木马是怎么产生的?
木马是计算机程序人员为了获得其他计算机的最高权限而编写出来的计算机程序,其作用也就是将感染计算机的一些重要资料传送给木马的制作者,监控感染计算机,并找出漏洞然后为木马制作者后台放行其需要的病毒或者远程操控客户端,强制性的帮助木马制作者获得管理权限,之后木马制作者便可以通过修改注册表等途径获得感染计算机的最高权限了。木马就是基于这种目的存在的,木马使用得当的话,也可以帮助很多人,比如,一个小白需要你远程他解决问题却又不会开启23号端口时。分给我吧,你的问题我算是回答了,还想知道更多木马方面的问题可以问我。
电脑病毒木马名称的由来?
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序. 一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能. 还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
参考资料:
木马是谁做的
很高兴为您解答:
木马属于程序员制作的,一般大的木马都是很难的
只要那些少数木马只是一些爱好者或是盗号的做着玩的
你可以下载腾讯电脑管家,开启安全防护
这样的话就不怕木马感染了你的电脑了
祝楼主工作顺利、生活愉快!!
"木马"是怎么来的?
分类: 电脑/网络 反病毒
问题描述:
如果知道的请回答哈`````````!
解析:
木马病毒的通用解法
“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Inter上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,:),“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成mand.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
木马是病毒的一种,但病毒不一定是木马.
其实,木马并不能全是病毒,因为它只是一个窃取信息的程序.对你的电脑并没有损害,
木马是一种程序,进入后会在线操作你的系统,甚至给你格式化掉,可以说是一种病毒,安装一个反木马软件
木马是病毒的一种,但病毒不一定是木马.
木马病毒的通用解法
“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Inter上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,:),“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成mand.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
所以,木马是病毒
木马小常识
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。
一、木马的危害
相信木马对于众多网民来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!
木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日,一个黑客入侵了美国微软的门户网站,而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面!
广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作方法和强大的控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。
二、木马原理
特洛伊木马属于客户/服务模式。它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例,被控制端可视为一台服务器,控制端则是一台客户机,服务端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。
为进一步了解木马,我们来看看它们的隐藏方式,木马隐藏方法主要有以下几种:
1.)在任务栏里隐藏
这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标,傻子都会明白怎么回事。在VB中,只要把form的Viseble属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.)在任务管理器里隐藏
查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。所以,木马千方百计的伪装自己,使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。
3.)端口
一台机器由65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口,占用这些端口可能会造成系统不正常。这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?
4.)木马的加载方式隐蔽
木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马,你会运行它才怪呢。而随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……..几乎每一个新功能都会导致木马的快速进化。
5.)木马的命名
木马服务端程序的命名也有很大的学问。如果你不做任何修改的话,就使用原来的名字。谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除么?还有的就是更改一些后缀名,比如把dll改为dl等,你不仔细看的话,你会发现么?
6.)最新隐身技术
目前,除了以上所常用的隐身技术,又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同,它基本上摆脱了原有的木马模式—监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
三、木马防范工具
防范木马可以使用防火墙软件和各种反黑软件,用它们筑起网上的马其诺防线,上网会安全许多。
网上防火墙软件很多,推荐使用“天网防火墙个人版”。它是一款完全的免费的软件,安装成功后,它就变成一面盾牌图表缩小到任务来的系统托盘里,并时刻监视黑客的一举一动,当有黑客入侵时,它就会自动报警,并显示入侵者的IP地址。
用鼠标双击盾牌图标,就会弹出天网的控制台,控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签,会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务,但UDP端口服务还开放着,别人无法通过端口的漏洞来入侵,它阻挡了几乎所有的蓝屏攻击和信息泄漏问题,并且不会影响普通网络软件的使用)
在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑,天网防火墙会将其自动拦截,并告警提示,同时在控制台的“安全纪录”里会将连接者的IP,协议,来源端口,防火墙采取的操作,时间记录等攻击信息显示出来。
在控制台的“检测”、“关于”标签里主要有安全漏洞的说明,防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络,点一下控制台上的“停”就可以了。
四、木马的查杀
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Sofare\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Sofare\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
能介绍一下木马的来历么?
大名鼎鼎的木马,相信上网的朋友没有不知道的了吧?可真正了解它的又有多少人?在此红色代码把自己对木马的理解写出来,没什么技术上的东西,基本上都是常识,只是希望能使大家对木马有个比较系统的印象,适合“菜鸟”级的朋友,高手就可以翻过去了。呵呵。 木马的英文是“Trojan”,字面翻译过来是“特洛伊”。这里有个故事,也是木马的来历:相传古希腊战争,在攻打特洛伊时,久攻不下。后来有聪明的人就想了个办法:用木头造了一个很大的木马,空肚子里藏了很多装备精良的勇士,然后佯装又一次攻打失败,逃跑时就把那个大木马留了下来。守城的士兵就把它当战利品带到城里去了。到了半夜,木马肚子里的勇士们都悄悄的溜出来,和外面早就准备好的战士们来了个漂亮的里应外合,一举拿下了特洛伊城。这就是木马的来历,意思的核心其实就是里应外合。从本质上讲,木马是具备特殊功能的后门程序。 一,木马的工作原理。 一般的木马(未说名的都按“一般木马”对待,特殊的木马也将在下文介绍)都由两部分组成:服务端和控制端,即C/S(CONTROL/SERVE)模式。 服务端(以下简称C端):执行在远程主机。一旦执行成功就可以被控制或者造成其他的破坏,这就要看种木马的人怎么想和木马本身的功能了。这里的控制是相对的:可以被你控制,也可能被别人控制;可能完全控制,也可能不完全控制;可能让它做很多事情,也可能只做特定的某一件事…… 控制端(以下简称S端):执行在本地主机。用来控制服务端,操作一般都很简便,上手很容易(这也就是有人说黑别人很容易的原因)。 当木马工作时,先由C端向S端发送请求,其实是一个连接的过程,一般的木马都带有扫描功能,当扫描到被感染的机器时就会列出来,接下来你就可以像操作自己的机器一样对待它了。这是木马工作的第一步:搜索和连接。 接下来,木马会想办法使自己在每次开机时自动加载,以达到长期控制目标的目的。并且完成一些相关的操作,如感染某一类型的文件,使得它的存在和传播变的更容易。 最后,连接成功的木马会在特定端口(一般是特定的,也可以由种木马的人修改定义)建立一个新的进程用来联络控制端和执行命令,这一切都是在远程主机默默进行的,受害者一般是感觉不到的。特定功能的木马就开始监视系统的行为,当符合其条件时就做出相应的动作,如记录键盘等。 二,木马的特点、传播途径和防范方法。 木马其实并不能算是一种病毒,但它的很多特点和传播方式都同某些病毒很相似。基本有以下四个方面: 1,通过电子邮件的附件传播。这是最常见,也是最有效的一种方式,大部分病毒(特别是蠕虫病毒)都用此方式传播。首先,木马传播者对木马进行伪装,方法很多,如变形、压缩、脱壳、捆绑、取双后缀名等,使其具有很大的迷惑性。一般的做法是先在本地机器将木马伪装,再使用杀毒程序将伪装后的木马查杀,如过不能杀到就说明伪装成功。然后利用一些捆绑软件把伪装后的木马藏到一幅图片内,再取和好听的吸引人的名字,然后传出去。接下来就是等待收获了。针对这一特点,首先要设置显示文件的后缀名,方法:“查看”----“文件夹选项”----“查看”,把“隐藏已知文件类型的扩展名”前的勾去掉,确定。然后发现带附件的邮件时就一定要注意,比较好的做法是先保存(点右键,选“目标另存为”),对其杀毒确保安全后再执行。 2,通过下载文件传播。从网上下载的文件,即使大的门户网站也不能保证任何时候他的问件都安全,一些个人主页、小网站等就更不用说了,笔者曾经就差点中招,幸好毒霸的防火墙报警,要不冰河就在笔者机器里安家了。后来才知道是那个小网站被人攻破,故意放了带木马的文件。所以下载完后应先杀毒再执行。使用FlashGet等下载软件下载完文件后,它就会自动调用系统的杀毒程序如金山毒霸对其杀毒。 3,通过网页传播。大家都知道很多VBS脚本病毒就是通过网页传播的,木马也不例外。网页内如果包含了某些语句,使得IE自动下载并执行某一木马程序。这样你在不知不觉中就被人种上了木马。当然防范措施还是有的:打开IE,“工具”----“Internet 选项”----“安全”----“自定义级别”,把“Active控件及插件”的一切选项设置为禁用。这就阻止了IE自动下载和执行文件的可能性,杜绝了这类木马的传播。 4,通过社会工程学传播。“社会工程学”相信已经不是一个陌生的名词了,爱好网络安全的朋友都知道。那些居心不良的人可以想尽千方百计的让你心甘情愿去执行他辛辛苦苦给你准备的木马。笔者曾把自己的QQ资料改成个MM的,通过一番花言巧语让很多朋友美滋滋的运行我发给他们的“冰河”,而他们只不过看了笔者从网上找到的一张照片。这类传播途径其实是最不好预防的,就看你自己的经验了。 三,查杀木马的普通思路。 即使你再加强防范,可百密一疏,总会有中招的时候。一旦发现自己的机器感染了木马,想都别想,杀就一个字。只有这样才能将损失见小到最低。这里所说的所有的办法都指手工的,使用杀毒软件等就不再赘述了。 1,删除木马的开机启动项。注册表的启动项是木马最喜欢也是最习惯的启动地址。打开注册表找到以下几个地方(这里只说常规启动项),把可疑的键值删除,必要时还要搜索出相关木马文件在注册表里的全部键值一并删除: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 木马还喜欢在Win.ini、System.ini文件里藏身。 在Win.ini里,要注意下面的地方,默认情况下“load=”和“run=”后面都是空的,这里的“file.exe”就是木马文件: [windows] load=file.exe run=file.exe 在System.ini里,注意“Shell=Explorer.exe”后面默认也的空的,这里的“file.exe”也是木马文件: [boot] Shell=Explorer.exe file.exe 另外,还得提防一些其他常见的和开机自启动有关的地方,如“启动”、“Autoexec.bat”、“Winstart.bat”等地方。需要注意的一点是,当清理完启动项后,要进一步查杀木马,应该重新启动后继续进行。 2,删除木马程序。有些木马的主程序这时候是删不掉的,因为它或它的一部分正在被执行,所以得利用一些软件如“Windows优化大师”等先终止其进程,再删除程序。也可以到纯DOS下删除。这一步是比较重要的,需要你对系统和木马都有一定的了解才行。要不你就可能终止了正常的进程,或者漏掉了木马的进程。这里的学问不是一两句可以说的清的,知识和经验靠的是平时的积累。 3,相关处理。很多木马在感染过后都会修改你的文件关联,使得即使你终止了它的进程,但只要你运行某一类文件,它就会被重新加到内存,实现再次感染。比较常见的是修改.exe和.txt问件关联,这里以恢复.exe文件关联举例说明。当.exe文件关联被修改指向木马时,直运行注册表就不行了,因为它的后缀也是exe,这时候可以将其后缀改成com、scr等再执行。等打开了注册表后,找到以下键值,将其修改为正常即可: HKEY_CLASS_Root\exefile\shell\open\command 将键值改为:"%1" %*(注意,是英文的引号,%*前有个英文空格) 当然其他的文件关联也可以照样修改。 4,注意事项。现在木马已经彻底从我们的机器里消失了,但我们还要反思一下,为什么会被种上木马。首先,一款好的杀毒软件是必要的,病毒库要及时升级,病毒防火墙不要关闭。网络防火墙在上网时也是必不可少的,它可以预防大部分的恶意攻击、端口扫描等可能对自己造成威胁的活动。防火墙规则要制定的合理,在不影响自己正常使用和访问网络资源的情况下应设置为最高安全级别。对本地机器的端口扫描可以发现一些未经改装的特定端口通讯的木马。平时要多看书多学习,了解更多更新更全面的有关木马的资料,多掌握和系统文件有关的知识,要善于总结。最后,要有较敏感的洞察力,有时候凭直觉就可以判断出是否被木马入侵。 四,一些特殊类型的木马。 1,反弹端口木马: 普通木马的都是由C端发送请求S端来连接,但有些另类的木马就不是这样,它由S端向C端发送请求。这样做有什么好处呢?大家知道,网络防火墙都有监控网络的作用,但它们大多都只监控由外面近来的数据,对由里向外数据的却不闻不问。反弹端口木马正好利用了这一点来躲开网络防火墙的阻挡,以使自己顺利完成任务。大名鼎鼎的“网络神偷”就是这样一类木马。它由S断向C端发送一个连接请求,C端的数据在经过防火墙时,防火墙会以为是发出去的正常数据(一般向外发送的数据,防火墙都以为是正常的)的返回信息,于是不予拦截,这就给它了可钻的空子。 2,无进程木马: “进程”是一个比较抽象的概念,可以理解为排队买电影票,每一个窗口(其实就是端口)排的人可以理解为一个进程,有多少窗口就有多少个进程。普通木马在运行时都有自己独立的进程(某一特定窗口排的人,先当作小偷),利用“柳叶擦眼”一类的优秀进程查看软件就可以发现和终止它。这岂不是太扫兴了?好不容易写出个木马就这么被你发现了。为了更好的隐藏自己,木马的制作者就想了一些办法,把木马的程隐藏进正常的进程(宿主进程)内。打个比方,正常的进程(系统和正当文件的进程)可以理解为正常排队买票的人。而木马的进程(排队假装买票的小偷),他们如果都排在某一个窗口(通过某一特定端口进行通讯),很容易就被发现了,于是那些小偷就想办法混到正常排队人当中(实现了木马进程的隐藏),这样就不容易被发现,而且也不容易被终止。在实际中,即使你发现了隐藏在某一正常进程中的木马进程,你也不敢轻易终止它,因为一旦终止了木马的进程,正常的宿主进程也就被终止,这可能导致一些严重的后果。所以可以看出,无进程木马实际上是“隐藏进程木马”,而这也是它的高明之处。在实际中不可能出现真正意义上的“无进程木马”。最近出现的“广外男生”就是典型的例子。 3,无控制端木马(我把它叫一次性木马): 这类木马最显著的特点是C端和S端是集成到一起的,一次配置好就不能再更改。功能一般比较专一,针对性强,危害较小,查杀较简单。经常用来偷取QQ、Email和网络游戏的密码等。 4,嵌套型木马: 先用自己写的小程序或者利用系统的漏洞,夺取到某写特定的权限,比如上传文件,干掉网络防火墙和病毒防火墙等,然后上传修改过或没修改过的功能强大的木马,进一步夺取控制权。于是这个小程序或者系统漏洞就和那个功能强大的真正的木马联合起来,组成了一款“嵌套型木马”,其特点是不容发现和查杀,“具有良好的发展前景”。 5,其他木马: 严格意义上讲,这里所说的其他木马并不是真正的木马,它们只能算做是木马入侵时的辅助工具吧。典型的有恶意网页代码,让你浏览后不知不觉就被完全共享了所有的硬盘,然后方便别人给你种下木马,为进一步入侵做好准备。 五,写在最后的话。 红色代码写这篇文章就是为了能把自己对木马的理解表达出来,希望能抛砖引玉。不对的地方敬请指正。 现在的木马技术已经比较成熟了,完全控制服务端的机器、随时通过Email等途径报告服务端信息等技术已经不在话下。随着木马版本的不断升级和技术的不断成熟,它们变的越来越智能化、人性化了。它们可以根据受害者系统的具体情况采取相应的措施,以便更适合自身的生存,如关掉防火墙、干掉杀毒软件、隐藏自身等。再加之功能强大,操作简便等原因,使得它的发展变的很快。以后的木马将拥有更多的发展空间和更强大的功能,查杀将变的更加困难。技术是一柄双刃剑,可以杀敌防身也可以伤了自己。当初黄鑫写“冰河”是为了远程管理,可却被很多人用来搞一些不光彩的事情,这迫使他放弃了对“冰河”升级版本的开发,关闭了个人网站,可以说是非常可惜的一件事情。 但换个角度看,木马的出现和蔓延也曾经为网络的发展和进步做出了一定的贡献,并且在以后较长的一段时间内,木马也将继续活跃网络上,每个人都有可能受到它的青睐。但我们应当清楚,目前国内的网络安全还处于发展初期阶段,我们不能只因为会使用别人的东西就沾沾自喜,不能以为黑了别人的机器就天下无敌。也许我们需要的不是仅仅是技术了,道德准则和社会责任已经变的日益重要,做为一个爱好网络安全的人,良好的心态和端正的态度永远都是第一位的。
木马病毒的来源
您好
1,木马病毒是人为编写的带有破坏性的程序。
2,传播途径很广,例如:邮件、网站、下载等等都可以传播木马。
3,防止中毒的办法也很简单,就是到腾讯电脑管家官网下载一个电脑管家。
4,然后开启电脑的时候,顺便也开启电脑管家就可以了,电脑管家拥有16层实时防护功能,可以从上网安全、应用入口、系统底层等全方位保护电脑安全不受木马病毒侵袭,
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
0条大神的评论