ftp礦機木馬原理
㈠ 特洛伊木馬程序原理及傳染機制分析
木馬,也稱特洛伊木馬,英文名稱為Trojan Horse,是借自「木馬屠城記」中那隻木馬的名字。古希臘有大軍圍攻特洛伊城,久久不能得手。有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到 「木馬」這個奇異的戰利品,全城飲酒狂歡。到午夜時分,全城軍民盡入夢鄉,匿於木馬中的將士開密門游繩而下,開啟城門四處縱火,城外伏兵湧入,焚屠特洛伊城。後世稱這只木馬為 「特洛伊木馬」,現今計算機術語借用其名,意思是 「一經進入,後患無窮」。特洛伊木馬原則上和一些遠程式控制製程序如PCanywhere等一樣,只是一種遠程管理工具,而且本身不帶傷害性,也沒有感染力;但卻常常被人們視之為病毒,原因是如果有人不當地使用,破壞力可以比病毒更強。
由於很多新手對安全問題了解不多,再加上木馬程序具有隱蔽性強的特點,不藉助專門的監控軟體,很不容易發現特洛伊木馬的存在和黑客的入侵。雖然現在市面上有很多新版殺毒軟體都可以自動清除「木馬」,但它們並不能防範新出現的 「木馬」程序,因此最關鍵的是要知道「木馬」的工作原理,這樣就會很容易發現 「木馬」,並且知道怎麼清除自己計算機中的 「木馬」了。
木馬攻擊原理
木馬攻擊是黑客最常用的攻擊方法,因此,在本章中我們將使用較大篇幅來介紹木馬的攻防技術。
木馬的危害性在於它對電腦系統強大的控制和破壞能力、竊取密碼、控制系統操作、進行文件操作等,一台計算機一旦被一個功能強大的木馬植入,攻擊者就可以像操作自己的計算機一樣控制這台計算機,遠程監控這台計算機上的所有操作。
在使用木馬的人群中菜鳥黑客居多,他們往往接觸網路不久,對黑客技術很感興趣,很想向眾人和朋友顯示一番,但是攻擊技術卻不高,不能採取別的方法攻擊。於是木馬這種半自動的傻瓜式且非常有效的攻擊軟體成為了他們的最愛,而且隨著國產木馬的不斷出現,多數黑客的入門攻擊幾乎無一例外都是使用木馬。當然對於那些黑客老手來說他們也並不是不使用木馬了,他們通常會在得到一個伺服器許可權的時候植入自己編寫的木馬作為後門,以便將來隨時方便進出這台伺服器。
提示
黑客高手們自己編寫的木馬一般殺毒軟體和木馬掃描軟體都不會認為是木馬或病毒,具有很大的危害性。
1、木馬的分類
常見的木馬主要可以分為以下9大類:
(1)破壞型
這種木馬唯一的功能就是破壞並且刪除文件,它們非常簡單,很容易使用。能自動刪除目標機上的DLL、INI、
EXE文件,所以非常危險,一旦被感染就會嚴重威脅到電腦的安全。不過,一般黑客不會做這種無意義的純粹
破壞的事,除非你和他有仇。
(2)密碼發送型
這種木馬可以找到目標機的隱藏密碼,並且在受害者不知道的情況下,把它們發送到指定的信箱。有人
喜歡把自己的各種密碼以文件的形式存放在計算機中,認為這樣方便;還有人喜歡用Windows提供的密碼記
憶功能,這樣就可以不必每次都輸入密碼了。這類木馬恰恰是利用這一點獲取目標機的密碼,它們大多數會
在每次啟動Windows時重新運行,而且多使用25號埠上送E-mail。如果目標機有隱藏密碼,這些木馬是非
常危險的。
(3)遠程訪問型
這種木馬是現在使用最廣泛的木馬,它可以遠程訪問被攻擊者的硬碟。只要有人運行了服務端程序,客戶
端通過掃描等手段知道了服務端的IP地址,就可以實現遠程式控制制。
當然,這種遠程式控制制也可以用在正道上,比如教師監控學生在機器上的所有操作。
遠程訪問型木馬會在目標機上打開一個埠,而且有些木馬還可以改變埠、設置連接密碼等,為的是只
有黑客自己來控制這個木馬。
改變埠的選項非常重要,因為一些常見木馬的監聽埠已經為大家熟知,改變了埠,才會有更大
的隱蔽性。
(4)鍵盤記錄木馬
這種特洛伊木馬非常簡單。它們只做一件事情,就是記錄受害者的鍵盤敲擊並且在LOG文件里查找密碼,並且隨
著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項,可以分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵
情況,也就是說你按過什麼按鍵,黑客從記錄中都可以知道,並且很容易從中得到你的密碼等有用信息,甚至是你
的信用卡賬號哦!當然,對於這種類型的木馬,很多都具有郵件發送功能,會自動將密碼發送到黑客指定的郵箱。
(5)DoS攻擊木馬
隨著DoS攻擊越來越廣泛的應用,被用作DoS攻擊的木馬也越來越流行起來。當黑客入侵一台機器後,給
他種上DoS攻擊木馬,那麼日後這台計算機就成為黑客DoS攻擊的最得力助手了。黑客控制的肉雞數量越多,發
動DoS攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在黑客利用
它來攻擊一台又一台計算機,給網路造成很大的傷害和帶來損失。
還有一種類似DoS的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對
特定的郵箱不停地發送郵件,一直到對方癱瘓、不能接受郵件為止。
(6)FTP木馬
這種木馬可能是最簡單和古老的木馬了,它的惟一功能就是打開21埠,等待用戶連接。現在新FTP木馬
還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進入對方計算機。
(7)反彈埠型木馬
木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的鏈接往往會進行非常嚴格的過濾,但是對於
連出的鏈接卻疏於防範。與一般的木馬相反,反彈埠型木馬的服務端 (被控制端)使用主動埠,客戶端 (控
制端)使用被動埠。木馬定時監測控制端的存在,發現控制端上線立即彈出埠主動連結控制端打開的被動
埠;為了隱蔽起見,控制端的被動埠一般開在80,即使用戶使用掃描軟體檢查自己的埠時,發現類似TCP
UserIP:1026 Controller IP:80 ESTABLISHED的情況,稍微疏忽一點,就會以為是自己在瀏覽網頁,因為瀏
覽網頁都會打開80埠的。
(8)代理木馬
黑客在入侵的同時掩蓋自己的足跡,謹防別人發現自己的身份是非常重要的,因此,給被控制的肉雞種上
代理木馬,讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬,攻擊者可以在匿名的
情況下使用Telnet,ICQ,IRC等程序,從而隱蔽自己的蹤跡。
(9)程序殺手木馬
上面的木馬功能雖然形形色色,不過到了對方機器上要發揮自己的作用,還要過防木馬軟體這一關才行。常
見的防木馬軟體有ZoneAlarm,Norton Anti-Virus等。程序殺手木馬的功能就是關閉對方機器上運行的這類程
序,讓其他的木馬更好地發揮作用。
提示
(8)、(9)兩種類型的木馬實際上是其它類型的木馬可能具有的功能,如很多遠程訪問型木馬都可以使
用代理伺服器的方式連接肉機,而且連上肉機上首先檢查對方不是開啟了防火牆,如果有,則殺掉其進程,
這樣更有利於黑客隱藏身份,從而實現遠程式控制制的目的。
2、木馬是如何侵入系統的
我們知道:一般的木馬都有客戶端和伺服器端兩個執行程序,其中客戶端用於攻擊者遠程式控制
制植入木馬的計算機,伺服器端程序就是我們通常所說的木馬程序。攻擊者要通過木馬攻擊計算機系統,所做的第一步就是要把木馬的伺服器端程序植入到被攻擊的計算機裡面。
提示
注意木馬的客戶端和伺服器端的稱謂,被置了木馬的機器稱為伺服器端,而黑客控制的一端稱為客戶端。
目前木馬入侵的主要途徑是通過一定的方法把木馬執行文件植入被攻擊者的電腦系統里,如通過郵件發送、文件下載、網頁瀏覽等,然後通過一定的提示誤導被攻擊者打開執行文件,比如謊稱該木馬執行文件是朋友的賀卡文件,用戶在毫無防備的情況下打開這個文件後,確實有賀卡的畫面出現,但這時木馬可能已經在後台悄悄運行了。
那為什麼用戶一般都不會發現自己的主機運行了木馬程序呢?
這主要是因為木馬的執行文件一般都非常小,最大不過幾十K。因此,如果把木馬捆綁到其他正常文件上是很難發現的。有一些網站提供的軟體下載往往是捆綁了木馬文件的,在執行這些下載的文件時,也同時運行了木馬。
木馬在被植入主機後,它一般會通過一定的方式把入侵主機的信息,如主機的IP地址、木馬植入的埠等發送給攻擊者,攻擊者有這些信息才能夠與木馬里應外合控制攻擊主機。
由於任何木馬都有一個服務端程序,要對一台目標機進行遠程式控制制都必須將服務端程序送入目標機,並誘騙目標機執行該程序。這是用木馬進行遠程式控制制中的重要一步,也是很有技巧的一步。
木馬的傳播方式主要有兩種:
① 通過E-mail,由控制端將木馬程序以附件的形式夾在郵件中發送出去,收信人只要打開附件就會感染木馬。
這一種方式關鍵的一點,就是如何讓對方打開附件。一般情況可在郵件主題寫一些吸引人的、易引起人好奇的內容,促使對方毫無知覺地自動種上木馬,被你控制。
② 通過軟體下載,一些非正規的網站以提供軟體下載為名,將木馬捆綁在軟體安裝程序上,下載後,只要一運行這些程序,木馬就會自動安裝了。
要想對方下載你放在網站上的軟體,可以取一些特誘惑人的名稱,如某某明星的圖片,某某軟體的破解版等讓人易上當的名稱,從而也讓別人在不知不覺中種上木馬,將埠開放給你,任你使用。
在早期的木馬裡面,大多是通過發送電子郵件的方式把入侵主機信息告訴攻擊者,有一些木馬文件乾脆把主機所有的密碼用郵件的形式通知給攻擊者,這樣攻擊者就不用直接連接攻擊主機即可獲得一些重要數據,如攻擊OICQ密碼的GOP木馬即是如此。
不過,使用電子郵件的方式對攻擊者來說並不是最好的選擇,因為如果木馬被發現,就可以通過該電子郵件的地址找出攻擊者。現在還有一些木馬採用的是通過發送UDP或者ICMP數據包的方式通知攻擊者。
除了郵件植入外,木馬還可以通過Script、ActiveX及ASP、CGI交互腳本的方式植入,由於IE瀏覽器在執行Script腳本上存在安全漏洞,因此,木馬就可以利用這些漏洞很容易植入被攻擊的電腦。
此外,木馬還可以利用一些系統漏洞植入,如著名的IIS伺服器溢出漏洞,通過一個IISHACK攻擊程序使IIS伺服器崩潰,同時在伺服器上執行木馬程序,從而植入木馬。
3、木馬是如何實施攻擊的
木馬可以以任何形式出現,可能是任何由用戶或客戶引入到系統中的程序。它可能泄漏一些系統的私有信息,或者控制該系統,這樣,它實際上就潛伏著很大的危險性。
通常木馬採取六個步驟實施攻擊:配置木馬 (偽裝木馬)→傳播木馬 (通過E-mail或者下載)→運行木馬 (自動安裝、自啟動)→信息泄漏 (E-mail、IRC或ICQ的方式把你的信息泄露出去)→建立連接→遠程式控制制。
至此,木馬就徹底掌握了主動權,而你,就坐以待斃吧!
㈡ 請詳細介紹一下木馬程序及其原理,和解決辦法。
一個完整的木馬系統由硬體部分,軟體部分和具體連接部分組成。
(1)硬體部分:建立木馬連接所必須的硬體實體。 控制端:對服務端進行遠程式控制制的一方。 服務端:被控制端遠程式控制制的一方。 INTERNET:控制端對服務端進行遠程式控制制,數據傳輸的網路載體。
(2)軟體部分:實現遠程式控制制所必須的軟體程序。 控制端絛潁嚎刂貧擻靡栽凍炭刂品
㈢ 木馬的原理是什麼
木馬是如何侵入的?
一般的木馬都有客戶端和伺服器端兩個執行程序,其中客戶端是用於攻擊者遠程式控制制植入木馬的機器,伺服器端程序即是木馬程序。攻擊者要通過木馬攻擊你的系統,他所做的第一步是要把木馬的伺服器端程序植入到你的電腦裡面。
目前木馬入侵的主要途徑還是先通過一定的方法把木馬執行文件弄到被攻擊者的電腦系統里,如郵件、下載等,然後通過一定的提示故意誤導被攻擊者打開執行文件,比如故意謊稱這是個木馬執行文件是你朋友送給你賀卡,可能你打開這個文件後,確實有賀卡的畫面出現,但這時可能木馬已經悄悄在你的後台運行了。
一般的木馬執行文件非常小,大到都是幾K到幾十K,如果把木馬捆綁到其它正常文件上,你很難發現的,所以,有一些網站提供的軟體下載往往是捆綁了木馬文件的,在你執行這些下載的文件,也同時運行了木馬。
木馬也可以通過Script、ActiveX及Asp、Cgi交互腳本的方式植入,由於微軟的瀏覽器在執行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳皤病毒和木馬,甚至直接對瀏覽者電腦進行文件操作等控制,前不久就出現一個利用微軟Scripts腳本漏洞對瀏覽者硬碟進行格式化的Html頁面。如果攻擊者有辦法把木馬執行文件上載到攻擊主機的一個可執行WWW目錄夾裡面,他可以通過編制Cgi程序在攻擊主機上執行木馬目錄。
木馬還可以利用系統的一些漏洞進行植入,如微軟著名的IIS伺服器溢出漏洞,通過一個IISHACK攻擊程序即在把IIS伺服器崩潰,並且同時在攻擊伺服器執行遠程木馬執行文件。
木馬如何將入侵主機信息發送給攻擊者?
木馬在被植入攻擊主機後,它一般會通過一定的方式把入侵主機的信息,如主機的IP地址、木馬植入的埠等發送給攻擊者,這樣攻擊者有這些信息才能夠與木馬里應外合控制攻擊主機。
在早期的木馬裡面,大多都是通過發送電子郵件的方式把入侵主機信息告訴攻擊者,有一些木馬文件乾脆把主機所有的密碼用郵件的形式通知給攻擊者,這樣攻擊都就不用直接連接攻擊主機即可獲得一些重要數據,如攻擊OICQ密碼的GOP木馬即是如此。
使用電子郵件的方式對攻擊者來說並不是最好的一種選擇,因為如果木馬被發現,可以能過這個電子郵件的地址找出攻擊者。現在還有一些木馬採用的是通過發送UDP或者ICMP數據包的方式通知攻擊者。
㈣ FTP木馬 是什麼
電腦病毒,不過很難殺干凈
㈤ 我想知道木馬與FTP是個怎麼樣的關系
FTP只是一個文件傳輸協議,跟木馬沒啥關系。如果非要扯上關系,那麼就是有可能會有別有用心的人把木馬放到ftp伺服器上去。
㈥ 什麼是FTP木馬
通過21埠進行數據傳送的木馬通常被人們叫作FTP木馬,
FTP 是File Transfer Protocol(文件傳輸協議)的英文簡稱,而中文簡稱為「文傳協議」。用於Internet上的控制文件的雙向傳輸。同時,它也是一個應用程序(Application)。基於不同的操作系統有不同的FTP應用程序,而所有這些應用程序都遵守同一種協議以傳輸文件。
木馬病毒,是指通過特定的程序(木馬程序)來控制另一台計算機。木馬通常有兩個可執行程序:一個是控制端,另一個是被控制端。
㈦ 木馬技術的原理是什麼
一個完整的木馬系統由硬體部分,軟體部分和具體連接部分組成。
(1)硬體部分:建立木馬連接所必須的硬體實體。 控制端:對服務端進行遠程式控制制的一方。 服務端:被控制端遠程式控制制的一方。 INTERNET:控制端對服務端進行遠程式控制制,數據傳輸的網路載體。
(2)軟體部分:實現遠程式控制制所必須的軟體程序。 控制端程序:控制端用以遠程式控制制服務端的程序。 木馬程序:潛入服務端內部,獲取其操作許可權的程序。 木馬配置程序:設置木馬程序的埠號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。
(3)具體連接部分:通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP,服務端IP:即控制端,服務端的網路地址,也是木馬進行數據傳輸的目的地。 控制端埠,木馬埠:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或木馬 程序。
木馬原理
用木馬這種黑客工具進行網路入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能:
(1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會採用多種偽裝手段,如修改圖標 ,捆綁文件,定製埠,自我銷毀等,我們將在「傳播木馬」這一節中詳細介紹。
(2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,IRC號 ,ICO號等等,具體的我們將在「信息反饋」這一節中詳細介紹。
什麼是木馬?
特洛伊木馬(以下簡稱木馬),英文叫做「Trojan house」,其名稱取自希臘神話的特洛伊木馬記。
它是一種基於遠程式控制制的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會採用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往只能望「馬」興嘆。
所謂非授權性是指一旦控制端與服務端連接後,控制端將享有服務端的大部分操作許可權,包括修改文件,修改注冊表,控制滑鼠,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網路還處於以UNIX平台為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到系統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。
鑒於木馬的巨大危害性,我們將分原理篇,防禦與反擊篇,資料篇三部分來詳細介紹木馬,希望大家對特洛伊木馬這種攻擊手段有一個透徹的了解。
原 理 篇
基礎知識
在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。
一個完整的木馬系統由硬體部分,軟體部分和具體連接部分組成。
(1)硬體部分:建立木馬連接所必須的硬體實體。 控制端:對服務端進行遠程式控制制的一方。 服務端:被控制端遠程式控制制的一方。 INTERNET:控制端對服務端進行遠程式控制制,數據傳輸的網路載體。
(2)軟體部分:實現遠程式控制制所必須的軟體程序。 控制端程序:控制端用以遠程式控制制服務端的程序。 木馬程序:潛入服務端內部,獲取其操作許可權的程序。 木馬配置程序:設置木馬程序的埠號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。
(3)具體連接部分:通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP,服務端IP:即控制端,服務端的網路地址,也是木馬進行數據傳輸的目的地。 控制端埠,木馬埠:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或木馬 程序。
木馬原理
用木馬這種黑客工具進行網路入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能:
(1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會採用多種偽裝手段,如修改圖標 ,捆綁文件,定製埠,自我銷毀等,我們將在「傳播木馬」這一節中詳細介紹。
(2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,IRC號 ,ICO號等等,具體的我們將在「信息反饋」這一節中詳細介紹。
二.傳播木馬
(1)傳播方式:
木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人只要打開附件系統就會感染木馬;另一種是軟體下載,一些非正規的網站以提供軟體下載為 名義, 將木馬捆綁在軟體安裝程序上,下載後,只要一運行這些程序,木馬就會自動安裝。
(2)偽裝方式:
鑒於木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑製作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目 的。
(一)修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴你,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提 心吊膽,疑神疑鬼的。
(二)捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的 情況下 ,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。
(三)出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的 設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務 端用戶打開木 馬程序時,會彈出一個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如「文件已破壞,無法打開的!」之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了 系統。
(四)定製埠
很多老式的木馬埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 埠就 知道感染了什麼木馬,所以現在很多新式的木馬都加入了定製埠的功能,控制端用戶可 以在1024---65535之間任選一個埠作為木馬埠(一般不選1024以下的埠),這樣就給判斷 所感染木馬類型帶 來了麻煩。
(五)自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後,木馬 會將自己拷貝到WINDOWS的系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),一般來說 原木馬文件 和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬 的朋友只要在近來 收到的信件和下載的軟體中找到原木馬文件,然後根據原木馬的大小去系統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬後,原木馬文件將自動銷毀,這 樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。
(六)木馬更名
安裝到系統文件夾中的木馬的文件名一般是固定的,那麼只要根據一些查殺木馬的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以現在有很多木馬都允許控 制端用戶自由定製安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。
三.運行木馬
服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然後在注冊表,啟動組,非啟動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啟動木馬了,具體過程見下圖:
(1)由觸發條件激活木馬
觸發條件是指啟動木馬的條件,大致出現在下面八個地方:
1.注冊表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。
2.WIN.INI:C:\WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在[windows]欄位中有啟動 命令 load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:\WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動命令。
4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都 需要控制端用戶與服務端建立連接後,將已添加木馬啟動命令的同名 文件上傳 到服務端覆蓋這兩個文件才行。
5.*.INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬 啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。
6.注冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個例子,國產 木馬「冰河」就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將「C :\WINDOWS \NOTEPAD.EXE %1」該為「C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1」,這時你雙 擊一個TXT文件 後,原本應用NOTEPAD打開文件的,現在卻變成啟動木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬 ,不同之處只在於「文件類型」這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找一下。
7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然後控制端用戶用工具 軟體將木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。
8.啟動菜單:在「開始---程序---啟動」選項下也可能有木馬的觸發條件。
(2)木馬運行過程
木馬被激活後,進入內存,並開啟事先定義的木馬埠,准備與控制端建立連接。這時服務端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看埠狀態,一般個人電腦在離線狀態下是不會有埠 開放的,如果有埠開放,你就要注意是否感染木馬了。下面是電腦感染木馬後,用NETSTAT命令查 看埠的兩個實例:
其中①是服務端與控制端建立連接時的顯示狀態,②是服務端與控制端還未建立連接時的顯示狀態。
在上網過程中要下載軟體,發送信件,網上聊天等必然打開一些埠,下面是一些常用的埠:
(1)1---1024之間的埠:這些埠叫保留埠,是專給一些對外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木馬會用保留埠作為木馬埠 的。
(2)1025以上的連續埠:在上網瀏覽網站時,瀏覽器會打開多個連續的埠下載文字,圖片到本地 硬碟上,這些埠都是1025以上的連續埠。
(3)4000埠:這是OICQ的通訊埠。
(4)6667埠:這是IRC的通訊埠。 除上述的埠基本可以排除在外,如發現還有其它埠打開,尤其是數值比較大的埠,那就要懷疑 是否感染了木馬,當然如果木馬有定製埠的功能,那任何埠都有可能是木馬埠。
四.信息泄露:
一般來說,設計成熟的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集 一些服務端的軟硬體信息,並通過E-MAIL,IRC或ICO的方式告知控制端用戶。下圖是一個典型的信息反 饋郵件。
從這封郵件中我們可以知道服務端的一些軟硬體信息,包括使用的操作系統,系統目錄,硬碟分區況, 系統口令等,在這些信息中,最重要的是服務端IP,因為只有得到這個參數,控制端才能與服務端建立 連接,具體的連接方法我們會在下一節中講解。
五.建立連接:
這一節我們講解一下木馬連接是怎樣建立的 。一個木馬連接的建立首先必須滿足兩個條件:一是 服務端已安裝了木馬程序;二是控制端,服務端都要在線 。在此基礎上控制端可以通過木馬埠與服 務端建立連接。為了便於說明我們採用圖示的形式來講解。
如上圖所示A機為控制端,B機為服務端,對於A機來說要與B機建立連接必須知道B機的木馬埠和IP地 址,由於木馬埠是A機事先設定的,為已知項,所以最重要的是如何獲得B機的IP地址。獲得B機的IP 地址的方法主要有兩種:信息反饋和IP掃描。對於前一種已在上一節中已經介紹過了,不再贅述,我們 重點來介紹IP掃描,因為B機裝有木馬程序,所以它的木馬埠7626是處於開放狀態的,所以現在A機只 要掃描IP地址段中7626埠開放的主機就行了,例如圖中B機的IP地址是202.102.47.56,當A機掃描到 這個IP時發現它的7626埠是開放的,那麼這個IP就會被添加到列表中,這時A機就可以通過木馬的控 制端程序向B機發出連接信號,B機中的木馬程序收到信號後立即作出響應,當A機收到響應的信號後, 開啟一個隨即埠1031與B機的木馬埠7626建立連接,到這時一個木馬連接才算真正建立。值得一提 的要掃描整個IP地址段顯然費時費力,一般來說控制端都是先通過信息反饋獲得服務端的IP地址,由於 撥號上網的IP是動態的,即用戶每次上網的IP都是不同的,但是這個IP是在一定范圍內變動的,如圖中 B機的IP是202.102.47.56,那麼B機上網IP的變動范圍是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索這個IP地址段就可以找到B機了。
六.遠程式控制制:
木馬連接建立後,控制端埠和木馬埠之間將會出現一條通道,見下圖
控制端上的控制端程序可藉這條通道與服務端上的木馬程序取得聯系,並通過木馬程序對服務端進行遠 程式控制制。下面我們就介紹一下控制端具體能享有哪些控制許可權,這遠比你想像的要大。
(1)竊取密碼:一切以明文的形式,*形式或緩存在CACHE中的密碼都能被木馬偵測到,此外很多木馬還 提供有擊鍵記錄功能,它將會記錄服務端每次敲擊鍵盤的動作,所以一旦有木馬入侵, 密碼將很容易被竊取。
(2)文件操作:控制端可藉由遠程式控制制對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬 性等一系列操作,基本涵蓋了WINDOWS平台上所有的文件操作功能。
(3)修改注冊表:控制端可任意修改服務端注冊表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這 項功能控制端就可以禁止服務端軟碟機,光碟機的使用,鎖住服務端的注冊表,將服務端 上木馬的觸發條件設置得更隱蔽的一系列高級操作。
(4)系統操作:這項內容包括重啟或關閉服務端操作系統,斷開服務端網路連接,控制服務端的滑鼠, 鍵盤,監視服務端桌面操作,查看服務端進程等,控制端甚至可以隨時給服務端發送信 息,想像一下,當服務端的桌面上突然跳出一段話,不嚇人一跳才怪
㈧ 請問,木馬的工作原理是什麼
「木馬」程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也並不「刻意」地去感染其他文件,它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種者的電腦。「木馬」與計算機網路中常常要用到的遠程式控制制軟體有些相似,但由於遠程式控制制軟體是「善意」的控制,因此通常不具有隱蔽性;「木馬」則完全相反,木馬要達到的是「偷竊」性的遠程式控制制,如果沒有很強的隱蔽性的話,那就是「毫無價值」的。
一個完整的「木馬」程序包含了兩部分:「伺服器」和「控制器」。植入被種者電腦的是「伺服器」部分,而所謂的「黑客」正是利用「控制器」進入運行了「伺服器」的電腦。運行了木馬程序的「伺服器」以後,被種者的電腦就會有一個或幾個埠被打開,使黑客可以利用這些打開的埠進入電腦系統,安全和個人隱私也就全無保障了!
病毒是附著於程序或文件中的一段計算機代碼,它可在計算機之間傳播。它一邊傳播一邊感染計算機。病毒可損壞軟體、硬體和文件。
病毒 (n.):以自我復制為明確目的編寫的代碼。病毒附著於宿主程序,然後試圖在計算機之間傳播。它可能損壞硬體、軟體和信息。
與人體病毒按嚴重性分類(從 Ebola 病毒到普通的流感病毒)一樣,計算機病毒也有輕重之分,輕者僅產生一些干擾,重者徹底摧毀設備。令人欣慰的是,在沒有人員操作的情況下,真正的病毒不會傳播。必須通過某個人共享文件和發送電子郵件來將它一起移動。
「木馬」全稱是「特洛伊木馬(TrojanHorse)」,原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。在Internet上,「特洛伊木馬」指一些程序設計人員(或居心不良的馬夫)在其可從網路上下載(Download)的應用程序或游戲外掛、或網頁中,包含了可以控制用戶的計算機系統或通過郵件盜取用戶信息的惡意程序,可能造成用戶的系統被破壞、信息丟失甚至令系統癱瘓。
一、木馬的特性
特洛伊木馬屬於客戶/服務模式。它分為兩大部分,既客戶端和服務端。其原理是一台主機提供服務(伺服器端),另一台主機接受服務(客戶端),作為伺服器的主機一般會打開一個默認的埠進行監聽。如果有客戶機向伺服器的這一埠提出連接請求,伺服器上的相應程序就會自動運行,來答應客戶機的請求。這個程序被稱為進程。
木馬一般以尋找後門、竊取密碼為主。統計表明,現在木馬在病毒中所佔的比例已經超過了四分之一,而在近年湧起的病毒潮中,木馬類病毒占絕對優勢,並將在未來的若干年內愈演愈烈。木馬是一類特殊的病毒,如果不小心把它當成一個軟體來使用,該木馬就會被「種」到電腦上,以後上網時,電腦控制權就完全交給了「黑客」,他便能通過跟蹤擊鍵輸入等方式,竊取密碼、信用卡號碼等機密資料,而且還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作。
二、木馬發作特性
在使用計算機的過程中如果您發現:計算機反應速度發生了明顯變化,硬碟在不停地讀寫,滑鼠不聽使喚,鍵盤無效,自己的一些窗口在被關閉,新的窗口被莫名其妙地打開,網路傳輸指示燈一直在閃爍,沒有運行大的程序,而系統卻越來越慢,系統資源站用很多,或運行了某個程序沒有反映(此類程序一般不大,從十幾k到幾百k都有)或在關閉某個程序時防火牆探測到有郵件發出……這些不正常現象表明:您的計算機中了木馬病毒。
三、木馬的工作原理以及手動查殺介紹
由於大多玩家對安全問題了解不多,所以並不知道自己的計算機中了「木馬」該怎麼樣清除。因此最關鍵的還是要知道「木馬」的工作原理,這樣就會很容易發現「木馬」。相信你看了這篇文章之後,就會成為一名查殺「木馬」的高手了。(如果成不了高手建議大家用皮筋打斑竹家玻璃,嘿嘿)
「木馬」程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False。ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為「系統服務」可以很輕松地偽裝自己。
A、啟動組類(就是機器啟動時運行的文件組)
當然木馬也會悄無聲息地啟動,你當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端,(沒有人會這么傻吧??)。「木馬」會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動載入應用程序的方法,「木馬」都會用上,如:啟動組、win.ini、system.ini、注冊表等等都是「木馬」藏身的好地方。通過win.ini和system.ini來載入木馬。在Windows系統中,win.ini和system.ini這兩個系統配置文件都存放在C:windows目錄下,你可以直接用記事本打開。可以通過修改win.ini文件中windows節的「load=file.exe,run=file.exe」語句來達到木馬自動載入的目的。此外在system.ini中的boot節,正常的情況下是「Shell=Explorer.exe」(Windows系統的圖形界面命令解釋器)。下面具體談談「木馬」是怎樣自動載入的。
1、在win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上「木馬」了。當然你也得看清楚,因為好多「木馬」,如「AOLTrojan木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
通過c:windowswininit.ini文件。很多木馬程序在這里做一些小動作,這種方法往往是在文件的安裝過程中被使用,程序安裝完成之後文件就立即執行,與此同時安裝的原文件被Windows刪除干凈,因此隱蔽性非常強,例如在wininit.ini中如果Rename節有如下內容:NUL=c:windowspicture.exe,該語句將c:windowspicture.exe發往NUL,這就意味著原來的文件pictrue.exe已經被刪除,因此它運行起來就格外隱蔽。
2、在system.ini文件中,在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell=explorer.exe程序名」,那麼後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。
win.ini、system.ini文件可以通過「開始」菜單里的「運行」來查看。只要在「運行」對話框中輸入「msconfig」,後點擊「確定」按鈕就行了。(這里大家一定要注意,如果你對計算機不是很了解,請不要輸入此命令或刪除里邊的文件,否則一切後果和損失自己負責。斑竹和本人不承擔任何責任。)
3、對於下面所列的文件也要勤加檢查,木馬們也可能隱藏在
C:\windows\winstart.bat和C:\windows\winnint.ini,還有Autoexec.bat
B、注冊表(注冊表就是注冊表,懂電腦的人一看就知道了)
1、從菜單中載入。如果自動載入的文件是直接通過在Windows菜單上自定義添加的,一般都會放在主菜單的「開始->程序->啟動」處,在Win98資源管理器里的位置是「C:windowsstartmenuprograms啟動」處。通過這種方式使文件自動載入時,一般都會將其存放在注冊表中下述4個位置上:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
2、在注冊表中的情況最復雜,在點擊至:「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的「木馬」程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如「AcidBatteryv1.0木馬」,它將注冊表「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下的Explorer鍵值改為Explorer=「C:\WINDOWS\expior