不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>病毒知識>

木馬電腦病毒介紹

時間: 林輝766 分享

  “木馬”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也并不“刻意”地去感染其他文件,下面由學(xué)習(xí)啦小編給你做出詳細的木馬電腦病毒介紹!希望對你有幫助!歡迎回訪學(xué)習(xí)啦網(wǎng)站,謝謝!

  木馬電腦病毒介紹:

  它通過將自身偽裝吸引用戶下載執(zhí)行,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種者的電腦。“木馬”與計算機網(wǎng)絡(luò)中常常要用到的遠程控制軟件有些相似,但由于遠程控制軟件是“善意”的控制,因此通常不具有隱蔽性;“木馬”則完全相反,木馬要達到的是“偷竊”性的遠程控制,如果沒有很強的隱蔽性的話,那就是“毫無價值”的。

  一個完整的“木馬”程序包含了兩部分:“服務(wù)器”和“控制器”。植入被種者電腦的是“服務(wù)器”部分,而所謂的“黑客”正是利用“控制器”進入運行了“服務(wù)器”的電腦。運行了木馬程序的“服務(wù)器”以后,被種者的電腦就會有一個或幾個端口被打開,使黑客可以利用這些打開的端口進入電腦系統(tǒng),安全和個人隱私也就全無保障了!

  病毒是附著于程序或文件中的一段計算機代碼,它可在計算機之間傳播。它一邊傳播一邊感染計算機。病毒可損壞軟件、硬件和文件。

  病毒 (n.):以自我復(fù)制為明確目的編寫的代碼。病毒附著于宿主程序,然后試圖在計算機之間傳播。它可能損壞硬件、軟件和信息。

  與人體病毒按嚴重性分類(從 Ebola 病毒到普通的流感病毒)一樣,計算機病毒也有輕重之分,輕者僅產(chǎn)生一些干擾,重者徹底摧毀設(shè)備。令人欣慰的是,在沒有人員操作的情況下,真正的病毒不會傳播。必須通過某個人共享文件和發(fā)送電子郵件來將它一起移動。

  “木馬”全稱是“特洛伊木馬(TrojanHorse)”,原指古希臘士兵藏在木馬內(nèi)進入敵方城市從而占領(lǐng)敵方城市的故事。在Internet上,“特洛伊木馬”指一些程序設(shè)計人員(或居心不良的馬夫)在其可從網(wǎng)絡(luò)上下載(Download)的應(yīng)用程序或游戲外掛、或網(wǎng)頁中,包含了可以控制用戶的計算機系統(tǒng)或通過郵件盜取用戶信息的惡意程序,可能造成用戶的系統(tǒng)被破壞、信息丟失甚至令系統(tǒng)癱瘓。

  一、木馬的特性

  特洛伊木馬屬于客戶/服務(wù)模式。它分為兩大部分,既客戶端和服務(wù)端。其原理是一臺主機提供服務(wù)(服務(wù)器端),另一臺主機接受服務(wù)(客戶端),作為服務(wù)器的主機一般會打開一個默認的端口進行監(jiān)聽。如果有客戶機向服務(wù)器的這一端口提出連接請求,服務(wù)器上的相應(yīng)程序就會自動運行,來答應(yīng)客戶機的請求。這個程序被稱為進程。

  木馬一般以尋找后門、竊取密碼為主。統(tǒng)計表明,現(xiàn)在木馬在病毒中所占的比例已經(jīng)超過了四分之一,而在近年涌起的病毒潮中,木馬類病毒占絕對優(yōu)勢,并將在未來的若干年內(nèi)愈演愈烈。木馬是一類特殊的病毒,如果不小心把它當成一個軟件來使用,該木馬就會被“種”到電腦上,以后上網(wǎng)時,電腦控制權(quán)就完全交給了“黑客”,他便能通過跟蹤擊鍵輸入等方式,竊取密碼、信用卡號碼等機密資料,而且還可以對電腦進行跟蹤監(jiān)視、控制、查看、修改資料等操作。

  二、木馬發(fā)作特性

  在使用計算機的過程中如果您發(fā)現(xiàn):計算機反應(yīng)速度發(fā)生了明顯變化,硬盤在不停地讀寫,鼠標不聽使喚,鍵盤無效,自己的一些窗口在被關(guān)閉,新的窗口被莫名其妙地打開,網(wǎng)絡(luò)傳輸指示燈一直在閃爍,沒有運行大的程序,而系統(tǒng)卻越來越慢,系統(tǒng)資源站用很多,或運行了某個程序沒有反映(此類程序一般不大,從十幾k到幾百k都有)或在關(guān)閉某個程序時防火墻探測到有郵件發(fā)出……這些不正常現(xiàn)象表明:您的計算機中了木馬病毒。

  三、木馬的工作原理以及手動查殺介紹

  由于大多玩家對安全問題了解不多,所以并不知道自己的計算機中了“木馬”該怎么樣清除。因此最關(guān)鍵的還是要知道“木馬”的工作原理,這樣就會很容易發(fā)現(xiàn)“木馬”。相信你看了這篇文章之后,就會成為一名查殺“木馬”的高手了。(如果成不了高手建議大家用皮筋打斑竹家玻璃,嘿嘿)

  “木馬”程序會想盡一切辦法隱藏自己,主要途徑有:在任務(wù)欄中隱藏自己,這是最基本的只要把Form的Visible屬性設(shè)為False。ShowInTaskBar設(shè)為False,程序運行時就不會出現(xiàn)在任務(wù)欄中了。在任務(wù)管理器中隱形:將程序設(shè)為“系統(tǒng)服務(wù)”可以很輕松地偽裝自己。

  A、啟動組類(就是機器啟動時運行的文件組)

  當然木馬也會悄無聲息地啟動,你當然不會指望用戶每次啟動后點擊“木馬”圖標來運行服務(wù)端,(沒有人會這么傻吧??)。“木馬”會在每次用戶啟動時自動裝載服務(wù)端,Windows系統(tǒng)啟動時自動加載應(yīng)用程序的方法,“木馬”都會用上,如:啟動組、win.ini、system.ini、注冊表等等都是“木馬”藏身的好地方。通過win.ini和system.ini來加載木馬。在Windows系統(tǒng)中,win.ini和system.ini這兩個系統(tǒng)配置文件都存放在C:windows目錄下,你可以直接用記事本打開。可以通過修改win.ini文件中windows節(jié)的“load=file.exe,run=file.exe”語句來達到木馬自動加載的目的。此外在system.ini中的boot節(jié),正常的情況下是“Shell=Explorer.exe”(Windows系統(tǒng)的圖形界面命令解釋器)。下面具體談?wù)?ldquo;木馬”是怎樣自動加載的。

  1、在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加載“木馬”程序的途徑,必須仔細留心它們。一般情況下,它們的等號后面什么都沒有,如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上“木馬”了。當然你也得看清楚,因為好多“木馬”,如“AOLTrojan木馬”,它把自身偽裝成command.exe文件,如果不注意可能不會發(fā)現(xiàn)它不是真正的系統(tǒng)啟動文件。

  通過c:windowswininit.ini文件。很多木馬程序在這里做一些小動作,這種方法往往是在文件的安裝過程中被使用,程序安裝完成之后文件就立即執(zhí)行,與此同時安裝的原文件被Windows刪除干凈,因此隱蔽性非常強,例如在wininit.ini中如果Rename節(jié)有如下內(nèi)容:NUL=c:windowspicture.exe,該語句將c:windowspicture.exe發(fā)往NUL,這就意味著原來的文件pictrue.exe已經(jīng)被刪除,因此它運行起來就格外隱蔽。

  2、在system.ini文件中,在[BOOT]下面有個“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟著的那個程序就是“木馬”程序,就是說你已經(jīng)中“木馬”了。

  win.ini、system.ini文件可以通過“開始”菜單里的“運行”來查看。只要在“運行”對話框中輸入“msconfig”,后點擊“確定”按鈕就行了。(這里大家一定要注意,如果你對計算機不是很了解,請不要輸入此命令或刪除里邊的文件,否則一切后果和損失自己負責(zé)。斑竹和本人不承擔(dān)任何責(zé)任。)

  3、對于下面所列的文件也要勤加檢查,木馬們也可能隱藏在

  C:\windows\winstart.bat和C:\windows\winnint.ini,還有Autoexec.bat

  B、注冊表(注冊表就是注冊表,懂電腦的人一看就知道了)

  1、從菜單中加載。如果自動加載的文件是直接通過在Windows菜單上自定義添加的,一般都會放在主菜單的“開始->程序->啟動”處,在Win98資源管理器里的位置是“C:windowsstartmenuprograms啟動”處。通過這種方式使文件自動加載時,一般都會將其存放在注冊表中下述4個位置上:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

  2、在注冊表中的情況最復(fù)雜,在點擊至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的“木馬”程序生成的文件很像系統(tǒng)自身文件,想通過偽裝蒙混過關(guān),如“AcidBatteryv1.0木馬”,它將注冊表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”,“木馬”程序與真正的Explorer之間只有“i”與“l”的差別。當然在注冊表中還有很多地方都可以隱藏“木馬”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能,最好的辦法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬”程序的文件名,再在整個注冊表中搜索即可。

  此外在注冊表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

  “1”“*”處,如果其中的“1”被修改為木馬,那么每次啟動一個該可執(zhí)行文件時木馬就會啟動一次,例如著名的冰河木馬就是將TXT文件的Notepad.exe改成!了它自己的啟動文件,每次打開記事本時就會自動啟動冰河木馬,做得非常隱蔽。

  注冊表可以通過在“運行”對話框中輸入“regedit”來查看。需要說明的是,對系統(tǒng)注冊表進行刪除修改操作前一定要將注冊表備份,因為對注冊表操作有一定的危險性,加上木馬的隱藏較隱蔽,可能會有一些誤操作,如果發(fā)現(xiàn)錯誤,可以將備份的注冊表文件導(dǎo)入到系統(tǒng)中進行恢復(fù)。(次命令同樣很危險,如不懂計算機請不要嘗試。切記)

  萬變不離其宗,木馬啟動都有一個方式,它只是在一個特定的情況下啟動。所以平常多注意你的端口。一般的木馬默認端口有

  BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243

  在dos里輸入以下命令:netstat-an,就能看到自己的端口了,一般網(wǎng)絡(luò)常用端口有:21,23,25,53,80,110,139,如果你的端口還有其他的,你可要注意了,因為現(xiàn)在有許多木馬可以自己設(shè)定端口。(上面這些木馬的端口是以前的,由于時間和安全的關(guān)系現(xiàn)在好多新木馬的端口我不知道,也不敢去試,因為技術(shù)更新的太快了,我跟不上了。55555555555555)

  由于木馬的運行常通過網(wǎng)絡(luò)的連接來實現(xiàn)的,因此如果發(fā)現(xiàn)可疑的網(wǎng)絡(luò)連接就可以推測木馬的存在,最簡單的辦法是利用Windows自帶的Netstat命令來查看。一般情況下,如果沒有進行任何上網(wǎng)操作,在MS-DOS窗口中用Netstat命令將看不到什么信息,此時可以使用“netstat-a”,“-a”選項用以顯示計算機中目前所有處于監(jiān)聽狀態(tài)的端口。如果出現(xiàn)不明端口處于監(jiān)聽狀態(tài),而目前又沒有進行任何網(wǎng)絡(luò)服務(wù)的操作,那么在監(jiān)聽該端口的很可能是木馬。

  在Win2000/XP中按下“CTL+ALT+DEL”,進入任務(wù)管理器,就可看到系統(tǒng)正在運行的全部進程,一一清查即可發(fā)現(xiàn)木馬的活動進程。

  在Win98下,查找進程的方法不那么方便,但有一些查找進程的工具可供使用。通過查看系統(tǒng)進程這種方法來檢測木馬非常簡便易行,但是對系統(tǒng)必須熟悉,因為Windows系統(tǒng)在運行時本身就有一些我們不是很熟悉的進程在運行著,因此這個時候一定要小心操作,木馬還是可以通過這種方法被檢測出來

  很多木馬病毒都是通過綁定在其他的軟件或文件中來實現(xiàn)傳播的,一旦運行了這個被綁定的軟件或文件就會被感染,因此在下載的時候需要特別注意,一般推薦去一些信譽比較高的站點。在軟件安裝之前一定要用反病毒軟件檢查一下

  1、來自網(wǎng)絡(luò)的攻擊手段越來越多了,一些帶木馬的惡意網(wǎng)頁會利用軟件或系統(tǒng)操作平臺等的安全漏洞,通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標記語言內(nèi)的JavaApplet小應(yīng)用程序、javascript腳本語言程序、ActiveX軟件部件交互技術(shù)支持可自動執(zhí)行的代碼程序,強行修改用戶操作系統(tǒng)的注冊表及系統(tǒng)實用配置程序,從而達到非法控制系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤、感染木馬程序、盜取用戶數(shù)據(jù)資料等目的。

  目前來自網(wǎng)頁的攻擊分為兩種:一種是通過編輯的腳本程序修改IE瀏覽器;另外一種是直接破壞Windows系統(tǒng)。前者一般會修改IE瀏覽器的標題欄、默認主頁或直接將木馬“種”在你的機器里等等;后者是直接鎖定你的鍵盤、鼠標等輸入設(shè)備然后對系統(tǒng)進行破壞。

  (作者插言):還好目前盜取千年用戶名和密碼的“木馬”功能還僅僅是偷盜行為,沒有發(fā)展成破壞行為。要不然號被盜了,在順便把硬盤被格式化了。那樣想第一時間找回密碼就都沒可能。希望這種情況不要發(fā)生。(啊門我彌佗佛)

  下邊是正題了,大家看仔細了!

  假如您收到的郵件附件中有一個看起來是這樣的文件(或者貌似這類文件,總之是特別誘人的文件,而且格式還很安全。):QQ靚號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不一定!它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

  {3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表里是HTML文件關(guān)聯(lián)的意思。但是存成文件名的時候它并不會顯現(xiàn)出來,您看到的就是個.txt文件,這個文件實際上等同于QQ靚號放送.txt.html。那么直接打開這個文件為什么有危險呢?請看如果這個文件的內(nèi)容如下:

  您可能以為它會調(diào)用記事本來運行,可是如果您雙擊它,結(jié)果它卻調(diào)用了HTML來運行,并且自動在后臺開始通過網(wǎng)頁加載木馬文件。同時顯示“正在打開文件”之類的這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?

  欺騙實現(xiàn)原理:當您雙擊這個偽裝起來的.txt時候,由于真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就會以html文件的形式運行,這是它能運行起來的先決條件。

  在某些惡意網(wǎng)頁木馬中還會調(diào)用“WScript”。

  WScript全稱WindowsScriptingHost,它是Win98新加進的功能,是一種批次語言/自動執(zhí)行工具——它所對應(yīng)的程序“WScript.exe”是一個腳本語言解釋器,位于c:\WINDOWS下,正是它使得腳本可以被執(zhí)行,就象執(zhí)行批處理一樣。在WindowsScriptingHost腳本環(huán)境里,預(yù)定義了一些對象,通過它自帶的幾個內(nèi)置對象,可以實現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊表等功能。

  在Windows系統(tǒng)中,勾子(hook)是一種特殊的消息處理機制。勾子可以監(jiān)視系統(tǒng)或進程中的各種事件消息,截獲發(fā)往目標窗口的消息并進行處理。這樣,我們就可以在系統(tǒng)中安裝自定義的勾子,監(jiān)視系統(tǒng)中特定事件的發(fā)生,完成特定的功能,比如截獲鍵盤、鼠標的輸入,屏幕取詞,日志監(jiān)視等等??梢?,利用勾子可以實現(xiàn)許多特殊而有用的功能。因此,對于高級編程人員來說,掌握勾子的編程方法是很有必要的。

  大家知道了“木馬”的工作原理,查殺“木馬”就變得很容易,如果發(fā)現(xiàn)有“木馬”存在,最安全也是最有效的方法就是馬上將計算機與網(wǎng)絡(luò)斷開,防止黑客通過網(wǎng)絡(luò)對你進行攻擊。然后在根據(jù)實際情況進行處理。
看過“木馬電腦病毒介紹”人還看了:

1.詳細的十大電腦病毒介紹

2.電腦病毒木馬

3.計算機病毒的具體介紹

4.典型計算機病毒的相關(guān)介紹

592571