计算机病毒和特洛伊马的工作原理和过程(好的,加200)
一个完整的木马程序由两部分组成:服务器和控制器。就是植入种子电脑的“服务器”部分,所谓的“黑客”就是利用“控制器”进入运行“服务器”的电脑。运行木马程序的“服务器”后,受害者电脑的一个或几个端口会被打开,黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私将完全没有保障!
病毒是附加在程序或文件上的一段计算机代码,它可以在计算机之间传播。它在传播时会感染电脑。病毒会破坏软件、硬件和文件。
病毒(名词):为自我复制的明确目的而编写的代码。病毒附着在主机程序上,然后试图在计算机之间传播。它可能会损坏硬件、软件和信息。
就像人类病毒是按照严重程度来分类的(从埃博拉病毒到普通流感病毒),计算机病毒也有轻重之分,只造成一些干扰,重的会彻底破坏设备。谢天谢地,没有人类的操作,真正的病毒是不会传播的。你必须与某人共享文件,并发送电子邮件来一起移动它。
“特洛伊木马”的全称是“特洛伊马”,最初是指古希腊士兵躲在特洛伊马后进入敌方城市,从而占领敌方城市的故事。在互联网上,“特洛伊马”是指一些程序员(或心怀恶意的马夫)在其应用程序或可从网络下载的游戏插件或网页中包含可以控制用户电脑系统或通过电子邮件窃取用户信息的恶意程序,可能导致用户系统被破坏、信息丢失甚至瘫痪。
一、特洛伊马的特点
特洛伊马属于客户/服务模式。它分为两部分,即客户端和服务器端。其原理是一台主机提供服务(服务端),另一台主机接收服务(客户端)。作为服务器,主机通常会打开一个默认端口进行监听。如果客户端向服务器的该端口发出连接请求,服务器上相应的程序将自动运行以允许客户端的请求。这个程序叫做过程。
木马一般会寻找后门,盗取密码。统计显示,现在特洛伊马占了病毒的四分之一以上,而在近几年激增的病毒潮中,特洛伊马占有绝对优势,未来几年还会愈演愈烈。特洛伊马是一种特殊的病毒。如果一不小心把它当软件用,就会“栽”在电脑上。未来上网时,电脑的控制权将完全交给“黑客”,黑客可以通过跟踪按键输入窃取密码、信用卡号等机密信息,还可以跟踪、监视、控制、查看、修改电脑上的信息。
二、特洛伊马的攻击特点
在使用电脑的过程中,如果你发现电脑的反应速度发生了明显的变化,硬盘在不停的读写,鼠标不听你的,键盘无效,自己的一些窗口被关闭,新的窗口莫名其妙的打开,网络传输指示灯一直闪烁,没有大的程序在运行,但是系统越来越慢,系统资源被大量使用, 或者一个程序运行后没有反映(这类程序一般比较小,十几K到几百K不等)
第三,特洛伊马的工作原理和手动杀的介绍。
由于大部分玩家对安全问题了解不多,不知道如何清除电脑中的“木马”。因此,最重要的是了解“特洛伊马”的工作原理,这样就很容易找到“特洛伊马”。我相信看完这篇文章后,你会成为一个杀死特洛伊马的专家。(如果你成不了高手,建议你用橡皮筋砸班竹家的玻璃,呵呵)
木马会想尽办法隐藏自己。主要的方式有:在任务栏中隐藏自己,只要将窗体的Visible属性设置为False,这是最基本的。ShowInTaskBar设置为False,因此程序在运行时不会出现在任务栏中。在任务管理器中隐形:将程序设置为“系统服务”很容易伪装自己。
A.启动组类(即启动计算机时运行的文件组)
当然,特洛伊会悄悄启动,你当然不会指望用户每次启动后都点击“特洛伊”图标来运行服务器(没人会这么傻)。特洛伊马会在每次用户启动时自动加载服务器,而Windows系统启动时自动加载应用程序的方法,特洛伊马会用到,比如startup group、win.ini、system.ini、registry等等,这些都是特洛伊马会藏身的好地方。通过win.ini和system.ini加载木马在Windows系统中,win.ini和system.ini都存储在C:windows目录下,直接用记事本打开即可。通过修改win.ini文件中windows部分的“load=file.exe,run=file.exe”语句,可以自动加载木马。此外,system.ini中的引导部分通常是“shell = explorer”。exe”(Windows系统的图形界面命令解释器)。让我们具体谈谈特洛伊马是如何自动加载的。
1.在win.ini文件中,在[WINDOWS]下,“run=”和“load=”是加载特洛伊木马程序的可能方式,一定要密切关注。一般来说,它们的等号后面没有什么。如果你发现它们后面的路径和文件名不是你熟悉的启动文件,你的电脑可能是特洛伊木马。当然,你得看清楚,因为很多“木马”,比如“AOLTrojan木马”,都是把自己伪装成command.exe文件,不注意的话,你可能发现不了它不是真正的系统启动文件。
通过c:windowswininit.ini文件。许多特洛伊马程序在这里做一些小把戏。这种方法常用于文件安装过程中,程序安装完成后立即执行文件。同时安装的原文件是Windows删除的,所以非常隐蔽。比如在wininit.ini中,如果Rename部分有以下内容:NUL=c:windowspicture.exe,这条语句将c:windowspicture.exe发送到NUL,意味着原文件pictrue.exe已经被删除,所以运行时特别隐蔽。
2.在system.ini文件中,[BOOT]下有一个“shell=文件名”。正确的文件名应该是“explorer.exe”。如果不是“explorer.exe”而是“shell=explorer.exe程序名”,那么后面的程序就是“特洛伊马”程序,也就是说你已经赢了特洛伊马。
Win.ini和system.ini文件可以通过单击“开始”菜单中的“运行”来查看。只需在“运行”对话框中输入“msconfig ”,然后单击“确定”按钮。这里大家一定要注意。如果你对电脑不是很了解,请不要输入这个命令或者删除里面的文件,否则一切后果和损失由你负责。斑竹和我不承担任何责任。)
3.经常检查下面列出的文件,木马也可能藏在。
C: \ Windows \ winstart.bat和C:\ Windows \ win nit . ini以及Autoexec.bat
b、注册表(注册表就是注册表,懂电脑的人一看就知道)
1.从菜单加载。如果自动加载的文件是通过Windows菜单上的自定义直接添加的,一般会放在“开始->中;程序-& gt;Start”,在Win98资源管理器中的位置是“C:windows startmenuprograms Start”。当文件以这种方式自动加载时,它们通常存储在注册表中的以下四个位置:
HKEY _当前用户\软件\微软\ Windows \当前版本\资源管理器\外壳文件夹
HKEY _当前用户\软件\微软\ Windows \当前版本\资源管理器\用户!hellFolders
HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ current version \ explorer \ UserShellFolders
HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ current version \ explorer \ shell folders
2.注册表中的情况是最复杂的。点击“key本地-机器\软件\微软\ Windows \ currentversion \ Run”目录,查看键值中有没有不熟悉的自动启动文件,扩展名为EXE。记住这里:特洛伊马生成的一些文件非常类似于系统自己的文件。想通过伪装蒙混过关,比如“AcidBatteryv1.0特洛伊”,将注册表“key本地-机器\软件\微软\ Windows \当前版本\运行”下的Explorer的键值改为“Explorer =" C: \ Windows \ Explorer。Exe”,而“特洛伊”程序不同于真正的一个。当然,特洛伊木马程序可以隐藏的地方有很多,比如“HKEY-当前-用户\软件\微软\ Windows \当前版本\运行”和“HKEY-用户\ * * * \软件\微软\ Windows \当前版本\运行”都有可能,最好的办法就是在“HKEY-本地-机器\软件\微软\ Windows \当前版本\运行”下找到木马程序的文件名,然后在整个注册表中搜索。
3.此外,HKEY _类_根\ EXIFLE \ shell \ open \ command =在注册表中。
“1”和“*”,如果“1”被修改为特洛伊,那么每次启动一个可执行文件,特洛伊就会启动一次。比如著名的Ice木马把TXT文件的Notepad.exe改成!它有自己的启动文件,每次打开记事本都会自动启动冰马,非常隐蔽。
可以通过在运行对话框中键入“regedit”来查看注册表。需要注意的是,在删除和修改系统注册表之前一定要备份注册表,因为对注册表的操作很危险,而且特洛伊马是隐藏的,所以可能会有一些误操作。如果发现错误,可以将备份的注册表文件导入系统进行恢复。(这个命令也很危险。如果你不懂电脑,请不要尝试。记住)
c、端口(端口,其实就是网络数据通过操作系统进入电脑的入口)
1,一切都是一样的,有一种方法可以启动特洛伊马,只是在特定的情况下启动。所以平时多注意你的端口。通用特洛伊默认端口有
BO31337,YAL1999,Deep2140,Throat3150,Glacier 7636,Sub71243。
那么如何检查这台机器上哪些端口是打开的呢?
在dos中输入以下命令:netstat-an,就可以看到自己的端口。一般常见的网络端口有:21,23,25,53,80,110,139。如果你有其他端口,你就要注意了,因为现在有了。(这些木马的端口都是旧的。因为时间和安全的原因,现在很多新木马的端口我都不知道,也不敢尝试,因为技术更新太快,我跟不上。55555555555555)
2.因为特洛伊马经常通过网络连接,如果你发现一个可疑的网络连接,你可以推断特洛伊马的存在。最简单的方法是使用Windows附带的Netstat命令来检查它。一般情况下,如果你没有任何在线操作,在MS-DOS窗口中你不会看到任何带有Netstat命令的信息。此时,您可以使用“netstat-a”和“-a”选项来显示计算机中当前处于监听状态的所有端口。如果未知端口处于监听状态,且目前没有网络服务操作,那么很可能是特洛伊木马在监听该端口。
3、系统流程:
在Win2000/XP中按“CTL+ALT+DEL”进入任务管理器,可以看到系统所有正在运行的进程,逐一查看可以找到木马的活动进程。
在Win98下,查找进程的方法不是那么方便,但是有一些工具可以用来查找进程。通过检查系统进程来检测木马是非常简单容易的,但是一定要熟悉系统,因为Windows运行的时候有一些进程我们不是很熟悉,所以这个时候一定要小心,木马还是可以通过这个方法检测出来的。
第四,推出软件查杀木马
上面提到的方法都是用来手工检测或者清除木马的,但是一般来说木马不是那么容易发现的,而且木马非常隐蔽。幸运的是,现在已经有很多反特洛伊软件了。这里有一些软件。
1,瑞星杀毒软件。
2、个人版天网防火墙。根据反弹木马的原理,即使你赢了别人的木马,由于防火墙把你的电脑和外界隔开,木马的客户端也无法和你连接。防火墙启动后,一旦有可疑网络连接或特洛伊木马控制电脑,防火墙就会报警,并显示对方IP地址、接入端口等提示信息,手动设置后可使对方无法攻击。但是对于一些个别机器来说,运行天网会影响机器的运行速度。
3、特洛伊马的克星。据我所知是只查杀木马的软件,也是能查杀木马种类最多的软件。顾名思义,克星不会做坤的无敌槌法或者北冥槌法,专治各种木马。但也不是绝对的。看来“灰鸽子”可以屏蔽特洛伊马的克星。(刚听说没试过。“灰鸽子”也是特洛伊马,类似于冰川。目前,大多数特洛伊大盗都是未注册版本。使用特洛伊克星检查木马时,如果提示发现木马只能由注册用户清除,这只是作者的一个小手段。其实他的意思是,如果发现木马,只有注册用户才能清楚地知道。如果真的发现了木马,软件会告诉你木马的具体位置和名称。我们只是用其他软件和手段清除)
4。绿鹰PC万能精灵他会实时监控你的电脑,看《系统安全》舒服多了。
有了类似的防护软件,你的电脑基本是安全的。但道高一尺,魔高一丈。最近出现了一个可以伪装木马的程序(不知道哪位高手做的,很厉害),就是把木马排列组合生成多个木马,而杀毒软件只能杀母。那么生成的特洛伊就找不到了,所以我们还是要掌握一些地来手动移除特洛伊。
软件对其他病毒的查杀非常有效,对木马的检查也相当成功,但要彻底清除并不理想,因为一般来说,每次电脑启动时木马都会自动加载,但杀毒软件并不能彻底清除特洛伊文件。一般来说,杀毒软件是更有效的防止特洛伊入侵的方法。
五、特洛伊马防御
随着互联网的普及和网游装备可以兑换人民币的浪潮,木马的传播速度越来越快,新品种层出不穷。我们应该在发现和消除它的同时,更加注意采取措施进行预防。下面介绍几种防止木马的方法。(我只是借用你的观点。)
1.不要下载、接收或执行任何来历不明的软件或文件。
许多特洛伊病毒通过绑定到其他软件或文件来传播。这种绑定的软件或文件一旦运行,就会被感染。所以下载的时候要特别注意,一般建议去一些有信誉的网站。安装软件前,一定要用杀毒软件检查。建议用专杀木马的软件检查一下,确保无毒无马。
2.不要随意打开邮件的附件,不要点击邮件中的可疑图片。(这里还有一个关于电子邮件的例子。请注意。)
3.将浏览器配置为始终显示扩展。将Windows资源管理器配置为始终显示扩展。一些文件扩展名为vbs、shs、pif的文件,大多是特洛伊病毒的特征文件。如果遇到这些可疑的文件扩展名,就要注意了。
4.尽量少用* * *享受文件夹。如果因为工作等原因非要把电脑设置成* * *的话,最好单独开一个* * *文件!文件夹,把所有需要* * *的文件都放在这个* * *文件夹里,注意不要把系统目录设置成* * *。
5.运行反特洛伊实时监控程序。特洛伊防马很重要的一点就是上网时运行防特洛伊实时监控程序。一般PC通用向导等软件可以实时显示当前运行的所有程序,并有详细的描述信息。另外,如果加上一些专业的最新杀毒软件和个人防火墙进行监控,基本可以放心。
6.经常升级系统。很多木马通过系统漏洞进行攻击,微软在发现这些漏洞后会尽快发布补丁。在很多情况下,打补丁的系统本身就是防止木马的最好方法。
六、传播特洛伊马的个别例子(给你介绍一个邮件类)
1.来自网络的攻击越来越多。一些带有木马的恶意网页会利用软件或系统操作平台等安全漏洞,通过执行网页HTML标记语言中嵌入的JavaApplet、javascript脚本语言程序和ActiveX软件组件交互技术,支持自动执行代码程序。强行修改用户操作系统的注册表和系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染特洛伊木马、窃取用户数据的目的。
目前来自网页的攻击有两种:一种是通过编辑好的脚本程序修改IE浏览器;另一种是直接破坏Windows系统。前者通常会修改IE浏览器的标题栏、默认主页或者直接在你的机器中“种植”木马等。后者就是直接锁定你的键盘鼠标等输入设备然后破坏系统。
(作者插话):好在目前“特洛伊马”盗取千年用户名和密码的功能只是盗窃,并没有发展成破坏行为。不然就是号码被盗了,顺便格式化了硬盘。这样一来,就不可能在第一时间找回密码了。我希望这不会发生。(阿门,我是佛)
题目来了,大家仔细看!
如果你收到一个邮件附件,里面有一个看起来像这样的文件(或者看起来像这个文件,总之是特别吸引人的文件,格式还是很安全的。):QQ玩。txt,你觉得一定是纯文本文件吗?我得告诉你,不一定!它的实际文件名可以是QQ昵称广播。txt。{ 3050 f4fd 8-98 b5-11cf-bb82-00 aa 00 BDC E0 b }。
{ 3050 ff4d 8-98 b5-11cf-bb82-00 aa 00 bdce 0 b }表示注册表中的HTML文件关联。但是保存为文件名的时候就不会显示出来了。你看到的是一个. txt文件,其实相当于QQ昵称播放。txt.html:那么为什么直接打开这个文件会有危险呢?请查看该文档的内容是否如下:
你可能以为它会调用记事本运行,但是你双击它,它就会调用HTML运行,在后台自动开始通过网页加载特洛伊文件。同时显示类似“打开文件”的对话框欺骗你。你认为打开保险箱危险吗?随意附件里的txt?
如何作弊:当你双击这个伪装。txt,真正的文件扩展名是。{ 3050 f4fd 8-98 b5-11cf-bb82-00 aa 00 bdce 0 b },这是。html文件,所以它将作为html文件运行,这是它运行的先决条件。
“WScript”在一些恶意网页木马中也会被调用。
WScript的全称是WindowsScriptingHost,是Win98新增的功能。它是一个批处理语言/自动执行工具——它对应的程序“WScript.exe”是一个脚本语言解释器,位于c:\WINDOWS中,使脚本能够像批处理一样执行。在WindowsScriptingHost脚本环境中,一些对象是预定义的。通过自己内置的对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
最近听很多玩家说,很多马夫发邮件,名字类似“你的千年密码确认信”“你的千年数据保护建议”,骗取玩家信任,点击运行特洛伊邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自千禧官网。如果来自其他任何网站或个人邮箱,立即删除。记得马上删除。不要冒险。
七、关于“特洛伊马”的辩护(纯属个人观点,不承担法律责任)
防止特洛伊马在家里上网非常简单。无非就是装一大堆杀毒软件,及时升级。(不管新特洛伊传播的多快,很快就会成为各种杀毒软件的战利品,除非这个人专门定制了个人特洛伊。)加天网防火墙(很多黑客利用密码和漏洞进行远程控制,可以防止密码和漏洞入侵)基本可以解决问题,除非是好奇或者不小心打开了特洛伊服务器,我觉得这种情况还是占一定比例的!
但是对于网络冲浪者来说,即使是最好的防御也是徒劳无功的退出。
据我所知,现在的网吧安全系数几乎等于00000000,现在最厉害的就是装了“原厂精灵”,但是.....个人认为用处不大,与其说是保护用户密码,不如说是网吧保护系统的一种软件。现在的木马一般都是邮件发送密码,也就是说只要你在输入框输入密码,特洛伊控方就已经拿到你的ID和密码了(一般不超过三分钟)!对于在网吧上网的朋友来说,通过复制的方式输入ID和密码是最安全的。很多特洛伊程序其实就是一个键盘记录工具,在你不知情的情况下记录下你所有的键盘输入,然后通过网络发送出去!太可怕了,但据我所知,公安部和文化部已经明令禁止在网吧安装还原精灵,说是为了保存历史记录。唉~ ~这么少的防御措施也被禁了,哭)
总之,家庭上网用户记得随时更新自己的病毒库,随时检查电脑进程,发现不明进程立即查杀,不要浏览一些不明站点(我一般是靠域名来分析站点的可靠性,一般一级域名不会有恶意代码和网页木马),更不要说随意接收发给你的文件和邮件了!
网吧防盗真的很难。每个人都有。很复杂,就算老板花钱注册一匹特洛伊马,呵呵。。。没用的。想干坏事的人也可以杀了他~ ~ ~个人认为网吧除了复制ID密码粘贴到输入框里之外只好听天由命了~ ~ ~ ~
八。大家用的醉翁巷1.1G的解释。
如果你用了别人的软件,你必须永远公平对待他们。前段时间有人说软件醉翁1.1G运行后没有反应。关闭软件时,一些防护软件提示:本软件正在监控本地键盘!!
其实是醉文巷的hook.dll档案。来说说我对“勾”的问题吧。
什么是钩子?
钩子是Windows系统中一种特殊的消息处理机制。钩子可以监视系统或进程中的各种事件消息,拦截发送到目标窗口的消息并处理它们。这样我们就可以在系统中安装自定义的钩子来监控系统中特定事件的发生,完成特定的功能,比如拦截键盘鼠标输入,取屏幕上的文字,监控日志等等。可以看出,使用钩子可以实现许多特殊而有用的功能。所以高级程序员掌握hook的编程方法是很有必要的。
挂钩类型
根据使用范围,主要有线程挂钩和系统挂钩。
(1)线程钩子监视指定线程的事件消息。
(2)系统钩子监听系统中所有线程的事件消息。因为系统钩子会影响系统中的所有应用程序,所以钩子函数必须放在独立的动态链接库(DLL)中。这是系统钩子和线程钩子的一个很大的区别。
《醉翁巷Hook.dll》就是完成上述功能的程序。由于钩子对程序的特殊性,一些软件报告他在记录键盘动作,但不会报告他是特洛伊马。(呵呵,真的很吓人。但就算它录下键盘动作,只要不发,也不会太危险)
九、大总结(就是上面的大总结)
每个人都知道特洛伊马的工作原理,所以很容易杀死特洛伊马。如果特洛伊马存在,最安全有效的方法就是立即断开电脑与网络的连接,防止黑客通过网络攻击你。然后根据实际情况处理。