A. 木馬&病毒
一 計算機病毒的定義計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒「指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼」。
二 計算機病毒的特點計算機病毒是人為的特製程序,具有自我復制能力,很強的感染性,一定的潛伏性,特定的觸發性和很大的破壞性。
三 病毒存在的必然性計算機的信息需要存取、復制、傳送,病毒作為信息的一種形式可以隨之繁殖、感染、破壞,而當病毒取得控制權之後,他們會主動尋找感染目標,使自身廣為流傳。
四 計算機病毒的長期性病毒往往會利用計算機操作系統的弱點進行傳播,提高系統的安全性是防病毒的一個重要方面,但完美的系統是不存在的,過於強調提高系統的安全性將使系統多數時間用於病毒檢查,系統失去了可用性、實用性和易用性,另一方面,信息保密的要求讓人們在泄密和抓住病毒之間無法選擇。病毒與反病毒將作為一種技術對抗長期存在,兩種技術都將隨計算機技術的發展而得到長期的發展。
五 計算機病毒的產生病毒不是來源於突發或偶然的原因.一次突發的停電和偶然的錯誤,會在計算機的磁碟和內存中產生一些亂碼和隨機指令,但這些代碼是無序和混亂的,病毒則是一種比較完美的,精巧嚴謹的代碼,按照嚴格的秩序組織起來,與所在的系統網路環境相適應和配合起來,病毒不會通過偶然形成,並且需要有一定的長度,這個基本的長度從概率上來講是不可能通過隨機代碼產生的。病毒是人為的特製程序現在流行的病毒是由人為故意編寫的,多數病毒可以找到作者信息和產地信息,通過大量的資料分析統計來看,病毒作者主要情況和目的是:一些天才的程序員為了表現自己和證明自己的能力,處於對上司的不滿,為了好奇,為了報復,為了祝賀和求愛,為了得到控制口令,為了軟體拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機構和黑客的測試病毒.
六 計算機病毒分類根據多年對計算機病毒的研究,按照科學的、系統的、嚴密的方法,計算機病毒可分類如下:按照計算機病毒屬性的方法進行分類,計算機病毒可以根據下面的屬性進行分類:
按照計算機病毒存在的媒體進行分類根據病毒存在的媒體,病毒可以劃分為網路病毒,文件病毒,引導型病毒。網路病毒通過計算機網路傳播感染網路中的可執行文件,文件病毒感染計算機中的文件(如:COM,EXE,DOC等),引導型病毒感染啟動扇區(Boot)和硬碟的系統引導扇區(MBR),還有這三種情況的混合型,例如:多型病毒(文件和引導型)感染文件和引導扇區兩種目標,這樣的病毒通常都具有復雜的演算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形演算法。
按照計算機病毒傳染的方法進行分類根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計算機後,把自身的內存駐留部分放在內存(RAM)中,這一部分程序掛接系統調用並合並到操作系統中去,他處於激活狀態,一直到關機或重新啟動.非駐留型病毒在得到機會激活時並不感染計算機內存,一些病毒在內存中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。
按照計算機病毒破壞的能力進行分類根據病毒破壞的能力可劃分為以下幾種:無害型除了傳染時減少磁碟的可用空間外,對系統沒有其它影響。無危險型這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。危險型這類病毒在計算機系統操作中造成嚴重的錯誤。非常危險型這類病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。這些病毒對系統造成的危害,並不是本身的演算法中存在危險的調用,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產生的錯誤也會破壞文件和扇區,這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統造成破壞。例如:在早期的病毒中,有一個「Denzuk」病毒在360K磁碟上很好的工作,不會造成任何破壞,但是在後來的高密度軟盤上卻能引起大量的數據丟失。
按照計算機病毒特有的演算法進行分類根據病毒特有的演算法,病毒可以劃分為:伴隨型病毒這一類病毒並不改變文件本身,它們根據演算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件並不改變EXE文件,當DOS載入文件時,伴隨體優先被執行到,再由伴隨體載入執行原來的EXE文件。「蠕蟲」型病毒通過計算機網路傳播,不改變文件和資料信息,利用網路從一台機器的內存傳播到其它機器的內存,計算網路地址,將自身的病毒通過網路發送。有時它們在系統存在,一般除了內存不佔用其它資源。寄生型病毒除了伴隨和「蠕蟲」型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或文件中,通過系統的功能進行傳播,按其演算法不同可分為:練習型病毒病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在調試階段。詭秘型病毒它們一般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩沖區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閑的數據區進行工作。變型病毒(又稱幽靈病毒)這一類病毒使用一個復雜的演算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼演算法和被變化過的病毒體組成。
特洛伊木馬(以下簡稱木馬),英文叫做「Trojan house」,其名稱取自希臘神話的特洛伊木馬記。
它是一種基於遠程式控制制的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會採用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往只能望「馬」興嘆。
所謂非授權性是指一旦控制端與服務端連接後,控制端將享有服務端的大部分操作許可權,包括修改文件,修改注冊表,控制滑鼠,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網路還處於以UNIX平台為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到系統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。
鑒於木馬的巨大危害性,我們將分原理篇,防禦與反擊篇,資料篇三部分來詳細介紹木馬,希望大家對特洛伊木馬這種攻擊手段有一個透徹的了解。
原 理 篇
基礎知識
在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。
一個完整的木馬系統由硬體部分,軟體部分和具體連接部分組成。
(1)硬體部分:建立木馬連接所必須的硬體實體。 控制端:對服務端進行遠程式控制制的一方。 服務端:被控制端遠程式控制制的一方。 INTERNET:控制端對服務端進行遠程式控制制,數據傳輸的網路載體。
(2)軟體部分:實現遠程式控制制所必須的軟體程序。 控制端程序:控制端用以遠程式控制制服務端的程序。 木馬程序:潛入服務端內部,獲取其操作許可權的程序。 木馬配置程序:設置木馬程序的埠號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。
(3)具體連接部分:通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP,服務端IP:即控制端,服務端的網路地址,也是木馬進行數據傳輸的目的地。 控制端埠,木馬埠:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或木馬 程序。
木馬原理
用木馬這種黑客工具進行網路入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能:
(1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會採用多種偽裝手段,如修改圖標 ,捆綁文件,定製埠,自我銷毀等,我們將在「傳播木馬」這一節中詳細介紹。
(2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,IRC號 ,ICO號等等,具體的我們將在「信息反饋」這一節中詳細介紹。
二.傳播木馬
(1)傳播方式:
木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人只要打開附件系統就會感染木馬;另一種是軟體下載,一些非正規的網站以提供軟體下載為 名義, 將木馬捆綁在軟體安裝程序上,下載後,只要一運行這些程序,木馬就會自動安裝。
(2)偽裝方式:
鑒於木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑製作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目 的。
(一)修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴你,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提 心吊膽,疑神疑鬼的。
(二)捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的 情況下 ,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。
(三)出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的 設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務 端用戶打開木 馬程序時,會彈出一個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如「文件已破壞,無法打開的!」之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了 系統。
(四)定製埠
很多老式的木馬埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 埠就 知道感染了什麼木馬,所以現在很多新式的木馬都加入了定製埠的功能,控制端用戶可 以在1024---65535之間任選一個埠作為木馬埠(一般不選1024以下的埠),這樣就給判斷 所感染木馬類型帶 來了麻煩。
(五)自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後,木馬 會將自己拷貝到WINDOWS的系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),一般來說 原木馬文件 和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬 的朋友只要在近來 收到的信件和下載的軟體中找到原木馬文件,然後根據原木馬的大小去系統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬後,原木馬文件將自動銷毀,這 樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。
(六)木馬更名
安裝到系統文件夾中的木馬的文件名一般是固定的,那麼只要根據一些查殺木馬的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以現在有很多木馬都允許控 制端用戶自由定製安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。
三.運行木馬
服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然後在注冊表,啟動組,非啟動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啟動木馬了,具體過程見下圖:
(1)由觸發條件激活木馬
觸發條件是指啟動木馬的條件,大致出現在下面八個地方:
1.注冊表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。
2.WIN.INI:C:\WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在[windows]欄位中有啟動 命令 load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:\WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動命令。
4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都 需要控制端用戶與服務端建立連接後,將已添加木馬啟動命令的同名 文件上傳 到服務端覆蓋這兩個文件才行。
5.*.INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬 啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。
6.注冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個例子,國產 木馬「冰河」就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將「C :\WINDOWS \NOTEPAD.EXE %1」該為「C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1」,這時你雙 擊一個TXT文件 後,原本應用NOTEPAD打開文件的,現在卻變成啟動木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬 ,不同之處只在於「文件類型」這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找一下。
7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然後控制端用戶用工具 軟體將木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。
8.啟動菜單:在「開始---程序---啟動」選項下也可能有木馬的觸發條件。
(2)木馬運行過程
木馬被激活後,進入內存,並開啟事先定義的木馬埠,准備與控制端建立連接。這時服務端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看埠狀態,一般個人電腦在離線狀態下是不會有埠 開放的,如果有埠開放,你就要注意是否感染木馬了。下面是電腦感染木馬後,用NETSTAT命令查 看埠的兩個實例:
其中①是服務端與控制端建立連接時的顯示狀態,②是服務端與控制端還未建立連接時的顯示狀態。
在上網過程中要下載軟體,發送信件,網上聊天等必然打開一些埠,下面是一些常用的埠:
(1)1---1024之間的埠:這些埠叫保留埠,是專給一些對外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木馬會用保留埠作為木馬埠 的。
(2)1025以上的連續埠:在上網瀏覽網站時,瀏覽器會打開多個連續的埠下載文字,圖片到本地 硬碟上,這些埠都是1025以上的連續埠。
(3)4000埠:這是OICQ的通訊埠。
(4)6667埠:這是IRC的通訊埠。 除上述的埠基本可以排除在外,如發現還有其它埠打開,尤其是數值比較大的埠,那就要懷疑 是否感染了木馬,當然如果木馬有定製埠的功能,那任何埠都有可能是木馬埠。
四.信息泄露:
一般來說,設計成熟的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集 一些服務端的軟硬體信息,並通過E-MAIL,IRC或ICO的方式告知控制端用戶。下圖是一個典型的信息反 饋郵件。
從這封郵件中我們可以知道服務端的一些軟硬體信息,包括使用的操作系統,系統目錄,硬碟分區況, 系統口令等,在這些信息中,最重要的是服務端IP,因為只有得到這個參數,控制端才能與服務端建立 連接,具體的連接方法我們會在下一節中講解。
五.建立連接:
這一節我們講解一下木馬連接是怎樣建立的 。一個木馬連接的建立首先必須滿足兩個條件:一是 服務端已安裝了木馬程序;二是控制端,服務端都要在線 。在此基礎上控制端可以通過木馬埠與服 務端建立連接。為了便於說明我們採用圖示的形式來講解。
如上圖所示A機為控制端,B機為服務端,對於A機來說要與B機建立連接必須知道B機的木馬埠和IP地 址,由於木馬埠是A機事先設定的,為已知項,所以最重要的是如何獲得B機的IP地址。獲得B機的IP 地址的方法主要有兩種:信息反饋和IP掃描。對於前一種已在上一節中已經介紹過了,不再贅述,我們 重點來介紹IP掃描,因為B機裝有木馬程序,所以它的木馬埠7626是處於開放狀態的,所以現在A機只 要掃描IP地址段中7626埠開放的主機就行了,例如圖中B機的IP地址是202.102.47.56,當A機掃描到 這個IP時發現它的7626埠是開放的,那麼這個IP就會被添加到列表中,這時A機就可以通過木馬的控 制端程序向B機發出連接信號,B機中的木馬程序收到信號後立即作出響應,當A機收到響應的信號後, 開啟一個隨即埠1031與B機的木馬埠7626建立連接,到這時一個木馬連接才算真正建立。值得一提 的要掃描整個IP地址段顯然費時費力,一般來說控制端都是先通過信息反饋獲得服務端的IP地址,由於 撥號上網的IP是動態的,即用戶每次上網的IP都是不同的,但是這個IP是在一定范圍內變動的,如圖中 B機的IP是202.102.47.56,那麼B機上網IP的變動范圍是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索這個IP地址段就可以找到B機了。
六.遠程式控制制:
木馬連接建立後,控制端埠和木馬埠之間將會出現一條通道,見下圖
控制端上的控制端程序可藉這條通道與服務端上的木馬程序取得聯系,並通過木馬程序對服務端進行遠 程式控制制。下面我們就介紹一下控制端具體能享有哪些控制許可權,這遠比你想像的要大。
(1)竊取密碼:一切以明文的形式,*形式或緩存在CACHE中的密碼都能被木馬偵測到,此外很多木馬還 提供有擊鍵記錄功能,它將會記錄服務端每次敲擊鍵盤的動作,所以一旦有木馬入侵, 密碼將很容易被竊取。
(2)文件操作:控制端可藉由遠程式控制制對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬 性等一系列操作,基本涵蓋了WINDOWS平台上所有的文件操作功能。
(3)修改注冊表:控制端可任意修改服務端注冊表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這 項功能控制端就可以禁止服務端軟碟機,光碟機的使用,鎖住服務端的注冊表,將服務端 上木馬的觸發條件設置得更隱蔽的一系列高級操作。
(4)系統操作:這項內容包括重啟或關閉服務端操作系統,斷開服務端網路連接,控制服務端的滑鼠, 鍵盤,監視服務端桌面操作,查看服務端進程等,控制端甚至可以隨時給服務端發送信 息,想像一下,當服務端的桌面上突然跳出一段話,不嚇人一跳才怪.
B. 請教----病毒專家!
感染該蠕蟲病毒後網路帶寬被大量佔用,導致網路癱瘓,該蠕蟲是利用SQL SERVER 2000的解析埠1434的緩沖區溢出漏洞,對其網路進行攻擊。
網路常見攻擊及防範手冊(上)
(上) 一、前言 在網路這個不斷更新換代的世界裡,網路中的安全漏洞無處不在。即便舊的安全漏洞補上了,新的安全漏洞又將不斷涌現。網路攻擊正是利用這些存在的漏 洞和安全缺陷對系統和資源進行攻擊。 也許有人會對網路安全抱著無所謂的態度,認為最多不過是被攻擊者盜用賬號,造不成多大的危害。他們往往會認為"安全"只是針對那些大中型企事業單位和網站而言。其實,單從技術上說,黑客入侵的動機是成為目標主機的主人。只要他們獲得了一台網路主機的超級用戶許可權後他們就有可能在該主機上修改資源配置、安置"特洛伊"程序、隱藏行蹤、執行任意進程等等。我們誰又願意別人在我們的機器上肆無忌憚地擁有這些特權呢?更何況這些攻擊者的動機也不都是那麼單純。因此,我們每一個人都有可能面臨著安全威脅,都有必要對網路安全有所了解,並能夠處理一些安全方面的問題。 下面我們就來看一下那些攻擊者是如何找到你計算機中的安全漏洞的,並了解一下他們的攻擊手法。 二、網路攻擊的步驟 第一步:隱藏自已的位置 普通攻擊者都會利用別人的電腦隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP,然後再盜用他人的帳號上網。 第二步:尋找目標主機並分析目標主機 攻擊者首先要尋找目標主機並分析目標主機。在Internet上能真正標識主機的是IP地址,域名是為了便於記憶主機的IP地址而另起的名字,只要利用域名和IP地址就可以順利地找到目標主機。當然,知道了要攻擊目標的位置還是遠遠不夠的,還必須將主機的操作系統類型及其所提供服務等資料作個全面的了解。此時,攻擊者們會使用一些掃描器工具,輕松獲取目標主機運行的是哪種操作系統的哪個版本,系統有哪些帳戶,WWW、FTP、Telnet 、SMTP等伺服器程序是何種版本等資料,為入侵作好充分的准備。 第三步:獲取帳號和密碼,登錄主機 攻擊者要想入侵一台主機,首先要有該主機的一個帳號和密碼,否則連登錄都無法進行。這樣常迫使他們先設法盜竊帳戶文件,進行破解,從中獲取某用戶的帳戶和口令,再尋覓合適時機以此身份進入主機。當然,利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法。 第四步:獲得控制權 攻擊者們用FTP、Telnet等工具利用系統漏洞進入進入目標主機系統獲得控制權之後,就會做兩件事:清除記錄和留下後門。他會更改某些系統設置、在系統中置入特洛伊木馬或其他一些遠程操縱程序,以便日後可以不被覺察地再次進入系統。大多數後門程序是預先編譯好的,只需要想辦法修改時間和許可權就可以使用了,甚至新文件的大小都和原文件一模一樣。攻擊者一般會使用rep傳遞這些文件,以便不留下FTB記錄。清除日誌、刪除拷貝的文件等手段來隱藏自己的蹤跡之後,攻擊者就開始下一步的行動。 第五步:竊取網路資源和特權 攻擊者找到攻擊目標後,會繼續下一步的攻擊。如:下載敏感信息;實施竊取帳號密碼、信用卡號等經濟偷竊;使網路癱瘓。 三、網路攻擊的原理和手法 1、口令入侵 所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然後再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多,如 利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上; 利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑; 從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號; 查看主機是否有習慣性的帳號:有經驗的用戶都知道,很多系統會使用一些習慣性的帳號,造成帳號的泄露。 這又有三種方法: (1)是通過網路監聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大。監聽者往往採用中途截擊的方法也是獲取用戶帳戶和密碼的一條有效途徑。當下,很多協議根本就沒有採用任何加密或身份認證技術,如在Telnet、FTP、HTTP、SMTP等傳輸協議中,用戶帳戶和密碼信息都是以明文格式傳輸的,此時若攻擊者利用數據包截取工具便可很容易收集到你的帳戶和密碼。還有一種中途截擊攻擊方法更為厲害,它可以在你同伺服器端完成"三次握手"建立連接之後,在通信過程中扮演"第三者"的角色,假冒伺服器身份欺騙你,再假冒你向伺服器發出惡意請求,其造成的後果不堪設想。另外,攻擊者有時還會利用軟體和硬體工具時刻監視系統主機的工作,等待記錄用戶登錄信息,從而取得用戶密碼;或者編制有緩沖區溢出錯誤的SUID程序來獲得超級用戶許可權。 (2)是在知道用戶的賬號後(如電子郵件@前面的部分)利用一些專門軟體強行破解用戶口令,這種方法不受網段限制,但攻擊者要有足夠的耐心和時間。如:採用字典窮舉法(或稱暴力法)來破解用戶的密碼。攻擊者可以通過一些工具程序,自動地從電腦字典中取出一個單詞,作為用戶的口令,再輸入給遠端的主機,申請進入系統;若口令錯誤,就按序取出下一個單詞,進行下一個嘗試,並一直循環下去,直到找到正確的口令或字典的單詞試完為止。由於這個破譯過程由計算機程序來自動完成,因而幾個小時就可以把上十萬條記錄的字典里所有單詞都嘗試一遍。 (3)是利用系統管理員的失誤。在現代的Unix操作系統中,用戶的基本信息存放在passwd文件中,而所有的口令則經過DES加密方法加密後專門存放在一個叫shadow的文件中。黑客們獲取口令文件後,就會使用專門的破解DES加密法的程序來解口令。同時,由於為數不少的操作系統都存在許多安全漏洞、Bug或一些其他設計缺陷,這些缺陷一旦被找出,黑客就可以長驅直入。例如,讓Windows95/98系統後門洞開的BO就是利用了Windows的基本設計缺陷。 2、放置特洛伊木馬程序 特洛伊木馬程序可以直接侵入用戶的電腦並進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載,一旦用戶打開了這些郵件的附件或者執行了這些程序之後,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,並在自己的計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當您連接到網際網路上時,這個程序就會通知攻擊者,來報告您的IP地址以及預先設定的埠。攻擊者在收到這些信息後,再利用這個潛伏在其中的程序,就可以任意地修改你的計算機的參數設定、復制文件、窺視你整個硬碟中的內容等,從而達到控制你的計算機的目的。 3、WWW的欺騙技術 在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求,那麼黑客就可以達到欺騙的目的了。 一般Web欺騙使用兩種技術手段,即URL地址重寫技術和相關信關信息掩蓋技術。利用URL地址,使這些地址都向攻擊者的Web伺服器,即攻擊者可以將自已的Web地址加在所有URL地址的前面。這樣,當用戶與站點進行安全鏈接時,就會毫不防備地進入攻擊者的服器,於是用記的所有信息便處於攻擊者的監視之中。但由於瀏覽器材一般均設有地址欄和狀態欄,當瀏覽器與某個站點邊接時,可以在地址欄和狀態樣中獲得連接中的Web站點地址及其相關的傳輸信息,用戶由此可以發現問題,所以攻擊者往往在URLf址重寫的同時,利用相關信息排蓋技術,即一般用javascript程序來重寫地址樣和狀枋樣,以達到其排蓋欺騙的目的。 4、電子郵件攻擊 電子郵件是互聯網上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓。相對於其它的攻擊手段來說,這種攻擊方法具有簡單、見效快等優點。 電子郵件攻擊主要表現為兩種方式: (1)是電子郵件轟炸和電子郵件"滾雪球",也就是通常所說的郵件炸彈,指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件,致使受害人郵箱被"炸",嚴重者可能會給電子郵件伺服器操作系統帶來危險,甚至癱瘓; (2)是電子郵件欺騙,攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同),給用戶發送郵件要求用戶修改口令(口令可能為指定字元串)或在貌似正常的附件中載入病毒或其他木馬程序。 5、通過一個節點來攻擊其他節點 攻擊者在突破一台主機後,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們可以使用網路監聽方法,嘗試攻破同一網路內的其他主機;也可以通過IP欺騙和主機信任關系,攻擊其他主機。 這類攻擊很狡猾,但由於某些技術很難掌握,如TCP/IP欺騙攻擊。攻擊者通過外部計算機偽裝成另一台合法機器來實現。它能磙壞兩台機器間通信鏈路上的數據,其偽裝的目的在於哄騙網路中的其它機器誤將其攻擊者作為合法機器加以接受,誘使其它機器向他發送據或允許它修改數據。TCP/IP欺騙可以發生TCP/IP系統的所有層次上,包括數據鏈路層、網路層、運輸層及應用層均容易受到影響。如果底層受到損害,則應用層的所有協議都將處於危險之中。另外由於用戶本身不直接與底層相互相交流,因而對底層的攻擊更具有欺騙性。
願這里能成為我們共同的網上家園
2005-01-08 11:52
舉報帖子
復制貼子
加為精華
單貼屏蔽
帖子評價
使用道具
風影
等級:管理員
威望:1500
文章:453
積分:3056
注冊:2004-06-07 QQ 第 2 樓
網路常見攻擊及防範手冊(下)
6、網路監聽 網路監聽是主機的一種工作模式,在這種模式下,主機可以接收到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而攻擊者就能在兩端之間進行數據監聽。此時若兩台主機進行通信的信息沒有加密,只要使用某些網路監聽工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和帳號在內的信息資料。雖然網路監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。 7、利用黑客軟體攻擊 利用黑客軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。這些黑客軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,黑客軟體的伺服器端就安裝完成了,而且大部分黑客軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。特別是最近出現了一種TXT文件欺騙手法,表面看上去是一個TXT文本文件,但實際上卻是一個附帶黑客程序的可執行程序,另外有些程序也會偽裝成圖片和其他格式的文件。 8、安全漏洞攻擊 許多系統都有這樣那樣的安全漏洞(Bugs)。其中一些是操作系統或應用軟體本身具有的。如緩沖區溢出攻擊。由於很多系統在不檢查程序與緩沖之間變化的情況,就任意接受任意長度的數據輸入,把溢出的數據放在堆棧里,系統還照常執行命令。這樣攻擊者只要發送超出緩沖區所能處理的長度的指令,系統便進入不穩定狀態。若攻擊者特別配置一串准備用作攻擊的字元,他甚至可以訪問根目錄,從而擁有對整個網路的絕對控制權。另一些是利用協議漏洞進行攻擊。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發動攻擊,破壞的根目錄,從而獲得超級用戶的許可權。又如,ICMP協議也經常被用於發動拒絕服務攻擊。它的具體手法就是向目的伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作。 9、埠掃描攻擊 所謂埠掃描,就是利用Socket編程與目標主機的某些埠建立TCP連接、進行傳輸協議的驗證等,從而偵知目標主機的掃描埠是否是處於激活狀態、主機提供了哪些服務、提供的服務中是否含有某些缺陷等等。常用的掃描方式有:Connect()掃描。Fragmentation掃描 四、攻擊者常用的攻擊工具 1、DOS攻擊工具: 如WinNuke通過發送OOB漏洞導致系統藍屏;Bonk通過發送大量偽造的UDP數據包導致系統重啟;TearDrop通過發送重疊的IP碎片導致系統的TCP/IP棧崩潰;WinArp通過發特殊數據包在對方機器上產生大量的窗口;Land通過發送大量偽造源IP的基於SYN的TCP請求導致系統重啟動;FluShot通過發送特定IP包導致系統凝固;Bloo通過發送大量的ICMP數據包導致系統變慢甚至凝固;PIMP通過IGMP漏洞導致系統藍屏甚至重新啟動;Jolt通過大量偽造的ICMP和UDP導致系統變的非常慢甚至重新啟動。 2、木馬程序 (1)、BO2000(BackOrifice):它是功能最全的TCP/IP構架的攻擊工具,可以搜集信息,執行系統命令,重新設置機器,重新定向網路的客戶端/伺服器應用程序。BO2000支持多個網路協議,它可以利用TCP或UDP來傳送,還可以用XOR加密演算法或更高級的3DES加密演算法加密。感染BO2000後機器就完全在別人的控制之下,黑客成了超級用戶,你的所有操作都可由BO2000自帶的"秘密攝像機"錄製成"錄像帶"。 (2)、"冰河":冰河是一個國產木馬程序,具有簡單的中文使用界面,且只有少數流行的反病毒、防火牆才能查出冰河的存在。冰河的功能比起國外的木馬程序來一點也不遜色。 它可以自動跟蹤目標機器的屏幕變化,可以完全模擬鍵盤及滑鼠輸入,即在使被控端屏幕變化和監控端產生同步的同時,被監控端的一切鍵盤及滑鼠操作將反映在控端的屏幕。它可以記錄各種口令信息,包括開機口令、屏保口令、各種共享資源口令以及絕大多數在對話框中出現過的口令信息;它可以獲取系統信息;它還可以進行注冊表操作,包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表操作。 (3)、NetSpy:可以運行於Windows95/98/NT/2000等多種平台上,它是一個基於TCP/IP的簡單的文件傳送軟體,但實際上你可以將它看作一個沒有許可權控制的增強型FTP伺服器。通過它,攻擊者可以神不知鬼不覺地下載和上傳目標機器上的任意文件,並可以執行一些特殊的操作。 (4)、Glacier:該程序可以自動跟蹤目標計算機的屏幕變化、獲取目標計算機登錄口令及各種密碼類信息、獲取目標計算機系統信息、限制目標計算機系統功能、任意操作目標計算機文件及目錄、遠程關機、發送信息等多種監控功能。類似於BO2000。 (5)、KeyboardGhost:Windows系統是一個以消息循環(MessageLoop)為基礎的操作系統。系統的核心區保留了一定的位元組作為鍵盤輸入的緩沖區,其數據結構形式是隊列。鍵盤幽靈正是通過直接訪問這一隊列,使鍵盤上輸入你的電子郵箱、代理的賬號、密碼Password(顯示在屏幕上的是星號)得以記錄,一切涉及以星號形式顯示出來的密碼窗口的所有符號都會被記錄下來,並在系統根目錄下生成一文件名為KG.DAT的隱含文件。 (6)、ExeBind:這個程序可以將指定的攻擊程序捆綁到任何一個廣為傳播的熱門軟體上,使宿主程序執行時,寄生程序也在後台被執行,且支持多重捆綁。實際上是通過多次分割文件,多次從父進程中調用子進程來實現的。 五、網路攻擊應對策略 在對網路攻擊進行上述分析與識別的基礎上,我們應當認真制定有針對性的策略。明確安全對象,設置強有力的安全保障體系。有的放矢,在網路中層層設防,發揮網路的每層作用,使每一層都成為一道關卡,從而讓攻擊者無隙可鑽、無計可使。還必須做到未雨稠繆,預防為主 ,將重要的數據備份並時刻注意系統運行狀況。以下是針對眾多令人擔心的網路安全問題,提出的幾點建議 1、提高安全意識 (1)不要隨意打開來歷不明的電子郵件及文件,不要隨便運行不太了解的人給你的程序,比如"特洛伊"類黑客程序就需要騙你運行。 (2)盡量避免從Internet下載不知名的軟體、游戲程序。即使從知名的網站下載的軟體也要及時用最新的病毒和木馬查殺軟體對軟體和系統進行掃描。 (3)密碼設置盡可能使用字母數字混排,單純的英文或者數字很容易窮舉。將常用的密碼設置不同,防止被人查出一個,連帶到重要密碼。重要密碼最好經常更換。 (4)及時下載安裝系統補丁程序。 (5)不隨便運行黑客程序,不少這類程序運行時會發出你的個人信息。 (6)在支持HTML的BBS上,如發現提交警告,先看源代碼,很可能是騙取密碼的陷阱。 2、使用防毒、防黑等防火牆軟體。 防火牆是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。 3、設置代理伺服器,隱藏自已的IP地址。 保護自己的IP地址是很重要的。事實上,即便你的機器上被安裝了木馬程序,若沒有你的IP地址,攻擊者也是沒有辦法的,而保護IP地址的最好方法就是設置代理伺服器。代理伺服器能起到外部網路申請訪問內部網路的中間轉接作用,其功能類似於一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時,代理伺服器接受申請,然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網路轉發這項請求。 4、將防毒、防黑當成日常例性工作,定時更新防毒組件,將防毒軟體保持在常駐狀態,以徹底防毒。 5、由於黑客經常會針對特定的日期發動攻擊,計算機用戶在此期間應特別提高警戒。 6、對於重要的個人資料做好嚴密的保護,並養成資料備份的習慣。DOS攻擊原理及方法介紹已經有很多介紹DOS(Denial of Service,即拒絕服務)攻擊的文章,但是,多數人還是不知道DOS到底是什麼,它到底是怎麼實現的。本文主要介紹DOS的機理和常見的實施方法。因前段時間仔細了解了TCP/IP協議以及RFC文檔,有點心得。同時,文中有部分內容參考了Shaft的文章翻譯而得。要想了解DOS攻擊得實現機理,必須對TCP有一定的了解。所以,本文分為兩部分,第一部分介紹一些實現DOS攻擊相關的協議,第二部分則介紹DOS的常見方式。1、 什麼是DOS攻擊DOS:即Denial Of Service,拒絕服務的縮寫,可不能認為是微軟的dos操作系統了。好象在5·1的時候鬧過這樣的笑話。拒絕服務,就相當於必勝客在客滿的時候不再讓人進去一樣,呵呵,你想吃餡餅,就必須在門口等吧。DOS攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問,這些資源包括磁碟空間、內存、進程甚至網路帶寬,從而阻止正常用戶的訪問。比如:* 試圖FLOOD伺服器,阻止合法的網路通?br>* 破壞兩個機器間的連接,阻止訪問服務* 阻止特殊用戶訪問服務* 破壞伺服器的服務或者導致伺服器死機 不過,只有那些比較陰險的攻擊者才單獨使用DOS攻擊,破壞伺服器。通常,DOS攻擊會被作為一次入侵的一部分,比如,繞過入侵檢測系統的時候,通常從用大量的攻擊出發,導致入侵檢測系統日誌過多或者反應遲鈍,這樣,入侵者就可以在潮水般的攻擊中混騙過入侵檢測系統。2、有關TCP協議的東西TCP(transmission control protocol,傳輸控制協議),是用來在不可靠的網際網路上提供可靠的、端到端的位元組流通訊協議,在RFC793中有正式定義,還有一些解決錯誤的東西在RFC 1122中有記錄,RFC 1323則有TCP的功能擴展。我們常見到的TCP/IP協議中,IP層不保證將數據報正確傳送到目的地,TCP則從本地機器接受用戶的數據流,將其分成不超過64K位元組的數據片段,將每個數據片段作為單獨的IP數據包發送出去,最後在目的地機器中再組合成完整的位元組流,TCP協議必須保證可靠性。發送和接收方的TCP傳輸以數據段的形式交換數據,一個數據段包括一個固定的20位元組頭,加上可選部分,後面再跟上數據,TCP協議從發送方傳送一個數據段的時候,還要啟動計時器,當數據段到達目的地後,接收方還要發送回一個數據段,其中有一個確認序號,它等於希望收到的下一個數據段的順序號,如果計時器在確認信息到達前超時了,發送方會重新發送這個數據段。 上面,我們總體上了解一點TCP協議,重要的是要熟悉TCP的數據頭(header)。因為數據流的傳輸最重要的就是header裡面的東西,至於發送的數據,只是header附帶上的。客戶端和服務端的服務響應就是同header裡面的數據相關,兩端的信息交流和交換是根據header中的內容實施的,因此,要實現DOS,就必須對header中的內容非常熟悉。下面是TCP數據段頭格式。Source Port和 Destination Port :是本地埠和目標埠Sequence Number 和 Acknowledgment Number :是順序號和確認號,確認號是希望接收的位元組號。這都是32位的,在TCP流中,每個數據位元組都被編號。Data offset :表明TCP頭包含多少個32位字,用來確定頭的長度,因為頭中可選欄位長度是不定的。Reserved : 保留的6位,現在沒用,都是0接下來是6個1位的標志,這是兩個計算機數據交流的信息標志。接收和發送斷根據這些標志來確定信息流的種類。下面是一些介紹: URG:(Urgent Pointer field significant)緊急指針。用到的時候值為1,用來處理避免TCP數據流中斷ACK:(Acknowledgment field significant)置1時表示確認號(Acknowledgment Number)為合法,為0的時候表示數據段不包含確認信息,確認號被忽略。PSH:(Push Function),PUSH標志的數據,置1時請求的數據段在接收方得到後就可直接送到應用程序,而不必等到緩沖區滿時才傳送。RST:(Reset the connection)用於復位因某種原因引起出現的錯誤連接,也用來拒絕非法數據和請求。如果接收到RST位時候,通常發生了某些錯誤。SYN:(Synchronize sequence numbers)用來建立連接,在連接請求中,SYN=1,CK=0,連接響應時,SYN=1,ACK=1。即,SYN和ACK來區分Connection Request和Connection Accepted。FIN:(No more data from sender)用來釋放連接,表明發送方已經沒有數據發送。知道這重要的6個指示標志後,我們繼續來。16位的WINDOW欄位:表示確認了位元組後還可以發送多少位元組。可以為0,表示已經收到包括確認號減1(即已發送所有數據)在內的所有數據段。接下來是16位的Checksum欄位,用來確保可靠性的。16位的Urgent Pointer,和下面的欄位我們這里不解釋了。不然太多了。呵呵,偷懶啊。我們進入比較重要的一部分:TCP連接握手過程。這個過程簡單地分為三步。在沒有連接中,接受方(我們針對伺服器),伺服器處於LISTEN狀態,等待其他機器發送連接請求。第一步:客戶端發送一個帶SYN位的請求,向伺服器表示需要連接,比如發送包假設請求序號為10,那麼則為:SYN=10,ACK=0,然後等待伺服器的響應。第二步:伺服器接收到這樣的請求後,查看是否在LISTEN的是指定的埠,不然,就發送RST=1應答,拒絕建立連接。如果接收連接,那麼伺服器發送確認,SYN為伺服器的一個內碼,假設為100,ACK位則是客戶端的請求序號加1,本例中發送的數據是:SYN=100,ACK=11,用這樣的數據發送給客戶端。向客戶端表示,伺服器連接已經准備好了,等待客戶端的確認這時客戶端接收到消息後,分析得到的信息,准備發送確認連接信號到伺服器第三步:客戶端發送確認建立連接的消息給伺服器。確認信息的SYN位是伺服器發送的ACK位,ACK位是伺服器發送的SYN位加1。即:SYN=11,ACK=101。這時,連接已經建立起來了。然後發送數據,<SYN=11,ACK=101><DATA>。這是一個基本的請求和連接過程。需要注意的是這些標志位的關系,比如SYN、ACK。3、伺服器的緩沖區隊列(Backlog Queue)伺服器不會在每次接收到SYN請求就立刻同客戶端建立連接,而是為連接請求分配內存空間,建立會話,並放到一個等待隊列中。如果,這個等待的隊列已經滿了,那麼,伺服器就不在為新的連接分配任何東西,直接丟棄新的請求。如果到了這樣的地步,伺服器就是拒絕服務了。 如果伺服器接收到一個RST位信息,那麼就認為這是一個有錯誤的數據段,會根據客戶端IP,把這樣的連接在緩沖區隊列中清
C. 誰能夠教我一些簡單的木馬知識
木馬只是兩種,一時以為破壞,一時對放馬者有利的,比如控制,裝個AVG吧,他對這個有一套,在裝個防火牆,費爾不錯,在裝個諾頓,卡巴最好不用,誤殺大王一個,以後用問題再問我。我對這種東西研究比較高。小高手。
木馬
特洛伊木馬(以下簡稱木馬),英文叫做「Trojan horse」,其名稱取自希臘神話的特洛伊木馬記。
它是一種基於遠程式控制制的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會採用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往只能望「馬」興嘆。
所謂非授權性是指一旦控制端與服務端連接後,控制端將享有服務端的大部分操作許可權,包括修改文件,修改注冊表,控制滑鼠,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。
從木馬的發展來看,基本上可以分為兩個階段。
最初網路還處於以UNIX平台為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到系統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。
所以所木馬發展到今天,已經無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。
鑒於木馬的巨大危害性,我們將分原理篇,防禦與反擊篇,資料篇三部分來詳細介紹木馬,希望大家對特洛伊木馬這種攻擊手段有一個透徹的了解。
原 理 篇
基礎知識
在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。
一個完整的木馬系統由硬體部分,軟體部分和具體連接部分組成。
(1)硬體部分:建立木馬連接所必須的硬體實體。 控制端:對服務端進行遠程式控制制的一方。 服務端:被控制端遠程式控制制的一方。 INTERNET:控制端對服務端進行遠程式控制制,數據傳輸的網路載體。
(2)軟體部分:實現遠程式控制制所必須的軟體程序。 控制端程序:控制端用以遠程式控制制服務端的程序。 木馬程序:潛入服務端內部,獲取其操作許可權的程序。 木馬配置程序:設置木馬程序的埠號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。
(3)具體連接部分:通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP,服務端IP:即控制端,服務端的網路地址,也是木馬進行數據傳輸的目的地。 控制端埠,木馬埠:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或木馬 程序。
木馬原理
用木馬這種黑客工具進行網路入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能:
(1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會採用多種偽裝手段,如修改圖標 ,捆綁文件,定製埠,自我銷毀等,我們將在「傳播木馬」這一節中詳細介紹。
(2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,IRC號 ,ICO號等等,具體的我們將在「信息反饋」這一節中詳細介紹。
二.傳播木馬
(1)傳播方式:
木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人只要打開附件系統就會感染木馬;另一種是軟體下載,一些非正規的網站以提供軟體下載為名義, 將木馬捆綁在軟體安裝程序上,下載後,只要一運行這些程序,木馬就會自動安裝。
(2)偽裝方式:
鑒於木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑製作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。
(一)修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴你,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。
(二)捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的 情況下 ,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。
(三)出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的 設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務 端用戶打開木 馬程序時,會彈出一個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如「文件已破壞,無法打開的!」之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了 系統。
(四)定製埠
很多老式的木馬埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 埠就 知道感染了什麼木馬,所以現在很多新式的木馬都加入了定製埠的功能,控制端用戶可 以在1024---65535之間任選一個埠作為木馬埠(一般不選1024以下的埠),這樣就給判斷 所感染木馬類型帶 來了麻煩。
(五)自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後,木馬 會將自己拷貝到WINDOWS的系統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),一般來說 原木馬文件 和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬 的朋友只要在近來 收到的信件和下載的軟體中找到原木馬文件,然後根據原木馬的大小去系統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬後,原木馬文件將自動銷毀,這 樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。
(六)木馬更名
安裝到系統文件夾中的木馬的文件名一般是固定的,那麼只要根據一些查殺木馬的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以現在有很多木馬都允許控 制端用戶自由定製安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。
三.運行木馬
服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然後在注冊表,啟動組,非啟動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啟動木馬了,具體過程見下圖:
(1)由觸發條件激活木馬
觸發條件是指啟動木馬的條件,大致出現在下面八個地方:
1.注冊表:打開HKEY_LOCAL_下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。
2.WIN.INI:C:WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在[windows]欄位中有啟動 命令 load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動命令。
4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都 需要控制端用戶與服務端建立連接後,將已添加木馬啟動命令的同名 文件上傳 到服務端覆蓋這兩個文件才行。
5.*.INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬 啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。
6.注冊表:打開HKEY_CLASSES_ROOT文件類型\shellopencommand主鍵,查看其鍵值。舉個例子,國產 木馬「冰河」就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的鍵值,將「C :WINDOWS NOTEPAD.EXE %1」該為「C:WINDOWSSYSTEMSYXXXPLR.EXE %1」,這時你雙 擊一個TXT文件 後,原本應用NOTEPAD打開文件的,現在卻變成啟動木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬 ,不同之處只在於「文件類型」這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找一下。
7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然後控制端用戶用工具 軟體將木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。
8.啟動菜單:在「開始---程序---啟動」選項下也可能有木馬的觸發條件。
(2)木馬運行過程
木馬被激活後,進入內存,並開啟事先定義的木馬埠,准備與控制端建立連接。這時服務端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看埠狀態,一般個人電腦在離線狀態下是不會有埠 開放的,如果有埠開放,你就要注意是否感染木馬了。下面是電腦感染木馬後,用NETSTAT命令查 看埠的兩個實例:
其中①是服務端與控制端建立連接時的顯示狀態,②是服務端與控制端還未建立連接時的顯示狀態。
在上網過程中要下載軟體,發送信件,網上聊天等必然打開一些埠,下面是一些常用的埠:
(1)1---1024之間的埠:這些埠叫保留埠,是專給一些對外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木馬會用保留埠作為木馬埠 的。
(2)1025以上的連續埠:在上網瀏覽網站時,瀏覽器會打開多個連續的埠下載文字,圖片到本地 硬碟上,這些埠都是1025以上的連續埠。
(3)4000埠:這是OICQ的通訊埠。
(4)6667埠:這是IRC的通訊埠。 除上述的埠基本可以排除在外,如發現還有其它埠打開,尤其是數值比較大的埠,那就要懷疑 是否感染了木馬,當然如果木馬有定製埠的功能,那任何埠都有可能是木馬埠。
四.信息泄露:
一般來說,設計成熟的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集 一些服務端的軟硬體信息,並通過E-MAIL,IRC或ICO的方式告知控制端用戶。
從反饋信息中控制端可以知道服務端的一些軟硬體信息,包括使用的操作系統,系統目錄,硬碟分區況, 系統口令等,在這些信息中,最重要的是服務端IP,因為只有得到這個參數,控制端才能與服務端建立 連接,具體的連接方法我們會在下一節中講解。
五.建立連接:
這一節我們講解一下木馬連接是怎樣建立的 。一個木馬連接的建立首先必須滿足兩個條件:一是 服務端已安裝了木馬程序;二是控制端,服務端都要在線 。在此基礎上控制端可以通過木馬埠與服 務端建立連接。
假設A機為控制端,B機為服務端,對於A機來說要與B機建立連接必須知道B機的木馬埠和IP地 址,由於木馬埠是A機事先設定的,為已知項,所以最重要的是如何獲得B機的IP地址。獲得B機的IP 地址的方法主要有兩種:信息反饋和IP掃描。對於前一種已在上一節中已經介紹過了,不再贅述,我們 重點來介紹IP掃描,因為B機裝有木馬程序,所以它的木馬埠7626是處於開放狀態的,所以現在A機只 要掃描IP地址段中7626埠開放的主機就行了,例如圖中B機的IP地址是202.102.47.56,當A機掃描到 這個IP時發現它的7626埠是開放的,那麼這個IP就會被添加到列表中,這時A機就可以通過木馬的控 制端程序向B機發出連接信號,B機中的木馬程序收到信號後立即作出響應,當A機收到響應的信號後, 開啟一個隨即埠1031與B機的木馬埠7626建立連接,到這時一個木馬連接才算真正建立。值得一提 的要掃描整個IP地址段顯然費時費力,一般來說控制端都是先通過信息反饋獲得服務端的IP地址,由於 撥號上網的IP是動態的,即用戶每次上網的IP都是不同的,但是這個IP是在一定范圍內變動的,如圖中 B機的IP是202.102.47.56,那麼B機上網IP的變動范圍是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索這個IP地址段就可以找到B機了。
六.遠程式控制制:
木馬連接建立後,控制端埠和木馬埠之間將會出現一條通道。
控制端上的控制端程序可藉這條通道與服務端上的木馬程序取得聯系,並通過木馬程序對服務端進行遠 程式控制制。下面我們就介紹一下控制端具體能享有哪些控制許可權,這遠比你想像的要大。
(1)竊取密碼:一切以明文的形式,*形式或緩存在CACHE中的密碼都能被木馬偵測到,此外很多木馬還 提供有擊鍵記錄功能,它將會記錄服務端每次敲擊鍵盤的動作,所以一旦有木馬入侵, 密碼將很容易被竊取。
(2)文件操作:控制端可藉由遠程式控制制對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬 性等一系列操作,基本涵蓋了WINDOWS平台上所有的文件操作功能。
(3)修改注冊表:控制端可任意修改服務端注冊表,包括刪除,新建或修改主鍵,子鍵,鍵值。有了這 項功能控制端就可以禁止服務端軟碟機,光碟機的使用,鎖住服務端的注冊表,將服務端 上木馬的觸發條件設置得更隱蔽的一系列高級操作。
(4)系統操作:這項內容包括重啟或關閉服務端操作系統,斷開服務端網路連接,控制服務端的滑鼠, 鍵盤,監視服務端桌面操作,查看服務端進程等,控制端甚至可以隨時給服務端發送信息,想像一下,當服務端的桌面上突然跳出一段話,不嚇人一跳才怪
木馬和病毒都是一種人為的程序,都屬於電腦病毒,為什麼木馬要單獨提出來說內?大家都知道以前的電腦病毒的作用,其實完全就是為了搞破壞,破壞電腦里的資料數據,除了破壞之外其它無非就是有些病毒製造者為了達到某些目的而進行的威懾和敲詐勒索的作用,或為了炫耀自己的技術. "木馬"不一樣,木馬的作用是赤裸裸的偷偷監視別人和盜竊別人密碼,數據等,如盜竊管理員密碼-子網密碼搞破壞,或者好玩,偷竊上網密碼用於它用,游戲帳號,股票帳號,甚至網上銀行帳戶等.達到偷窺別人隱私和得到經濟利益的目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達到使用者的目的!導致許多別有用心的程序開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程序,這就是目前網上大量木馬泛濫成災的原因.鑒於木馬的這些巨大危害性和它與早期病毒的作用性質不一樣,所以木馬雖然屬於病毒中的一類,但是要單獨的從病毒類型中間剝離出來.獨立的稱之為"木馬"程序.
一般來說一種殺毒軟體程序,它的木馬專殺程序能夠查殺某某木馬的話,那麼它自己的普通殺毒程序也當然能夠殺掉這種木馬,因為在木馬泛濫的今天,為木馬單獨設計一個專門的木馬查殺工具,那是能提高該殺毒軟體的產品檔次的,對其聲譽也大大的有益,實際上一般的普通殺毒軟體里都包含了對木馬的查殺功能.如果現在大家說某某殺毒軟體沒有木馬專殺的程序,那這家殺毒軟體廠商自己也好象有點過意不去,即使它的普通殺毒軟體里當然的有殺除木馬的功能.
還有一點就是,把查殺木馬程序單獨剝離出來,可以提高查殺效率,現在很多殺毒軟體里的木馬專殺程序只對木馬進行查殺,不去檢查普通病毒庫里的病毒代碼,也就是說當用戶運行木馬專殺程序的時候,程序只調用木馬代碼庫里的數據,而不調用病毒代碼庫里的數據,大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因為現在有太多太多的病毒.每個文件要經過幾萬條木馬代碼的檢驗,然後再加上已知的差不多有近10萬個病毒代碼的檢驗,那速度豈不是很慢了.省去普通病毒代碼檢驗,是不是就提高了效率,提高了速度內? 也就是說現在好多殺毒軟體自帶的木馬專殺程序只查殺木馬而一般不去查殺病毒,但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬!
隱形」木馬啟動方式揭秘
大家所熟知的木馬程序一般的啟動方式有:載入到「開始」菜單中的「啟動」項、記錄到注冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]項中,更高級的木馬還會注冊為系統的「服務」程序,以上這幾種啟動方式都可以在「系統配置實用程序」(在「開始→運行」中執行「Msconfig」)的「啟動」項和「服務」項中找到它的蹤跡。
另一種鮮為人知的啟動方式,是在「開始→運行」中執行「Gpedit.msc」。打開「組策略」,可看到「本地計算機策略」中有兩個選項:「計算機配置」與「用戶配置」,展開「用戶配置→管理模板→系統→登錄」,雙擊「在用戶登錄時運行這些程序」子項進行屬性設置,選定「設置」項中的「已啟用」項並單擊「顯示」按鈕彈出「顯示內容」窗口,再單擊「添加」按鈕,在「添加項目」窗口內的文本框中輸入要自啟動的程序的路徑,如圖所示,單擊「確定」按鈕就完成了。
添加需要啟動的文件面
重新啟動計算機,系統在登錄時就會自動啟動你添加的程序,如果剛才添加的是木馬程序,那麼一個「隱形」木馬就這樣誕生了。因為用這種方式添加的自啟動程序在系統的「系統配置實用程序」是找不到的,同樣在我們所熟知的注冊表項中也是找不到的,所以非常危險。
通過這種方式添加的自啟動程序雖然被記錄在注冊表中,但是不在我們所熟知的注冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]項內,而是在冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項。如果你懷疑你的電腦被種了「木馬」,可是又找不到它在哪兒,建議你到注冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項里找找吧,或是進入「組策略」的「在用戶登錄時運行這些程序」看看有沒有啟動的程序。
特洛伊木馬NetBus v.1.60的中文說明
概 述
此程序是一個遙控管理工具,更是一個在區域網或在全球網際網路上同朋友逗樂的軟體.
安 裝
NetBus包含伺服器和客戶機部分,伺服器必須安裝在你想逗樂的人的計算機上.客戶機屬你掌握,它是控
制目標計算機的好程序.
把NetSever伺服器,Patch.exe(可更名),放入目標計算機的任意位置並運行它,預設時安裝在Windows中,
以更開機時自動運行. 把NetSever客戶機,裝在自己的計算機里.開始NetBus,聯結你選擇的域名或(IP地
址);如果Patch已在你聯結的目標計算機中已運行. 讓我們開始逗樂!
注意:你看不到Patch在運行-它Windows開始時自動運行,並隱藏.
Netbus和Patch使用TCP/IP協議.因此,你的地址有域名或IP號.NetBus會用Connect按鈕把你和某人聯上.
功 能
*彈開/關閉CD-ROM一次或間隔性自動開關.
*顯示所選擇的圖象,如果你沒有圖像文件的路徑,可在Pacth的目錄中找.支持BMP和JPG格式.
*交換滑鼠按鈕-滑鼠右鍵變成滑鼠左鍵的功能.
*開始所選擇的應用程序.
*播放所選擇的聲音文件, 如果你沒有聲音文件的路徑,可在Pacth的目錄中找.支持WAV格式.
*點擊所選的滑鼠坐標,你甚至可你的滑鼠在目標計算機中運行.
*在銀屏上顯示對話框,回答會返回你的計算機中.
*關閉系統,刪除用戶記錄等.
*用預設網路瀏覽器,瀏覽所選擇的URL.
*發送鍵盤輸入的信息到目標計算機中的活動應用程序中!
*監視對方的鍵盤輸入的信息,並發回到你的計算機.
*清屏!(連接速度慢時禁用).
*獲取目標計算機中的信息.
*上載你的文件到目標計算機中!用此功能,可上載Patch的最新版本.
*增大和減少聲音音量.
*記錄麥克風的聲音,並將聲音返回.
*按一次鍵每次有聲音.
*下載和刪除目標中的任何文件.你能下載/刪除在目標計算機硬碟中所選擇的文件.
*鍵盤禁用功能.
*密碼保護管理.
*記錄鍵盤活動
*顯示,死機和集中系統中的窗囗.
上述功能一些選項在執行時,(邏輯排異),可能會延遲幾秒.
連 接
Connect按鈕有個很好的特點,它能掃描NetBus計算機中的IP地址.一旦連接它會停止掃描.IP掃描的
參數是xx.xx.xx.xx+xx,等.
127.0.0.1+15 將掃描IP地址的范圍是127.0.0.1到 127.0.0.16
但是木馬大多數殺毒軟體殺不到,我推薦木馬殺客\木馬剋星.
木馬後來會將電腦變成一隻"肉雞",任幕後人控制,只要你連了網,他就可以肆意控制你的主機,只有拔電源才不會被控制.
___________________________________________________________________________________________________________現在網頁木馬無非有以下幾種方式中到你的機器里
1:把木馬文件改成BMP文件,然後配合你機器里的DEBUG來還原成EXE,網上存在該木馬20%
2:下載一個TXT文件到你機器,然後裡面有具體的FTP^-^作,FTP連上他們有木馬的機器下載木馬,網上存在該木馬20%
3:也是最常用的方式,下載一個HTA文件,然後用網頁控制項解釋器來還原木馬。該木馬在網上存在50%以上
4:採用JS腳本,用VBS腳本來執行木馬文件,該型木馬偷QQ的比較多,偷傳奇的少,大概佔10%左右
5:其他方式未知。。。。。。。。。。。。。
現在我們來說防範的方法。。。。。。。。。不要丟金磚
那就是把 windows\system\mshta.exe文件改名,
改成什麼自己隨便 (s個屁和瘟2000是在system32下)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下為Active Setup controls創建一個基於CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然後在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility,並設定鍵值為0x00000400即可。
還有windows\command\debug.exe和windows\ftp.exe都給改個名字 (或者刪除)
一些最新流行的木馬 最有效果的防禦~~
比如網路上流行 的木馬 smss.exe 這個是其中一種木馬的主體 潛伏在 98/winme/xp c:\windows目錄下 2000 c:\winnt .....
假如你中了這個木馬 首先我們用進程管理器結束 正在運行的木馬smss.exe 然後在C:\windows 或 c:\winnt\目錄下 創建一個假的 smss.exe 並設置為只讀屬性~ (2000/XP NTFS的磁碟格式 的話那就更好 可以用「安全設置」 設置為讀取) 這樣木馬沒了~ 以後也不會在感染了這個辦法本人測試過對很多木馬
都很有效果的
經過這樣的修改後,我現在專門找別人發的木馬網址去測試,實驗結果是上了大概20個木馬網站,有大概15個瑞星會報警,另外5個瑞星沒有反映,而我的機器沒有添加出來新的EXE文件,也沒有新的進程出現,只不過有些木馬的殘骸留在了IE的臨時文件夾里,他們沒有被執行起來,沒有危險性,所以建議大家經常清理 臨時文件夾和IE
D. 哪個工具可以直接輸入鏈接就可以查到多少人看了這個頁面
黑客實施攻擊的初步一般是要查到欲攻擊目標的IP地址。查他人IP地址的方法有很多,按查找對象來劃分,大致可分為四大類(我自己定義的,不準確):查QQ用戶IP地址、聊天室中查IP、查任意一個人的IP地址、查互聯網中已知域名主機對應的IP地址。下面我們舉例來看看如何查他人IP地址。一、查QQ用戶IP地址1.通過FolkOicq查IPFolkOicq是個能給QQ添加IP顯示補丁的程序,最新版本FolkQQ0530SE_B2。下載後得到一個Zip的壓縮包,用Winzip解壓出文件QQ2000.EXE,將它復制到QQ的安裝目錄下(在這之前最好是備份一下原來的QQ2000.exe,防止以後出錯不能恢復)。然後運行QQ2000,點一個在線用戶,你會發現在QQ號下面有IP地址了。看到61.183.121.18了嗎?對!這就是對方的IP地址。2.通過IpSniper查IPIpSniper是針對QQ2000的IP地址查詢工具。它支持目前OQ2000所有的版本,在Win98和Win2000操作系統下都可正常工作。當你第一次運行IpSniper程序時,會彈出一個對話框,要求你在「設置」中設置好各個參數。點擊「設置」,指定QQ執行文件所在的目錄以及文件名,點擊「確定」即可。下次運行IpSniper,就會直接啟動QQ主程序。當你與好友或者陌生人通話的同時,IpSniper會實時的截獲通話者的Ip地址、埠號以及對方的QQ號碼,並把對方所在地的地理位置一並顯示出來3.通過防火牆查IP由於QQ使用的是UDP協議來傳送信息的,而UDP是面向無連接的協議,QQ為了保證信息到達對方,需要對方發一個認證,告訴本機,對方已經收到消息,防火牆(例如天網)則帶有UDP監聽的功能,因此我們就可以利用這個認證來查看IP,哈哈,得來全不費功夫!現在讓我們舉一個實際的例子來看看如何用天網查IP。第一步:打開天網防火牆的UDP監聽第二步:向他(她)發送一個消息;第三步:查看自己所用的QQ伺服器地址第四步:排除QQ伺服器地址,判斷出對方的IP地址,怎麼樣,他(她)跑不掉了吧?閑太麻煩?要知道騰迅的QQ升級速度比火箭都快,用前兩個法總是有版本限制的,用這個方法可是一勞永逸啊!天網下載地址:4.通過NetXRay查IPNetXRay是由CincoNetworks公司開發的一個用於高級分組檢錯的軟體,功能很強大。用一個功能如此強大的武器來查QQ的IP,有點「大才小用」了。第一步:運行NetXRay,在菜單中選取tools→Matrix第二步:選擇選擇下端出現的IP標簽。第三步:按右鍵,在彈出的菜單中選中ShowSelectNodes第四步:打開QQ和你想查的人聊上一句,同時觀察窗口,在數據包發送的那一瞬間顏色有變化的數據線就是你和他之間的IP連線。看看數據線的另一頭,那個ip地址用NetXRay查QQ用戶IP地址的方法還有好幾種,其餘的方法大家可以自己摸索試試。Netxray下載地址:NetXRay.ZIP。查QQ用戶IP地址的方法和工具還有很多,這里介紹的方法已經足夠你用的了,實在不行,自己找一些這方面的工具用用,很容易的二、聊天室中查IP1.用IPHunterIPHunter是獨孤劍客開發的軟體。用IPHunter在聊天室查IP方法如下:在允許貼圖、放音樂的聊天室,利用HTML語言向對方發送圖片和音樂,如果把圖片或音樂文件的路徑設定到自己的IP上來,那麼盡管這個URL地址上的圖片或音樂文件並不存在,但你只要向對方發送過去,對方的瀏覽器將自動來訪問你的IP。對於不同的聊天室可能會使用不同的格式,但你只需將路徑設定到你的IP上就行了。實例說明如下:如:「XXX聊天室」發送格式如下:發圖象:imgsrc="/UpLoadFiles/NewsPhoto/.29alove.jpg"發音樂:imgbgsound="love.mid"在IPHunter的「對方IP地址」欄中就會顯示出他(她)的IP。局限性:如果對方在瀏覽器中將圖象,聲音全部禁止了,此方法無能為力。對於使用代理伺服器的,此方法也只能查到他所用代理的IP地址,無法查到其真實IP地址。2.用F_ipF_ip是一個網路工具,可以查本地IP和遠程IP。用F_ip查IP必須在支持WEB的聊天室才可以使用,也就是說,你可以在聊天室貼自己主頁上的圖片,你才能使用這個功能。首先:運行f_ip,看到「http:」頁面里有2句html語句,假設你看到的第一條是imgsrc=/UpLoadFiles/NewsPhoto/1.23a001.gif,如果你所在的聊天室也是用這條命令貼圖,那麼你就可以直接使用它向你想查ip的人發這句話,1分鍾之內就會在文本框中輸出對方的ip,如果你所在的聊天室不支持imgsrc=/UpLoadFiles/NewsPhoto/1.23a001.gif語句,就用所在聊天室所用的語句,但記住要把地址換成你的IP。3.利用聊天室中的資料文件查IP有些聊天室的伺服器會把使用者的資料或對話及IP地址存為一個文件,並且大多數的伺服器並沒有將這個文件做加密處理,所以,我們可以通過訪問這個文件從而得到用戶的IP地址列表。這些文件通常是叫:online.txt、userdata.txt、message.txt、whoisonline.txt、或乾脆就叫IP.txt。你只要在瀏覽器中叫出那個文件來看就可以查看一切了……由於本方法對聊天室威脅太大,因此這里就不介紹具體查找文件的方法了,在此提出的只是個思路而已。三、查任意一個人的IP地址1.主動查對方的IP這種查任意一個人IP地址的基本思路是:若想知道對方的地址,只需設法讓對方訪問自己的IP地址就可以了,一旦對方來訪問,也就建立了一個SOCKET連接,我們就可以輕松地捕獲他(她)的IP地址。當然前提他得在線。第一步:申請一個轉向域名,如126.com等,並在網上做一個主頁(主頁無論怎麼簡單都可以,目的是為了查IP地址嘛);第二步:在你想查別人IP的時候,到你申請域名的地方,將鏈接轉到你的IP;第三步:打開查IP地址的軟體,如IPHunter;第四步:告訴那個你想查其IP地址的人,想法(是用甜言蜜語還是美…計,就看你的了)讓他去你的網站看看,給他這個轉向域名;第五步:當他輸入此網址以後,域名會自動指向你的IP,因此你就能知道他的IP了;第六步:當你查到他的IP地址後,再將轉向的地址改為你網站的地址,達到隱藏的目的。2.被動查對方IP如今的網上真的不大安靜,總有些人拿著掃描器掃來掃去。如果你想查那個掃你電腦的人的IP,可用下面的方法。一種做法是用天網,用軟體默認的規則即可。如果有人掃描你的電腦,那麼在「日誌」中就可以看到那個掃你的人的IP了,他掃描你電腦的哪個埠也可從中看出。由於我們在前面已經講了用天網查QQ用戶IP的方法,因此在這里就不多說了。另外一種做法是用黑客陷阱軟體,如「小豬快跑」、「獵鹿人」等,這些軟體可以欺騙對方你的某些埠已經打開,讓他誤以為你已經中了木馬,當他與你的電腦產生連接時,他的IP就記錄在這些軟體中了。以「小豬快跑」為例,在該軟體中有個非常不錯的功能:「自定義密碼欺騙埠設置」,你可以用它來自定義開啟10個埠用來監聽,不大明白?OK,下面就以把自己的計算機偽裝成中了冰河木馬為例,看看可愛的小豬是怎樣欺騙對方、如何查到掃描者的IP的吧!點擊「埠設置」選「自定義木馬欺騙埠設置」,進入「木馬欺騙埠設置」對話框。在「木馬欺騙埠設置」界面上用滑鼠選中「埠1」,「埠數」填冰河木馬的默認埠7626,其他不用填,點擊「設置完畢」退出。好了,冰河木馬欺騙埠設置完畢。現在回到「小豬快跑」的主界面,點擊「開始監視」,工作區內立即出現「7626埠開始監視」的提示,欺騙開始了……這時,如果有「灰」客對你的計算機進行掃描,他就會發現你計算機的7626埠開著,這個「灰」客自然會以為你中了木馬冰河呢。當他用冰河控制端登陸你的計算機時,冰河會告訴他「命令發送完畢」,由於你沒有中木馬,所謂的木馬是你設置出來的假木馬,因此他也就無法再進行下一步了。無論他登陸多少次,都只會看到「命令發送完畢」,而「小豬快跑」的主窗口中卻清清楚楚地顯示出「xxx.xxx.xxx.xxx試圖連接你的7626埠,已經開始欺騙」。其中「xxx.xxx.xxx.xxx」就是對方的IP地址了,知道了對方的IP地址後,你就可以愛怎麼就怎麼了。四、查互聯網中已知域名主機的IP1.用Windows自帶的網路小工具Ping.exe如你想知.cn的IP地址,只要在DOS窗口下鍵入命令「ping.cn」,就可以看到IP了。2.用工具查這里我們以網路刺客II為例來說說。網路刺客II是是天行出品的專門為安全人士設計的中文網路安全檢測軟體,運行網路刺客II,進入主界面,選擇「工具箱」菜單下的「IP主機名」,出現一個對話框,在「輸入IP或域名」下面的框中寫入對方的域名(我們這里假設對方的域名為.cn),點擊「轉換成IP」按鈕,對方的IP就出來了,是202.106.184.200。希望能解決您的問題。
E. 怎麼才可以讓其他人看到我的ip啊
一、查QQ用戶IP地址 1.通過FolkOicq查IP FolkOicq是個能給QQ添加IP顯示補丁的程序,最新版本FolkQQ0530SE_B2。下載後得到一個Zip的壓縮包,用Winzip解壓出文件QQ2000.EXE,將它復制到QQ的安裝目錄下(在這之前最好是備份一下原來的QQ2000.exe,防止以後出錯不能恢復)。然後運行QQ2000,點一個在線用戶,你會發現在QQ號下面有IP地址了。 此主題相關圖片如下: 看到61.183.121.18了嗎?對!這就是對方的IP地址。 .通過IpSniper查IP IpSniper是針對QQ2000的IP地址查詢工具。它支持目前OQ2000所有的版本,在Win98和Win2000操作系統下都可正常工作。當你第一次運行IpSniper程序時,會彈出一個對話框,要求你在「設置」中設置好各個參數。點擊「設置」,指定QQ執行文件所在的目錄以及文件名,點擊「確定」即可。 下次運行IpSniper,就會直接啟動QQ主程序。當你與好友或者陌生人通話的同時,IpSniper會實時的截獲通話者的Ip地址、埠號以及對方的QQ號碼,並把對方所在地的地理位置一並顯示出來。 此主題相關圖片如下: 3.通過防火牆查IP 由於QQ使用的是UDP協議來傳送信息的,而UDP是面向無連接的協議,QQ為了保證信息到達對方,需要對方發一個認證,告訴本機,對方已經收到消息,防火牆(例如天網)則帶有UDP監聽的功能,因此我們就可以利用這個認證來查看IP,哈哈,得來全不費功夫! 現在讓我們舉一個實際的例子來看看如何用天網查IP。 第一步:打開天網防火牆的UDP監聽; 第二步:向他(她)發送一個消息; 第三步:查看自己所用的QQ伺服器地址,在本例中是202.104.129.252; 第四步:排除QQ伺服器地址,判斷出對方的IP地址,在本例中是61.133.200.90; ] 怎麼樣,他(她)跑不掉了吧?閑太麻煩?要知道騰迅的QQ升級速度比火箭都快,用前兩個辦法總是有版本限制的,用這個方法可是一勞永逸啊! 4.通過NetXRay查IP NetXRay是由Cinco Networks公司開發的一個用於高級分組檢錯的軟體,功能很強大。用一個功能如此強大的武器來查QQ的IP,有點「大才小用」了。 第一步:運行NetXRay,在菜單中選取tools→Matrix 第二步:選擇選擇下端出現的IP標簽。 第三步:按右鍵,在彈出的菜單中選中Show Select Nodes 第四步:打開QQ和你想查的人聊上一句,同時觀察窗口,在數據包發送的那一瞬間顏色有變化的數據線就是你和他之間的IP連線。看看數據線的另一頭,那個ip地址(61.138.121.18)就是你夢寐以求的東西。 用NetXRay查QQ用戶IP地址的方法還有好幾種,其餘的方法大家可以自己摸索試試 查QQ用戶IP地址的方法和工具還有很多,這里介紹的方法已經足夠你用的了,實在不行,自己找一些這方面的工具用用,很容易的。 二、聊天室中查IP 1.用IP Hunter IP Hunter是獨孤劍客開發的軟體。用IPHunter在聊天室查IP方法如下:在允許貼圖、放音樂的聊天室,利用HTML語言向對方發送圖片和音樂,如果把圖片或音樂文件的路徑設定到自己的IP上來,那麼盡管這個URL地址上的圖片或音樂文件並不存在,但你只要向對方發送過去,對方的瀏覽器將自動來訪問你的IP。對於不同的聊天室可能會使用不同的格式,但你只需將路徑設定到你的IP上就行了。實例說明如下: 如:「***聊天室」發送格式如下: 發圖象:img src=" http://61.159.91.29/love.jpg" 發音樂:img bgsound=" http://61.159.91.29/love.mid" 在IP Hunter的「對方IP地址」欄中就會顯示出他(她)的IP。 局限性:如果對方在瀏覽器中將圖象,聲音全部禁止了,此方法無能為力。對於使用代理伺服器的,此方法也只能查到他所用代理的IP地址,無法查到其真實IP地址。 2.用F_ip F_ip是一個網路工具,可以查本地IP和遠程IP。用F_ip查IP必須在支持WEB的聊天室才可以使用,也就是說,你可以在聊天室貼自己主頁上的圖片,你才能使用這個功能。 首先:運行f_ip,看到「 http:」頁面里有2句html語句,假設你看到的第一條是img src= http://61.159.91.23/001.gif ,如果你所在的聊天室也是用這條命令貼圖,那麼你就可以直接使用它向你想查ip的人發這句話,1分鍾之內就會在文本框中輸出對方的ip,如果你所在的聊天室不支持img src= http://61.159.91.23/001.gif 語句,就用所在聊天室所用的語句,但記住要把地址換成你的IP。 3.利用聊天室中的資料文件查IP 有些聊天室的伺服器會把使用者的資料或對話及IP地址存為一個文件,並且大多數的伺服器並沒有將這個文件做加密處理,所以,我們可以通過訪問這個文件從而得到用戶的IP地址列表。這些文件通常是叫:online.txt 、userdata.txt 、message.txt、whoisonline.txt、或乾脆就叫IP.txt。你只要在瀏覽器中叫出那個文件來看就可以查看一切了……由於本方法對聊天室威脅太大,因此這里就不介紹具體查找文件的方法了,在此提出的只是個思路而已。 三、查任意一個人的IP地址 1.主動查對方的IP 這種查任意一個人IP地址的基本思路是:若想知道對方的地址,只需設法讓對方訪問自己的IP地址就可以了,一旦對方來訪問,也就建立了一個SOCKET連接,我們就可以輕松地捕獲他(她)的IP地址。當然前提他得在線。 第一步:申請一個轉向域名,如126.com等,並在網上做一個主頁(主頁無論怎麼簡單都可以,目的是為了查IP地址嘛); 第二步:在你想查別人IP的時候,到你申請域名的地方,將鏈接轉到你的IP; 第三步:打開查IP地址的軟體,如IP Hunter; 第四步:告訴那個你想查其IP地址的人,想辦法(是用甜言蜜語還是美…計,就看你的了)讓他去你的網站看看,給他這個轉向域名; 第五步:當他輸入此網址以後,域名會自動指向你的IP,因此你就能知道他的IP了; 第六步:當你查到他的IP地址後,再將轉向的地址改為你網站的地址,達到隱藏的目的。 2.被動查對方IP 如今的網上真的不大安靜,總有些人拿著掃描器掃來掃去。如果你想查那個掃你電腦的人的IP,可用下面的方法。 一種做法是用天網,用軟體默認的規則即可。如果有人掃描你的電腦,那麼在「日誌」中就可以看到那個掃你的人的IP了,他掃描你電腦的哪個埠也可從中看出。由於我們在前面已經講了用天網查QQ用戶IP的方法,因此在這里就不多說了。 另外一種做法是用黑客陷阱軟體,如「小豬快跑」、「獵鹿人」等,這些軟體可以欺騙對方你的某些埠已經打開,讓他誤以為你已經中了木馬,當他與你的電腦產生連接時,他的IP就記錄在這些軟體中了。以「小豬快跑」為例,在該軟體中有個非常不錯的功能:「自定義密碼欺騙埠設置」,你可以用它來自定義開啟10個埠用來監聽,不大明白?OK,下面就以把自己的計算機偽裝成中了冰河木馬為例,看看可愛的小豬是怎樣欺騙對方、如何查到掃描者的IP的吧! 點擊「埠設置」選「自定義木馬欺騙埠設置」,進入「木馬欺騙埠設置」對話框。 在「木馬欺騙埠設置」界面上用滑鼠選中「埠1」,「埠數」填冰河木馬的默認埠7626,其他不用填,點擊「設置完畢」退出。好了,冰河木馬欺騙埠設置完畢。 現在回到「小豬快跑」的主界面,點擊「開始監視」,工作區內立即出現「7626埠開始監視」的提示,欺騙開始了…… 這時,如果有「灰」客對你的計算機進行掃描,他就會發現你計算機的7626埠開著,這個「灰」客自然會以為你中了木馬冰河呢。當他用冰河控制端登陸你的計算機時,冰河會告訴他「命令發送完畢」,由於你沒有中木馬,所謂的木馬是你設置出來的假木馬,因此他也就無法再進行下一步了。無論他登陸多少次,都只會看到「命令發送完畢」,而「小豬快跑」的主窗口中卻清清楚楚地顯示出「***.***.***.***試圖連接你的7626埠,已經開始欺騙」。其中「***.***.***.***」就是對方的IP地址了,知道了對方的IP地址後,你就可以愛怎麼辦就怎麼辦了。 四、查互聯網中已知域名主機的IP 1.用Windows自帶的網路小工具Ping.exe 如你想 www.sina.com.cn 的IP地址,只要在DOS窗口下鍵入命令「ping www.sina.com.cn 」,就可以看到IP了。
F. 嚴重問題,電腦高手的進來看下
你很有可能被入侵了,抓你當肉雞,如果你怕麻煩,那麼從做下系統,格式化硬碟,因為黑客很有可能把病毒隱藏在你其他盤內。
系統從新做完後 建議安裝「卡巴期基互聯網安全套裝」去官方下載也行,買正版光碟安裝也行。就可以解決,下面給你看下有關網路安全的知識希望你以後有一些了解和防範。
面我們就來看一下那些攻擊者是如何找到你計算機中的安全漏洞的,並了解一下他們的攻擊手法。
二、網路攻擊的步驟
第一步:隱藏自已的位置
普通攻擊者都會利用別人的電腦隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP,然後再盜用他人的帳號上網。
第二步:尋找目標主機並分析目標主機
攻擊者首先要尋找目標主機並分析目標主機。在Internet上能真正標識主機的是IP地址,域名是為了便於記憶主機的IP地址而另起的名字,只要利用域名和IP地址就可以順利地找到目標主機。當然,知道了要攻擊目標的位置還是遠遠不夠的,還必須將主機的操作系統類型及其所提供服務等資料作個全面的了解。此時,攻擊者們會使用一些掃描器工具,輕松獲取目標主機運行的是哪種操作系統的哪個版本,系統有哪些帳戶,WWW、FTP、Telnet 、SMTP等伺服器程序是何種版本等資料,為入侵作好充分的准備。
第三步:獲取帳號和密碼,登錄主機
攻擊者要想入侵一台主機,首先要有該主機的一個帳號和密碼,否則連登錄都無法進行。這樣常迫使他們先設法盜竊帳戶文件,進行破解,從中獲取某用戶的帳戶和口令,再尋覓合適時機以此身份進入主機。當然,利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法。
第四步:獲得控制權
攻擊者們用FTP、Telnet等工具利用系統漏洞進入進入目標主機系統獲得控制權之後,就會做兩件事:清除記錄和留下後門。他會更改某些系統設置、在系統中置入特洛伊木馬或其他一些遠程操縱程序,以便日後可以不被覺察地再次進入系統。大多數後門程序是預先編譯好的,只需要想辦法修改時間和許可權就可以使用了,甚至新文件的大小都和原文件一模一樣。攻擊者一般會使用rep傳遞這些文件,以便不留下FTB記錄。清除日誌、刪除拷貝的文件等手段來隱藏自己的蹤跡之後,攻擊者就開始下一步的行動。
第五步:竊取網路資源和特權
攻擊者找到攻擊目標後,會繼續下一步的攻擊。如:下載敏感信息;實施竊取帳號密碼、信用卡號等經濟偷竊;使網路癱瘓。 三、網路攻擊的原理和手法
1、口令入侵
所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然後再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多,如利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;
利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;
從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;
查看主機是否有習慣性的帳號:有經驗的用戶都知道,很多系統會使用一些習慣性的帳號,造成帳號的泄露。
這又有三種方法:
(1)是通過網路監聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大。監聽者往往採用中途截擊的方法也是獲取用戶帳戶和密碼的一條有效途徑。當下,很多協議根本就沒有採用任何加密或身份認證技術,如在Telnet、FTP、HTTP、SMTP等傳輸協議中,用戶帳戶和密碼信息都是以明文格式傳輸的,此時若攻擊者利用數據包截取工具便可很容易收集到你的帳戶和密碼。還有一種中途截擊攻擊方法更為厲害,它可以在你同伺服器端完成「三次握手」建立連接之後,在通信過程中扮演「第三者」的角色,假冒伺服器身份欺騙你,再假冒你向伺服器發出惡意請求,其造成的後果不堪設想。另外,攻擊者有時還會利用軟體和硬體工具時刻監視系統主機的工作,等待記錄用戶登錄信息,從而取得用戶密碼;或者編制有緩沖區溢出錯誤的SUID程序來獲得超級用戶許可權。
(2)是在知道用戶的賬號後(如電子郵件@前面的部分)利用一些專門軟體強行破解用戶口令,這種方法不受網段限制,但攻擊者要有足夠的耐心和時間。如:採用字典窮舉法(或稱暴力法)來破解用戶的密碼。攻擊者可以通過一些工具程序,自動地從電腦字典中取出一個單詞,作為用戶的口令,再輸入給遠端的主機,申請進入系統;若口令錯誤,就按序取出下一個單詞,進行下一個嘗試,並一直循環下去,直到找到正確的口令或字典的單詞試完為止。由於這個破譯過程由計算機程序來自動完成,因而幾個小時就可以把上十萬條記錄的字典里所有單詞都嘗試一遍。
(3)是利用系統管理員的失誤。在現代的Unix操作系統中,用戶的基本信息存放在passwd文件中,而所有的口令則經過DES加密方法加密後專門存放在一個叫shadow的文件中。黑客們獲取口令文件後,就會使用專門的破解DES加密法的程序來解口令。同時,由於為數不少的操作系統都存在許多安全漏洞、Bug或一些其他設計缺陷,這些缺陷一旦被找出,黑客就可以長驅直入。例如,讓Windows95/98系統後門洞開的BO就是利用了Windows的基本設計缺陷。
2、放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶的電腦並進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載,一旦用戶打開了這些郵件的附件或者執行了這些程序之後,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,並在自己的計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當您連接到網際網路上時,這個程序就會通知攻擊者,來報告您的IP地址以及預先設定的埠。攻擊者在收到這些信息後,再利用這個潛伏在其中的程序,就可以任意地修改你的計算機的參數設定、復制文件、窺視你整個硬碟中的內容等,從而達到控制你的計算機的目的。
3、WWW的欺騙技術
在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求,那麼黑客就可以達到欺騙的目的了。
一般Web欺騙使用兩種技術手段,即URL地址重寫技術和相關信關信息掩蓋技術。利用URL地址,使這些地址都向攻擊者的Web伺服器,即攻擊者可以將自已的Web地址加在所有URL地址的前面。這樣,當用戶與站點進行安全鏈接時,就會毫不防備地進入攻擊者的服器,於是用記的所有信息便處於攻擊者的監視之中。但由於瀏覽器材一般均設有地址欄和狀態欄,當瀏覽器與某個站點邊接時,可以在地址欄和狀態樣中獲得連接中的Web站點地址及其相關的傳輸信息,用戶由此可以發現問題,所以攻擊者往往在URLf址重寫的同時,利用相關信息排蓋技術,即一般 用javascript程序來重寫地址樣和狀枋樣,以達到其排蓋欺騙的目的。 4、電子郵件攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓。相對於其它的攻擊手段來說,這種攻擊方法具有簡單、見效快等優點。
電子郵件攻擊主要表現為兩種方式:
(1)是電子郵件轟炸和電子郵件「滾雪球」,也就是通常所說的郵件炸彈,指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件,致使受害人郵箱被「炸」,嚴重者可能會給電子郵件伺服器操作系統帶來危險,甚至癱瘓;
(2)是電子郵件欺騙,攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同),給用戶發送郵件要求用戶修改口令(口令可能為指定字元串)或在貌似正常的附件中載入病毒或其他木馬程序。
5、通過一個節點來攻擊其他節點
攻擊者在突破一台主機後,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們可以使用網路監聽方法,嘗試攻破同一網路內的其他主機;也可以通過IP欺騙和主機信任關系,攻擊其他主機。
這類攻擊很狡猾,但由於某些技術很難掌握,如TCP/IP欺騙攻擊。攻擊者通過外部計算機偽裝成另一台合法機器來實現。它能磙壞兩台機器間通信鏈路上的數據,其偽裝的目的在於哄騙網路中的其它機器誤將其攻擊者作為合法機器加以接受,誘使其它機器向他發送據或允許它修改數據。TCP/IP欺騙可以發生TCP/IP系統的所有層次上,包括數據鏈路層、網路層、運輸層及應用層均容易受到影響。如果底層受到損害,則應用層的所有協議都將處於危險之中。另外由於用戶本身不直接與底層相互相交流,因而對底層的攻擊更具有欺騙性。
6、網路監聽
網路監聽是主機的一種工作模式,在這種模式下,主機可以接收到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而攻擊者就能在兩端之間進行數據監聽。此時若兩台主機進行通信的信息沒有加密,只要使用某些網路監聽工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和帳號在內的信息資料。雖然網路監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。
7、利用黑客軟體攻擊
利用黑客軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。這些黑客軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,黑客軟體的伺服器端就安裝完成了,而且大部分黑客軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。 特別是最近出現了一種TXT文件欺騙手法,表面看上去是一個TXT文本文件,但實際上卻是一個附帶黑客程序的可執行程序,另外有些程序也會偽裝成圖片和其他格式的文件。
8、安全漏洞攻擊
許多系統都有這樣那樣的安全漏洞(Bugs)。其中一些是操作系統或應用軟體本身具有的。如緩沖區溢出攻擊。由於很多系統在不檢查程序與緩沖之間變化的情況,就任意接受任意長度的數據輸入,把溢出的數據放在堆棧里,系統還照常執行命令。這樣攻擊者只要發送超出緩沖區所能處理的長度的指令,系統便進入不穩定狀態。若攻擊者特別配置一串准備用作攻擊的字元,他甚至可以訪問根目錄,從而擁有對整個網路的絕對控制權。另一些是利用協議漏洞進行攻擊。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發動攻擊,破壞的根目錄,從而獲得超級用戶的許可權。
又如,ICMP協議也經常被用於發動拒絕服務攻擊。它的具體手法就是向目的伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作。
9、埠掃描攻擊
所謂埠掃描,就是利用Socket編程與目標主機的某些埠建立TCP連接、進行傳輸協議的驗證等,從而偵知目標主機的掃描埠是否是處於激活狀態、主機提供了哪些服務、提供的服務中是否含有某些缺陷等等。常用的掃描方式有:Connect()掃描。Fragmentation掃描。四、攻擊者常用的攻擊工具
1、D.O.S攻擊工具:
如WinNuke通過發送OOB漏洞導致系統藍屏;Bonk通過發送大量偽造的UDP數據包導致系統重啟;TearDrop通過發送重疊的IP碎片導致系統的TCP/IP棧崩潰;WinArp通過發特殊數據包在對方機器上產生大量的窗口;Land通過發送大量偽造源IP的基於SYN的TCP請求導致系統重啟動;FluShot通過發送特定IP包導致系統凝固;Bloo通過發送大量的ICMP數據包導致系統變慢甚至凝固;PIMP通過IGMP漏洞導致系統藍屏甚至重新啟動;Jolt通過大量偽造的ICMP和UDP導致系統變的非常慢甚至重新啟動。
2、木馬程序
(1)、BO2000(BackOrifice):它是功能最全的TCP/IP構架的攻擊工具,可以搜集信息,執行系統命令,重新設置機器,重新定向網路的客戶端/伺服器應用程序。BO2000支持多個網路協議,它可以利用TCP或UDP來傳送,還可以用XOR加密演算法或更高級的3DES加密演算法加密。感染BO2000後機器就完全在別人的控制之下,黑客成了超級用戶,你的所有操作都可由BO2000自帶的「秘密攝像機」錄製成「錄像帶」。
(2)、「冰河」:冰河是一個國產木馬程序,具有簡單的中文使用界面,且只有少數流行的反病毒、防火牆才能查出冰河的存在。冰河的功能比起國外的木馬程序來一點也不遜色。 它可以自動跟蹤目標機器的屏幕變化,可以完全模擬鍵盤及滑鼠輸入,即在使被控端屏幕變化和監控端產生同步的同時,被監控端的一切鍵盤及滑鼠操作將反映在控端的屏幕。它可以記錄各種口令信息,包括開機口令、屏保口令、各種共享資源口令以及絕大多數在對話框中出現過的口令信息;它可以獲取系統信息;它還可以進行注冊表操作,包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表操作。
(3)、NetSpy:可以運行於Windows95/98/NT/2000等多種平台上,它是一個基於TCP/IP的簡單的文件傳送軟體,但實際上你可以將它看作一個沒有許可權控制的增強型FTP伺服器。通過它,攻擊者可以神不知鬼不覺地下載和上傳目標機器上的任意文件,並可以執行一些特殊的操作。
(4)、Glacier:該程序可以自動跟蹤目標計算機的屏幕變化、獲取目標計算機登錄口令及各種密碼類信息、獲取目標計算機系統信息、限制目標計算機系統功能、任意操作目標計算機文件及目錄、遠程關機、發送信息等多種監控功能。類似於BO2000。
(5)、KeyboardGhost:Windows系統是一個以消息循環(MessageLoop)為基礎的操作系統。系統的核心區保留了一定的位元組作為鍵盤輸入的緩沖區,其數據結構形式是隊列。鍵盤幽靈正是通過直接訪問這一隊列,使鍵盤上輸入你的電子郵箱、代理的賬號、密碼Password(顯示在屏幕上的是星號)得以記錄,一切涉及以星號形式顯示出來的密碼窗口的所有符號都會被記錄下來,並在系統根目錄下生成一文件名為KG.DAT的隱含文件。
(6)、ExeBind:這個程序可以將指定的攻擊程序捆綁到任何一個廣為傳播的熱門軟體上,使宿主程序執行時,寄生程序也在後台被執行,且支持多重捆綁。實際上是通過多次分割文件,多次從父進程中調用子進程來實現的。 五、網路攻擊應對策略
在對網路攻擊進行上述分析與識別的基礎上,我們應當認真制定有針對性的策略。明確安全對象,設置強有力的安全保障體系。有的放矢,在網路中層層設防,發揮網路的每層作用,使每一層都成為一道關卡,從而讓攻擊者無隙可鑽、無計可使。還必須做到未雨稠繆,預防為主 ,將重要的數據備份並時刻注意系統運行狀況。以下是針對眾多令人擔心的網路安全問題,提出的幾點建議:
1、提高安全意識
(1)不要隨意打開來歷不明的電子郵件及文件,不要隨便運行不太了解的人給你的程序,比如「特洛伊」類黑客程序就需要騙你運行。
(2)盡量避免從Internet下載不知名的軟體、游戲程序。即使從知名的網站下載的軟體也要及時用最新的病毒和木馬查殺軟體對軟體和系統進行掃描。
(3)密碼設置盡可能使用字母數字混排,單純的英文或者數字很容易窮舉。將常用的密碼設置不同,防止被人查出一個,連帶到重要密碼。重要密碼最好經常更換。
(4)及時下載安裝系統補丁程序。
(5)不隨便運行黑客程序,不少這類程序運行時會發出你的個人信息。
(6)在支持HTML的BBS上,如發現提交警告,先看源代碼,很可能是騙取密碼的陷阱。
2、使用防毒、防黑等防火牆軟體。
防火牆是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。
3、設置代理伺服器,隱藏自已的IP地址。
保護自己的IP地址是很重要的。事實上,即便你的機器上被安裝了木馬程序,若沒有你的IP地址,攻擊者也是沒有辦法的,而保護IP地址的最好方法就是設置代理伺服器。代理伺服器能起到外部網路申請訪問內部網路的中間轉接作用,其功能類似於一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時,代理伺服器接受申請,然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網路轉發這項請求。
4、將防毒、防黑當成日常例性工作,定時更新防毒組件,將防毒軟體保持在常駐狀態,以徹底防毒。
5、由於黑客經常會針對特定的日期發動攻擊,計算機用戶在此期間應特別提高警戒。
6、對於重要的個人資料做好嚴密的保護,並養成資料備份的習慣。
--------------------------------------------------------------------------------
G. 新手提問。。。。。。。。。。。。。。。。。。
查任意一個人的IP地址
1.主動查對方的IP
這種查任意一個人IP地址的基本思路是:若想知道對方的地址,只需設法讓對方訪問自己的IP地址就可以了,一旦對方來訪問,也就建立了一個SOCKET連接,我們就可以輕松地捕獲他(她)的IP地址。當然前提他得在線。
第一步:申請一個轉向域名,如126.com等,並在網上做一個主頁(主頁無論怎麼簡單都可以,目的是為了查IP地址嘛);
第二步:在你想查別人IP的時候,到你申請域名的地方,將鏈接轉到你的IP;
第三步:打開查IP地址的軟體,如IP Hunter;
第四步:告訴那個你想查其IP地址的人,想辦法(是用甜言蜜語還是美…計,就看你的了)讓他去你的網站看看,給他這個轉向域名;
第五步:當他輸入此網址以後,域名會自動指向你的IP,因此你就能知道他的IP了;
第六步:當你查到他的IP地址後,再將轉向的地址改為你網站的地址,達到隱藏的目的。
2.被動查對方IP
如今的網上真的不大安靜,總有些人拿著掃描器掃來掃去。如果你想查那個掃你電腦的人的IP,可用下面的方法。
一種做法是用天網,用軟體默認的規則即可。如果有人掃描你的電腦,那麼在「日誌」中就可以看到那個掃你的人的IP了,他掃描你電腦的哪個埠也可從中看出。由於我們在前面已經講了用天網查QQ用戶IP的方法,因此在這里就不多說了。
另外一種做法是用黑客陷阱軟體,如「小豬快跑」、「獵鹿人」等,這些軟體可以欺騙對方你的某些埠已經打開,讓他誤以為你已經中了木馬,當他與你的電腦產生連接時,他的IP就記錄在這些軟體中了。以「小豬快跑」為例,在該軟體中有個非常不錯的功能:「自定義密碼欺騙埠設置」,你可以用它來自定義開啟10個埠用來監聽,不大明白?OK,下面就以把自己的計算機偽裝成中了冰河木馬為例,看看可愛的小豬是怎樣欺騙對方、如何查到掃描者的IP的吧!
點擊「埠設置」選「自定義木馬欺騙埠設置」,進入「木馬欺騙埠設置」對話框。
在「木馬欺騙埠設置」界面上用滑鼠選中「埠1」,「埠數」填冰河木馬的默認埠7626,其他不用填,點擊「設置完畢」退出。好了,冰河木馬欺騙埠設置完畢。
現在回到「小豬快跑」的主界面,點擊「開始監視」,工作區內立即出現「7626埠開始監視」的提示,欺騙開始了……
這時,如果有「灰」客對你的計算機進行掃描,他就會發現你計算機的7626埠開著,這個「灰」客自然會以為你中了木馬冰河呢。當他用冰河控制端登陸你的計算機時,冰河會告訴他「命令發送完畢」,由於你沒有中木馬,所謂的木馬是你設置出來的假木馬,因此他也就無法再進行下一步了。無論他登陸多少次,都只會看到「命令發送完畢」,而「小豬快跑」的主窗口中卻清清楚楚地顯示出「***.***.***.***試圖連接你的7626埠,已經開始欺騙」。其中「***.***.***.***」就是對方的IP地址了,知道了對方的IP地址後,你就可以愛怎麼辦就怎麼辦了。
四、查互聯網中已知域名主機的IP
1.用Windows自帶的網路小工具Ping.exe
如你想www.sina.com.cn的IP地址,只要在DOS窗口下鍵入命令「ping www.sina.com.cn」,就可以看到IP了。
2.用工具查
這里我們以網路刺客II為例來說說。
網路刺客II是是天行出品的專門為安全人士設計的中文網路安全檢測軟體,運行網路刺客II,進入主界面,選擇「工具箱」菜單下的「IP<->主機名」,出現一個對話框,在「輸入IP或域名」下面的框中寫入對方的域名(我們這里假設對方的域名www.sina.com.cn),點擊「轉換成IP」按鈕,對方的IP就出來了,是202.106.184.200。
參考資料:http://..com/question/2703187.html?fr=qrl3
H. 防黑客冰河木馬
提起「冰河」木馬,相信沒有多少網民不知道。作為國內木馬程序的經典之作,它操作簡單,功能強大。雖然原作者黃鑫從2.2B版本已經徹底停止了開發,但許多「好事者」卻繼續在對「冰河」程序進行不斷的修改。於是網路上就出現了一些所謂的冰河3.0、5.0、V60、V70、V80、2000、XP以及各種「XX專版」,更有甚者已經開始對修改後的冰河程序進行收費,這引起了原作者黃鑫的注意。
為了防止這種不良影響,他向廣大網民免費奉獻了一款專門用來對付各類冰河木馬的「冰河陷阱」程序,主要有兩大功能:一是自動清除所有版本「冰河」被控端程序。二是把自己偽裝成「冰河」被控端,記錄入侵者的所有操作。
下面我們就來通過一個「冰河」木馬入侵者的誘捕實例來看看如何操作。
第一步:清除冰河木馬
把壓縮包內的文件解壓到一個目錄,運行「冰河陷阱.exe」,如果當前系統中已經被別人植入了冰河木馬的話,這時它會提示你是否自動清除冰河木馬被控端程序,當然要選擇「是」了,接下來它會顯示出這個安裝的「冰河」木馬的配置信息,點擊[確定]按鈕,冰河陷阱就會自動徹底地從系統中清除冰河木馬,並將其配置信息以及清除情況保存在當前目錄的「清除日誌.txt」文件中。現在我們要打開該文件查看,注意記下「監聽埠」中的數字「7626」(也可能會是其他數字),後面要用到。
另外還要記下「接收IP信箱」後面顯示的郵箱,這就是入侵者接收你的IP地址以及密碼等信息的信箱,以後你可以向該信箱發出警告信或者請求信箱服務商的管理員幫助。
我在試用中發現如果「冰河陷阱.exe」處於運行狀態,冰河木馬被控端程序將無法在你的系統中再次運行。而且每次它啟動時都會自動檢查系統中有無冰河被控端程序,並提示清除。因此建議大家選中「設置」菜單中的「隨系統自動啟動」選項,讓它開機自動運行。
第二步:請君入瓮
接下來利用「冰河陷阱」的偽裝功能來誘捕入侵者。運行冰河陷阱後,點擊「設置」菜單中的「設置監聽埠」,然後輸入前面記下的冰河木馬被控端監聽埠「7626」(一定要與上面顯示的數字一樣),然後單擊工具欄中的[打開陷阱]按鈕,再將冰河陷阱最小化到系統托盤。這時冰河陷阱會完全模擬真正的「冰河」被控端程序對入侵者的控制命令進行響應,使入侵者以為你的機器仍處於他的控制之下。
當有入侵者通過「冰河」客戶端連接到冰河陷阱所偽裝的被控端程序上時,可以在系統托盤中看到冰河陷阱圖標不斷閃爍報警,同時還有聲音報警。雙擊圖標打開「冰河陷阱」主界面,在列表中可以看到入侵者的IP地址、所在地以及登錄密碼和詳細的操作過程。點擊[保存記錄]按鈕可以將顯示的入侵記錄保存在磁碟上以供分析。
另外,冰河陷阱還有一項特別的功能——冰河信使。點擊工具欄中的[冰河信息]按鈕,可以直接給入侵者發送一個反擊消息,當然越恐怖效果越好,保證讓這個入侵者「丟盔棄甲」,落荒而逃,再也不敢冒犯你了。
I. 關於此 特洛伊木馬程序 已檢測到: PWS-LegMir (特洛伊木馬程序), PWS-LegMir (特洛伊木馬程序)
特洛伊木馬沒有復制能力,它的特點是偽裝成一個實用工具或者一個可愛的游戲,這會誘使用戶將其安裝在PC或者伺服器上。
詳解木馬原理
特洛伊木馬是如何啟動的
作為一個優秀的木馬,自啟動功能是必不可少的,這樣可以保證木馬不會因為你的一次關機操作而徹底失去作用。正因為該項技術如此重要,所以,很多編程人員都在不停地研究和探索新的自啟動技術,並且時常有新的發現。一個典型的例子就是把木馬加入到用戶經常執行的程序 (例如explorer.exe)中,用戶執行該程序時,則木馬自動發生作用。當然,更加普遍的方法是通過修改Windows系統文件和注冊表達到目的,現經常用的方法主要有以下幾種:
1.在Win.ini中啟動
在Win.ini的[windows]欄位中有啟動命令"load="和"run=",在一般情況下 "="後面是空白的,如果有後跟程序,比方說是這個樣子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,這個file.exe很可能是木馬哦。
2.在System.ini中啟動
System.ini位於Windows的安裝目錄下,其[boot]欄位的shell=Explorer.exe是木馬喜歡的隱藏載入之所,木馬通常的做法是將該何變為這樣:shell=Explorer.exefile.exe。注意這里的file.exe就是木馬服務端程序!
另外,在System.中的[386Enh]欄位,要注意檢查在此段內的"driver=路徑\程序名"這里也有可能被木馬所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]這3個欄位,這些段也是起到載入驅動程序的作用,但也是增添木馬程序的好場所,現在你該知道也要注意這里嘍。
3.利用注冊表載入運行
如下所示注冊表位置都是木馬喜好的藏身載入之所,趕快檢查一下,有什麼程序在其下。
4.在Autoexec.bat和Config.sys中載入運行
請大家注意,在C盤根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都需要控制端用戶與服務端建立連接後,將己添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行,而且採用這種方式不是很隱蔽。容易被發現,所以在Autoexec.bat和Confings中載入木馬程序的並不多見,但也不能因此而掉以輕心。
5.在Winstart.bat中啟動
Winstart.bat是一個特殊性絲毫不亞於Autoexec.bat的批處理文件,也是一個能自動被Windows載入運行的文件。它多數情況下為應用程序及Windows自動生成,在執行了Windows自動生成,在執行了Win.com並加截了多數驅動程序之後
開始執行 (這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由於Autoexec.bat的功能可以由Witart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入運行,危險由此而來。
等一系列……………………
木馬的隱藏方式
1.在任務欄里隱藏
這是最基本的隱藏方式。如果在windows的任務欄里出現一個莫名其妙的圖標,傻子都會明白是怎麼回事。要實現在任務欄中隱藏在編程時是很容易實現的。我們以VB為例。在VB中,只要把from的Visible屬性設置為False,ShowInTaskBar設為False程序就不會出現在任務欄里了。
2.在任務管理器里隱藏
查看正在運行的進程最簡單的方法就是按下Ctrl+Alt+Del時出現的任務管理器。如果你按下Ctrl+Alt+Del後可以看見一個木馬程序在運行,那麼這肯定不是什麼好木馬。所以,木馬會千方百計地偽裝自己,使自己不出現在任務管理器里。木馬發現把自己設為 "系統服務「就可以輕松地騙過去。
因此,希望通過按Ctrl+Alt+Del發現木馬是不大現實的。
3.埠
一台機器有65536個埠,你會注意這么多埠么?而木馬就很注意你的埠。如果你稍微留意一下,不難發現,大多數木馬使用的埠在1024以上,而且呈越來越大的趨勢;當然也有佔用1024以下埠的木馬,但這些埠是常用埠,佔用這些埠可能會造成系統不正常,這樣的話,木馬就會很容易暴露。也許你知道一些木馬佔用的埠,你或許會經常掃描這些埠,但現在的木馬都提供埠修改功能,你有時間掃描65536個埠么?
4.隱藏通訊
隱藏通訊也是木馬經常採用的手段之一。任何木馬運行後都要和攻擊者進行通訊連接,或者通過即時連接,如攻擊者通過客戶端直接接人被植人木馬的主機;或者通過間接通訊。如通過電子郵件的方式,木馬把侵入主機的敏感信息送給攻擊者。現在大部分木馬一般在佔領主機後會在1024以上不易發現的高埠上駐留;有一些木馬會選擇一些常用的埠,如80、23,有一種非常先進的木馬還可以做到在佔領80HTTP埠後,收到正常的HTTP請求仍然把它交與Web伺服器處理,只有收到一些特殊約定的數據包後,才調用木馬程序。
5.隱藏隱載入方式
木馬載入的方式可以說千奇百怪,無奇不有。但殊途同歸,都為了達到一個共同的目的,那就是使你運行木馬的服務端程序。如果木馬不做任何偽裝,就告訴你這是木馬,你會運行它才怪呢。而隨著網站互動化避程的不斷進步,越來越多的東西可以成為木馬的傳播介質,Java Script、VBScript、ActiveX.XLM....幾乎WWW每一個新功能部會導致木馬的快速進化。
6.最新隱身技術
在Win9x時代,簡單地注冊為系統進程就可以從任務欄中消失,可是在Windows2000盛行的今天。這種方法遭到了慘敗。注冊為系統進程不僅僅能在任務欄中看到,而且可以直接在Services中直接控制停止。運行(太搞笑了,木馬被客戶端控制)。使用隱藏窗體或控制台的方法也不能欺騙無所不見的Admlin大人(要知道,在NT下,Administrator是可以看見所有進程的)。在研究了其他軟體的長處之後,木馬發現,Windows下的中文漢化軟體採用的陷阱技術非常適合木馬的使用。。
QUOTE:
特洛伊木馬具有的特性
1.包含干正常程序中,當用戶執行正常程序時,啟動自身,在用戶難以察覺的情況下,完成一些危害用戶的操作,具有隱蔽性
由於木馬所從事的是 "地下工作",因此它必須隱藏起來,它會想盡一切辦法不讓你發現它。很多人對木馬和遠程式控制制軟體有點分不清,還是讓我們舉個例子來說吧。我們進行區域網間通訊的常用軟體PCanywhere大家一定不陌生吧?我們都知道它是一款遠程式控制制軟體。PCanywhere比在伺服器端運行時,客戶端與伺服器端連接成功後,客戶端機上會出現很醒目的提示標志;而木馬類的軟體的伺服器端在運行的時候應用各種手段隱藏自己,不可能出現任何明顯的標志。木馬開發者早就想到了可能暴露木馬蹤跡的問題,把它們隱藏起來了。例如大家所熟悉木馬修改注冊表和而文件以便機器在下一次啟動後仍能載入木馬程式,它不是自己生成一個啟動程序,而是依附在其他程序之中。有些木馬把伺服器端和正常程序綁定成一個程序的軟體,叫做exe-binder綁定程序,可以讓人在使用綁定的程序時,木馬也入侵了系統。甚至有個別木馬程序能把它自身的exe文件和服務端的圖片文件綁定,在你看圖片的時候,木馬便侵人了你的系統。它的隱蔽性主要體現在以下兩個方面:
(1)不產生圖標
木馬雖然在你系統啟動時會自動運行,但它不會在 "任務欄"中產生一個圖標,這是容易理解的,不然的話,你看到任務欄中出現一個來歷不明的圖標,你不起疑心才怪呢!
(2)木馬程序自動在任務管理器中隱藏,並以"系統服務"的方式欺騙操作系統。
2.具有自動運行性。
木馬為了控制服務端。它必須在系統啟動時即跟隨啟動,所以它必須潛人在你的啟動配置文件中,如win.ini、system.ini、winstart.bat以及啟動組等文件之中。
3.包含具有未公開並且可能產生危險後果的功能的程序。
4.具備自動恢復功能。
現在很多的木馬程序中的功能模塊巴不再由單一的文件組成,而是具有多重備份,可以相互恢復。當你刪除了其中的一個,以為萬事大吉又運行了其他程序的時候,誰知它又悄然出現。像幽靈一樣,防不勝防。
5.能自動打開特別的埠。
木馬程序潛人你的電腦之中的目的主要不是為了破壞你的系統,而是為了獲取你的系統中有用的信息,當你上網時能與遠端客戶進行通訊,這樣木馬程序就會用伺服器客戶端的通訊手段把信息告訴黑客們,以便黑客們控制你的機器,或實施進一步的入侵企圖。你知道你的電腦有多少個埠?不知道吧?告訴你別嚇著:根據TCP/IP協議,每台電腦可以有256乘以256個埠,也即從0到65535號 "門",但我們常用的只有少數幾個,木馬經常利用我們不大用的這些埠進行連接,大開方便之 "門"。
6、功能的特殊性。
通常的木馬功能都是十分特殊的,除了普通的文件操作以外,還有些木馬具有搜索cache中的口令、設置口令、掃描目標機器人的IP地址、進行鍵盤記錄、遠程注冊表的操作以及鎖定滑鼠等功能。上面所講的遠程式控制制軟體當然不會有這些功能,畢竟遠程式控制制軟體是用來控制遠程機器,方便自己操作而已,而不是用來黑對方的機器的。
QUOTE:
木馬採用的偽裝方法
1.修改圖標
木馬服務端所用的圖標也是有講究的,木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖標,這樣很容易誘惑你把它打開。看看,木馬是不是很狡猾?
2.捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的情況下,偷偷地進入了系統。被捆綁的文件一般是可執行文件 (即EXE、COM一類的文件)。
3.出錯顯示
有一定木馬知識的人部知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序。木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時,會彈出一個錯誤提示框 (這當然是假的),錯誤內容可自由定義,大多會定製成一些諸如 "文件已破壞,無法打開!"之類的信息,當服務端用戶信以為真時,木馬卻悄悄侵人了系統。
4.自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道,當服務端用戶打開含有木馬的文件後,木馬會將自己拷貝到Windows的系統文件夾中(C;\wmdows或C:\windows\system目錄下),一般來說,源木馬文件和系統文件夾中的木馬文件的大小是一樣的 (捆綁文件的木馬除外),那麼,中了木馬的朋友只要在近來收到的信件和下載的軟體中找到源木馬文件,然後根據源木馬的大小去系統文件夾找相同大小的文件,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後,源木馬文件自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工具幫助下。就很難刪除木馬了。
5.木馬更名
木馬服務端程序的命名也有很大的學問。如果不做任何修改,就使用原來的名字,誰不知道這是個木馬程序呢?所以木馬的命名也是千奇百怪,不過大多是改為和系統文件名差不多的名字,如果你對系統文件不夠了解,那可就危險了。例如有的木馬把名字改為window.exe,如果不告訴你這是木馬的話,你敢刪除嗎?還有的就是更改一些後綴名,比如把dll改為dl等,不仔細看的,你會發現嗎?
木馬的種類
1、破壞型
惟一的功能就是破壞並且刪除文件,可以自動的刪除電腦上的DLL、INI、EXE文件。
2、密碼發送型
可以找到隱藏密碼並把它們發送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中,認為這樣方便;還有人喜歡用WINDOWS提供的密碼記憶功能,這樣就可以不必每次都輸入密碼了。許多黑客軟體可以尋找到這些文件,把它們送到黑客手中。也有些黑客軟體長期潛伏,記錄操作者的鍵盤操作,從中尋找有用的密碼。
在這里提醒一下,不要認為自己在文檔中加了密碼而把重要的保密文件存在公用計算機中,那你就大錯特錯了。別有用心的人完全可以用窮舉法暴力破譯你的密碼。利用WINDOWS API函數EnumWindows和EnumChildWindows對當前運行的所有程序的所有窗口(包括控制項)進行遍歷,通過窗口標題查找密碼輸入和出確認重新輸入窗口,通過按鈕標題查找我們應該單擊的按鈕,通過ES_PASSWORD查找我們需要鍵入的密碼窗口。向密碼輸入窗口發送WM_SETTEXT消息模擬輸入密碼,向按鈕窗口發送WM_COMMAND消息模擬單擊。在破解過程中,把密碼保存在一個文件中,以便在下一個序列的密碼再次進行窮舉或多部機器同時進行分工窮舉,直到找到密碼為止。此類程序在黑客網站上唾手可得,精通程序設計的人,完全可以自編一個。
3、遠程訪問型
最廣泛的是特洛伊馬,只需有人運行了服務端程序,如果客戶知道了服務端的IP地址,就可以實現遠程式控制制。以下的程序可以實現觀察"受害者"正在干什麼,當然這個程序完全可以用在正道上的,比如監視學生機的操作。
程序中用的UDP(User Datagram Protocol,用戶報文協議)是網際網路上廣泛採用的通信協議之一。與TCP協議不同,它是一種非連接的傳輸協議,沒有確認機制,可靠性不如TCP,但它的效率卻比TCP高,用於遠程屏幕監視還是比較適合的。它不區分伺服器端和客戶端,只區分發送端和接收端,編程上較為簡單,故選用了UDP協議。本程序中用了DELPHI提供的TNMUDP控制項。
4.鍵盤記錄木馬
這種特洛伊木馬是非常簡單的。它們只做一件事情,就是記錄受害者的鍵盤敲擊並且在LOG文件里查找密碼。據筆者經驗,這種特洛伊木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項,顧名思義,它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。也就是說你按過什麼按鍵,下木馬的人都知道,從這些按鍵中他很容易就會得到你的密碼等有用信息,甚至是你的信用卡賬號哦!當然,對於這種類型的木馬,郵件發送功能也是必不可少的。
5.DoS攻擊木馬
隨著DoS攻擊越來越廣泛的應用,被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一台機器,給他種上DoS攻擊木馬,那麼日後這台計算機就成為你DoS攻擊的最得力助手了。你控制的肉雞數量越多,你發動DoS攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在攻擊者可以利用它來攻擊一台又一台計算機,給網路造成很大的傷害和帶來損失。
還有一種類似DoS的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對特定的郵箱不停地發送郵件,一直到對方癱瘓、不能接受郵件為止。
6.代理木馬
黑客在入侵的同時掩蓋自己的足跡,謹防別人發現自己的身份是非常重要的,因此,給被控制的肉雞種上代理木馬,讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬,攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序,從而隱蔽自己的蹤跡。
7.FTP木馬
這種木馬可能是最簡單和古老的木馬了,它的惟一功能就是打開21埠,等待用戶連接。現在新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進入對方計算機。
8.程序殺手木馬
上面的木馬功能雖然形形色色,不過到了對方機器上要發揮自己的作用,還要過防木馬軟體這一關才行。常見的防木馬軟體有ZoneAlarm,Norton Anti-Virus等。程序殺手木馬的功能就是關閉對方機器上運行的這類程序,讓其他的木馬更好地發揮作用。
9.反彈埠型木馬
木馬是木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的鏈接往往會進行非常嚴格的過濾,但是對於連出的鏈接卻疏於防範。於是,與一般的木馬相反,反彈埠型木馬的服務端 (被控制端)使用主動埠,客戶端 (控制端)使用被動埠。木馬定時監測控制端的存在,發現控制端上線立即彈出埠主動連結控制端打開的主動埠;為了隱蔽起見,控制端的被動埠一般開在80,即使用戶使用掃描軟體檢查自己的埠,發現類似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情況,稍微疏忽一點,你就會以為是自己在瀏覽網頁。
QUOTE:
中木馬後出現的狀況
對於一些常見的木馬,如SUB7、BO2000、冰河等等,它們都是採用打開TCP埠監聽和寫人注冊表啟動等方式,使用木馬剋星之類的軟體可以檢測到這些木馬,這些檢測木馬的軟體大多都是利用檢測TCP連結、注冊表等信息來判斷是否有木馬入侵,因此我們也可以通過手工來偵測木馬。
也許你會對硬碟空間莫名其妙減少500M感到習以為常,這的確算不了什麼,天知道Windows的臨時文件和那些烏七八糟的游戲吞噬了自己多少硬碟空間。可是,還是有一些現象會讓你感到警覺,一旦你覺得你自己的電腦感染了木馬,你應該馬上用殺毒軟體檢查一下自己的計算機,然後不管結果如何,就算是Norton告訴你,你的機器沒有木馬,你也應該再親自作一次更深入的調查,確保自己機器安全。經常關注新的和出名的木馬的特性報告,這將對你診斷自己的計算機問題很有幫助。
(1)當你瀏覽一個網站,彈出來一些廣告窗口是很正常的事情,可是如果你根本沒有打開瀏覽器,而覽瀏器突然自己打開,並且進入某個網站,那麼,你要小心。
(2)你正在操作電腦,突然一個警告框或者是詢問框彈出來,問一些你從來沒有在電腦上接觸過的間題。
(3)你的Windows系統配置老是自動莫名其妙地被更改。比如屏保顯示的文字,時間和日期,聲音大小,滑鼠靈敏度,還有CD-ROM的自動運行配置。
(4)硬碟老沒緣由地讀盤,軟碟機燈經常自己亮起,網路連接及滑鼠屏幕出現異常現象。
這時,最簡單的方法就是使用netstat-a命令查看。你可以通過這個命令發現所有網路連接,如果這時有攻擊者通過木馬連接,你可以通過這些信息發現異常。通過埠掃描的方法也可以發現一些弱智的木馬,特別是一些早期的木馬,它們捆綁的埠不能更改,通過掃描這些固定的埠也可以發現木馬是否被植入。
當然,沒有上面的種種現象並不代表你就絕對安全。有些人攻擊你的機器不過是想尋找一個跳板。做更重要的事情;可是有些人攻擊你的計算機純粹是為了好玩。對於純粹處於好玩目的的攻擊者,你可以很容易地發現攻擊的痕跡;對於那些隱藏得很深,並且想把你的機器變成一台他可以長期使用的肉雞的黑客們,你的檢查工作將變得異常艱苦並且需要你對入侵和木馬有超人的敏感度,而這些能力,都是在平常的電腦使用過程日積月累而成的。
我們還可以通過軟體來檢查系統進程來發現木馬。如利用進程管理軟體來查看進程,如果發現可疑進程就殺死它。那麼,如何知道哪個進程是可疑的呢?教你一個笨方法,有以下進程絕對是正常的:EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果打開了IE),而出現了其他的、你沒有運行的程序的進程就很可疑了。一句話,具體情況具體分析。
QUOTE:
被感染後的緊急措施
如果不幸你的計算機已經被木馬光臨過了,你的系統文件被黑客改得一塌糊塗,硬碟上稀里糊塗得多出來一大堆亂七八糟的文件,很多重要的數據也可能被黑客竊取。這里給你提供3條建議,希望可以幫助你:
(1)所有的賬號和密碼都要馬上更改,例如撥號連接,ICQ,mIRC,FTP,你的個人站點,免費郵箱等等,凡是需要密碼的地方,你都要把密碼盡快改過來。
(2)刪掉所有你硬碟上原來沒有的東西。
(4)檢查一次硬碟上是否有病毒存在 。
木馬技術篇
這里就不介紹木馬是如何寫成的了,畢竟大多數網友不會去編寫什麼木馬,也沒有足夠的知識和能力來編寫,包括我自己:)
QUOTE:
黑客是如何騙取你執行木馬的
1、冒充為圖像文件
首先,黑客最常使用騙別人執行木馬的方法,就是將特洛伊木馬說成為圖像文件,比如說是照片等,應該說這是一個最不合邏輯的方法,但卻是最多人中招的方法,有效而又實用 。
只要入侵者扮成美眉及更改伺服器程序的文件名(例如 sam.exe )為「類似」圖像文件的名稱 ,再假裝傳送照片給受害者,受害者就會立刻執行它。為甚麼說這是一個不合邏輯的方法呢?圖像文件的擴展名根本就不可能是 exe,而木馬程序的擴展名基本上又必定是 exe ,明眼人一看就會知道有問題,多數人在接收時一看見是exe文件,便不會接收了,那有什麼方法呢? 其實方法很簡單,他只要把文件名改變,例如把「sam.exe」 更改為「sam.jpg」 ,那麼在傳送時,對方只會看見sam.jpg 了,而到達對方電腦時,因為windows 默認值是不顯示擴展名的,所以很多人都不會注意到擴展名這個問題,而恰好你的計算機又是設定為隱藏擴展名的話,那麼你看到的只是sam.jpg 了,受騙也就在所難免了!
還有一個問題就是,木馬本身是沒有圖標的,而在電腦中它會顯示一個windows 預設的圖標,別人一看便會知道了!但入侵者還是有辦法的,這就是給文件換個「馬甲」,即修改文件圖標。
2、合並程序欺騙
通常有經驗的用戶,是不會將圖像文件和可執行文件混淆的,所以很多入侵者一不做二不休,乾脆將木馬程序說成是應用程序:反正都是以 exe 作為擴展名的。然後再變著花樣欺騙受害者,例如說成是新出爐的游戲,無所不能的黑客程序等等,目地是讓受害者立刻執行它。而木馬程序執行後一般是沒有任何反應的,於是在悄無聲息中,很多受害者便以為是傳送時文件損壞了而不再理會它。
如果有更小心的用戶,上面的方法有可能會使他們的產生壞疑,所以就衍生了一些合拼程序。合拼程序是可以將兩個或以上的可執行文件(exe文件) 結合為一個文件,以後只需執行這個合拼文件,兩個可執行文件就會同時執行。如果入侵者將一個正常的可執行文件(一些小游戲如 wrap.exe) 和一個木馬程序合拼,由於執行合拼文件時 wrap.exe會正常執行,受害者在不知情中,背地裡木馬程序也同時執行了。而這其中最常用到的軟體就是joiner,由於它具有更大的欺騙性,使得安裝特洛伊木馬的一舉一動了無痕跡,是一件相當危險的黑客工具。讓我們來看一下它是如何運作的:
以往有不少可以把兩個程序合拼的軟體為黑客所使用,但其中大多都已被各大防毒軟體列作病毒了,而且它們有兩個突出的問題存在,這問題就是:
(1)合拼後的文件體積過大
(2)只能合拼兩個執行文件
正因為如此,黑客們紛紛棄之轉而使用一個更簡單而功能更強的軟體,那就是Joiner 了。此軟體不但把軟體合拼後的體積減少,而且可以待使用者執行後立馬就能收到一個icq 的信息,告訴你對方已中招及對方的IP ,更重要的是這個軟體可以把圖像文件、音頻文件與可執行文件合拼,用起來相當方便。
首先把Joiner 解壓,然後執行Joiner ,在程序的畫面里,有「First executable : 」及「 Second File : 」兩項,這兩行的右方都有一個文件夾圖標,分別各自選擇想合拼的文件。
下面還有一個Enable ICQ notification 的空格,如果選取後,當對方執行了文件時,便會收到對方的一個ICQ Web Messgaer ,裡面會有對方的ip ,當然要在下面的ICQ number 填上欲收取信息的icq 號碼。但開啟這個功能後,合拼後的文件會比較大。
最後便按下「Join」 ,在Joiner 的文件夾里,便會出現一個Result.exe 的文件,文件可更改名稱,因而這種「混合體」的隱蔽性是不言而喻的。
3、以Z-file 偽裝加密程序
Z-file 偽裝加密軟體是台灣華順科技的產品,其經過將文件壓縮加密之後,再以 bmp圖像文件格式顯示出來(擴展名是 bmp,執行後是一幅普通的圖像)。當初設計這個軟體的本意只是用來加密數據,用以就算計算機被入侵或被非法使使用時,也不容易泄漏你的機密數據所在。不過如果到了黑客手中,卻可以變成一個入侵他人的幫凶。 使用者會將木馬程序和小游戲合拼,再用 Z-file 加密及將 此「混合體」發給受害者,由於看上去是圖像文件,受害者往往都不以為然,打開後又只是一般的圖片,最可怕的地方還在於就連殺毒軟體也檢測不出它內藏特洛伊木馬,甚至病毒!當打消了受害者警惕性後,再讓他用WinZip 解壓縮及執行 「偽裝體 (比方說還有一份小禮物要送給他),這樣就可以成功地安裝了木馬程序。 如果入侵者有機會能使用受害者的電腦(比如上門維修電腦),只要事先已經發出了「混合體,則可以直接用 Winzip 對其進行解壓及安裝。由於上門維修是赤著手使用其電腦,受害者根本不會懷疑有什麼植入他的計算機中,而且時間並不長,30秒時間已經足夠。就算是「明晃晃」地在受害者面前操作,他也不見得會看出這一雙黑手正在干什麼。特別值得一提的是,由於 「混合體」 可以躲過反病毒程序的檢測,如果其中內含的是一觸即發的病毒,那麼一經結開壓縮,後果將是不堪設想。
4、偽裝成應用程序擴展組件
此類屬於最難識別的特洛伊木馬。黑客們通常將木馬程序寫成為任何類型的文件 (例如 dll、ocx等) 然後掛在一個十分出名的軟體中,例如 OICQ 。由於OICQ本身已有一定的知名度,沒有人會懷疑它的安全性,更不會有人檢查它的文件多是否多了。而當受害者打開OICQ時,這個有問題的文件即會同時執行。 此種方式相比起用合拼程序有一個更大的好處,那就是不用更改被入侵者的登錄文件,以後每當其打開OICQ時木馬程序就會同步運行 ,相較一般特洛伊木馬可說是「踏雪無痕」。更要命的是,此類入侵者大多也是特洛伊木馬編寫者,只要稍加改動,就會派生出一支新木馬來,所以即使殺是毒軟體也拿它沒有絲毫辦法。
J. 救命!!!電腦中病毒了!!!
利用進程工具幹掉那些非系統必要進程。至少叫殺軟可以啟動為止。工具地址:http://www.antiy.com/download/atool.zip
常用進程列表(不知道的就都幹掉,應用軟體先不用管。事後再修復。)。
smss.exe Session Manager
csrss.exe 子系統伺服器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務)
產生會話密鑰以及授予用於互動式客戶/伺服器驗證的服務憑據(ticket)。(系統服務)
svchost.exe 包含很多系統服務
svchost.exe
SPOOLSV.EXE 將文件載入到內存中以便遲後列印。(系統服務)
Explorer.exe 資源管理器
internat.exe 托盤區的拼音圖標
附加的系統進程(這些進程不是必要的,你可以根據需要通過服務管理器來增加或減少):
mstask.exe 允許程序在指定時間運行。(系統服務)
regsvc.exe 允許遠程注冊表操作。(系統服務)
winmgmt.exe 提供系統管理信息(系統服務)。
inetinfo.exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統服務)
tlntsvr.exe 允許遠程用戶登錄到系統並且使用命令行運行控制台程序。(系統服務)
允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務。(系統服務)
tftpd.exe 實現 TFTP Internet 標准。該標准不要求用戶名和密碼。遠程安裝服務的一部分。(系統服務)
termsrv.exe 提供多會話環境允許客戶端設備訪問虛擬的 Windows 2000 Professional 桌面會話以及運行在伺服器上的基
於 Windows 的程序。(系統服務)
dns.exe 應答對域名系統(DNS)名稱的查詢和更新請求。(系統服務)
以下服務很少會用到,上面的服務都對安全有害,如果不是必要的應該關掉
tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000 Professional 的能力。(系統服務)
支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統服務)
ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息。(系統服務)
ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統服務)
wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。(系統服務)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多個伺服器間維護文件目錄內容的文件同步。(系統服務)
RsSub.exe 控制用來遠程儲存數據的媒體。(系統服務)
locator.exe 管理 RPC 名稱服務資料庫。(系統服務)
lserver.exe 注冊客戶端許可證。(系統服務)
dfssvc.exe 管理分布於區域網或廣域網的邏輯卷。(系統服務)
clipsrv.exe 支持「剪貼簿查看器」,以便可以從遠程剪貼簿查閱剪貼頁面。(系統服務)
msdtc.exe 並列事務,是分布於兩個以上的資料庫,消息隊列,文件系統,或其它事務保護資源管理器。(系統服務)
faxsvc.exe 幫助您發送和接收傳真。(系統服務)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁碟管理請求的系統管理服務。(系統服務)
mnmsrvc.exe 允許有許可權的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統服務)
netdde.exe 提供動態數據交換 (DDE) 的網路傳輸和安全特性。(系統服務)
smlogsvc.exe 配置性能日誌和警報。(系統服務)
rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網路信號和本地通信控制安裝功能。(系統服務)
RsEng.exe 協調用來儲存不常用數據的服務和管理工具。(系統服務)
RsFsa.exe 管理遠程儲存的文件的操作。(系統服務)
grovel.exe 掃描零備份存儲(SIS)卷上的重復文件,並且將重復文件指向一個數據存儲點,以節省磁碟空間。(系統服務)
SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統服務)
snmp.exe 包含代理程序可以監視網路設備的活動並且向網路控制台工作站匯報。(系統服務)
snmptrap.exe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息,然後將消息傳遞到運行在這台計算機上 SNMP 管理程序
。(系統服務)
UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統服務)
msiexec.exe 依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟體。(系統服務)
如果有不明白的可以找我。空間地址http://hi..com/avengert或者給我訊息
補充1:建議用winpe系統(賣系統安裝盤的地方就有,3-5元一張。最好要求帶最新殺軟的,或者是支持最新庫的。),最好系統中帶有殺毒軟體。或者是你進入後將病毒文件刪除(這個需要一定得知識,需要有人指點才可以。)試試吧。