特洛伊木馬攻防介紹
特洛伊木馬攻防介紹
木馬程序用“瞞天過海”或“披著羊皮的狼”之類的詞來形容這類程序一點(diǎn)也不為過,直截了當(dāng)?shù)恼f法是木馬有兩個(gè)程序,一個(gè)是服務(wù)器程序,一個(gè)是控制器程序,當(dāng)你的電腦運(yùn)行了服務(wù)器程序后下面由學(xué)習(xí)啦小編給你做出詳細(xì)的特洛伊密碼攻防介紹!希望對你有幫助!
特洛伊木馬攻防介紹:
特洛伊木馬是什么:
一個(gè)木馬要工作,那麼其服務(wù)器程序必須在目標(biāo)上運(yùn)行,沒有人會主動要求去運(yùn)行它,但是會有這麼一天,有人對你抱以和善的微笑說,"我這有一個(gè)好游戲""我有漂亮的MM屏保和你分享一下"等等,當(dāng)你打開這些所謂的程序時(shí),一個(gè)宿主程序已經(jīng)悄悄潛入你的機(jī)子,第一步就這樣完成了,這完全是我們疏于防范造成的.
然后,木馬一般會在以下三個(gè)地方安營扎寨:注冊表、win.ini、system.ini,因?yàn)殡娔X啟動的時(shí)候,需要裝載這三個(gè)文件,大部分木馬是使用這三種方式啟動的.也有捆綁方式啟動的,木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標(biāo)電腦上,可以捆綁到啟動程序上,也可以捆綁到一般程序的常用程序上.如果捆綁到一般的程序上,啟動是不確定的,這要看目標(biāo)電腦主人了,如果他不運(yùn)行,木馬就不會進(jìn)入內(nèi)存.捆綁方式是一種手動的安裝方式,一般捆綁的是非自動方式啟動的木馬.非捆綁方式的木馬因?yàn)闀谧员淼任恢昧粝潞圹E,所以,很容易被發(fā)現(xiàn),而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬由很強(qiáng)的隱蔽性.
木馬的服務(wù)器程序文件一般位置是在c:\windows和c:\windows\system中,為什么要在這兩個(gè)目錄下,因?yàn)閣indows的一些系統(tǒng)文件在這兩個(gè)位置,如果你誤刪了文件,你的電腦可能崩潰,你不得不重新安裝系統(tǒng).
木馬的文件名更是一種學(xué)問,木馬的文件名盡量和windows的系統(tǒng)文件接近,這樣你就會弄糊涂了,比如木馬SubSeven 1.7版本的服務(wù)器文件名是c:\windows\KERNEL16.DL,而windows由一個(gè)系統(tǒng)文件是c:\windows\KERNEL32.DLL,他們之差一點(diǎn)點(diǎn),但是刪錯(cuò)了的話,結(jié)果可大不相同的哦,刪除KERNEL32.DLL會讓你死翹翹的哦.再比如,木馬phAse 1.0版本,生成的木馬是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系統(tǒng)文件C:\WINDOWS\System\Msgsrv32.exe一模一樣,只是圖標(biāo)有點(diǎn)兩樣,你可不要?jiǎng)h錯(cuò)了哦.上面兩個(gè)是假扮系統(tǒng)文件的類型,我們再來看看無中生有的類型,木馬SubSeven 1.5版本服務(wù)器文件名是c:\windows\window.exe,看清楚了哦,少一個(gè)s的哦,如果不告訴你這是木馬,你有膽子刪嗎?
但是木馬有一個(gè)致命的缺點(diǎn),相對固定的端口,黑客要進(jìn)入你的電腦,必須要有通往你電腦的途徑,也就是說,木馬必須打開某個(gè)端口,大家叫這個(gè)端口為“后門”,木馬也叫“后門工具”.這個(gè)不得不打開的后門是很難隱蔽的,只能采取混淆的辦法,很多木馬的端口是固定的,讓人一眼就能看出是什么樣的木馬造成的.所以,端口號可以改變,這是一種混淆的辦法.我們知道7306是木馬netspy的,木馬SUB7可以改變端口號,SUB7默認(rèn)的端口是1243,但是如果把1243端口改成了7306呢,呵呵,一定會把目標(biāo)電腦的主人弄混淆了.有些人會問,要是這個(gè)端口會自動改變那該多好呀,每次上網(wǎng)端口號自動改變,呵呵,真聰明,可惜聰明過頭了.比如,真有這樣的木馬裝在我的電腦上,每次上網(wǎng)的端口均會改變,你是黑客,你打算怎么進(jìn)入我的電腦呢?你知道這個(gè)木馬現(xiàn)在開放的端口號是多少嗎?想掃描我的電腦?端口一共有6萬多個(gè),你什么時(shí)候掃描完畢?半個(gè)小時(shí),呵呵,我早發(fā)現(xiàn)了,早把你炸死了.即使我是菜鳥一個(gè),你這樣高速度掃描我的電腦,也會導(dǎo)致我的電腦通訊阻塞,誰會在網(wǎng)速非常慢的情況下在網(wǎng)絡(luò)上待半個(gè)小時(shí)?所以,這基本上是不太可能的事情.
木馬有很強(qiáng)的隱蔽性,在WINDOWS中,如果某個(gè)程序出現(xiàn)異常,用正常的手段不能退出的時(shí)候,采取的辦法時(shí)按“Ctrl+Alt+Del"鍵,跳出一個(gè)窗口,找到需要終止的程序,然后關(guān)閉它.早期的木馬會在按“Ctrl+Alt+Del"顯露出來,現(xiàn)在大多數(shù)木馬已經(jīng)看不到了.所以只能采用內(nèi)存工具來看內(nèi)存中時(shí)候存在木馬.
木馬還具有很強(qiáng)潛伏的能力,表面上的木馬被發(fā)現(xiàn)并刪除以后,后備的木馬在一定的條件下會跳出來.這種條件主要是目標(biāo)電腦主人的操作造成的.我們先來看一個(gè)典型的例子:木馬Glacier(冰河1.2正式版)現(xiàn)在已經(jīng)升級到3.0版, 這個(gè)木馬有兩個(gè)服務(wù)器程序,C:\WINDOWS\SYSTEM\Kernel32.exe掛在注冊表的啟動組中,當(dāng)電腦啟動的時(shí)候,會裝入內(nèi)存,這是表面上的木馬.另一個(gè)是C:\WINDOWS\SYSTEM\Sysexplr.exe,也在注冊表中,它修改了文本文件的關(guān)聯(lián),當(dāng)你點(diǎn)擊文本文件的時(shí)候,它就啟動了,它會檢查Kernel32.exe是不是存在,如果存在的話,什么事情也不做.當(dāng)表面上的木馬Kernel32.exe被發(fā)現(xiàn)并刪除以后,目標(biāo)電腦的主人可能會覺得自己已經(jīng)刪除木馬了,應(yīng)該是安全的了.如果目標(biāo)電腦的主人在以后的日子中點(diǎn)擊了文本文件,那么這個(gè)文件文件照樣運(yùn)行,而Sysexplr.exe被啟動了.Sysexplr.exe會發(fā)現(xiàn)表面上的木馬Kernel32.exe已經(jīng)被刪除,就會再生成一個(gè)Kernel32.exe,于是,目標(biāo)電腦以后每次啟動電腦木馬又被裝上了.
說了這麼多,是不是感到很恐怖,很上火,別著急,清涼解暑藥馬上就到.
特洛伊密碼攻防辦法:
特洛伊密碼攻防辦法1.必須提高防范意識,不要打開陌生人信中的附件,哪怕他說的天花亂墜,熟人的也要確認(rèn)一下來信的原地址是否合法.
特洛伊密碼攻防辦法2.多讀readme.txt.許多人出于研究目的下載了一些特洛伊木馬程序的軟件包,在沒有弄清軟件包中幾個(gè)程序的具體功能前,就匆匆地執(zhí)行其中的程序,這樣往往就錯(cuò)誤地執(zhí)行了服務(wù)器端程序而使用戶的計(jì)算機(jī)成為了特洛伊木馬的犧牲品.軟件包中經(jīng)常附帶的readme.txt文件會有程序的詳細(xì)功能介紹和使用說明,盡管它一般是英文的,但還是有必要先閱讀一下,如果實(shí)在讀不懂,那最好不要執(zhí)行任何程序,丟棄軟件包當(dāng)然是最保險(xiǎn)的了.有必要養(yǎng)成在使用任何程序前先讀readme.txt的好習(xí)慣.
值得一提的是,有許多程序說明做成可執(zhí)行的readme.exe形式,readme.exe往往捆綁有病毒或特洛伊木馬程序,或者干脆就是由病毒程序、特洛伊木馬的服務(wù)器端程序改名而得到的,目的就是讓用戶誤以為是程序說明文件去執(zhí)行它,可謂用心險(xiǎn)惡.所以從互聯(lián)網(wǎng)上得來的readme.exe最好不要執(zhí)行它.
特洛伊密碼攻防辦法3.使用殺毒軟件.現(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能,如KV300、KILL98、瑞星等等,可以不定期地在脫機(jī)的情況下進(jìn)行檢查和清除.另外,有的殺毒軟件還提供網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控功能,這一功能可以在黑客從遠(yuǎn)端執(zhí)行用戶機(jī)器上的文件時(shí),提供報(bào)警或讓執(zhí)行失敗,使黑客向用戶機(jī)器上載可執(zhí)行文件后無法正確執(zhí)行,從而避免了進(jìn)一步的損失,但是要記住,它不是萬能的.
特洛伊密碼攻防辦法4.立即掛斷.盡管造成上網(wǎng)速度突然變慢的原因有很多,但有理由懷疑這是由特洛伊木馬造成的,當(dāng)入侵者使用特洛伊的客戶端程序訪問你的機(jī)器時(shí),會與你的正常訪問搶占寬帶,特別是當(dāng)入侵者從遠(yuǎn)端下載用戶硬盤上的文件時(shí),正常訪問會變得奇慢無比.這時(shí),你可以雙擊任務(wù)欄右下角的連接圖標(biāo),仔細(xì)觀察一下“已發(fā)送字節(jié)”項(xiàng),如果數(shù)字變化成1~3kbps(每秒1~3千字節(jié)),幾乎可以確認(rèn)有人在下載你的硬盤文件,除非你正在使用ftp功能.對TCP/IP端口熟悉的用戶,可以在“MS-DOS方式”下鍵入“netstat-a"來觀察與你機(jī)器相連的當(dāng)前所有通信進(jìn)程,當(dāng)有具體的IP正使用不常見的端口(一般大于1024)與你通信時(shí),這一端口很可能就是特洛伊木馬的通信端口.當(dāng)發(fā)現(xiàn)上述可疑跡象后,你所能做的就是:立即掛斷,然后對硬盤有無特洛伊木馬進(jìn)行認(rèn)真的檢查.
特洛伊密碼攻防辦法5.觀察目錄.普通用戶應(yīng)當(dāng)經(jīng)常觀察位于c:\、c:\windows、c:\windows\system這三個(gè)目錄下的文件.用“記事本”逐一打開c:\下的非執(zhí)行類文件(除exe、bat、com以外的文件),查看是否發(fā)現(xiàn)特洛伊木馬、擊鍵程序的記錄文件,在c:\Windows或c:\Windows\system下如果有光有文件名沒有圖標(biāo)的可執(zhí)行程序,你應(yīng)該把它們刪除,然后再用殺毒軟件進(jìn)行認(rèn)真的清理.
特洛伊密碼攻防辦法6.在刪除木馬之前,最最重要的一項(xiàng)工作是備份,需要備份注冊表,防止系統(tǒng)崩潰,備份你認(rèn)為是木馬的文件,如果不是木馬就可以恢復(fù),如果是木馬你就可以對木馬進(jìn)行分析.不同的不馬有不同的清除方法,由于涉及面太大,這里就不詳述了.
總之不管你喜歡不喜歡,木馬總是存在的,你只有去多多少少的了解一些木馬的知識,才不至于遭人暗算,警惕啊,我的朋友,在茫茫的大海中,總有那麼一雙眼睛在窺視著你.
看了“特洛伊木馬攻防介紹”文章的還看了:
1.關(guān)于《網(wǎng)絡(luò)攻擊與防御技術(shù)》的介紹
2.關(guān)于《網(wǎng)絡(luò)攻防技術(shù)原理與實(shí)戰(zhàn)》的介紹