特洛伊木馬攻防介紹
特洛伊木馬攻防介紹
木馬程序用“瞞天過海”或“披著羊皮的狼”之類的詞來形容這類程序一點也不為過,直截了當(dāng)?shù)恼f法是木馬有兩個程序,一個是服務(wù)器程序,一個是控制器程序,當(dāng)你的電腦運行了服務(wù)器程序后下面由學(xué)習(xí)啦小編給你做出詳細的特洛伊密碼攻防介紹!希望對你有幫助!
特洛伊木馬攻防介紹:
特洛伊木馬是什么:
一個木馬要工作,那麼其服務(wù)器程序必須在目標(biāo)上運行,沒有人會主動要求去運行它,但是會有這麼一天,有人對你抱以和善的微笑說,"我這有一個好游戲""我有漂亮的MM屏保和你分享一下"等等,當(dāng)你打開這些所謂的程序時,一個宿主程序已經(jīng)悄悄潛入你的機子,第一步就這樣完成了,這完全是我們疏于防范造成的.
然后,木馬一般會在以下三個地方安營扎寨:注冊表、win.ini、system.ini,因為電腦啟動的時候,需要裝載這三個文件,大部分木馬是使用這三種方式啟動的.也有捆綁方式啟動的,木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標(biāo)電腦上,可以捆綁到啟動程序上,也可以捆綁到一般程序的常用程序上.如果捆綁到一般的程序上,啟動是不確定的,這要看目標(biāo)電腦主人了,如果他不運行,木馬就不會進入內(nèi)存.捆綁方式是一種手動的安裝方式,一般捆綁的是非自動方式啟動的木馬.非捆綁方式的木馬因為會在注冊表等位置留下痕跡,所以,很容易被發(fā)現(xiàn),而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬由很強的隱蔽性.
木馬的服務(wù)器程序文件一般位置是在c:\windows和c:\windows\system中,為什么要在這兩個目錄下,因為windows的一些系統(tǒng)文件在這兩個位置,如果你誤刪了文件,你的電腦可能崩潰,你不得不重新安裝系統(tǒng).
木馬的文件名更是一種學(xué)問,木馬的文件名盡量和windows的系統(tǒng)文件接近,這樣你就會弄糊涂了,比如木馬SubSeven 1.7版本的服務(wù)器文件名是c:\windows\KERNEL16.DL,而windows由一個系統(tǒng)文件是c:\windows\KERNEL32.DLL,他們之差一點點,但是刪錯了的話,結(jié)果可大不相同的哦,刪除KERNEL32.DLL會讓你死翹翹的哦.再比如,木馬phAse 1.0版本,生成的木馬是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系統(tǒng)文件C:\WINDOWS\System\Msgsrv32.exe一模一樣,只是圖標(biāo)有點兩樣,你可不要刪錯了哦.上面兩個是假扮系統(tǒng)文件的類型,我們再來看看無中生有的類型,木馬SubSeven 1.5版本服務(wù)器文件名是c:\windows\window.exe,看清楚了哦,少一個s的哦,如果不告訴你這是木馬,你有膽子刪嗎?
但是木馬有一個致命的缺點,相對固定的端口,黑客要進入你的電腦,必須要有通往你電腦的途徑,也就是說,木馬必須打開某個端口,大家叫這個端口為“后門”,木馬也叫“后門工具”.這個不得不打開的后門是很難隱蔽的,只能采取混淆的辦法,很多木馬的端口是固定的,讓人一眼就能看出是什么樣的木馬造成的.所以,端口號可以改變,這是一種混淆的辦法.我們知道7306是木馬netspy的,木馬SUB7可以改變端口號,SUB7默認的端口是1243,但是如果把1243端口改成了7306呢,呵呵,一定會把目標(biāo)電腦的主人弄混淆了.有些人會問,要是這個端口會自動改變那該多好呀,每次上網(wǎng)端口號自動改變,呵呵,真聰明,可惜聰明過頭了.比如,真有這樣的木馬裝在我的電腦上,每次上網(wǎng)的端口均會改變,你是黑客,你打算怎么進入我的電腦呢?你知道這個木馬現(xiàn)在開放的端口號是多少嗎?想掃描我的電腦?端口一共有6萬多個,你什么時候掃描完畢?半個小時,呵呵,我早發(fā)現(xiàn)了,早把你炸死了.即使我是菜鳥一個,你這樣高速度掃描我的電腦,也會導(dǎo)致我的電腦通訊阻塞,誰會在網(wǎng)速非常慢的情況下在網(wǎng)絡(luò)上待半個小時?所以,這基本上是不太可能的事情.
木馬有很強的隱蔽性,在WINDOWS中,如果某個程序出現(xiàn)異常,用正常的手段不能退出的時候,采取的辦法時按“Ctrl+Alt+Del"鍵,跳出一個窗口,找到需要終止的程序,然后關(guān)閉它.早期的木馬會在按“Ctrl+Alt+Del"顯露出來,現(xiàn)在大多數(shù)木馬已經(jīng)看不到了.所以只能采用內(nèi)存工具來看內(nèi)存中時候存在木馬.
木馬還具有很強潛伏的能力,表面上的木馬被發(fā)現(xiàn)并刪除以后,后備的木馬在一定的條件下會跳出來.這種條件主要是目標(biāo)電腦主人的操作造成的.我們先來看一個典型的例子:木馬Glacier(冰河1.2正式版)現(xiàn)在已經(jīng)升級到3.0版, 這個木馬有兩個服務(wù)器程序,C:\WINDOWS\SYSTEM\Kernel32.exe掛在注冊表的啟動組中,當(dāng)電腦啟動的時候,會裝入內(nèi)存,這是表面上的木馬.另一個是C:\WINDOWS\SYSTEM\Sysexplr.exe,也在注冊表中,它修改了文本文件的關(guān)聯(lián),當(dāng)你點擊文本文件的時候,它就啟動了,它會檢查Kernel32.exe是不是存在,如果存在的話,什么事情也不做.當(dāng)表面上的木馬Kernel32.exe被發(fā)現(xiàn)并刪除以后,目標(biāo)電腦的主人可能會覺得自己已經(jīng)刪除木馬了,應(yīng)該是安全的了.如果目標(biāo)電腦的主人在以后的日子中點擊了文本文件,那么這個文件文件照樣運行,而Sysexplr.exe被啟動了.Sysexplr.exe會發(fā)現(xiàn)表面上的木馬Kernel32.exe已經(jīng)被刪除,就會再生成一個Kernel32.exe,于是,目標(biāo)電腦以后每次啟動電腦木馬又被裝上了.
說了這麼多,是不是感到很恐怖,很上火,別著急,清涼解暑藥馬上就到.
特洛伊密碼攻防辦法:
特洛伊密碼攻防辦法1.必須提高防范意識,不要打開陌生人信中的附件,哪怕他說的天花亂墜,熟人的也要確認一下來信的原地址是否合法.
特洛伊密碼攻防辦法2.多讀readme.txt.許多人出于研究目的下載了一些特洛伊木馬程序的軟件包,在沒有弄清軟件包中幾個程序的具體功能前,就匆匆地執(zhí)行其中的程序,這樣往往就錯誤地執(zhí)行了服務(wù)器端程序而使用戶的計算機成為了特洛伊木馬的犧牲品.軟件包中經(jīng)常附帶的readme.txt文件會有程序的詳細功能介紹和使用說明,盡管它一般是英文的,但還是有必要先閱讀一下,如果實在讀不懂,那最好不要執(zhí)行任何程序,丟棄軟件包當(dāng)然是最保險的了.有必要養(yǎng)成在使用任何程序前先讀readme.txt的好習(xí)慣.
值得一提的是,有許多程序說明做成可執(zhí)行的readme.exe形式,readme.exe往往捆綁有病毒或特洛伊木馬程序,或者干脆就是由病毒程序、特洛伊木馬的服務(wù)器端程序改名而得到的,目的就是讓用戶誤以為是程序說明文件去執(zhí)行它,可謂用心險惡.所以從互聯(lián)網(wǎng)上得來的readme.exe最好不要執(zhí)行它.
特洛伊密碼攻防辦法3.使用殺毒軟件.現(xiàn)在國內(nèi)的殺毒軟件都推出了清除某些特洛伊木馬的功能,如KV300、KILL98、瑞星等等,可以不定期地在脫機的情況下進行檢查和清除.另外,有的殺毒軟件還提供網(wǎng)絡(luò)實時監(jiān)控功能,這一功能可以在黑客從遠端執(zhí)行用戶機器上的文件時,提供報警或讓執(zhí)行失敗,使黑客向用戶機器上載可執(zhí)行文件后無法正確執(zhí)行,從而避免了進一步的損失,但是要記住,它不是萬能的.
特洛伊密碼攻防辦法4.立即掛斷.盡管造成上網(wǎng)速度突然變慢的原因有很多,但有理由懷疑這是由特洛伊木馬造成的,當(dāng)入侵者使用特洛伊的客戶端程序訪問你的機器時,會與你的正常訪問搶占寬帶,特別是當(dāng)入侵者從遠端下載用戶硬盤上的文件時,正常訪問會變得奇慢無比.這時,你可以雙擊任務(wù)欄右下角的連接圖標(biāo),仔細觀察一下“已發(fā)送字節(jié)”項,如果數(shù)字變化成1~3kbps(每秒1~3千字節(jié)),幾乎可以確認有人在下載你的硬盤文件,除非你正在使用ftp功能.對TCP/IP端口熟悉的用戶,可以在“MS-DOS方式”下鍵入“netstat-a"來觀察與你機器相連的當(dāng)前所有通信進程,當(dāng)有具體的IP正使用不常見的端口(一般大于1024)與你通信時,這一端口很可能就是特洛伊木馬的通信端口.當(dāng)發(fā)現(xiàn)上述可疑跡象后,你所能做的就是:立即掛斷,然后對硬盤有無特洛伊木馬進行認真的檢查.
特洛伊密碼攻防辦法5.觀察目錄.普通用戶應(yīng)當(dāng)經(jīng)常觀察位于c:\、c:\windows、c:\windows\system這三個目錄下的文件.用“記事本”逐一打開c:\下的非執(zhí)行類文件(除exe、bat、com以外的文件),查看是否發(fā)現(xiàn)特洛伊木馬、擊鍵程序的記錄文件,在c:\Windows或c:\Windows\system下如果有光有文件名沒有圖標(biāo)的可執(zhí)行程序,你應(yīng)該把它們刪除,然后再用殺毒軟件進行認真的清理.
特洛伊密碼攻防辦法6.在刪除木馬之前,最最重要的一項工作是備份,需要備份注冊表,防止系統(tǒng)崩潰,備份你認為是木馬的文件,如果不是木馬就可以恢復(fù),如果是木馬你就可以對木馬進行分析.不同的不馬有不同的清除方法,由于涉及面太大,這里就不詳述了.
總之不管你喜歡不喜歡,木馬總是存在的,你只有去多多少少的了解一些木馬的知識,才不至于遭人暗算,警惕啊,我的朋友,在茫茫的大海中,總有那麼一雙眼睛在窺視著你.
看了“特洛伊木馬攻防介紹”文章的還看了:
1.關(guān)于《網(wǎng)絡(luò)攻擊與防御技術(shù)》的介紹
2.關(guān)于《網(wǎng)絡(luò)攻防技術(shù)原理與實戰(zhàn)》的介紹