木马程序编写教程_木马程序的编写和破解

hacker|
467

木马是怎样启动的?求答案

木马是怎样启动的?求答案

正因为该项技术如此重要,所以,很多程式设计人员都在不停地研究和探索新的自启动技术,并且时常有新的发现。一个典型的例子就是把木马加入到使用者经常执行的程式 (例如explorer.exe)中,使用者执行该程式时,则木马自动发生作用。当然,更加普遍的方法是通过修改Windows系统档案和登录档达到目的,现经常用的方法主要有以下几种:

1.在Win.ini中启动

在Win.ini的[windows]栏位中有启动命令load=和run=,在一般情况下 =后面是空白的,如果有后跟程式,比方说是这个样子:

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了,这个file.exe很可能是木马哦。

2.在System.ini中启动

System.ini位于Windows的安装目录下,其[boot]栏位的shell=Explorer.exe是木马喜欢的隐藏载入之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程式!

另外,在System.中的[386Enh]栏位,要注意检查在此段内的driver=路径\程式名这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个栏位,这些段也是起到载入驱动程式的作用,但也是增添木马程式的好场所,现在你该知道也要注意这里喽。

下面是一些典型的自启动键值:

如果你想让每执行一次EXE档案,都能自动执行木马,那么可以设定如下位置的键值

(1)ICQ自启动

[HKEY_CURRENT_USER\Sofare\Mirabilis\ICQ\Agent\Apps\]

当ICQ检测到网路连线时,会自动执行这个键下的程式。

(2)ActiveX部件

这些都是木马编写者们经常使用的方法。

4.在Autoexec.bat和Config.sys中载入执行

请大家注意,在C盘根目录下的这两个档案也可以启动木马。但这种载入方式一般都需要控制端使用者与服务端建立连线后,将己新增木马启动命令的同名档案上传到服务端覆盖这两个档案才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中载入木马程式的并不多见,但也不能因此而掉以轻心哦。

5.在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理档案,也是一个能自动被Windows载入执行的档案。它多数情况下为应用程式及Windows自动生成,在执行了Windows自动生成,在执行了Win.并加截了多数驱动程式之后开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被载入执行,危险由此而来。

6.启动组木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动载入执行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的资料夹为C:\Windows\start menu\programs\startup,在登录档中的位置:HKEY_CURRENT_USER\Sofare\Microsoft\windows\CurrentVersion\Explorer\shell

Folders Startup=c:\windows\start menu\programs\startup。要注意经常检查启动组哦!

7.*.INI即应用程式的启动配置档案,控制端利用这些档案能启动程式的特点,将制作好的带有木马启动命令的同名档案上传到服务端覆盖这同名档案,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。

8.修改档案关联

修改档案关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT档案的开启方式为Notepad.EXE档案,但一旦中了档案关联木马,则txt档案开启方式就会被修改为用木马程式开启,如著名的国产木马冰河就是这样干的. 冰河就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\mand下的键值,将C:\WINDOWS\NOTEPAD.EXE本应用Notepad开启,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\mandT的键值,将 C:\WINDOWS\NOTEPAD.EXE%l改为 C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l,这样,一旦你双击一个TXT档案,原本应用Notepad开启该档案,现在却变成启动木马程式了,好狠毒哦!请大家注意,不仅仅是TXT档案,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。对付这类木马,只能经常检查HKEY_CLASSES_ROOT\档案型别\shell\open\mand主键,检视其键值是否正常。

9.捆绑档案实现这种触发条件首先要控制端和服务端已通过木马建立连线,然后控制端使用者用工具软体将木马档案和某一应用程式捆绑在一起,然后上传到服务端覆盖原始档,这样即使木马被删除了,只要执行捆绑了木马的应用程式,木马义会安装上去。系结到某一应用程式中,如系结到系统档案,那么每一次Windows启动均会启动木马。

10.反弹埠型木马的主动连线方式

反弹埠型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连线,并且监听埠一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网路神偷,目前最新版本为V2.5。由于这类木马仍然要在登录档中建立键值 (如我们在第三点中所讲的那样),因此只要留意登录档的变化就不难查到它们。

木马是如何启动的?

当不小心执行木马后,导致电脑感染后会新增自启动项

一般在登录档和配置里边做手脚

进入"开始"执行"msconfig"

弹出"系统配置实用程式"

在启动选项卡中,看看有没有陌生的启动项

如果不清楚,可以复制启动项的名子在百度搜索.看是不是木马之类的

另一种是"开始"执行"regedit"开启登录档,

查询"HKEY_LOCAL_MACHINE/sofare/microsoft/windows/currentversion/run和runonce下的键值.预设情况下数值未设定,看看有没有可疑专案,可疑的删除.

Apache是怎样启动的

和监控部门提到一个问题,开发部门的人启动Apache是使用root启动,但是监控部门的人认为不正常,用root启动有安全隐患。如果Apache有漏洞,伺服器就被黑了。 我在一台RHEL4上编译安装了Apache,用了全预设引数,使用下面命令启动 /usr/local/apache/bin/apachectl start 看系统里的情况 [root@localhost conf]# ps -ef | grep d | grep -v grep [root@localhost conf]# cat d.conf | grep daemon # d daemons, you will need to change at least LockFile and PidFile. User daemon Group daemon # socket used to municate with the CGI daemon of mod_cgid. 试下把daemon改成root看看 [root@localhost conf]# /usr/local/apache/bin/apachectl start Syntax error on line 65 of /usr/local/apache/conf/d.conf: Error:\tApache has not been designed to serve pages while\n\trunning as root. There are known race conditions that\n\ill allow any local user to read any file on the system.\n\tIf you still desire to serve pages as root then\n\tadd -DBIG_SECURITY_HOLE to the CFLAGS env variable\n\tand then rebuild the server.\n\tIt is strongly suggested that you instead modify the User\n\tdirective in your d.conf file to list a non-root\n\tuser.\n [root@localhost conf]# cat d.conf | grep root # d as root initially and it will switch. User rootGroup root可以看到,Apache根本不给你启动! 根据Apache的文件里这么描述 如果配置档案中Listen定义的是预设的80埠(或1024以下),那么启动Apache将需要root许可权以将它系结在特权埠上。一旦伺服器开始启动并完成了一些诸如开启日志档案之类的准备操作,它将建立很多子程序来完成一些诸如侦听和回应客户端请求的工作。 d主程序仍然以root使用者的许可权执行,而它的子程序将以一个较低许可权的使用者执行。这将由你选择的多路处理模组进行控制。 所以,用root启动Apache并不存在安全问题。非root使用者不能启动1024以下的埠,所以非root启动Apache不能启动80,443埠,到时候再用iptable做跳转就是很麻烦的事情,而且iptables效能也是问题。 像bind这样的程式使用的是chroot的方式来解决许可权控制问题,用root启动一样没有安全问题。 有些时候,这些想法都是人传人,大多数人不仔细想想,找找内因。

如果Apache有漏洞,伺服器就被黑了。

我在一台RHEL4上编译安装了Apache,用了全预设引数,使用下面命令启动

/usr/local/apache/bin/apachectl start

看系统里的情况

[root@localhost conf]# ps -ef | grep d | grep -v grep

[root@localhost conf]# cat d.conf | grep daemon

# d daemons, you will need to change at least LockFile and PidFile.

User daemon

Group daemon # socket used to municate with the CGI daemon of mod_cgid.

试下把daemon改成root看看

[root@localhost conf]# /usr/local/apache/bin/apachectl start

Syntax error on line 65 of /usr/local/apache/conf/d.conf:

Error:tApache has not been designed to serve pages whilentrunning as root. There are known race conditions thatnill allow any local user to read any file on the system.ntIf you still desire to serve pages as root thenntadd -DBIG_SECURITY_HOLE to the CFLAGS env variablentand then rebuild the server.ntIt is strongly suggested that you instead modify the Userntdirective in your d.conf file to list a non-rootntuser.n

[root@localhost conf]# cat d.conf | grep root

# d as root initially and it will switch.

User rootGroup root可以看到,Apache根本不给你启动!

根据Apache的文件里这么描述

如果配置档案中Listen定义的是预设的80埠(或1024以下),那么启动Apache将需要root许可权以将它系结在特权埠上。一旦伺服器开始启动并完成了一些诸如开启日志档案之类的准备操作,它将建立很多子程序来完成一些诸如侦听和回应客户端请求的工作。

d主程序仍然以root使用者的许可权执行,而它的子程序将以一个较低许可权的使用者执行。这将由你选择的多路处理模组进行控制。

所以,用root启动Apache并不存在安全问题。非root使用者不能启动1024以下的埠,所以非root启动Apache不能启动80,443埠,到时候再用iptable做跳转就是很麻烦的事情,而且iptables效能也是问题。

像bind这样的程式使用的是chroot的方式来解决许可权控制问题,用root启动一样没有安全问题。

有些时候原始码天空

,这些想法都是人传人,大多数人不仔细想想,找找内因。

汽车是怎样启动的?

1是靠马达启动

2汽油发动机将汽油的能量转化为动能来驱动汽车,最简单的办法是通过在发动机内部燃烧汽油来获得动能。因此,汽车发动机是内燃机----燃烧在发动机内部发生。

有两点需注意:

1. 内燃机也有其他种类,比如柴油机,燃气轮机,各有各的优点和缺点。

2. 同样也有外燃机。在早期的火车和轮船上用的蒸汽机就是典型的外燃机。燃料(煤、木头、油)在发动机外部燃烧产生蒸气,然后蒸气进入发动机内部来产生动力。内燃机的效率比外燃机高不少,也比相同动力的外燃机小很多。所以,现代汽车不用蒸汽机。

相比之下,内燃机比外燃机的效率高,比燃气轮机的价格便宜,比电动汽车容易新增燃料。这些优点使得大部分现代汽车都使用往复式的内燃机。

二、燃烧是关键

汽车的发动机一般都采用4冲程。(马自达的转子发动机在此不讨论,汽车画报曾做过介绍)

4冲程分别是:进气、压缩、燃烧、排气。完成这4个过程,发动机完成一个周期(2圈)。

理解4冲程

活塞,它由一个活塞杆和曲轴相联,过程如下:

1.活塞在顶部开始,进气阀开启,活塞往下运动,吸入油气混合气

2.活塞往顶部运动来压缩油气混合气,使得爆炸更有威力。

3.当活塞到达顶部时,火花塞放出火花来点燃油气混合气,爆炸使得活塞再次向下运动。

4.活塞到达底部,排气阀开启,活塞往上运动,尾气从汽缸由排气管排出。

注意:内燃机最终产生的运动是转动的,活塞的直线往复运动最终由曲轴转化为转动,这样才能驱动汽车轮胎。

三、汽缸数

发动机的核心部件是汽缸,活塞在汽缸内进行往复运动,上面所描述的是单汽缸的运动过程,而实际应用中的发动机都是有多个汽缸的(4缸、6缸、8缸比较常见)。我们通常通过汽缸的排列方式对发动机分类:直列、V或水平对置(当然现在还有大众集团的W型,实际上是两个V组成)。

不同的排列方式使得发动机在顺滑性、制造费用和外型上有着各自的优点和缺点,配备在相应的汽车上。

四、排量

混合气的压缩和燃烧在燃烧室里进行,活塞往复运动,你可以看到燃烧室容积的变化,最大值和最小值的差值就是排量,用升(L)或毫升(CC)来度量。汽车的排量一般在1.5L~4.0L之间。每缸排量0.5L,4缸的排量为2.0L,如果V型排列的6汽缸,那就是V6 3.0升。一般来说,排量表示发动机动力的大小。

影响因素

1.1 结构制造

汽车各零部件的设计制造和装配情况直接影响发动机的效能。这些因素主要来自于汽车生产厂家,与使用者无多大关系。各汽车生产厂家的特约维修站应当把发动机在使用中出现的一些典型问题反馈到制造厂,以利于改进。

1.2 使用

正确使用是延长发动机使用寿命的必备条件。

1.2.1 载荷的选择

发动机载荷直接影响其零部件的强度及寿命,增载入荷时,各总成的工作负荷也随之增加,磨损量增大;如果是初驶车辆,磨损会更大。新车或大修后的车辆,为了限制其初驶期的最高速度,减少负荷,延长发动机使用寿命,一般都在化油器上安装限速片。如果过早地拆除限速片,将导致发动机过早出现异响、漏油、漏气及动力下降,使发动机的使用周期缩短。

1.2.2 燃油和润滑油的选择

燃油的选用必须符合本车规定的牌号,禁止使用低牌号的燃油,否则发动机工作时会产生爆震,使机件受到强烈的冲击和使零部件的附载入荷增加,从而加速机件的磨损。因爆震产生的高温、高压及冲击波还会破坏气缸壁上的润滑油膜,恶化机件的润滑。试验表明,某发动机在有爆震和无爆震下各工作200 h,经测定有爆震时气缸上部平均磨损量是无爆震的2倍多。另外,含杂质超标的燃油,同样会加速机件的磨损和腐蚀。

润滑油的选择,亦应符合发动机的工作需要,若发动机润滑油粘度较低,则润滑油压力就低,不能形成油膜,造成边界摩擦或干摩擦;若润滑油粘度过大,则流动性差,不利于冷车起动,同时润滑油通过机油滤清器到达润滑部位的时间长,使起动磨损增大。

润滑油的加注应适量,油面过高时,不但会增加运动阻力,降低功率,而且会使润滑油窜入气缸内燃烧,造成积碳过多;而润滑油过少时,油压低,难以形成油膜,又会造成干摩擦或边界摩擦,使磨损增加,轴承产生异响,甚至发生拉缸及烧瓦等严重事故。

1.2.3 冷起动和冷却水温度

当冷车起动时,特别是冬季起动车辆,应尽量采用预热措施或冷摇慢转低速升温的办法,禁止猛轰油门。因为发动机冷起动时,润滑油粘度较高,其到达润滑部位的时间铣ぁS凶柿现っ鳎?谄?挛??5 ℃时,起动2 min后,润滑油才能流到连杆轴承及缸盖上的运动副等部位,在这一段时间内如猛踩油门,发动机转速就会迅速上升,润滑油未到达的部位形成干摩擦,加剧磨损。

当发动机温度过高时,润滑油变稀,不能很好的形成润滑油膜,同样会增大机件的磨损,还极易产生爆震。但也不可因水温高而盲目拆除节温器使发动机长期在低温下工作,这也会造成发动机过量磨损。

1.3 道 路

路面质量对车速的发挥、燃料的消耗及磨损有极大的影响,若路面是砂石或泥泞路时,行驶阻力是不断变化的;在阻力大时,发动机就工作在大负荷工况下,此时缸内的压力增大,磨损加剧。

1.4 气 候

在冬季,由于润滑油的粘度低,进入润滑部位慢,从而使发动机干摩擦的时间长;在酷热的夏天,汽车各零件处于热状态,在环境温度为40 ℃时,就会严重影响电气元件的效能,使点火系不能正常工作;另外,由于高温,润滑油变稀,油膜难以形成,使发动机干摩擦的倾向性增大。

1.5 驾 驶

驾驶技术的熟练与否也影响发动机的效能和使用寿命。

1.5.1 挡位的选择

在行驶中应掌握“高速挡不硬撑”,否则发动机长时间高速运转,使发动机没有余力,稳定性差,产生扭振和冲击,造成机件损伤;“低速挡不硬冲”,否则发动机温度增高,造成早燃及爆燃等现象,导致发动机早期磨损。

1.5.2 车速的选择

车速对各运动副的磨损量影响较大,磨损量取决于相对运动速度、正压力和摩擦系数。在高速时,活塞平均线速度较大,故相对缸体的磨损就大,尤其是燃烧不好时,碳粒形成的磨粒使磨损增大。车速低时,由于润滑油压力低,油膜刚度小,润滑条件差,也会使磨损量加大。

1.6 维护保养质量

加强对发动机的维护保养是延长发动机寿命的重要举措。除日常检查保养的专案外,要重点把好发动机的“入口”关,保持“三滤”(机油滤清器、汽车滤清器、空气滤清器)的清洁。如果“三滤”出现故障,空气中的灰尘及润滑油和燃油中的杂质大量进入气缸,从而加剧了磨料磨损。实践表明,如果空气滤清器失效,若在我国的西北或华北地区行车一天进入气缸的灰尘可高达30 g,气缸的磨损量将比正常的大100倍。

2 对 策

2.1 正确驾驶车辆

适时换挡;切忌超载;尽可能减少发动机的冷起动次数;保持一定的冷却水温度;合理选择车速。

2.2 合理选用燃油和润滑油

2.3 加强对发动机维护和定期保养

所以增加汽缸数量或增加每个汽缸燃烧室的容积可以获得更多的动力。

汽车保养应换坏了的部件.还有机油

火车是怎样启动的?

这个问题可以很简单,也可以很复杂,你想我回答简单一点吗?

1火车的动力来源

蒸汽机车:煤-蒸汽机(已经彻底淘汰)

内燃机车:柴油-柴油发电机组-牵引电机(液力传动很少)

电力机车:交流高压电-主变压器-牵引电机

2牵引电机的工作原理

一般采用直流串励电动机,在启动低速时候有很大的牵引电流和牵引力矩,在高速时候电流变小,电压升高

3火车启动过程

机车载入,在刚启动时候产生很大的牵引力,带动机车后面的车辆启动。由于火车并不是一个很大的车厢组成,而是很多单个的小车厢组成,机车就可以一节一节带动车厢全部启动。

可以想象,如果火车不是一节一节的,而是一个整体,那将很难启动。

木马是怎么启动的,怎么检测软体,有没有弱点?

杀软就是他的弱点 中毒是因为没有防御工具抵制! 我给你介绍下我用过感觉还好的杀软!你可以试用几天看看! 金山.全国就他通过两次VB100.(全国就金山和瑞星参加.金山两次参加两次获得.瑞星两次只得一次) 我用着感觉占资源不太大!抢先杀这新技术不错.监控比较好.清除能力还可以!国产的老大! 官方网下载地址 :duba./download/index.s 再给你个金山破解版的!:gougou./search?search=%E9%87%91%E5%B1%B1%E6%AF%92%E9%9C%B8%E7%A0%B4%E8%A7%A3%E7%89%88restype=-1id=10000002ty=0pattern=0 卡巴.不用说.防毒强悍著称的卡巴!在中国占有一定地位. 我用的时候感觉就是占点资源麻烦了点.!新手和低配置机子最好别用.其他方面还可以! 官方网下载地址 :kaspersky../(你可以到360那下载.免费半年的!) 再给你个卡巴破解.:97info./query.asp?q=%BF%A8%B0%CDt=m NOD32.全世界占用记忆体最少的杀软!微软用过4年!自然差不了多少!现在的3.0更是出色 我用着感觉好像没装杀软一样的快速!防毒能力还可以.防毒速度还是全世界最快的.总体很好! 官方网下载地址(メоrC﹎嗜殈原创如有雷同.实属抄袭) :nod32.8/21/ 再给你个破解的:97info./query.asp?q=NOD32t=m 我用过这么多杀软就不一一介绍了.就上面3款我觉得最好用(メоrC﹎嗜殈原创如有雷同.实属抄袭) 防火墙我介绍风云.很不错.不用序列号的了.他百年升级一次!但防御效果绝对牛! 官方网下载:218./? 有人说瑞星那么好怎么不说.我觉得它就广告红.监控不好.次次都有病毒清除不到!说什么解压清理 占记忆体不比卡巴少.自动防御更是肤浅人的!反正我帮人搞电脑那么久.见到最多就是用瑞星中毒的 下面给你介绍下安全配置! 金山+360安全卫士+GHOST11.5适合256记忆体左右的使用者(就是还原软体.这个不怎么损硬碟.推荐下载地址) GHOST11.5下载地址:sky./soft/25989. 卡巴+360安全卫士+GHOST11.5适合512记忆体或更高的使用者 ) NOD32+360+GHOST11.5适合128记忆体的使用者.高记忆体用也没关系.好用~ 以上的安全搭配都不错.我用这么久没中过毒! 以上都是个人感受.

内燃机是怎样启动的?

内燃机主要分柴油机和汽油机,柴油机靠压缩空气或其它外部动力带启动机器,让柴油机压缩发火,汽油机则是在喷油时火花塞点火而发火。

如何让开启网页的人启动木马,木马是传到空间还是怎样?菜鸟求教

菜鸟就不要玩了

什么是木马程序???可以下载吗??怎么用?

特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。

从木马的发展来看,基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。

所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。

鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。

(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。

(2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。

(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能:

(1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。

(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后,原木马文件将自动销毁,这 样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下图:

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例:

其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:

(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口 的。

(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。

(3)4000端口:这是OICQ的通讯端口。

(4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。

四.信息泄露:

一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。

五.建立连接:

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。

如上图所示A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们 重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到 这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控 制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于 拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中 B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制:

木马连接建立后,控制端端口和木马端口之间将会出现一条通道,见下图

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。

(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。

(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信 息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪

木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

请高手解答!木马是什么?它有多少种?有什么办法去防预它?被木马入侵后有什么现象?

什么是木马?

特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。

从木马的发展来看,基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。

所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。

参考资料:

回答者:完颜康康 - 探花 十一级 9-18 12:40

--------------------------------------------------------------------------------

DLL 木马揭秘

相信经常玩木马的朋友们都会知道一些木马的特性,也会有自己最喜爱的木马,不过,很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢?它与一般的木马有什么不同?

一、从DLL技术说起

要了解DLL木马,就必须知道这个“DLL”是什么意思,所以,让我们追溯到几年前,DOS系统大行其道的日子里。在那时候,写程序是一件繁琐的事情,因为每个程序的代码都是独立的,有时候为了实现一个功能,就要为此写很多代码,后来随着编程技术发展,程序员们把很多常用的代码集合(通用代码)放进一个独立的文件里,并把这个文件称为“库”(Library),在写程序的时候,把这个库文件加入编译器,就能使用这个库包含的所有功能而不必自己再去写一大堆代码,这个技术被称为“静态链接”(Static Link)。静态链接技术让劳累的程序员松了口气,一切似乎都很美好。可是事实证明,美好的事物不会存在太久,因为静态链接就像一个粗鲁的推销员,不管你想不想要宣传单,他都全部塞到你的手上来。写一个程序只想用到一个库文件包含的某个图形效果,就因为这个,你不得不把这个库文件携带的所有的图形效果都加入程序,留着它们当花瓶摆设,这倒没什么重要,可是这些花瓶却把道路都阻塞了——静态链接技术让最终的程序成了大块头,因为编译器把整个库文件也算进去了。

时代在发展,静态链接技术由于天生的弊端,不能满足程序员的愿望,人们开始寻找一种更好的方法来解决代码重复的难题。后来,Windows系统出现了,时代的分水岭终于出现。Windows系统使用一种新的链接技术,这种被称为“动态链接”(Dynamic Link)的新技术同样也是使用库文件,微软称它们为“动态链接库”——Dynamic Link Library,DLL的名字就是这样来的。动态链接本身和静态链接没什么区别,也是把通用代码写进一些独立文件里,但是在编译方面,微软绕了个圈子,并没有采取把库文件加进程序的方法,而是把库文件做成已经编译好的程序文件,给它们开个交换数据的接口,程序员写程序的时候,一旦要使用某个库文件的一个功能函数,系统就把这个库文件调入内存,连接上这个程序占有的任务进程,然后执行程序要用的功能函数,并把结果返回给程序显示出来,在我们看来,就像是程序自己带有的功能一样。完成需要的功能后,这个DLL停止运行,整个调用过程结束。微软让这些库文件能被多个程序调用,实现了比较完美的共享,程序员无论要写什么程序,只要在代码里加入对相关DLL的调用声明就能使用它的全部功能。最重要的是,DLL绝对不会让你多拿一个花瓶,你要什么它就给你什么,你不要的东西它才不会给你。这样,写出来的程序就不能再携带一大堆垃圾了——绝对不会让你把吃剩的东西带回家,否则罚款,这是自助餐。

DLL技术的诞生,使编写程序变成一件简单的事情,Windows为我们提供了几千个函数接口,足以满足大多数程序员的需要。而且,Windows系统自身就是由几千个DLL文件组成,这些DLL相互扶持,组成了强大的Windows系统。如果Windows使用静态链接技术,它的体积会有多大?我不敢想。

二、应用程序接口API

上面我们对DLL技术做了个大概分析,在里面我提到了“接口”,这又是什么呢?因为DLL不能像静态库文件那样塞进程序里,所以,如何让程序知道实现功能的代码和文件成了问题,微软就为DLL技术做了标准规范,让一个DLL文件像奶酪一样开了许多小洞,每个洞口都注明里面存放的功能的名字,程序只要根据标准规范找到相关洞口就可以取得它要的美味了,这个洞口就是“应用程序接口”(Application Programming Interface),每个DLL带的接口都不相同,尽最大可能的减少了代码的重复。用Steven的一句话:API就是一个工具箱,你根据需要取出螺丝刀、扳手,用完后再把它们放回原处。在Windows里,最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。

三、DLL与木马

DLL是编译好的代码,与一般程序没什么大差别,只是它不能独立运行,需要程序调用。那么,DLL与木马能扯上什么关系呢?如果你学过编程并且写过DLL,就会发现,其实DLL的代码和其他程序几乎没什么两样,仅仅是接口和启动模式不同,只要改动一下代码入口,DLL就变成一个独立的程序了。当然,DLL文件是没有程序逻辑的,这里并不是说DLL=EXE,不过,依然可以把DLL看做缺少了main入口的EXE,DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码,加上一些特殊代码写成DLL文件,导出相关的API,在别人看来,这只是一个普通的DLL,但是这个DLL却携带了完整的木马功能,这就是DLL木马的概念。也许有人会问,既然同样的代码就可以实现木马功能,那么直接做程序就可以,为什么还要多此一举写成DLL呢?这是为了隐藏,因为DLL运行时是直接挂在调用它的程序的进程里的,并不会另外产生进程,所以相对于传统EXE木马来说,它很难被查到。

四、DLL的运行

虽然DLL不能自己运行,可是Windows在加载DLL的时候,需要一个入口函数,就如同EXE的main一样,否则系统无法引用DLL。所以根据编写规范,Windows必须查找并执行DLL里的一个函数DllMain作为加载DLL的依据,这个函数不作为API导出,而是内部函数。DllMain函数使DLL得以保留在内存里,有的DLL里面没有DllMain函数,可是依然能使用,这是因为Windows在找不到DllMain的时候,会从其它运行库中找一个不做任何操作的缺省DllMain函数启动这个DLL使它能被载入,并不是说DLL可以放弃DllMain函数。

五、DLL木马技术分析

到了这里,您也许会想,既然DLL木马有那么多好处,以后写木马都采用DLL方式不就好了吗?话虽然是这么说没错,但是DLL木马并不是一些人想象的那么容易写的。要写一个能用的DLL木马,你需要了解更多知识。

1.木马的主体

千万别把木马模块写得真的像个API库一样,这不是开发WINAPI。DLL木马可以导出几个辅助函数,但是必须有一个过程负责主要执行代码,否则这个DLL只能是一堆零碎API函数,别提工作了。

如果涉及一些通用代码,可以在DLL里写一些内部函数,供自己的代码使用,而不是把所有代码都开放成接口,这样它自己本身都难调用了,更不可能发挥作用。

DLL木马的标准执行入口为DllMain,所以必须在DllMain里写好DLL木马运行的代码,或者指向DLL木马的执行模块。

2.动态嵌入技术

Windows中,每个进程都有自己的私有内存空间,别的进程是不允许对这个私人领地进行操作的,但是,实际上我们仍然可以利用种种方法进入并操作进程的私有内存,这就是动态嵌入,它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入有很多种,最常见的是钩子、API以及远程线程技术,现在的大多数DLL木马都采用远程线程技术把自己挂在一个正常系统进程中。其实动态嵌入并不少见,罗技的MouseWare驱动就挂着每一个系统进程-_-

远程线程技术就是通过在另一个进程中创建远程线程(RemoteThread)的方法进入那个进程的内存地址空间。在DLL木马的范畴里,这个技术也叫做“注入”,当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时,木马就挂上去执行了,没有新进程产生,要想让木马停止惟有让挂接这个木马DLL的进程退出运行。但是,很多时候我们只能束手无策——它和Explorer.exe挂在一起了,你确定要关闭Windows吗?

3.木马的启动

有人也许会迫不及待的说,直接把这个DLL加入系统启动项目不就可以了。答案是NO,前面说过,DLL不能独立运行,所以无法在启动项目里直接启动它。要想让木马跑起来,就需要一个EXE使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。

启动DLL木马的EXE是个重要角色,它被称为Loader,如果没有Loader,DLL木马就是破烂一堆,因此,一个算得上成熟的DLL木马会想办法保护它的Loader不会那么容易被毁灭。记得狼狈为奸的故事吗?DLL木马就是爬在狼Loader上的狈。

Loader可以是多种多样的,Windows的rundll32.exe也被一些DLL木马用来做了Loader,这种木马一般不带动态嵌入技术,它直接挂着rundll32进程运行,用rundll32的方法(rundll32.exe [DLL名],[函数] [参数])像调用API一样去引用这个DLL的启动函数激发木马模块开始执行,即使你杀了rundll32,木马本体还是在的,一个最常见的例子就是3721中文实名,虽然它不是木马。

注册表的AppInit_DLLs键也被一些木马用来启动自己,如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,所以很少看到这种木马。

有一些更复杂点的DLL木马通过svchost.exe启动,这种DLL木马必须写成NT-Service,入口函数是ServiceMain,一般很少见,但是这种木马的隐蔽性也不错,而且Loader有保障。

4.其它

到这里大家也应该对DLL木马有个了解了,是不是很想写一个?别急,不知道大家想过没有,既然DLL木马这么好,为什么到现在能找到的DLL木马寥寥无几?现在让我来泼冷水,最重要的原因只有一个:由于DLL木马挂着系统进程运行,如果它本身写得不好,例如没有防止运行错误的代码或者没有严格规范用户的输入,DLL就会出错崩溃。别紧张,一般的EXE也是这样完蛋的,但是DLL崩溃会导致它挂着的程序跟着遭殃,别忘记它挂接的是系统进程哦,结局就是……惨不忍睹。所以写一个能公布的DLL木马,在排错检查方面做的工作要比一般的EXE木马多,写得多了自己都烦躁……

六、DLL木马的发现和查杀

经常看看启动项有没有多出莫名其妙的项目,这是Loader的所在,只要杀了狼,狈就不能再狂了。而DLL木马本体比较难发现,需要你有一定编程知识和分析能力,在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL,可是对新手来说……总之就是比较难啊比较难,所以,最简单的方法:杀毒软件和防火墙(不是万能药,切忌长期服用)。

什么是木马程序?

木马程序就是黑客用来dao取用户资料的已用病毒,平时潜伏不易被发现,黑客使用时发送信息就会开始工作

如果楼主担心电脑中毒的话建议杀毒保平安

建议楼主下载安装腾讯电脑管家来进行杀毒,

重启电脑按F8进入安全模式--打开腾讯电脑管家--闪电杀毒--全盘扫描--完成重启电脑就可以了,

0条大神的评论

发表评论