特洛伊木马术攻击方法和对它的防范对策
特洛伊木马术攻击方法和对它的防范对策
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,
这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。
在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,
“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,
如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。
一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,
你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,
它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,
而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击
至:“HKEY-LOCAL-MACHINE”目录下,
查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,
想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表
“HKEY-LOCAL-MACHINE”下的Explorer 键值
改为Explorer=“C:.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。
当然在注册表中还有很多地方都可以隐藏“木马”程序,
如:“HKEY-CURRENT-USER”、“HKEY-USERS\u65290***”的目录下都有可能,
最好的办法就是在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,
最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。
然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;
编辑system.ini文件,将[BOOT]下面的“shell=…木马?文件”,更改
为:“shell=explorer.exe”;在注册表中,
用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名,
再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:
有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE”下的“木马”键值删除就行了,
因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,
你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。
重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。
至此,我们就大功告成了。
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion下所有以“run”开头的键值;
HKEY-USERS Default Software Microsoft Windows CurrentVersion下所有以“run”开头的键值。
计算机网络攻击常见手法及防范措施
计算机网络攻击常见手法及防范措施 一、计算机网络攻击的常见手法 互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。 (一)利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。 (二)通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。 对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。 (三)解密攻击 在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。 为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。 (四)后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力
几种常见网络攻击的方法与对策研究
几种常见网络攻击的方法与对策研究 【摘要】随着计算机网络的普及和发展,我们的生活和工作都越来越依赖于网络,与此相关的网络安全问题也随之凸现出来。论文分析并探讨了一般性的网络攻击原理和手段,其中对IP Spoofing攻击方法和SYN Flooding作了详尽的讨论,最后提出了未来网络攻击方式演变的四种可能攻击趋势。 【关键词】网络攻击;IP Spoofing;SYN Flooding;攻击趋势 在网络这个不断更新换代的世界里,网络中的安全漏洞无处不在。即便旧的安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。网络攻击主要是通过信息收集、分析、整理以后,发现目标系统漏洞与弱点,有针对性地对目标系统(服务器、网络设备与安全设备)进行资源入侵与破坏,机密信息窃取、监视与控制的活动。 1RLA(Remote to Local Attacks)网络攻击的原理和手法 RLA是一种常见的网络攻击手段,它指的是在目标主机上没有账户的攻击者获得该机器的当地访问权限,从机器中过滤出数据、修改数据等的攻击方式。RLA也是一种远程攻击方法。远程攻击的一般过程:1)收集被攻击方的有关信息,分析被攻击方可能存在的漏洞;2)建立模拟环境,进行模拟攻击,测试对方可能的反应;3)利用适当的工具进行扫描;4)实施攻击。 IP Spoofing是一种典型的RLA攻击,它通过向主机发送IP包来实现攻击,主要目的是掩护攻击者的真实身份,使攻击者看起来像正常的用户或者嫁祸于其他用户。攻击过程可简单描述如下:①攻击端-SYN(伪造自己的地址)-被攻击端; ②伪造的地址SYN-ACK被攻击端;③被攻击端等待伪装端的回答。IP Spoofing 攻击过程见图1,具体描述如下:①假设I企图攻击A,而A信任B。②假设I 已经知道了被信任的B,使B的网络功能暂时瘫痪,以免对攻击造成干扰。因此,在实施IP Spoofing攻击之前常常对B进行SYN Flooding攻击。③I必须确定A 当前的ISN。④I向A发送带有SYN标志的数据段请求连接,只是信源IP改成了B。A向B回送SYN+ACK数据段,B已经无法响应,B的TCP层只是简单地丢弃A的回送数据段。⑤I暂停,让A有足够时间发送SYN+ ACK,然后I 再次伪装成B向A发送ACK,此时发送的数据段带有I预测的A的ISN+1。如果预测准确,连接建立,数据传送开始。如果预测不准确,A将发送一个带有RST标志的数据段异常终止连接,I重新开始。 IP Spoofing攻击利用了RPCN服务器仅仅依赖于信源IP地址进行安全校验的特性,攻击最困难的地方在于预测A的ISN。 图1IP Spoofing攻击过程 2拒绝服务DoS (Denial of Service)攻击 拒绝服务攻击指一个用户占据了大量的共享资源,使系统没有剩余的资源给其他用户使用的攻击方式。拒绝服务可以用来攻击域名服务器、路由器及其它网络操作服务,使CPU、磁盘空间、打印机、调制解调器等资源的可加性降低。拒绝服务的典型攻击方法有SYN Flooding、Ping Flooding、Land、Smurf、Ping of catch等类型。这里主要分析SYN Flooding攻击。 当一个主机接收到大量不完全连接请求而超出其所能处理的范围时,就会发生SYN Flooding攻击。在通常情况下,希望通过TCP连接来交换数据的主机必须使用3次握手进行任务初始化。SYN Flooding攻击就是基于阻止3次握手的
特洛伊木马原理介绍
1. 特洛伊木馬程式原理7n 一、引言otnpy 特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城,逾年無法攻下。有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。iagavi ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt 特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。e2/ 基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。DJ ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請 G5 iCf 三、特洛伊木馬隱身方法= 木馬程式會想盡一切辦法隱藏自己,主要途徑有:在工作程序中隱形:將程式設為「系統伺服器」可以偽裝自己。當然它也會悄無聲息地啟動,木馬會在每次使用者啟動時自動載入伺服器端,Windows系統啟動時自動載入應用程式的方法,「木馬」都會用上,如:win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。/x$l_ 在win.ini檔案中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程式的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案,電腦就可能中「木馬」了。當然也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe 檔案,如果不注意可能不會發現它不是真正的系統啟動檔案。g(hmry 在system.ini檔案中,在[BOOT]下面有個「shell=檔案名稱」。正確的檔案名稱應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名」,那麼後面跟著的那個程式就是「木馬」程式,就是說已經中「木馬」了。H 在註冊表中的情況最複雜,使用regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE \Software \Microsoft \Windows \Current Version \Run」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程式產生的檔案很像系統自身檔案,想使用偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE \SOFTWARE
剖析特洛伊木马报告
目录 一木马的概述 (1) 二基础知识 (3) 三木马的运行 (4) 四信息泄露 (5) 五建立连接 (5) 六远程控制 (6) 七木马的防御 (7) 八参考文献 (7)
一 .木马的概述 特洛伊木马,英文叫做“Trojanhorse”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,对此无可奈何;所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段,最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。而后随着Windows平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练地操作木马,相应的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 木马的种类繁多,但是限于种种原因,真正广泛使用的也只有少数几种,如BO,Subseven,冰河等。 1、BO2000有一个相当有用的功能,即隐藏木马进程,一旦将这项功能设备为enable,用ATM察看进程时,BO的木马进程将不会被发现。 2、在版本较高的Subseven中除常规的触发条件外,还提供有less know method和not know method两种触发方法。选择前者,运行木马后将SYSTEM.INI 中的Shell改为Shell=explorer.exe msrexe.exe,即用SYSTEM.INI触发木马,选择后者则会在c:\Windows\目录下创建一个名为Windows.exe程序,通过这个程序来触发木马,并将\HKEY-ROOT\exefile\shell\open\command\的键值“%1”、“%X”改为“Windows.exe”%1”、“%X,也就是说,即使我们把木马删除了,只要一运行EXE文件,Windows.exe马上又将木马安装上去,对于这种触发条件,我们只要将键值改回原值,并删除Windows.exe即可。 3、冰河的特殊触发条件和Subseven极为相似,它将\
特洛伊木马典故
特洛伊木马典故 特洛伊木马的故事是在古希腊传说中,希腊联军围困特洛伊久攻不下,于是假装撤退,留下一具巨大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。夜深人静之际,木马腹中躲藏的希腊士兵打开城门,特洛伊沦陷。下面是给大家整理的特洛伊木马典故,供大家阅读! 特洛伊城是个十分坚固的城市,希腊人牺牲了众多将士,一连攻打了九年也没有取得胜利。第十年,希腊军多谋善断的将领奥德修斯想出了一条妙计。一天,希腊联军突然扬帆离开了特洛伊附近的海面,只留下一匹巨大的木马。特洛伊人认为屡次失败的希腊人无心打仗,撤军回国,于是跑到城外探个究竟。特洛伊人看到木马非常吃惊,他们实在不知道木马的用途。有人主张把它当作战利品拉进城去,有人建议把它烧掉或者推到海里。 就在人们议论纷纷,犹豫不决的时候,几个牧人抓到一个希腊人(希腊人留下的间谍)。他对特洛伊人说:“这匹木马是希腊人献给雅典娜女神的。他们故意把它留下来,认为你们肯定会毁掉它。这样就会引起天神的愤怒。如果把木马拉进城,特洛伊就会受到神的保护。为了让你们的行为引起天神的愤怒,所以故意把马造得非常巨大,这样你们就无法把木马拉进城去。”希腊人的这番话说服了国王普里阿墨斯。他吩咐放了那个俘虏,并且下令把木马弄进城去。
国王相信了这番话,正准备把木马拉进城时,祭司拉奥孔跑来制止,他认为应该立即把木马烧掉。木马发出了可怕的响声,这时从海里窜出两条毒蛇,扑向拉奥孔和他的两个儿子。拉奥孔父子拼命和巨蛇搏斗,但很快被蛇缠死了。两条巨蛇从容地钻到雅典娜女神的雕像下,不见了。 人们认为由于拉奥孔怀疑木马所以导致父子三人的悲惨遭遇,因此更加相信希腊间谍的话。特洛伊人在木马下面装上轮子,使劲把木马往城里拉。由于木马太巨大,城门口进不去,只好推倒一段城墙。特洛伊人把木马放在雅典娜神庙附近。希腊联军落荒而逃,特洛伊城终于平安无事了,特洛伊人欢天喜地,举行了盛大的庆祝活动。自认为取得胜利的特洛伊人放松了警惕,欢庆过后,人们安心地入睡了。 深夜时分,当人们纷纷进入熟睡中时,希腊间谍偷偷起床,燃起火把,向远方发出约定的信号。然后,他悄悄走近木马,轻轻敲了敲木马。躲藏在木马中的全副武装的战士一个接一个地跳了出来。他们悄悄地摸到城门边,消灭了睡梦中的守军,迅速打开城门。此时,已经来到城门口的希腊人如潮水般涌了进来。希腊人终于等到了报仇雪恨的机会,他们挥舞着武器,对醉酒和昏睡的特洛伊人进行大肆屠杀。希腊人还放火焚烧特洛伊城,整个特洛伊变成了一片火海。顷刻之间,曾经美丽富饶的特洛伊城变成了人间地狱,到处是哭喊声和悲叫声,到处是尸体。 就这样,持续十年之久的特洛伊战争结束了。希腊人把特洛伊城掠夺一空,烧成一片废墟,美丽的海伦也被希腊联军带回了希腊。
网络黑客及其常用攻击方法
计算机网络系统面临的严重安全问题之一就是黑客攻击。黑客由产生初期的正义的“网络大侠”演变成计算机情报间谍和破坏者,他们利用计算机系统和网络存在的缺陷,使用手中计算机,通过网络强行侵入用户的计算机,肆意对其进行各种非授权活动,给社会、企业和用户的生活及工作带来了很大烦恼。 1.黑客的概念及类型 (1)黑客及其演变 “黑客”是英文“Hacker”的译音,源于Hack,本意为“干了一件非常漂亮的事”。原指一群专业技能超群、聪明能干、精力旺盛、对计算机信息系统进行非授权访问的人。后来成为专门利用计算机进行破坏或入侵他人计算机系统的 人的代言词。 “骇客”是英文“Cacker”的译音,意为“破坏者和搞破坏的人”。是指那些在计算机技术上有一定特长,非法闯入他人计算机及其网络系统,获取和破坏重要数据,或为私利而制造麻烦的具有恶意行为特征的人。骇客的出现玷污了黑客,使人们把“黑客”和“骇客”混为一体。 早期的“黑客”是一些专门研究、发现计算机系统和网络漏洞的计算机爱好
者。他们只对计算机系统有着狂热的兴趣和执着的追求,不断地研究计算机和网络知识,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。“黑客”不是恶意破坏者,是一群纵横于网络上的大侠,追求共享、免费,提倡自由、平等,“黑客”的出现推动了计算机和网络的发展与完善。 现在,黑客一词已经被用于那些专门利用计算机进行破坏或入侵他人计算机系统的代言词,指少数凭借掌握的计算机技术,怀着不良的企图,采用非法手段获得系统访问权或逃过计算机网络系统的访问控制,进入计算机网络进行未授权或非法访问的人。 虚拟的网络世界里,黑客已成为一个特殊的社会群体。在世界上很多国家,有不少完全合法的黑客组织,经常召开黑客技术交流会,利用因特网在自己的网站上介绍黑客攻击手段,免费提供各种黑客工具软件,出版网上黑客杂志,致使普通用户也很容易下载并学会使用一些简单的黑客手段或工具,对网络进行某种程度的攻击,进一步地恶化了网络安全环境。有统计数据显示,世界上平均每5秒就有一起黑客事件发生,无论是政府机构、军事部门,还是各大银行和公司,只要与互联网接轨,就难逃黑客的“黑手”。 (2)中国黑客的形成与发展 1994年4月20日,中国国家计算与网络设施工程(The National Computing andNetworking Facility of China,NCFC)通过美国Sprint公司,连入Internet的64K国际专线开通,实现了与Internet的全功能连接。中国成
实验6 特洛伊木马
实验6 特洛伊木马 6.1 实验类型 综合型,2学时 6.2 实验目的 理解木马工作的原理;掌握典型的木马清除方法。 6.3 实验要求与内容 (1)利用灰鸽子木马模拟木马的工作流程,要求能够完成以下任务: ●生成木马服务端,尽可能的生成能诱惑用户的服务端,比如修改安装路径, 修改图标,修改服务端名称,修改服务名称等。 ●控制对方电脑,要求能够浏览对方的文件,修改对方的注册表,终止对方的 进程,捕获对方的屏幕等操作 (2)清除木马,受害者根据灰鸽子木马的原理清除掉本机上的木马,包括程序,服务等 6.4 实验设备 ●两人合作完成,其中一人为控制端,另一人为服务器端 ●灰鸽子远程控制2007VIP疯狂魔鬼破解版 ●Windows XP Professional作为客户操作系统(Guest OS),要求关闭防火墙功能 6.5 相关知识 1.什么是木马(Trojan)? ?基于远程控制的黑客工具 ?恶意程序,非法获取授权权限,肆意篡改用户电脑中的文件,注册表,控制鼠标,截取用户信息 ?木马一般是C/S(客户/服务器)结构,控制程序处于客户端,被控制程序处于服务器端。 2.木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。 配置程序 木马程序 控制程序
3.木马实施入侵的基本步骤 4.特洛伊木马具有如下特性: 隐蔽性,主要体现在意下几个方面: (1)启动的隐蔽性 (2)运行的隐蔽性 (3)通信的隐蔽性 开机自动运行 欺骗性,比如JPEG 木马 自动恢复,多重备份,相互恢复 非授权 5. 木马按照传输方式进行分类: 主动型 反弹端口型:木马服务器主动连接控制端端口,一般去连接80端口 嵌入式木马 6. 6.6 实验指导 特别注意:本次实验需要分析的病毒具有破坏性,仅限于信息安全实验室内使用。请严格遵守《信息安全实验室操作规程》,切勿拷贝、传播等,否则后果自负。 6.6.1 特洛伊木马的配置步骤 1)生成服务端 点击“配置服务程序”,在“IP 通知HTTP 地址”那一栏填入控制端的IP 地址(这里一定要填正确,否则木马不能上线,IP 地址是以10开头的),通过设置“安装选项”,“启动项设置”等可以构造出迷惑用户的木马服务端程序。 木马信息控制端Internet 服务端 ①配置木马②传播木马 ③运行木马④信息反馈⑤建立连接 ⑥远程控制
网络攻击及防范措施(一)
网络攻击及防范措施(一) 【摘要】随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要原因.单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展为了提高计算机网络的安全性,必须了解计算机网络的不安全因素和网络攻击的方法同时采取相应的防御措施。 【关键词】特洛伊木马网络监听缓冲区溢出攻击 1特洛伊木马 特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限.黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能.例如拷贝、删除文件、格式化硬盘、甚至发电子邮件,典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入账号和口令,然后将账号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。 完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序.“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为。 1.1特洛伊木马程序的检测 (1)通过网络连接检测:扫描端口是检测木马的常用方法.在不打开任何网络软件的前提下,接入互联网的计算机打开的只有139端口.因此可以关闭所有的网络软件。进行139端口的扫描。 (2)通过进程检测:Win/XP中按下“CTL+ALT+DEL”进入任务管理器,就可以看到系统正在运行的全部进程,清查可能发现的木马程序。 (3)通过软件检测:用户运行杀毒、防火墙软件和专用木马查杀软件等都可以检测系统中是否存在已知的木马程序。 1.2特洛伊木马程序的预防 (1)不执行任何来历不明的软件 (2)不随意打开邮件附件 (3)将资源管理器配置成始终显示扩展名 (4)尽量少用共享文件夹 (5)运行反木马实时监控程序 (6)经常升级系统 2网络监听 网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等.当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。 在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送,必须从TCP/IP协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP地址相对应的48位的地址。
影片赏析之特洛伊木马屠城
特洛伊木马屠城从古至今,人类发动战争的理由各式各样,有的为了权力,有的为了名利,有的为了荣誉,有的为了爱情. 在古希腊历史上最着名的一对爱人,特洛伊城的王子帕里斯,以及斯巴达的皇后海伦,两人的爱情引发了一场毁灭文明的战争.当帕里斯把海伦从斯巴达之王身边偷走后,对他造成了无法忍耐的羞辱。他找到了自己的哥哥,迈锡尼国王阿伽门农,请求他的帮忙,阿伽门农正好也希望征服特洛伊,于是借此机会建立了一支希腊联军以讨伐特洛伊。在这支联军中,第一勇士自然是阿基里斯,桀骜不逊的阿基里斯并不打算向任何人臣服,他向特洛伊进发,是在为自己的名誉而战,而在影片中,我们将会发现,最终决定了他的命运的,是爱。 这本是希腊神话中的一个经典故事,也曾被写入《荷马史诗》中,现在被排成了电影,那么我们就先从电影本身来欣赏一下。 先谈一下画面效果吧,影片中古式战争的大场面拍的非常好,比武场面比较有吸引力。其中,第一勇士阿基里斯的跳跃式打法,显然吸收了一些东方的功夫样式,但不会像其他一些大片里边,动作过于夸张,就想空中飞人一样,给人一种不真实感。特洛伊王子赫克托屡次在乱军中勇战杀敌,真实感更强,有血有肉。到了双雄决斗,便达到了整部影片的高潮。希腊大军从海上登陆看上去更像是第二次世界大战诺曼底登陆的古装版,但效果却有待于提高。真正精彩的是特洛伊大军夜袭希腊大军营地,火攻情景设计独特,气势也是非常的磅礴。导演在整个影片中所有的设计都是以人类的自然力量出发,人力毕竟有限,尤其是人性中常有弄巧成拙的缺陷,所以影片中也存在很多令人扼腕的场景。影视作品嘛,来源于生活却又高于生活。其实史诗中特洛伊战争长达数十年,并不像影片中那样,一夜变被成功屠城的。本片大大浓缩,这个浓缩只是对时间上的浓缩,精华被没有被删除掉,这也是值得人们欣慰的一点。本片中,从海伦与二王子私奔到木
特洛伊木马工作原理分析及清除方法
特洛伊木马工作原理分析及清除方法 1 什么是特洛伊木马 特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。 2 木马的工作原理 完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet);软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。 2.1 获取并传播木马 木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病毒传播。200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13 312@MM)。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件,并将自己作为邮件的附件,使用不同的名称继续传播。 2.2 运行木马 服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活时,它就进入内存,并开启事先定义的木马端口,准备与控制端建立连接。 2.2 建立连接,进行控制 建立一个木马连接必须满足2个条件:(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。 3 用VB6.0编写的木马程序 下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。 (1)用VB建立2个程序:客户端程序Client和服务器端程序Server。 (2)在Client工程中建立一个窗体,加载WinSock控件,称为Win_Client,协议选择TCP。
黑客常用的攻击手法
黑客常用的攻击手法 互联网发展至今,除了它表面的繁荣外,也出现了一些不好的现象,其中网络安全问题特别被人们看重。黑客是网上比较神秘的一类人物,真正的黑客是为保护网络安全而工作的,但近年来出现了许多的黑客软件,进而产生一些伪黑客,他们不必了解互联网知识,使用一些黑客软件就能对他人造成损害,从而使互联网安全出现了许多危机。 黑客进行攻击的手法很多,我在这里为大家介绍一下常见的几种。 一、利用网络系统漏洞进行攻击 许多的网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。在个人电脑上网时出现的蓝屏炸弹就是利用了Windows在网络方面的一个Bug。 二、通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。 三、解密攻击 在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。1 四、后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。BackOrifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力比较强,给用户进行清除造成一定的麻烦。当大家在网上下载数据时,一定要在其运行之前进行病毒扫描,从而杜绝这些后门软件。在此值得注意的是,最近出现了一种TXT文件欺骗手法,表面看上去是一个TXT文本文件,但实际上却是一个附带后门程序的可执行
黑客常用的攻击方法以及防范措施
黑客常用的攻击方法以及防范措施 1.密码暴力破解 包括操作系统的密码和系统运行的应用软件的密码,密码暴力破解方法虽然比较笨,成功几率小,可是却是最有效的入侵方法之一。因为服务器一般都是很少关机,所 以黑客就有很多时间暴力破解密码,所以给系统及应用软件起一个足够复杂的密码 非常重要。 2.利用系统自身安全漏洞 每一次严重的系统漏洞被发现,都会掀起找肉鸡(被入侵并被安装了后门的计算机)热,因为这类入侵经常发生在系统补丁发布与客户部署更新这个时间段里,所以在 第一时间内给系统打上补丁相当重要,这就要求广大的网络管理员了解关注这方面 的信息。 3.特洛伊木马程序 特洛伊木马的由来:大约在公元前12世纪,希腊向特洛伊城宣战。这是因为特洛伊王子劫持了Sparta国王Menelaus的妻子Helen(据说是当时最美的女子)。战争 持续了10年,特洛伊城十分坚固,希腊军队无法取得胜利。最终,希腊军队撤退,在特洛伊城外留下很多巨大的木马,里面藏有希腊最好的战士。特洛伊城的人民看 到这些木马,以为是希腊军队留给他们的礼物,就将这些木马弄进城。到了夜晚, 藏在木马中的希腊士兵在Odysseus的带领下打开特洛伊城的城门,让希腊军队进入,然后夺下特洛伊城。据说“小心希腊人的礼物”这一谚语就是出自这个故事。 特洛伊木马是指一个程序表面上在执行一个任务,实际上却在执行另一个任务。黑 客的特洛伊木马程序事先已经以某种方式潜入你的计算机,并在适当的时候激活, 潜伏在后台监视系统的运行,执行入侵者发出的指令,木马程序是一种计算机病毒,也叫后门程序。 4.网络监听 网络监听工具原来是提供给网络管理员的管理工具,用来监视网络的状态,数据流 动情况,现在也被网络入侵者广泛使用。入侵者通过在被入侵的计算机上安装Sniffer软件,可以捕获该网段的敏感信息,其中包括一些明文密码,并对数据包 进行详细的分析,就有可能对该网段其他的计算机产生安全威胁,所以说网络监听 造成的安全风险级别很高。运行了网络监听程序的计算机只是被动地接收在网络中 传输的信息,不会与其他计算机交换信息,也不修改在网络中传输的数据,所以要 发现网络监听比较困难。
网络攻击的方法及对策
网络攻击的方法及对策 网络攻击的方法及对策 【摘要】:随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。不论是外部网还是内部网的网络都会受到安全的问题。面临着大量的网络入侵事件,就必须要求在一个开放式的计算机网络物理环境中构造一个封闭的逻辑环境来保障敏感信息和保密数据不受到攻击。为此迫切需要对网络安全作分类研究,把各种网络安全问题清晰有序地组织起来,从而构建一个合理、安全、高效的网络防御体系。 【关键字】:网络、安全、黑客、攻击、Internet 引言 计算机网络安全包括计算机安全、通信安全、操作安全、访问控制、实体安全、系统安全、网络站点安全,以及安全管理和法律制裁等诸多内容。尤其涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性几个方面。 网络安全保护的核心是如何在网络环境下保证数据本身的秘密性、完整性与操作的正确性、合法性与不可否认性。而网络攻击的目的正相反,其立足于以各种方式通过网络破坏数据的秘密性和完整性或进行某些非法操作。因此可将网络安全划分为网络攻击和网络安全防护两大类。 随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。 过去两个世纪来对工业技术的控制,代表了一个国家的军事实力和经济实力,今天,对信息技术的控制将是领导21世纪的关键。有人说,信息安全就像茫茫宇宙中闪烁的星星一样无序,看得见摸不着,具有混沌特征。 一、网络的开放性带来的安全问题 Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点: (1) 每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。 (2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。 (3)系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数
特洛伊木马
前言: 特洛伊木馬是木馬屠城記裡記載著的那隻希臘軍隊用來攻破特洛伊城的大木馬。而木馬屠城記則是古希臘詩人 - 荷馬,在其兩部著作伊利亞特與奧德賽裡所記載的特洛伊戰爭的一部份。木馬屠城記一直被後人視為神話故事,直至十九世紀時,業餘考古學者蘇利曼才證實木馬屠城記真有此事。 目錄 1 戰爭起因 2 戰爭經過 3 對其他地方的影響 4 重新發掘 5 參看資料 6 外部連結
據荷馬與希臘神話所載,這個故事的起因是源自一個金蘋果。這個故事的開端,就是海洋女神忒提斯(Thetis)與希臘國王佩琉斯(Peleus)的婚禮,原本宙斯與忒提斯相戀,但那時傳說忒提斯的兒子(也就是未來的阿基里斯(Achilles))會比他的父親還強大,宙斯害怕當年推翻他父親的事重演,於是將她嫁給了著名英雄珀琉斯,避免影響他的政權。婚禮上邀請了很多神,唯獨麻煩女神愛伊絲(Eris)沒有被邀請。她很生氣,便拋出一個金蘋果,刻著「獻給最美麗的女神」。智慧女神雅典娜、愛神阿佛洛狄德和天后希拉都認為自己最有資格冠上蘋果上最美麗女神的美譽。為了解決這個難題,最後她們飛到艾達山請求特洛伊王子帕里斯仲裁。三個女神都試圖賄賂帕里斯:雅典娜答應讓帕里斯成為世界上最睿智的學者;希拉答應讓帕里斯成為天底下最有權勢的君王;阿佛洛狄德則以世界上最美麗的女子作為賄賂。最後帕里斯忠於感官天性選擇了阿佛洛狄德。作為回報,阿佛洛狄德施行魔咒,讓斯巴達王國的王后,公認為世界上最漂亮的女人海倫和帕里斯共墮愛河。海倫為了愛情拋棄了她的家鄉,丈夫莫內勞斯還有稚女。帕里斯的行動惹怒了斯巴達國王莫內勞斯,其怒不可抑,於是向兄長阿加曼農求援,並聯合希臘各城邦向特洛伊宣戰。↑ 戰爭經過: 斯巴達國王美內勞斯因為其太太海倫被帕里斯所帶走,因此向希臘各城邦求助,共同出兵特洛伊。總計有一 千艘希臘戰船及五萬名士兵參 戰。這場戰爭一打就是十年。但 特洛伊因為有亞馬遜女戰士和黎 明女神兒子梅農的幫忙,與維納 斯暗中協助,所以能抵抗希臘聯 軍。但因為雅典娜得不到金蘋 果,所以不願放過特洛伊,而且 指示奧德修斯向希臘聯軍獻上木 馬屠城之計。他們打造一隻巨大的木馬,裡面躲著伏兵,並佯裝撒退,讓特洛伊人將其當作戰利品帶回城內,藉此攻入特洛伊。希臘人進入特洛伊城後,燒殺擄掠,最後帶著戰利品滿載而歸。特洛伊戰爭終結束於希臘人的勝利。↑ 對其他地方的影響: 據古羅馬傳說所載,就在特洛伊城城破之際,有一人名為伊尼亞士(Aeneas)在亂軍中逃脫,並到達今天的義大利,成為羅馬人的始祖。而在特洛伊戰爭後,東地中海成為希臘人的天下,並使為希臘人能夠向小亞細亞殖民,這亦使東西方的文化有初步交流。↑
特洛伊木马术攻击方法和对它的防范对策
特洛伊木马术攻击方法和对它的防范对策 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己, 这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。 在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端, “木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上, 如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。 一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件, 你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”, 它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”, 而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击 至:“HKEY-LOCAL-MACHINE”目录下, 查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件, 想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表 “HKEY-LOCAL-MACHINE”下的Explorer 键值 改为Explorer=“C:.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序, 如:“HKEY-CURRENT-USER”、“HKEY-USERS\u65290***”的目录下都有可能, 最好的办法就是在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名,再在整个注册表中搜索即可。 知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在, 最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。 然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”; 编辑system.ini文件,将[BOOT]下面的“shell=…木马?文件”,更改 为:“shell=explorer.exe”;在注册表中, 用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名, 再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是: 有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE”下的“木马”键值删除就行了, 因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,