如何写论文?写好论文?免费论文网提供各类免费论文写作素材!
当前位置:免费论文网 > 范文百科 > 特洛伊木马怎么杀

特洛伊木马怎么杀

来源:免费论文网 | 时间:2016-09-27 08:33:00 | 移动端:特洛伊木马怎么杀

篇一:特洛伊木马工作原理分析及清除方法

特洛伊木马工作原理分析及清除方法

1 什么是特洛伊木马

特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序, 这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。

2 木马的工作原理

完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet); 软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。

2.1 获取并传播木马

木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病毒传播。2001年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13312@MM)。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件, 并将自己作为邮件的附件,使用不同的名称继续传播。

2.2 运行木马

服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下), 然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活时,它就进入内存,并开启事先定义的木马端口,准备与控制端建立连接。

2.2 建立连接,进行控制

建立一个木马连接必须满足2个条件:(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。

3 用VB6.0编写的木马程序

下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。

(1)用VB建立2个程序:客户端程序Client和服务器端程序Server。

(2)在Client工程中建立一个窗体,加载WinSock控件,称为Win_Client,协议选择TCP。

再加入一个文本框,用于输入服务器的IP地址或服务器名。然后加入一个按钮,按下之后就可以对连接进行初始化。代码如下:

Private Sub cmdConnect_Click()

Win_Client.RemoteHost=Text1.Text

Win_Client.Connect

Timer1.Enabled=True

End Sub

(3)建立连接后就可以使用DataArrival事件处理收到的数据了。

(4)在服务器端Server工程中也建立一个窗体,窗体的visible属性设置为False。加载WinSock控件, 称为Win_Server,协议选择TCP。在Form_Lad事件中加入以下代码: Private Sub Form_Load()

Win_Server.LocalPort=2001 ?自定义的端口号

Win_Server.Listen

End Sub

(5)准备应答客户端程序的请求连接,使用ConnectionRequest事件来应答客户端程序的请求,代码如下:

Private Sub Win_Server_ConnectionRquest(ByValrequestID As Long)

If Win_Server.State sckClosed Then

Win_Server.Close ?检查控件的State属性是否为关闭的

End If ?如果不是,在接受新的连接之前先关闭此连接

Win_Server.Accept requestID

End Sub

(6)这样在客户端程序按下连接按钮后,服务器端程序的ConnectionRequest事件即被触发, 执行以上代码。如果不出意外,连接将被建立起来。

(7)建立连接后服务器端的程序通过JDataArrival事件接收客户机端程序发出的指令运行既定程序。DataArrival事件程序如下:

Private Sub Win_Server_DataArrival(ByVal bytesTotal As Long)

Dim strData As String

Dim I As Long

Win_Server.GetData strData ?接收数据并存入strData

For i=1 ToLen(strData) ?分离strData中的命令

If Mid(strData,I,1)=”@” Then

mKey=Left(strData,i-1 ?把命令ID号存入mKey

strData=Right(strData,Len(strData)-i) ?把命令参数存入strData

Exit Fof

Ene If

Next i

Select Case Val*mKey)

Case i ?i为一系列命令的定义,如截获驱动器名、目录名、文件名、强制关闭服务器端的计算机,强制重启服务器端的计算机,屏蔽任务栏窗口,屏蔽开始菜单,按照客户机端传来的文件名或目录名删除它们,屏蔽热启动键,运行服务器端的任何程序。

……

End Select

EneSub

(8)客户机端用Win_Client.SendData发命令。命令包括命令ID和命令参数,它们用符号”@”隔开。

(9)当客户机端断开与服务器端的连接后,服务器端应用Win_Server_Close事件继续准备接收客户机端的请求,其代码如下:

Private Sub tcpServer_Close()

Win_Server.Close

Win_Server.Listen

End Sub

以上是一个最基本的特洛伊木马程序。只要机器运行了服务器端程序, 别人就可以在千里之外控制这台计算机。

4 发现和清除木马

杀毒软件主要是针对已知病毒设计的,而新病毒却层出不穷,特别是在有些特洛伊木马类病毒刚出现时,由于杀毒软件没有建立病毒库,大都无能为力。因此,学习一些手工检查特洛伊木马的方法是很有必要的。下面简单介绍一种在Win9x系统下手工发现和清除木马的方法。

TCP服务程序都需要Listen在某个端口(port)上,客户端程序才能与其建立连接, 进行数据传输。可以用Win9x的命令netstat -an查看所有的活动连接, 典型输出如下: C:\WINDOWS>netstat –an

Active Connections

Proto Local Address Foreign Address State

TCP 192.168.1.92:137 0.0.0.0:0 LISTENING

TCP 192.168.1.92:138 0.0.0.0:0 LISTENING

UDP 192.168.1.92:137 *:*

UDP 192.168.1.92:138 *:*

其中”Local Address”栏即本机IP地址,冒号后为port号。正常情况下没有安装其它TCP服务时,上述输出只有137~139几个port处于Listen状态; 若未安装其它TCP服务程序,但在netstat -an的输出中发现有别的port处于Listen状态则该机器已经被感染了木马。这里需要说明2点:1 “Local Address”栏中IP地址若为127.0.0.1则无害, 而IP地址若为0.0.0.0且port不是137~139则要引起注意了。2有的木马比较隐蔽,平时是看不到它,只有当机器接入Internet时它才处于Listen状态。在上网过程中要下载软件、收发信件、网上聊天等必然打开一些端口,下面是一些常用的端口:

(1)1~1024之间的端口:这些是保留端口,是某些对外通信程序专用的,如FTP 使用21,S

MTP使用25,POP3使用110等。木马很少使用这些保留端口。

(2)1025以上的连续端口:在上网浏览时,浏览器会打开多个连续的端口将文字、图片下载到本地硬盘。这些端口都是1025以上的连续端口。

(3)4000端口是QICQ的通信端口。6667端口是IRC的通信端口。

上述的端口基本可以排除在外。若发现还有其它端口打开,尤其是数值比较大的端口,就要怀疑是否感染了木马。当然如果木马有定制端口的功能,则任何端口都有可能是木马端口。 如果用netstat -an发现了异常(有时在使用系统时也能感到异常),应该从以下8个方面检查:

(1)WIN.INI:用文本方式打开WINDOWS目录下的配置文件win.ini。在[windows]字段中有启动命令”load=”和“run=”,一般情况下“=”右边是空白的,否则就有可能是木马。

(2)SYSTEN.INI:用文本方式打开WINDOWS目录下的配置文件system.ini。若发现字段[386Enh]、[mic]和[drivers32]中有命令行,则需要检查其中是否有木马的启动命令。此外,[BOOT]字段下面有条命令“shell=wxplorer.exe”,如果是“shell=explorer 程序名”,则后面跟着的那个程序就是“木马”程序。

(3)Autoexec.bat和Config.sys:系统盘根目录下的这2个文件也可以启动木马。但这种加载方式需要控制端用户与服务端建立连接后, 将已加入木马启动命令的同名文件上传到服务端覆盖这二个文件。

(4)*INI:即应用程序的启动配置文件。控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖相应文件,就可以启动木马。

(5)注册表1:打开HKEY_LOCAL_MACHINE\Softwae\Microsoft\Windows\CurrentVersion\ 下5个以Run和Run-Services开头的主键,在其中寻找可能是启动木马的键值。

(6)注册表2:打开HKEY_CLASES_ROOT\文件类型\shell\open\command主键,查看其键值。如国产木马“冰河”就是修改HKEY_CLASES_ROOT\txtfile\shell\open\command下的键值, 将“C:WINDOWS\NOTEPAD.EXE%1”更改为“C:WINDOWS\SYSTEM\SYSEXPLR.EXE%1”。此时只要双击TXT文件, 本来是要应用NOTEPAD打开文件,而实际上却启动了木马程序。其实不只是TXT文件,通过修改HTML、EXE、ZIP等文件的启动

命令的键值都可以启动木马。不同之处只在于“文件类型”这个主键,TXT的主键是txtfile,ZIP的主键是WINZIP。

(7)捆绑文件:实现该触发条件首先要控制端和服务端已通过木马建立连接, 接着控制端用户用工具软件将木马文件和某个应用程序捆绑在一起,然后上传到服务端覆盖原文件。这样即使木马被删除了,只要运行捆绑着木马的应用程序,木马就又会被重新安装。

(8)启动菜单:在“ 开始/程序/启动”选项下也可能有木马的触发条件。

如果在以上+ 项检查中发现有可疑程序,则将其连同该注册表项一同删除,再重启系统,木马就会被清除。这里还需要几点说明:

(1)木马正在运行时,无法删除其程序。须重新启动、

进入dos方式将其删除。

(2)有的木马能够自动检查它在注册表中的自启动项。如果在木马处于活动时删除该项,它可以自动恢复。此时只能重启进入DOS方式, 将其程序删除后再进入Wi9x下,将其注册

表中的自启动项剔除(操作顺序不能错)。

(3)在删除和修改注册表前一定要先做备份(注册表的备份与恢复可以用regedit中的“导出注册表”和“引入注册表”来完成)。

篇二:电脑常见特洛伊病毒详细介绍及杀毒方法。

特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可爱的游戏,这会诱使用户将其安装在PC或者服务器上。“特洛伊木马”(trojan horse)简称“木马”,木马和病毒都是一种人为的程序,都属于电脑病毒,据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为“特

洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。 完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序以及在你电脑上使用的帐号、密码就无安全可言了。木马程序不能算是一种病毒,程序本身在无人操控的情况下不会像蠕虫病毒复制感染,不会破坏操作系统及硬件。但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性和迅速感染系统文件的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。

木马的启动方式:

木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。

通过“开始\程序\启动”

隐蔽性:2星

应用程度:较低

这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人会会出现在“系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。

通过Win.ini文件

隐蔽性:3星

应用程度:较低

同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。在Windows3.2中,Win.ini就相当于

Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在msconfig中。而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。

通过注册表启动

1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

隐蔽性:3.5星

应用程度:极高

应用案例:BO2000,GOP,NetSpy,IEthief,冰河??

这是很多Windows程序都采用的方法,也是木马最常用的。使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe,以下简称regedit)都可以将它轻易的删除,所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件,以便实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写入,以保证下次

Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使在没有任何工具软件的情况下也能轻易解除这种互相保护。

破解方法:首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自破了;然后,你就可以删除注册表中的键值和相应的木马程序了。

2、通过

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

隐蔽性:4星

应用程度:较低

应用案例:Happy99月

这种方法好像用的人不是很多,但隐蔽性比上一种方法好,它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢?

其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。

还有一种方法,不是在启动的时候加而是在退出Windows的时候加,这要求木马程序本身要截获WIndows的消息,当发现关闭Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦

Windows异常中止(对于Windows9x这是经常的),木马也就失效了。 破解他们的方法也可以用安全模式。

另外使用这三个键值并不完全一样,通常木马会选择第一个,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束会才继续启动Windows。

通过Autoexec.bat文件

winstart.bat,config.sys文件

隐蔽性:3.5星

应用程度:较低

其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我想能写这样木马的人一定是高手中的高手了。 另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类似“Deltree C:\*.*”和“Format C:/u”的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。

通过System.ini文件

隐蔽性:5星

应用程度:一般

事实上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是“Explorer.exe”,这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为Progman.exe就可以让Win9x变成Windows3.2)。我们可以在“Explorer.exe”后加上木马程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell这一项嘛,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启动,呵呵以毒攻毒啊。

通过某特定程序或文件启动

1、寄生于特定程序之中

隐蔽性:5星

应用程度:一般

即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。

2、将特定的程序改名

隐蔽性:5星

应用程度:常见

这种方式常见于针对QQ的木马,例如将QQ的启动文件

QQ2000b.exe,改为QQ2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为QQ2000b.ico,而用户会认为它是一个图标),再将木马程序改为QQ2000b.exe,此后,用户运行QQ,实际是运行了QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来要比上一种简单的多。

篇三:特洛伊木马的攻击与防御

信息安全工具使用教程

论文

学院:

专业: 年级:

题目: 特洛伊木马的攻击与防御

学生姓名: 学号:

指导教师姓名:

年月日

目录

摘要: ...................................................................................................................................................... 3

Abstract: ................................................................................................................................................. 3

1特性 ....................................................................................................................................................... 4

1.1组成 ............................................................................................................................................ 4

1.2启动 ............................................................................................................................................ 4

1.3伪装方式 .................................................................................................................................... 5

1.4隐藏方式 .................................................................................................................................... 6

2种类 ....................................................................................................................................................... 7

2.1破坏型 ........................................................................................................................................ 7

2.2密码发送型 ................................................................................................................................ 7

2.3远程访问型 ................................................................................................................................ 7

2.4键盘记录木马 ............................................................................................................................ 7

2.5DoS攻击木马............................................................................................................................. 7

3防御 ....................................................................................................................................................... 8

3.1使用安全软件 ............................................................................................................................ 8

3.2进行手动查杀 ............................................................................................................................ 8

结论 .......................................................................................................................................................... 8

参考文献................................................................................................................................................... 9

特洛伊木马的攻击与防御

摘要:

随着计算机网络技术的快速发展,计算机已经作为人们必须工具融入了我们的日常生活的中,人们的生活越来越依赖于网络和计算机。然而利益背后也有着弊端。在日益发达的网络环境下,黑客和不法分子很容易利用特洛伊木马程序来窃取用户的隐私。因此如何有效保护人们的隐私就成了一个不容忽视的问题。

关键词:计算机;网络;特洛伊木马;窃取;保护

Trojan horse attacks and defense

Abstract:

With the rapid development of computer network technology, computer tools have been as a people must be integrated into our daily life, people's lives become increasinglydependent on networks and computers. However, interest also has disadvantages behind.In the increasingly well-developed network environment, it is easy for hackers andcriminals use Trojan horse to steal the user's privacy. So how to effectively protect people's privacy has become a problem can not be ignored.

Keywords:Computer;Network;Trojan horse;Steal;Protection

引言

特洛伊木马的故事是在古希腊传说中,希腊联军围困特洛伊久攻不下,于是假装撤退,留下一具巨大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。夜深人静之际,木马腹中躲藏的希腊士兵打开城门,特洛伊沦陷。现实中的特洛伊木马程序是黑客常用攻击方法,它通过在用户的的计算机系统中隐藏一个会在操作系统启动时悄悄运行的程序,采用服务器/客户机的方式运行,窃取用户的口令、浏览用户的资源、修改用户的文件、登录注册表等,从而实现用户上网时控制用户计算机的目的。

1特性

如同它的名字来历一般,特洛伊木马程序具有伪装性、隐藏性、自启动性、开启后门以及其他的特殊权限的能力。并且会让用户的计算机如同传说中的特洛伊城一般沦陷,后患无穷。

1.1组成

完整的木马程序一般由两个部分组成:一个是服务端(被控制端),一个是客户端(控制端)。“中了木马”就是指安装了木马的服务端程序,若用户的电脑被安装了服务端程序,则拥有相应客户端的人就可以通过网络控制该用户的电脑、为所欲为,这时用户电脑上的各种文件、程序,以及在电脑上使用的账号、密码无安全可言了。

1.2启动

作为一个木马,必要的功能之一就是自启动这样可以保证木马不会因为用户的一次关机操作而彻底失去作用。正因为该项技术如此重要,所以,很多编程人员都在不停地研究和探索新的自启动技术,并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中,用户执行该程序时,则木马自动发生作用。当然,更加普遍的方法是通过修改Windows系统文件和注册表达到目的,现经常用的方法主要有以下几种:

1.在Win.ini中启动

在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了,这个file.exe很可能是木马。

2.在System.ini中启动

System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序。

另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,

这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。

3.利用注册表加载运行

注册表位置是木马喜好的藏身加载之所,如会在开机时启动的注册表项以及用户会经常调用的程序等等。

4.在Autoexec.bat和Config.sys中加载运行

在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。

5.在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。

6.*.INI

即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中。

7.修改文件关联

修改文件关联是木马常用手段,例如正常情况下.txt文件的打开方式为Notepad.exe文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开。

8.捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。

1.3伪装方式

1.修改图标

木马经常故意伪装成系统或者用户经常使用的文件图标,这样用户很可能在不自觉的情况下把它打开。

2.捆绑文件

这种伪装手段是木马常用的方式之一,是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。

3.出错显示

由于木马运行的隐秘性,因此如果打开了一个文件,这个文件没有任何反应,这个文件很可能就是个木马程序。因此出错提示就是为了弥补这个缺陷,当服务端用户打开木马程序时,会弹出一个错误提示框,错误内容可自由定义,大多会定制成一些诸如 "文件已破坏,无法打开!"之类的信息,当服务端用户信以为真时,木马却悄悄侵人了系统。

4.木马更名


特洛伊木马怎么杀》由:免费论文网互联网用户整理提供;
链接地址:http://www.csmayi.cn/show/56476.html
转载请保留,谢谢!
相关文章