木马程式用“瞒天过海”或“披着羊皮的狼”之类的词来形容这类程式一点也不为过,直截了当的说法是木马有两个程式,一个是服务器程式,一个是控制器程式,当您的电脑运行了服务器程式后,客人就能够使用控制器程式进入您的电脑,通过指挥服务器程式达到控制您的电脑的目的.
有些网友会说我的电脑没有什麽秘密的资料,就抱着无所谓的态度,我想您肯定不希望在奋勇冲浪的时候,在和MM谈情说爱的时候,或许您在看属于您隐私的电子邮件的时候总有一双或很多双眼睛在"笑眯眯"的"关心"着您吧,更有甚者,通过木马将病毒传染到您的电脑上,让您死去活来,您的鼠标被人家控制,键盘不知什麽时候锁住了,这电脑还算您的吗?怎麽办?凉拌!
那麽木马究竟是何方神圣,让我们来分析一下.
一个木马要工作,那麽其服务器程式必须在目标上运行,没有人会主动需要去运行他,但是会有这麽一天,有人对您抱以和善的微笑说,"我这有一个好游戏""我有漂亮的MM屏保和您分享一下"等等,当您打开这些所谓的程式时,一个宿主程式已悄悄潜入您的机子,第一步就这样完成了,这完全是我们疏于防范造成的.
然后,木马一般会在以下三个地方安营扎寨:注册表、win.ini、system.ini,因为电脑启动的时候,需要装载这三个文档,大部分木马是使用这三种方式启动的.也有捆绑方式启动的,木马phAse 1.0版本和NetBus 1.53版本就能够以捆绑方式装到目标电脑上,能够捆绑到启动程式上,也能够捆绑到一般程式的常用程式上.假如捆绑到一般的程式上,启动是不确定的,这要看目标电脑主人了,假如他不运行,木马就不会进入内存.捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马.非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马能够由黑客自己确定捆绑方式、捆绑位置、捆绑程式等,位置的多变使木马由很强的隐蔽性.
木马的服务器程式文档一般位置是在c:/windows和c:/windows/system中,为什么要在这两个目录下,因为windows的一些系统文档在这两个位置,假如您误删了文档,您的电脑可能崩溃,您不得不重新安装系统.
木马的文档名更是一种学问,木马的文档名尽量和windows的系统文档接近,这样您就会弄糊涂了,比如木马SubSeven 1.7版本的服务器文档名是c:/windows/KERNEL16.DL,而windows由一个系统文档是c:/windows/KERNEL32.DLL,他们之差一点点,但是删错了的话,结果可大不相同的哦,删除KERNEL32.DLL会让您死翘翘的哦.再比如,木马phAse 1.0版本,生成的木马是C:/WINDOWS/System/Msgsrv32.exe,愣是和windows的系统文档C:/WINDOWS/System/Msgsrv32.exe一模相同,只是图标有点两样,您可不要删错了哦.上面两个是假扮系统文档的类型,我们再来看看无中生有的类型,木马SubSeven 1.5版本服务器文档名是c:/windows/window.exe,看清楚了哦,少一个s的哦,假如不告诉您这是木马,您有胆子删吗?
但是木马有一个致命的缺点,相对固定的端口,黑客要进入您的电脑,必须要有通往您电脑的途径,也就是说,木马必须打开某个端口,大家叫这个端口为“后门”,木马也叫“后门工具”.这个不得不打开的后门是很难隐蔽的,只能采取混淆的办法,很多木马的端口是固定的,让人一眼就能看出是什么样的木马造成的.所以,端口号能够改变,这是一种混淆的办法.我们知道7306是木马netspy的,木马SUB7能够改变端口号,SUB7默认的端口是1243,但是假如把1243端口改成了7306呢,呵呵,一定会把目标电脑的主人弄混淆了.有些人会问,要是这个端口会自动改变那该多好呀,每次上网端口号自动改变,呵呵,真聪明,可惜聪明过头了.比如,真有这样的木马装在我的电脑上,每次上网的端口均会改变,您是黑客,您打算怎么进入我的电脑呢?您知道这个木马现在开放的端口号是多少吗?想扫描我的电脑?端口一共有6万多个,您什么时候扫描完毕?半个小时,呵呵,我早发现了,早把您炸死了.即使我是菜鸟一个,您这样高速度扫描我的电脑,也会导致我的电脑通讯阻塞,谁会在网速很慢的情况下在网络上待半个小时?所以,这基本上是不太可能的事情.
木马有很强的隐蔽性,在WINDOWS中,假如某个程式出现异常,用正常的手段不能退出的时候,采取的办法时按“Ctrl Alt Del"键,跳出一个窗口,找到需要终止的程式,然后关闭他.早期的木马会在按“Ctrl Alt Del"显露出来,现在大多数木马已看不到了.所以只能采用内存工具来看内存中时候存在木马.
木马还具备很强潜伏的能力,表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来.这种条件主要是目标电脑主人的操作造成的.我们先来看一个典型的例子:木马Glacier(冰河1.2正式版)现在已升级到3.0版, 这个木马有两个服务器程式,C:/WINDOWS/SYSTEM/Kernel32.exe挂在注册表的启动组中,当电脑启动的时候,会装入内存,这是表面上的木马.另一个是C:/WINDOWS/SYSTEM/Sysexplr.exe,也在注册表中,他修改了文本文档的关联,当您点击文本文档的时候,他就启动了,他会检查Kernel32.exe是不是存在,假如存在的话,什么事情也不做.当表面上的木马Kernel32.exe被发现并删除以后,目标电脑的主人可能会觉得自己已删除木马了,应该是安全的了.假如目标电脑的主人在以后的日子中点击了文本文档,那么这个文档文档照样运行,而Sysexplr.exe被启动了.Sysexplr.exe会发现表面上的木马Kernel32.exe已被删除,就会再生成一个Kernel32.exe,于是,目标电脑以后每次启动电脑木马又被装上了.
说了这麽多,是不是感到很恐怖,很上火,别着急,清凉解暑药马上就到.
在对付特洛伊木马程式方面,有以下几种办法:
1.必须提高防范意识,不要打开陌生人信中的附件,哪怕他说的天花乱坠,熟人的也要确认一下来信的原地址是否合法.
2.多读readme.txt.许多人出于研究目的下载了一些特洛伊木马程式的软件包,在没有弄清软件包中几个程式的具体功能前,就匆匆地执行其中的程式,这样往往就错误地执行了服务器端程式而使用户的电脑成为了特洛伊木马的牺牲品.软件包中经常附带的readme.txt文档会有程式的周详功能介绍和使用说明,尽管他一般是英文的,但还是有必要先阅读一下,假如实在读不懂,那最好不要执行任何程式,丢弃软件包当然是最保险的了.有必要养成在使用任何程式前先读readme.txt的好习惯.
值得一提的是,有许多程式说明做成可执行的readme.exe形式,readme.exe往往捆绑有病毒或特洛伊木马程式,或干脆就是由病毒程式、特洛伊木马的服务器端程式改名而得到的,目的就是让用户误以为是程式说明文档去执行他,可谓用心险恶.所以从互连网上得来的readme.exe最好不要执行他.
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
