如何識(shí)別木馬

1、如何識(shí)別木馬 識(shí)別木馬有新招，希望這篇文章對(duì)你有所幫助。 一、經(jīng)?？吹接型婕艺f，在輸入自己的帳號(hào)的時(shí)候通故意輸錯(cuò)帳號(hào)和碼。其實(shí)這種木馬是最早期的木馬程序。現(xiàn)在已經(jīng)很少有編木馬程序的程序員，還按照這種監(jiān)聽鍵盤記錄的思路去編寫木馬程序?，F(xiàn)在的木馬程序已經(jīng)發(fā)展到通過內(nèi)存提取數(shù)據(jù)來獲得用戶的帳號(hào)和密碼。大家都知道，不管是傳奇還是任何一款程序。它都是有他所特有的數(shù)據(jù)的（包括玩家的帳號(hào)、密碼，等級(jí)裝備資料等等）。這些數(shù)據(jù)都是會(huì)通過本機(jī)與游戲服務(wù)器取得了驗(yàn)證以后，玩家的角色資料才會(huì)出現(xiàn)在玩家的面前。而這些數(shù)據(jù)在運(yùn)行的時(shí)候都是存放在計(jì)算機(jī)的內(nèi)存里面的。木馬作者只需要在自己的程序里面加入條件語句就可以取得玩家真

2、實(shí)的游戲帳號(hào)、密碼、角色等級(jí)，以我自己的計(jì)算機(jī)知識(shí)，這種語句的大概意思應(yīng)該是：當(dāng)游戲進(jìn)程進(jìn)入到讓玩家選擇角色的時(shí)候再從內(nèi)存中提取最后一次的帳號(hào)、密碼、角色等級(jí)等資料。也就是說，其實(shí)玩家之前所做的故意輸錯(cuò)帳號(hào)或密碼完全是浪費(fèi)自己的表情、浪費(fèi)自己的時(shí)間。 下邊先來說一下木馬是如何通過網(wǎng)頁進(jìn)入你的電腦的，相信大家都知道，現(xiàn)在有很多圖片木馬，EML和EXE木馬，其中的圖片木馬其實(shí)很簡(jiǎn)單，就是把木馬exe文件的文件頭換成bmp文件的文件頭，然后欺騙IE瀏覽器自動(dòng)打開該文件，然后利用網(wǎng)頁里的一段JAVASCRIPT小程序調(diào)用DEBUG把臨時(shí)文件里的bmp文件還原成木馬exe文件并拷貝到啟動(dòng)項(xiàng)里，接下來的事

3、情很簡(jiǎn)單，你下次啟動(dòng)電腦的時(shí)候就是你噩夢(mèng)的開始了，EML木馬更是傳播方便，把木馬文件偽裝成audio/x-wav聲音文件，這樣你接收到這封郵件的時(shí)候只要瀏覽一下，不需要你點(diǎn)任何連接，windows就會(huì)為你代勞自動(dòng)播放這個(gè)他認(rèn)為是wav的音樂文件，木馬就這樣輕松的進(jìn)入你的電腦，這種木馬還可以frame到網(wǎng)頁里，只要打開網(wǎng)頁，木馬就會(huì)自動(dòng)運(yùn)行，另外還有一種方法，就是把木馬exe編譯到.JS文件里，然后在網(wǎng)頁里調(diào)用，同樣也可以無聲無息的入侵你的電腦，這只是些簡(jiǎn)單的辦法，還有遠(yuǎn)程控制和共享等等漏洞可以鉆，知道這些，相信你已經(jīng)對(duì)網(wǎng)頁木馬已經(jīng)有了大概了解， 簡(jiǎn)單防治的方法： 開始-設(shè)置-控制面版-添加刪除

4、程序-windows安裝程序-把附件里的windows scripting host去掉，然后打開Internet Explorer瀏覽器，點(diǎn)工具-Internet選項(xiàng)-安全-自定義級(jí)別，把里面的腳本的3個(gè)選項(xiàng)全部禁用，然后把“在中加載程序和文件”禁用，當(dāng)然這只是簡(jiǎn)單的防治方法，不過可能影響一些網(wǎng)頁的動(dòng)態(tài)java效果，不過為了安全就犧牲一點(diǎn)啦，這樣還可以預(yù)防一些惡意的網(wǎng)頁炸彈和病毒，如果條件允許的話可以加裝防火墻，再到微軟的網(wǎng)站打些補(bǔ)丁，反正我所知道的網(wǎng)吧用的都是原始安裝的windows，很不安全哦，還有盡量少在一些小網(wǎng)站下載一些程序，尤其是一些號(hào)稱黑客工具的軟件，小心盜不著別人自己先被盜了，

5、當(dāng)然，如果你執(zhí)意要用的話，號(hào)被盜了也應(yīng)該付出這個(gè)代價(jià)吧。還有，不要以為裝了還原精靈就很安全，據(jù)我所知，一般網(wǎng)吧的還原精靈都只還原c:盤即系統(tǒng)區(qū)，所以只要木馬直接感染你安裝在別的盤里的游戲執(zhí)行文件，你照樣逃不掉的。 下邊介紹一下木馬和如何簡(jiǎn)單的檢查一下是否中了木馬。 木馬程序一般分為服務(wù)器端程序和客戶端程序兩個(gè)部分，當(dāng)服務(wù)器端程序安裝在某臺(tái)連接到網(wǎng)絡(luò)的電腦后，就能使用客戶端程序?qū)ζ溥M(jìn)行登陸。這和PcAnywhere以及NetMeeting的遠(yuǎn)程控制功能相似。但不同的是，木馬是非法取得對(duì)對(duì)方電腦的控制權(quán)，一旦登陸成功，就可以取得管理員級(jí)的權(quán)利，對(duì)方電腦上的資料、密碼等是一覽無余。不過這種木馬一般的

6、“偽黑客”很少使用，因?yàn)橐徊恍⌒木蜁?huì)引火上身，被對(duì)方反查過來就會(huì)偷雞不成蝕把米了，一般他們都會(huì)采用只有服務(wù)器端的小木馬，這類木馬通常會(huì)把截取的密碼發(fā)到一個(gè)免費(fèi)郵箱里，不需要人為操作，有空去收趟郵件就可以了，這種木馬遍布互連網(wǎng)的各個(gè)角落，的確防不勝防，由于木馬程序眾多，加之不斷有新版本、新品種產(chǎn)生，使得軟件無法完全應(yīng)付，所以手動(dòng)檢查清除是十分必要的。 木馬會(huì)想盡一切辦法隱藏自己，別指望在任務(wù)管理器里看到他們的蹤影，有些木馬更是會(huì)和一些系統(tǒng)進(jìn)程寄生在一起的，如著名的廣外幽靈就是寄生在MsgSrv32.exe里；當(dāng)然它也會(huì)悄無聲息地啟動(dòng)，木馬會(huì)在每次用戶啟動(dòng)windows時(shí)自動(dòng)裝載服務(wù)端，Windo

7、ws系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載應(yīng)用程序的方法木馬都會(huì)用上，如啟動(dòng)組、win.ini、system.ini、注冊(cè)表等等都是木馬藏身之地；下邊簡(jiǎn)單說一下如何檢查，點(diǎn)開始-運(yùn)行，輸入： msconfig回車 就會(huì)打開系統(tǒng)配置實(shí)用程序，先點(diǎn)system.ini，看看shell=文件名，正確的文件名應(yīng)該是“explorer.exe”，如果explorer.exe后邊還跟有別的程序的話，就要好好檢查這個(gè)程序了，然后點(diǎn)win.ini，“run=”和“l(fā)oad=”是可能加載“木馬”程序的途徑，一般情況下，它們的等號(hào)后面什么都沒有，如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動(dòng)文件，你的計(jì)算機(jī)就可能中上“木馬”了，當(dāng)然你

8、也得看清楚，因?yàn)槿纭癆OL木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會(huì)發(fā)現(xiàn)它不是真正的系統(tǒng)啟動(dòng)文件；最后點(diǎn)“啟動(dòng)”，檢查里面的啟動(dòng)項(xiàng)是不是有不熟悉的，如果你實(shí)在不清楚的話可以把他們?nèi)咳∠?，然后重新運(yùn)行msconfig，看一下有沒有取消的啟動(dòng)項(xiàng)重新被選中的，一般木馬都會(huì)存在于內(nèi)存中，（就是線程插入，然后隱藏進(jìn)程的木馬，DLL無進(jìn)程木馬就不會(huì)駐留在內(nèi)存里面，我們?cè)谙乱淮沃袝?huì)講到）所以發(fā)現(xiàn)你取消他的啟動(dòng)項(xiàng)就會(huì)自動(dòng)添加上的，然后你就可以逐步添上你的輸入法，音量控制，防火墻等軟件的啟動(dòng)項(xiàng)了；還有一類木馬，他是關(guān)聯(lián)注冊(cè)表的文件打開方式的，一般木馬經(jīng)常關(guān)聯(lián).exe，點(diǎn)開始-運(yùn)行，輸

9、入：regedit回車，打開注冊(cè)表編輯器，點(diǎn)第一條，也就是HKEY_CLASSES_ROOT，找到exefile，看一下exefileshellopencommand里面的默認(rèn)鍵值是不是%1 %* ，如果是一個(gè)程序路徑的話就一定是中木馬了，另外配合兩種以上的殺毒軟件也是必要的，另外在windows下木馬一般很難清除，最后重新啟動(dòng)到dos環(huán)境下再進(jìn)行查殺。 防木馬程序、防火墻、及殺毒軟件介紹： 1、木馬克星： 專業(yè)的個(gè)人版木馬查殺工具;近100%查殺各種類型木馬!玩家推薦反木馬品牌! 2、綠鷹PC萬能精靈2.91 ：專業(yè)的個(gè)人版木馬查殺工具;近100%查殺各種類型木馬!玩家推薦反木馬品牌! 3、

10、Symantec AntiVirus：這個(gè)我就不用再介紹了吧，全球最大的殺毒軟件！強(qiáng)力推薦8.1企業(yè)版。 4、天網(wǎng)防火墻2.51個(gè)人版:天網(wǎng)防火墻個(gè)人版在網(wǎng)絡(luò)效率與系統(tǒng)安全上完全采用天網(wǎng)防火墻的設(shè)計(jì)思想，采用最底層的網(wǎng)絡(luò)驅(qū)動(dòng)隔絕，其作用層在網(wǎng)絡(luò)硬件與Windows網(wǎng)絡(luò)驅(qū)動(dòng)之間，在黑客攻擊數(shù)據(jù)接觸Windows網(wǎng)絡(luò)驅(qū)動(dòng)之前將所有的攻擊數(shù)據(jù)攔截，保護(hù)脆弱的Windows網(wǎng)絡(luò)驅(qū)動(dòng)不會(huì)崩潰 看看這個(gè)，是用VB編的木馬程序 1.“特洛伊木馬”有被稱為BO， 是在美國一次黑客技術(shù)討論會(huì)上由一個(gè)黑客組織推出的。它其實(shí)是一種客戶機(jī)/服務(wù)器程序，其利用的原理就是：在本機(jī)直接啟動(dòng)運(yùn)行的程序擁有與使用者相同的權(quán)限。

11、因此如果能夠啟動(dòng)服務(wù)器端（即被攻擊的計(jì)算機(jī)）的服務(wù)器程序，就可以使用相應(yīng)的客戶端工具客戶程序直接控制它了。下面來談?wù)勅绾斡肰B來實(shí)現(xiàn)它。 使用VB建立兩個(gè)程序，一個(gè)為客戶端程序Client，一個(gè)為服務(wù)器端程序systry。 在Client工程中建立一個(gè)窗體，加載WinSock控件，稱為tcpClient，協(xié)議選擇TCP，再加入兩個(gè)文本框，用以輸入服務(wù)器的IP地址或服務(wù)器名，然后建立一個(gè)按鈕，按下之后就可以對(duì)連接進(jìn)行初始化了，代碼如下： Private Sub cmdConnect_Click() If Len(Text1.Text) = 0 And Len(Text2.Text) = 0 Th

12、en MsgBox (請(qǐng)輸入主機(jī)名或主機(jī)IP地址。) Exit Sub Else If Len(Text1.Text) 0 Then tcpClient.RemoteHost = Text1.Text Else tcpClient.RemoteHost = Text2.Text End If End If tcpClient.Connect Timer1.Enabled = True End Sub 連接建立之后就可以使用DataArrival事件處理所收到的數(shù)據(jù)了。 連接建立之后就可以使用DataArrival事件處理所收到的數(shù)據(jù)了。 在服務(wù)器端systry工程也建立一個(gè)窗體，加載WinSo

13、ck控件，稱為tcpServer，協(xié)議選擇TCP，在Form_Load事件中加入如下代碼： Private Sub Form_Load() tcpServer.LocalPort = 1999 tcpServer.Listen End Sub 準(zhǔn)備應(yīng)答客戶端程序的請(qǐng)求連接，使用ConnectionRequest事件來應(yīng)答戶端程序的請(qǐng)求，代碼如下： Private Sub tcpServer_ConnectionRequest (ByVal requestID As Long) If tcpServer.State sckClosed Then tcpServer.Close檢查控件的 Stat

14、e 屬性是否為關(guān)閉的。 End If 如果不是，在接受新的連接之前先關(guān)閉此連接。 tcpServer.Accept requestID End Sub 這樣在客戶端程序按下了連接按鈕后，服務(wù)器端程序的ConnectionRequest事件被觸發(fā)，執(zhí)行了以上的代碼。如果不出意外，連接就被建立起來了。 2. 建立連接后服務(wù)器端的程序通過DataArrival事件接收客戶機(jī)端程序所發(fā)的指令運(yùn)行既定的程序。如：把服務(wù)器端的驅(qū)動(dòng)器名、目錄名、文件名等傳到客戶機(jī)端，客戶機(jī)端接收后用TreeView控件以樹狀的形式顯示出來，瀏覽服務(wù)器端文件目錄；強(qiáng)制關(guān)閉或重啟服務(wù)器端的計(jì)算機(jī)；屏蔽任務(wù)欄窗口；屏蔽開始菜單；

15、按照客戶機(jī)端傳過來的文件名或目錄名，而刪除它；屏蔽熱啟動(dòng)鍵；運(yùn)行服務(wù)器端的任何程序；還包括獲取目標(biāo)計(jì)算機(jī)屏幕圖象、窗口及進(jìn)程列表；激活、終止遠(yuǎn)端進(jìn)程；打開、關(guān)閉、移動(dòng)遠(yuǎn)端窗口；控制目標(biāo)計(jì)算機(jī)鼠標(biāo)的移動(dòng)與動(dòng)作；交換遠(yuǎn)端鼠標(biāo)的左右鍵；在目標(biāo)計(jì)算機(jī)模擬鍵盤輸入，下載、上裝文件；提取、創(chuàng)建、修改目標(biāo)計(jì)算機(jī)系統(tǒng)注冊(cè)表關(guān)鍵字；在遠(yuǎn)端屏幕上顯示消息。DataArrival事件程序如下： Private Sub tcpServer_DataArrival (ByVal bytesTotal As Long) Dim strData As String Dim i As Long Dim mKey As Str

16、ing tcpServer.GetData strData 接收數(shù)據(jù)并存入strData For i = 1 To Len(strData) 分離strData中的命令 If Mid(strData, i, 1) = Then mKey = Left(strData, i - 1) 把命令I(lǐng)D號(hào)存入mKey 把命令參數(shù)存入strData strData = Right(strData, Len(strData) - i) Exit For End If Next i Select Case Val(mKey) Case 1 驅(qū)動(dòng)器名、目錄名、文件名 Case 2 強(qiáng)制關(guān)閉服務(wù)器端的計(jì)算機(jī) Ca

17、se 3 強(qiáng)制重啟服務(wù)器端的計(jì)算機(jī) Case 4 屏蔽任務(wù)欄窗口； Case 5 屏蔽開始菜單； Case 6 按照客戶機(jī)端傳過來的文件名或目錄名，而刪除它； Case 7 屏蔽熱啟動(dòng)鍵； Case 8 運(yùn)行服務(wù)器端的任何程序 End Select End Sub 詳細(xì)程序略。 客戶機(jī)端用tcpClient.SendData發(fā)命令。命令包括命令I(lǐng)D和命令參數(shù)，它們用符號(hào)“”隔開。 另外，當(dāng)客戶機(jī)端斷開與服務(wù)器端的來接后，服務(wù)器端應(yīng)用tcpServer_Close事件，來繼續(xù)準(zhǔn)備接收客戶機(jī)端的請(qǐng)求，其代碼如下： Private Sub tcpServer_Close() tcpServer.Close tcpServer.Listen End S