如何識別木馬

1、如何識別木馬 識別木馬有新招，希望這篇文章對你有所幫助。 一、經(jīng)常看到有玩家說，在輸入自己的帳號的時候通故意輸錯帳號和碼。其實這種木馬是最早期的木馬程序?，F(xiàn)在已經(jīng)很少有編木馬程序的程序員，還按照這種監(jiān)聽鍵盤記錄的思路去編寫木馬程序?，F(xiàn)在的木馬程序已經(jīng)發(fā)展到通過內(nèi)存提取數(shù)據(jù)來獲得用戶的帳號和密碼。大家都知道，不管是傳奇還是任何一款程序。它都是有他所特有的數(shù)據(jù)的（包括玩家的帳號、密碼，等級裝備資料等等）。這些數(shù)據(jù)都是會通過本機與游戲服務(wù)器取得了驗證以后，玩家的角色資料才會出現(xiàn)在玩家的面前。而這些數(shù)據(jù)在運行的時候都是存放在計算機的內(nèi)存里面的。木馬作者只需要在自己的程序里面加入條件語句就可以取得玩家真

2、實的游戲帳號、密碼、角色等級，以我自己的計算機知識，這種語句的大概意思應(yīng)該是：當游戲進程進入到讓玩家選擇角色的時候再從內(nèi)存中提取最后一次的帳號、密碼、角色等級等資料。也就是說，其實玩家之前所做的故意輸錯帳號或密碼完全是浪費自己的表情、浪費自己的時間。 下邊先來說一下木馬是如何通過網(wǎng)頁進入你的電腦的，相信大家都知道，現(xiàn)在有很多圖片木馬，EML和EXE木馬，其中的圖片木馬其實很簡單，就是把木馬exe文件的文件頭換成bmp文件的文件頭，然后欺騙IE瀏覽器自動打開該文件，然后利用網(wǎng)頁里的一段JAVASCRIPT小程序調(diào)用DEBUG把臨時文件里的bmp文件還原成木馬exe文件并拷貝到啟動項里，接下來的事

3、情很簡單，你下次啟動電腦的時候就是你噩夢的開始了，EML木馬更是傳播方便，把木馬文件偽裝成audio/x-wav聲音文件，這樣你接收到這封郵件的時候只要瀏覽一下，不需要你點任何連接，windows就會為你代勞自動播放這個他認為是wav的音樂文件，木馬就這樣輕松的進入你的電腦，這種木馬還可以frame到網(wǎng)頁里，只要打開網(wǎng)頁，木馬就會自動運行，另外還有一種方法，就是把木馬exe編譯到.JS文件里，然后在網(wǎng)頁里調(diào)用，同樣也可以無聲無息的入侵你的電腦，這只是些簡單的辦法，還有遠程控制和共享等等漏洞可以鉆，知道這些，相信你已經(jīng)對網(wǎng)頁木馬已經(jīng)有了大概了解， 簡單防治的方法： 開始-設(shè)置-控制面版-添加刪除

4、程序-windows安裝程序-把附件里的windows scripting host去掉，然后打開Internet Explorer瀏覽器，點工具-Internet選項-安全-自定義級別，把里面的腳本的3個選項全部禁用，然后把“在中加載程序和文件”禁用，當然這只是簡單的防治方法，不過可能影響一些網(wǎng)頁的動態(tài)java效果，不過為了安全就犧牲一點啦，這樣還可以預防一些惡意的網(wǎng)頁炸彈和病毒，如果條件允許的話可以加裝防火墻，再到微軟的網(wǎng)站打些補丁，反正我所知道的網(wǎng)吧用的都是原始安裝的windows，很不安全哦，還有盡量少在一些小網(wǎng)站下載一些程序，尤其是一些號稱黑客工具的軟件，小心盜不著別人自己先被盜了，

5、當然，如果你執(zhí)意要用的話，號被盜了也應(yīng)該付出這個代價吧。還有，不要以為裝了還原精靈就很安全，據(jù)我所知，一般網(wǎng)吧的還原精靈都只還原c:盤即系統(tǒng)區(qū)，所以只要木馬直接感染你安裝在別的盤里的游戲執(zhí)行文件，你照樣逃不掉的。 下邊介紹一下木馬和如何簡單的檢查一下是否中了木馬。 木馬程序一般分為服務(wù)器端程序和客戶端程序兩個部分，當服務(wù)器端程序安裝在某臺連接到網(wǎng)絡(luò)的電腦后，就能使用客戶端程序?qū)ζ溥M行登陸。這和PcAnywhere以及NetMeeting的遠程控制功能相似。但不同的是，木馬是非法取得對對方電腦的控制權(quán)，一旦登陸成功，就可以取得管理員級的權(quán)利，對方電腦上的資料、密碼等是一覽無余。不過這種木馬一般的

6、“偽黑客”很少使用，因為一不小心就會引火上身，被對方反查過來就會偷雞不成蝕把米了，一般他們都會采用只有服務(wù)器端的小木馬，這類木馬通常會把截取的密碼發(fā)到一個免費郵箱里，不需要人為操作，有空去收趟郵件就可以了，這種木馬遍布互連網(wǎng)的各個角落，的確防不勝防，由于木馬程序眾多，加之不斷有新版本、新品種產(chǎn)生，使得軟件無法完全應(yīng)付，所以手動檢查清除是十分必要的。 木馬會想盡一切辦法隱藏自己，別指望在任務(wù)管理器里看到他們的蹤影，有些木馬更是會和一些系統(tǒng)進程寄生在一起的，如著名的廣外幽靈就是寄生在MsgSrv32.exe里；當然它也會悄無聲息地啟動，木馬會在每次用戶啟動windows時自動裝載服務(wù)端，Windo

7、ws系統(tǒng)啟動時自動加載應(yīng)用程序的方法木馬都會用上，如啟動組、win.ini、system.ini、注冊表等等都是木馬藏身之地；下邊簡單說一下如何檢查，點開始-運行，輸入： msconfig回車 就會打開系統(tǒng)配置實用程序，先點system.ini，看看shell=文件名，正確的文件名應(yīng)該是“explorer.exe”，如果explorer.exe后邊還跟有別的程序的話，就要好好檢查這個程序了，然后點win.ini，“run=”和“l(fā)oad=”是可能加載“木馬”程序的途徑，一般情況下，它們的等號后面什么都沒有，如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中上“木馬”了，當然你

8、也得看清楚，因為如“AOL木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會發(fā)現(xiàn)它不是真正的系統(tǒng)啟動文件；最后點“啟動”，檢查里面的啟動項是不是有不熟悉的，如果你實在不清楚的話可以把他們?nèi)咳∠?，然后重新運行msconfig，看一下有沒有取消的啟動項重新被選中的，一般木馬都會存在于內(nèi)存中，（就是線程插入，然后隱藏進程的木馬，DLL無進程木馬就不會駐留在內(nèi)存里面，我們在下一次中會講到）所以發(fā)現(xiàn)你取消他的啟動項就會自動添加上的，然后你就可以逐步添上你的輸入法，音量控制，防火墻等軟件的啟動項了；還有一類木馬，他是關(guān)聯(lián)注冊表的文件打開方式的，一般木馬經(jīng)常關(guān)聯(lián).exe，點開始-運行，輸

9、入：regedit回車，打開注冊表編輯器，點第一條，也就是HKEY_CLASSES_ROOT，找到exefile，看一下exefileshellopencommand里面的默認鍵值是不是%1 %* ，如果是一個程序路徑的話就一定是中木馬了，另外配合兩種以上的殺毒軟件也是必要的，另外在windows下木馬一般很難清除，最后重新啟動到dos環(huán)境下再進行查殺。 防木馬程序、防火墻、及殺毒軟件介紹： 1、木馬克星： 專業(yè)的個人版木馬查殺工具;近100%查殺各種類型木馬!玩家推薦反木馬品牌! 2、綠鷹PC萬能精靈2.91 ：專業(yè)的個人版木馬查殺工具;近100%查殺各種類型木馬!玩家推薦反木馬品牌! 3、

10、Symantec AntiVirus：這個我就不用再介紹了吧，全球最大的殺毒軟件！強力推薦8.1企業(yè)版。 4、天網(wǎng)防火墻2.51個人版:天網(wǎng)防火墻個人版在網(wǎng)絡(luò)效率與系統(tǒng)安全上完全采用天網(wǎng)防火墻的設(shè)計思想，采用最底層的網(wǎng)絡(luò)驅(qū)動隔絕，其作用層在網(wǎng)絡(luò)硬件與Windows網(wǎng)絡(luò)驅(qū)動之間，在黑客攻擊數(shù)據(jù)接觸Windows網(wǎng)絡(luò)驅(qū)動之前將所有的攻擊數(shù)據(jù)攔截，保護脆弱的Windows網(wǎng)絡(luò)驅(qū)動不會崩潰 看看這個，是用VB編的木馬程序 1.“特洛伊木馬”有被稱為BO， 是在美國一次黑客技術(shù)討論會上由一個黑客組織推出的。它其實是一種客戶機/服務(wù)器程序，其利用的原理就是：在本機直接啟動運行的程序擁有與使用者相同的權(quán)限。

11、因此如果能夠啟動服務(wù)器端（即被攻擊的計算機）的服務(wù)器程序，就可以使用相應(yīng)的客戶端工具客戶程序直接控制它了。下面來談?wù)勅绾斡肰B來實現(xiàn)它。 使用VB建立兩個程序，一個為客戶端程序Client，一個為服務(wù)器端程序systry。 在Client工程中建立一個窗體，加載WinSock控件，稱為tcpClient，協(xié)議選擇TCP，再加入兩個文本框，用以輸入服務(wù)器的IP地址或服務(wù)器名，然后建立一個按鈕，按下之后就可以對連接進行初始化了，代碼如下： Private Sub cmdConnect_Click() If Len(Text1.Text) = 0 And Len(Text2.Text) = 0 Th

12、en MsgBox (請輸入主機名或主機IP地址。) Exit Sub Else If Len(Text1.Text) 0 Then tcpClient.RemoteHost = Text1.Text Else tcpClient.RemoteHost = Text2.Text End If End If tcpClient.Connect Timer1.Enabled = True End Sub 連接建立之后就可以使用DataArrival事件處理所收到的數(shù)據(jù)了。 連接建立之后就可以使用DataArrival事件處理所收到的數(shù)據(jù)了。 在服務(wù)器端systry工程也建立一個窗體，加載WinSo

13、ck控件，稱為tcpServer，協(xié)議選擇TCP，在Form_Load事件中加入如下代碼： Private Sub Form_Load() tcpServer.LocalPort = 1999 tcpServer.Listen End Sub 準備應(yīng)答客戶端程序的請求連接，使用ConnectionRequest事件來應(yīng)答戶端程序的請求，代碼如下： Private Sub tcpServer_ConnectionRequest (ByVal requestID As Long) If tcpServer.State sckClosed Then tcpServer.Close檢查控件的 Stat

14、e 屬性是否為關(guān)閉的。 End If 如果不是，在接受新的連接之前先關(guān)閉此連接。 tcpServer.Accept requestID End Sub 這樣在客戶端程序按下了連接按鈕后，服務(wù)器端程序的ConnectionRequest事件被觸發(fā)，執(zhí)行了以上的代碼。如果不出意外，連接就被建立起來了。 2. 建立連接后服務(wù)器端的程序通過DataArrival事件接收客戶機端程序所發(fā)的指令運行既定的程序。如：把服務(wù)器端的驅(qū)動器名、目錄名、文件名等傳到客戶機端，客戶機端接收后用TreeView控件以樹狀的形式顯示出來，瀏覽服務(wù)器端文件目錄；強制關(guān)閉或重啟服務(wù)器端的計算機；屏蔽任務(wù)欄窗口；屏蔽開始菜單；

15、按照客戶機端傳過來的文件名或目錄名，而刪除它；屏蔽熱啟動鍵；運行服務(wù)器端的任何程序；還包括獲取目標計算機屏幕圖象、窗口及進程列表；激活、終止遠端進程；打開、關(guān)閉、移動遠端窗口；控制目標計算機鼠標的移動與動作；交換遠端鼠標的左右鍵；在目標計算機模擬鍵盤輸入，下載、上裝文件；提取、創(chuàng)建、修改目標計算機系統(tǒng)注冊表關(guān)鍵字；在遠端屏幕上顯示消息。DataArrival事件程序如下： Private Sub tcpServer_DataArrival (ByVal bytesTotal As Long) Dim strData As String Dim i As Long Dim mKey As Str

16、ing tcpServer.GetData strData 接收數(shù)據(jù)并存入strData For i = 1 To Len(strData) 分離strData中的命令 If Mid(strData, i, 1) = Then mKey = Left(strData, i - 1) 把命令I(lǐng)D號存入mKey 把命令參數(shù)存入strData strData = Right(strData, Len(strData) - i) Exit For End If Next i Select Case Val(mKey) Case 1 驅(qū)動器名、目錄名、文件名 Case 2 強制關(guān)閉服務(wù)器端的計算機 Ca

17、se 3 強制重啟服務(wù)器端的計算機 Case 4 屏蔽任務(wù)欄窗口； Case 5 屏蔽開始菜單； Case 6 按照客戶機端傳過來的文件名或目錄名，而刪除它； Case 7 屏蔽熱啟動鍵； Case 8 運行服務(wù)器端的任何程序 End Select End Sub 詳細程序略。 客戶機端用tcpClient.SendData發(fā)命令。命令包括命令I(lǐng)D和命令參數(shù)，它們用符號“”隔開。 另外，當客戶機端斷開與服務(wù)器端的來接后，服務(wù)器端應(yīng)用tcpServer_Close事件，來繼續(xù)準備接收客戶機端的請求，其代碼如下： Private Sub tcpServer_Close() tcpServer.Close tcpServer.Listen End S