一种木马程序,其感染机制与u盘_木马程序感染机制与u

hacker|
79

计算机病毒和木马的工作原理和过程(好的追加200)

“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!

病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。

病毒 (n.):以自我复制为明确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分,既客户端和服务端。其原理是一台主机提供服务(服务器端),另一台主机接受服务(客户端),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明,现在木马在病毒中所占的比例已经超过了四分之一,而在近年涌起的病毒潮中,木马类病毒占绝对优势,并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒,如果不小心把它当成一个软件来使用,该木马就会被“种”到电脑上,以后上网时,电脑控制权就完全交给了“黑客”,他便能通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化,硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭,新的窗口被莫名其妙地打开,网络传输指示灯一直在闪烁,没有运行大的程序,而系统却越来越慢,系统资源站用很多,或运行了某个程序没有反映(此类程序一般不大,从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃,嘿嘿)

“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,(没有人会这么傻吧??)。“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中,win.ini和system.ini这两个系统配置文件都存放在C:windows目录下,你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe,run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节,正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOLTrojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作,这种方法往往是在文件的安装过程中被使用,程序安装完成之后文件就立即执行,与此同时安装的原文件被Windows删除干净,因此隐蔽性非常强,例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe,该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除,因此它运行起来就格外隐蔽。

2、在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意,如果你对计算机不是很了解,请不要输入此命令或删除里边的文件,否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查,木马们也可能隐藏在

C:\windows\winstart.bat和C:\windows\winnint.ini,还有Autoexec.bat

B、注册表(注册表就是注册表,懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始-程序-启动”处,在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“AcidBatteryv1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处,如果其中的“1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是,对系统注册表进行删除修改操作前一定要将注册表备份,因为对注册表操作有一定的危险性,加上木马的隐藏较隐蔽,可能会有一些误操作,如果发现错误,可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险,如不懂计算机请不要尝试。切记)

C、端口(端口,其实就是网络数据通过操作系统进入计算机的入口)

1、万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243

那么如何查看本机开放哪些端口呢?

在dos里输入以下命令:netstat-an,就能看到自己的端口了,一般网络常用端口有:21,23,25,53,80,110,139,如果你的端口还有其他的,你可要注意了,因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的,由于时间和安全的关系现在好多新木马的端口我不知道,也不敢去试,因为技术更新的太快了,我跟不上了。55555555555555)

2、由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么在监听该端口的很可能是木马。

3、系统进程:

在Win2000/XP中按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程,一一清查即可发现木马的活动进程。

在Win98下,查找进程的方法不那么方便,但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行,但是对系统必须熟悉,因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着,因此这个时候一定要小心操作,木马还是可以通过这种方法被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马,但一般情况下木马没有那么容易就能发现,木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件,

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理,就算你中了别人的木马,但由于防火墙把你的计算机和外界隔开,木马的客户端也连接不上你。防火墙启动之后,一旦有可疑的网络连接或者木马对电脑进行控制,防火墙就会报警,同时显示出对方的IP地址、接入端口等提示信息,通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说,运行天网会影响机器的运行速度。

3、木马克星。目前具我所知,是只查杀木马的软件,也是能查杀木马种类最多的软件。顾名思义,木马克星不克乾坤无敌槌也不克北冥槌法,专克各种木马。但也不是绝对哦,好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马,和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时,要是提示你发现木马只有注册用户才能清除,这只是作者的一个小手段,其实他的意思是如果发现木马,那么只有注册用户才能清楚,要是真的发现了木马,软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机,看着“系统安全”心理舒服多了。

有了类似的这些防护软件,你的计算机基本上是安全了。但道高一尺,魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的,很是厉害),就是把木马本体根据排列组合生成多个木马,而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了,所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他病毒很有效,对木马的检查也是蛮成功地,但彻底地清除不很理想,因为一般情况下木马在电脑每次启动时都会自动加载,而杀病毒软件却不能完全清除木马文件,总的说来,杀病毒软件作为防止木马的入侵来说更有效。

五、木马的防御

随着网络的普及和网络游戏装备可以换人民币的浪潮,木马的传播越来越快,而且新的变种层出不穷,我们在检测清除它的同时,更要注意采取措施来预防它,下面列举几种预防木马的方法。(大家的意见,我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的,一旦运行了这个被绑定的软件或文件就会被感染,因此在下载的时候需要特别注意,一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下,建议用专门查杀木马的软件来进行检查,确定无毒和无马后再使用。

2、不要随意打开邮件的附件,也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子,大家注意收看。)

3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享,则最好单独开一个共享文!件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序,PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的,微软公司发现这些漏洞之后都会在第一时间内发布补丁,很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自网络的攻击手段越来越多了,一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。

目前来自网页的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等;后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言):还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为,没有发展成破坏行为。要不然号被盗了,在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了,大家看仔细了!

假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件,总之是特别诱人的文件,而且格式还很安全。):QQ靓号放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:

您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?

欺骗实现原理:当您双击这个伪装起来的.txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost,它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器,位于c:\WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在WindowsScriptingHost脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映,许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件,来骗取玩家的信任,来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的,马上删除,记得一定要马上删除,别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见,不付法律责任)

防止木马对在家上网来说是很简单的事,无非就是装一大堆杀毒软件,并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品,除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制,该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦,除非是自己好奇或是不小心打开了木马服务端,我想这种情况还是占一定的比例!

但是对网吧上网的来说,再好的防御也是白撤。

据我所知,现在的网吧安全系数几乎等于00000000,现在最厉害的应该就是装个还“原精灵吧”,但是......我个人认为那东西用处不是很大,说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的,也就是说,你只要在输入框内输入你的密码之后,木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)!对网吧上网的朋友来说,靠复制方法输入ID和密码算最安全的了,很多木马程序实际上就是一个键盘记录工具,在你不知情的情况下把你的键盘输入情况全部记录了下来,然后通过网络发送出去!(好可怕哦,不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了,说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了,哭哦)

总之,家庭上网用户记得随时更新自己的病毒库,随时检查计算机进程,发现不明进程马上格杀,不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度,一般一级域名都不会出现恶意代码和网页木马),更别随意接收别人给你发送的文件和邮件!

网吧防盗真的很困难了,什么人都有,复杂了,就算老板花钱去注册一个木马克星,呵呵。。。都没用,想做坏事的人同样能把他干掉~~~~我个人认为,网吧上网除了复制ID密码粘贴到输入框,其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件,就总要替人家说句公道话。前些时候,有人说醉翁1.1G软件运行后,没什么反映。当关闭软件的一刹那,一些防护类软件提示:此软件正在监视本机键盘!!

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中,勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的勾子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,屏幕取词,日志监视等等。可见,利用勾子可以实现许多特殊而有用的功能。因此,对于高级编程人员来说,掌握勾子的编程方法是很有必要的。

勾子的类型

按使用范围分类,主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的事件消息。

(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序,所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序,由于勾子对程序的特殊性,所以会有部分软件报告发现他在记录键盘动作,不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作,只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。

木马病毒是怎么回事呀?厉害马?怎么得的

马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出,捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。

病毒是怎么传播的?它是怎么感染内网的其他的电脑的?

一、病毒定义 所谓病毒就是一段代码,其本质和大家使用的QQ、WORD什么的程序没有区别,只不过制作者令其具有了自我复制和定时发作进行破坏功能。一般病毒都在1K到数K大小。 二、病毒种类 我们所遇到的病毒可分引导型(感染磁盘引导区)程序型(感染可执行文件)宏病毒(感染WORD文档)等。 三、病毒工作原理 计算机系统的内存是一个非常重要的资源,我们可以认为所有的工作都需要在内存中运行(相当与人的大脑),所以控制了内存就相当于控制了人的大脑,病毒一般都是通过各种方式把自己植入内存,获取系统最高控制权,然后感染在内存中运行的程序。(注意,所有的程序都在内存中运行,也就是说,在感染了病毒后,你所有运行过的程序都有可能被传染上,感染那些文件这由病毒的特性所决定) 1、程序型病毒的工作原理。 这是目前最多的一类病毒,主要感染.exe 和 .dll 等可执行文件和动态连接库文件,比如很多的蠕虫病毒都是这样。注意蠕虫病毒不是一个病毒,而是一个种类。他的特点是针对目前INTERNET高速发展,主要在网络上传播,当他感染了一台计算机之后,可以自动的把自己通过网络发送出去,比如发送给同一居欲网的用户或者自动读取你的EMAIL列表,自动给你的朋友发EMAIL等等。感染了蠕虫病毒的机器一秒种可能会发送几百个包来探测起周围的机器。会造成网络资源的巨大浪费。所以这次我们杀毒主要是针对这种病毒。 那么病毒是怎么传染的那? 切记:病毒传染的前提就是,他必须把自己复制到内存中,硬盘中的带毒文件如果没有被读入内寸,是不会传染的,这在杀毒中非常重要。而且,计算机断电后内存内容会丢失这我想大家都知道。 所以:病毒和杀毒软件斗争的焦点就在于争夺启动后的内存控制权。 2、程序型病毒是怎么传播的。 病毒传播最主要的途径是网络,还有软盘和光盘。比如,我正在工作时,朋友拿来一个带病毒的软盘,比如,该病毒感染了磁盘里的A文件,我运行了一下这个A文件,病毒就被读如内存,如果你不运行染毒文件,程序型病毒是不会感染你的机器的(不要骂,我这里说的是程序型病毒,后面我会说引导型病毒,他只要打开软盘就会感染)当染毒文件被运行,病毒就进入内存,并获取了内存控制权,开始感染所有之后运行的文件。比如我运行了WORD。EXE ,则该文件被感染,病毒把自己复制一份,加在WORD.EXE文件的后面,会使该文件长度增加1到几个K。(不是所有病毒都这样,我举这个离子只是想介绍病毒感染过程) 好,接下来,比如说我关机了,则内存中的病毒被清除,我机子中所有的染毒文件只有WORD.exe。第二天,我又开机时,内存是干净的。比如我需要用WORD,于是,该染毒文件中的病毒被读如内存,继续感染下面运行的程序,周而复始,时间越长,染毒文件越多。 到了一定时间,病毒开始发作(根据病毒作者定义的条件,有的是时间,比如CIH,有的是感染规模等等)执行病毒作者定义的操作,比如无限复制,占用系统资源、删除文件、将自己向网络传播甚至格式化磁盘等等。 但是,无论如何,病毒只不过是一段代码,他不可能破坏硬件(欢迎和我讨论),就算是CIH也不是破坏硬件,他只是改写了BIOS中的数据,实际上还是软破坏。什么叫破坏硬件?就是病毒发作时,你的硬盘啪的一下裂成两半,可能吗? 所以,完全不必惧怕病毒,他不会让我门受到太大的经济损失,如果我们养成良好的工作习惯的话(比如自己的文档不要保存在C盘等,后面我会细说) 3、引导型病毒的工作原理 看了前面的病毒传染过程,大家很容易想到,只要我启动计算机后不运行染毒程序,直接删除不就可以了。实际上,现在的病毒没有那么弱智的,下面我门来看看其他的几种传染机制,首先看看引导型病毒 刚才说了,病毒必须进入内存才可以继续感染,只有被运行他才可以进入内存,那么与等用户来运行,如果用户长期不用这个染度文件,岂不是等的花而也谢了。引导型病毒感染的不是文件,而是磁盘引导区,他把自己写入引导区,这样,只要磁盘被读写,病毒就首先被读取入内存。这就是为什么杀毒要用干净的启动盘启动,为的就是防止引导型病毒。下面我详细的谈一下磁盘引导区,看不懂的可以跳过去。 4、引导型病毒是如何传播的 在计算机启动时,必须读取硬盘主引导区获得分区信息,再读取C:盘引导区获取操作系统信息,这时候任何杀毒软件都无法控制,这样我先介绍一下计算机的启动顺序,大家只要记住一点就是:任何程序都要被读入内存才会起作用。 计算机加电后,内存是空的,首先从BIOS中读取一些启动参数到内存中,这些命令控制计算机去做下一步工作就是自检。(BIOS就是固化在ROM中的基本输入输出系统的意思,ROM是只读存储器,因为计算机是一个机电设备,他不会自己干什么事情,必须由软件,也就是人事先写好的程序来控制他工作,而这些程序必须被读入内存才可以控制计算机,哈哈越扯越远了,不说了,在将就变成计算机基础讲座了,哈哈) 接下来,计算机自检,发现硬盘,读取硬盘主引导程序到内存中,再读取C盘的引导程序到内存中,再读取操作系统文件到内存中,然后开始由操作系统文件控制计算机开始启动。启动完毕后,读入各种自动运行的文件,比如天网放火墙、QQ、病毒监测软件、等等, 前面说过,谁先进入内存,谁先占据系统控制权,从上面的启动顺序可以发现,如果病毒在引导区,那么,他被读入内存的时候,杀毒软件还不知道在那里呢。 举个离子:比如我拿了一张染有引导型病毒的软盘用,当我双击A盘图标后,计算机开始读软盘,首先读入软盘引导区,病毒随之进入内存,并立即把自己写入硬盘引导区(如果开了病毒检测,则时可以检测到并杀之)。如果没有装杀毒软件,检测布道,则下次开机时,计算机自检之后,读硬盘引导区时就会同时读入病毒,接下来,病毒获得系统控制权,改写操作系统文件,隐藏自己,然后计算机继续启动进入WIN200桌面,然后病毒检测才开始运行,病毒完全可能已经把自己伪装起来,让杀毒软件找不到。 所以这中病毒一定要用启动盘启动后,再杀,就是为了跳过读硬盘引导区那一段。在后面我会纤细介绍。 5、病毒如何自动把自身装入内存。 刚才介绍了现在的病毒不会等待用户去运行染毒文件才进驻内存,他们都有自己的办法运行自己,进驻内存,但是有一个共同的特征就是,他必须把自己放在合适的位置,让系统在启动的某个阶段自动去调用他。因为计算机刚刚加电的时候,系统控制权是在BIOS手里的(因为他最早装入内存),而BIOS是保存在只读的ROM中的,所以这时,系统是无毒的,所以引导型病毒要做的就是在BIOS向操作系统交权之前也就是读取启动盘时截取之。 那么程序型病毒怎么把自身装如内存呢?他没有截取控制权的这个能力,BIOS会顺利的把控制权交给操作系统,这时,用户看到的就是开始启动WIN200,由于操作系统在启动时会读取大量的动态联结库文件,病毒就可以把自己放在一个合适的位置上,然后告诉WIN2000启动时把自己读如内存,这一步很好实现,比如大家都知道,QQ启动时会被自动运行,实际上,程序型病毒自动运行自己的办法和QQ从本质上是相同的。就是让系统在启动的某个阶段自动去调用而已。 下面先介绍蠕虫病毒,用他携带的木马程序的自动运行方式来介绍一下这个过程。 四、关于蠕虫病毒 我们学校网络中最多的就是蠕虫病毒,所以我要单独的说一下。 蠕虫病毒是在INTERNET高速发展后出现的病毒,他具有了一些新特性。大部分的蠕虫病毒是程序型的,不会感染引导区,他们一般通过邮件传播(注意,不是唯一的传播方式,所有传统的传播方式都会传播之,并且许多蠕虫病毒会自己搜索网络上没有感染的机器并感染之,他实际上是一个写的很好的以太网传输状态的检测工具^_^),并且大多携带木马程序,具有根据微软服务软件的漏洞来入侵计算机的攻击能力,大部分蠕虫病毒并不破坏计算机里的信息,只是疯狂的去感染其他的计算机。感染了蠕虫病毒的计算机会不停的向外发送信息包,占用CPU可在80%以上,造成本机运行极其缓慢,网络拥塞,甚至可以导致网络瘫痪。 一般蠕虫病毒会携带木马程序,安装在系统目录中,那么他是怎么自动运行的那,等一会我通过一个例子来介绍。 五、什么是木马 在我校很多机器中都有木马软件。 木马就是远程控制软件的一种,也称为后门软件,其作用就是利用操作系统的漏洞或者使用者的疏忽来进入系统并在远程控制下从系统内部攻击系统。因特洛伊木马病毒是一种比较早期的成功的此种软件,且有古代战争典故,想必大家都知道。所以,后来多称此种带有攻击性质的远程控制软件为木马 而其他的一些不带攻击性质的远程控制软件其实原理都是一样的,比如, 塞门铁客(英文不会写)的大名鼎鼎的PCANYWHERE就是一个很成功的远程控制软件 木马可以被杀毒软件查杀,所以,这里也把他作为病毒来处理。 六、杀毒软件为什么能杀毒 1、 为什么杀毒软件必须不停的升级 病毒就是一段代码,用一些语言写出来,比如汇编等。没种病毒都会有一些特征,叫做病毒特征码,实际上就是病毒代码中的一段读一无二的字符。举个容易理解的例子(实际上不是这样):比如有个病毒发作后会格式化C:盘,那么病毒代码中就会有这么一句命令:FORMAT C:/U (实际上病毒不会去用DOS命令的,那太高级了,他会直接调用13号中断写硬盘,所以这里只是一个例子),那么就可以用FORMAT C: /U这样一个字符串作为这个病毒的特征代码,杀毒时,把所有的文件打开,从头到尾的搜索,如果找到着段代码,就报告发现病毒,然后清除之。 从我描述的这个过程大家就可以明白,为什么杀毒软件必须不停的升级,因为,只有一种病毒被发现后,他的特征代码才能被找到,才能被杀毒软件识别。 2、 一个病毒从制作、传播到被杀死过程的例子: 某个软件天才某天心情好,写了一个病毒,然后开始通过网络传播,然后大批的机器被感染,然后用户向杀毒软件公司抱怨有病毒杀不了,(其实大部分是杀毒软件公司的工作人员更早发现该病毒),然后,软件公司得到病毒样本,开始分析样本,找到病毒特征码,然后更新其病毒库,令其在杀毒时也查找这种病毒码,然后通知用户,请他们升级其购买的软件。然后用户升级,再杀毒,结果,该病毒被杀死,同时新的病毒被发现,周而复始。 所以,杀毒软件永远跟在病毒的后面这是毫无疑问的。从我的叙述中大家可以发现,实际上,如果一种病毒被发现,几乎所有的公司都会得到他的样本并分析出他的特征码,然后另其自己的杀毒软件可以杀死该毒,那么,各种杀毒软件的优劣从何而来呢? 3、 什么杀毒软件好? 其实,大家都有一样的病毒库,但是,在我刚才描述的查毒过程中,大家不知道有没有注意到,实际上他是等于在磁盘的所有文件中寻找某段特征代码,如果你的硬盘有20G的数据,他就要把这20G的数据过滤一遍,逐个字符来对比,其速度我不说你们也能想到。更要命的是一般的病毒库都装了几万中病毒代码,哈哈,这么查上几万遍,查下来,估计你也从我们学校毕业了。所以实际上各个公司都有自己的杀毒引擎,实际上这才是核心技术,他使用的独特的算法高速检查,但就算这样,查一遍下来至少也要几个小时。所以,为了提高杀毒效率,可以令杀毒程序只检查一些可能被感染的文件,比如。EXE 。DLL等,象。BMP 。MPG就不会被检查,这样,时间就缩短了很多,然后,他们可以只检查每个。EXE文件的文件头,从这里可以发现病毒修改的蛛丝马迹。然后,他们开始把一些不常见的病毒排除出病毒库之外,只检查一些常见的病毒,就是所谓的快速杀毒。这是为什么不同软件查出不同病毒的原因之一,再下来,也是最关键的一点,就是杀毒软件根据病毒代码判断病毒是完全有可能发生误判,错判的,提高判断的准确性必须以牺牲查毒时间为代价。所以,不同公司的杀毒引擎提供不同的判断方法,导致了可能有的软件查不出来的毒别的软件可以查出。 所以,所有的杀毒软件都包括两个主要的部分,一是杀毒引擎,另一个是病毒数据库。病毒数据库必须不停的更新,就我校的情况我个人推荐半个月更新一次。 我认为,各种杀毒软件其实功能相差不多,主要是看哪个可以迅速更新,再好的杀毒软件不跟新等于没有。

特洛伊木马程序原理及传染机制分析

木马,也称特洛伊木马,英文名称为Trojan Horse,是借自“木马屠城记”中那只木马的名字。古希腊有大军围攻特洛伊城,久久不能得手。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到 “木马”这个奇异的战利品,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开密门游绳而下,开启城门四处纵火,城外伏兵涌入,焚屠特洛伊城。后世称这只木马为 “特洛伊木马”,现今计算机术语借用其名,意思是 “一经进入,后患无穷”。特洛伊木马原则上和一些远程控制程序如PCanywhere等一样,只是一种远程管理工具,而且本身不带伤害性,也没有感染力;但却常常被人们视之为病毒,原因是如果有人不当地使用,破坏力可以比病毒更强。

由于很多新手对安全问题了解不多,再加上木马程序具有隐蔽性强的特点,不借助专门的监控软件,很不容易发现特洛伊木马的存在和黑客的入侵。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的 “木马”程序,因此最关键的是要知道“木马”的工作原理,这样就会很容易发现 “木马”,并且知道怎么清除自己计算机中的 “木马”了。

木马攻击原理

木马攻击是黑客最常用的攻击方法,因此,在本章中我们将使用较大篇幅来介绍木马的攻防技术。

木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,远程监控这台计算机上的所有操作。

在使用木马的人群中菜鸟黑客居多,他们往往接触网络不久,对黑客技术很感兴趣,很想向众人和朋友显示一番,但是攻击技术却不高,不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱,而且随着国产木马的不断出现,多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了,他们通常会在得到一个服务器权限的时候植入自己编写的木马作为后门,以便将来随时方便进出这台服务器。

提示

黑客高手们自己编写的木马一般杀毒软件和木马扫描软件都不会认为是木马或病毒,具有很大的危害性。

1、木马的分类

常见的木马主要可以分为以下9大类:

(1)破坏型

这种木马唯一的功能就是破坏并且删除文件,它们非常简单,很容易使用。能自动删除目标机上的DLL、INI、

EXE文件,所以非常危险,一旦被感染就会严重威胁到电脑的安全。不过,一般黑客不会做这种无意义的纯粹

破坏的事,除非你和他有仇。

(2)密码发送型

这种木马可以找到目标机的隐藏密码,并且在受害者不知道的情况下,把它们发送到指定的信箱。有人

喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用Windows提供的密码记

忆功能,这样就可以不必每次都输入密码了。这类木马恰恰是利用这一点获取目标机的密码,它们大多数会

在每次启动Windows时重新运行,而且多使用25号端口上送E-mail。如果目标机有隐藏密码,这些木马是非

常危险的。

(3)远程访问型

这种木马是现在使用最广泛的木马,它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序,客户

端通过扫描等手段知道了服务端的IP地址,就可以实现远程控制。

当然,这种远程控制也可以用在正道上,比如教师监控学生在机器上的所有操作。

远程访问型木马会在目标机上打开一个端口,而且有些木马还可以改变端口、设置连接密码等,为的是只

有黑客自己来控制这个木马。

改变端口的选项非常重要,因为一些常见木马的监听端口已经为大家熟知,改变了端口,才会有更大

的隐蔽性。

(4)键盘记录木马

这种特洛伊木马非常简单。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码,并且随

着Windows的启动而启动。它们有在线和离线记录这样的选项,可以分别记录你在线和离线状态下敲击键盘时的按键

情况,也就是说你按过什么按键,黑客从记录中都可以知道,并且很容易从中得到你的密码等有用信息,甚至是你

的信用卡账号哦!当然,对于这种类型的木马,很多都具有邮件发送功能,会自动将密码发送到黑客指定的邮箱。

(5)DoS攻击木马

随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当黑客入侵一台机器后,给

他种上DoS攻击木马,那么日后这台计算机就成为黑客DoS攻击的最得力助手了。黑客控制的肉鸡数量越多,发

动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在黑客利用

它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。

还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对

特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。

(6)FTP木马

这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马

还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。

(7)反弹端口型木马

木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于

连出的链接却疏于防范。与一般的木马相反,反弹端口型木马的服务端 (被控制端)使用主动端口,客户端 (控

制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的被动

端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口时,发现类似TCP

UserIP:1026 Controller IP:80 ESTABLISHED的情况,稍微疏忽一点,就会以为是自己在浏览网页,因为浏

览网页都会打开80端口的。

(8)代理木马

黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上

代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的

情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。

(9)程序杀手木马

上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常

见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程

序,让其他的木马更好地发挥作用。

提示

(8)、(9)两种类型的木马实际上是其它类型的木马可能具有的功能,如很多远程访问型木马都可以使

用代理服务器的方式连接肉机,而且连上肉机上首先检查对方不是开启了防火墙,如果有,则杀掉其进程,

这样更有利于黑客隐藏身份,从而实现远程控制的目的。

2、木马是如何侵入系统的

我们知道:一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控

制植入木马的计算机,服务器端程序就是我们通常所说的木马程序。攻击者要通过木马攻击计算机系统,所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。

提示

注意木马的客户端和服务器端的称谓,被置了木马的机器称为服务器端,而黑客控制的一端称为客户端。

目前木马入侵的主要途径是通过一定的方法把木马执行文件植入被攻击者的电脑系统里,如通过邮件发送、文件下载、网页浏览等,然后通过一定的提示误导被攻击者打开执行文件,比如谎称该木马执行文件是朋友的贺卡文件,用户在毫无防备的情况下打开这个文件后,确实有贺卡的画面出现,但这时木马可能已经在后台悄悄运行了。

那为什么用户一般都不会发现自己的主机运行了木马程序呢?

这主要是因为木马的执行文件一般都非常小,最大不过几十K。因此,如果把木马捆绑到其他正常文件上是很难发现的。有一些网站提供的软件下载往往是捆绑了木马文件的,在执行这些下载的文件时,也同时运行了木马。

木马在被植入主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,攻击者有这些信息才能够与木马里应外合控制攻击主机。

由于任何木马都有一个服务端程序,要对一台目标机进行远程控制都必须将服务端程序送入目标机,并诱骗目标机执行该程序。这是用木马进行远程控制中的重要一步,也是很有技巧的一步。

木马的传播方式主要有两种:

① 通过E-mail,由控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件就会感染木马。

这一种方式关键的一点,就是如何让对方打开附件。一般情况可在邮件主题写一些吸引人的、易引起人好奇的内容,促使对方毫无知觉地自动种上木马,被你控制。

② 通过软件下载,一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装了。

要想对方下载你放在网站上的软件,可以取一些特诱惑人的名称,如某某明星的图片,某某软件的破解版等让人易上当的名称,从而也让别人在不知不觉中种上木马,将端口开放给你,任你使用。

在早期的木马里面,大多是通过发送电子邮件的方式把入侵主机信息告诉攻击者,有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者,这样攻击者就不用直接连接攻击主机即可获得一些重要数据,如攻击OICQ密码的GOP木马即是如此。

不过,使用电子邮件的方式对攻击者来说并不是最好的选择,因为如果木马被发现,就可以通过该电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。

除了邮件植入外,木马还可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入,由于IE浏览器在执行Script脚本上存在安全漏洞,因此,木马就可以利用这些漏洞很容易植入被攻击的电脑。

此外,木马还可以利用一些系统漏洞植入,如著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序使IIS服务器崩溃,同时在服务器上执行木马程序,从而植入木马。

3、木马是如何实施攻击的

木马可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。它可能泄漏一些系统的私有信息,或者控制该系统,这样,它实际上就潜伏着很大的危险性。

通常木马采取六个步骤实施攻击:配置木马 (伪装木马)→传播木马 (通过E-mail或者下载)→运行木马 (自动安装、自启动)→信息泄漏 (E-mail、IRC或ICQ的方式把你的信息泄露出去)→建立连接→远程控制。

至此,木马就彻底掌握了主动权,而你,就坐以待毙吧!

木马程序是怎样感染的

木马程序主要是通过网络来传播的,移动硬盘或U盘也可以传播木马病毒,如果你感染了木马病毒,绝大多数情况下重装就好了,但前提是除系统盘外其他硬盘没有感染木马病毒.木马病毒现在有很多变种,它不仅仅依附在系统盘,就如前一段时期风靡中国的熊猫烧香病毒,它既是木马病毒,又是普通病毒的变种,会依附在其他盘上,木马病毒的定义其实是盗取用户资料,但现在已不仅仅局限于盗取资料,它还破坏你的系统.

0条大神的评论

发表评论