
\ProgramFiles\registry.exe,最后从IE选项中重新设置起始页就好了。
2、篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。
具体说来就是以下注册表项被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\
Main\Default_Page_URL
“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。
3、修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改回来。
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]
"Settings"=dword:
1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]
"Links"=dword:
1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]
"SecAddSites"=dword:
1
解决办法:
将上面这些DWORD值改为“0”即可恢复功能。
4、IE的默认首页灰色按扭不可选
这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel
下的DWORD值“homepage”的键值被修改的缘故。
原来的键值为“0”,被修改为“1”(即为灰色不可选状态)。
解决办法:
将“homepage”的键值改为“0”即可。
5、IE标题栏被修改
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:
它们将串值WindowTitle下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。
具体说来受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\WindowTitle
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\WindowTitle
解决办法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main
下,在右半部分窗口中找到串值“WindowTitle”,将该串值删除即可,或将WindowTitle的键值改为“IE浏览器”等你喜欢的名字;
③同理,展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题解决了!
6、IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt
下被新建了网页的广告信息,并由此在IE右键菜单中出现!
解决办法:
打开注册标编辑器,找到
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt
删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉啊,这两个可是“正常”的呀,除非你不想在IE的右键菜单中见到它们。
7、IE默认搜索引擎被修改
在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。
出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\SearchAssistant
解决办法:
运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。
8、系统启动时弹出对话框
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。
由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息!
你瞧,多讨厌啊!
解决办法:
打开注册表编辑器,找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。
9、浏览网页注册表被禁用
这是由于注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。
解决办法
用记事本程序建立以REG为后缀名的文件,将下面这些内容复制在其中就可以了:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:
00000000
10、浏览网页开始菜单被修改
这是最“狠”的一种,让浏览者有生不如死的感觉。
浏览后不仅有类似上面所说的那些症状,还会有以下更悲惨的遭遇:
1)禁止“关闭系统”
2)禁止“运行”
3)禁止“注销”
4)隐藏C盘——你的C盘找不到了!
5)禁止使用注册表编辑器regedit
6)禁止使用DOS程序
7)使系统无法进入“实模式”
8)禁止运行任何程序
具体的原因和解决办法请看天极网e企业之安全之路栏目的这篇文章:
《浏览网页注册表被修改之迷及解决办法》。
以上是比较常见的修改浏览者注册表的现象,今天在浏览网页时,无意中来到某个个人网站,又遇到了以前没有碰到过的问题:
11、IE中鼠标右键失效
浏览网页后在IE中鼠标右键失效,点击右键没有任何反应!
12、查看““源文件”菜单被禁用
在IE窗口中点击“查看”→“源文件”,发现“源文件”菜单已经被禁用。
我在浏览网页时并没有注意到上面这两个问题,因为当时正好朋友叫我有事,于是我就退出电脑了,晚上吃完饭开启电脑连线上网,就发现IE中鼠标右键失效,“查看”菜单中的“源文件”被禁用。
不能查看源文件也就罢了,但是无法使用鼠标右键真是太不方便了。
得想个办法!
找出最新版的超级兔子魔法设置试试吧,呀!
不能解决!
看来是个新问题,不过自己好歹也是“老革命”了,这点问题应该难不住我。
于是到注册表中一番搜寻,经过一番查找终于弄明白了问题的所在。
原来,恶意网页修改了我的注册表,具体的位置为:
在注册表
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer
下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:
“NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。
在注册表
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\Restrictions
下,将两个DWORD值:
“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。
通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“源文件”被禁用的目的。
要向你说明的是第2点中提到的注册表其实相当于第1点中提到的注册表的分支,修改第1点中所说的注册表键值,第2点中注册表键值随之改变。
解决办法:
明白了道理,问题解决起来就容易多了,具体解决办法为:
将以下内容另存为后缀名为reg的注册表文件,比方说unlock.reg,双击unlock.reg导入注册表,不用重启电脑,重新运行IE就会发现IE的功能恢复正常了。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions]
“NoViewSource”=dword:
00000000
"NoBrowserContextMenu"=dword:
00000000
[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\Restrictions]
“NoViewSource”=dword:
00000000
“NoBrowserContextMenu”=dword:
00000000
要特别注意的是,在你编制的注册表文件unlock.reg中,“REGEDIT4”一定要大写,并且它的后面一定要空一行,还有,“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!
许多朋友写注册表文件之所以不成功,就是因为没有注意到上面所说的内容,这回该注意点喽。
请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”改为WindowsRegistryEditorVersion5.00。
2004-6-1204:
34PM
Q版蹦牙囝
初级会员
升级会员 