新方法幫你識隱藏木馬

2008年05月07日14:17  來源:來自論壇

 【字號 打印 留言 論壇 網摘 手機點評 糾錯
E-mail推薦:  

  一、經常看到有玩家說,在輸入自己的帳號的時候通故意輸錯帳號和碼。其實這種木馬是最早期的木馬程序。現在已經很少有編木馬程序的程序員,還按照 這種監聽鍵盤記錄的思路去編寫木馬程序。現在的木馬程序已經發展到通過內存提取數據來獲得用戶的帳號和密碼。大家都知道,不管是傳奇還是任何一款程序。它 都是有他所特有的數據的(包括玩家的帳號、密碼,等級裝備資料等等)。這些數據都是會通過本機與游戲服務器取得了驗証以后,玩家的角色資料才會出現在玩家 的面前。而這些數據在運行的時候都是存放在計算機的內存裡面的。木馬作者隻需要在自己的程序裡面加入條件語句就可以取得玩家真實的游戲帳號、密碼、角色等 級~~~~~,以我自己的計算機知識,這種語句的大概意思應該是:當游戲進程進入到讓玩家選擇角色的時候再從內存中提取最后一次的帳號、密碼、角色等級等 資料。也就是說,其實玩家之前所做的故意輸錯帳號或密碼完全是浪費自己的表情、浪費自己的時間。

  下邊先來說一下木馬是如何通過網頁進入你的電腦的,相信大家都知道,現在有很多圖片木馬,EML和EXE木馬,其中的圖片木馬其實很簡單,就是把 木馬exe文件的文件頭換成bmp文件的文件頭,然后欺騙IE瀏覽器自動打開該文件,然后利用網頁裡的一段JAVASCRIPT小程序調用DEBUG把臨 時文件裡的bmp文件還原成木馬exe文件並拷貝到啟動項裡,接下來的事情很簡單,你下次啟動電腦的時候就是你噩夢的開始了,EML木馬更是傳播方便,把 木馬文件偽裝成audio/x-wav聲音文件,這樣你接收到這封郵件的時候隻要瀏覽一下,不需要你點任何連接,windows就會為你代勞自動播放這個 他認為是wav的音樂文件,木馬就這樣輕鬆的進入你的電腦,這種木馬還可以frame到網頁裡,隻要打開網頁,木馬就會自動運行,另外還有一種方法,就是 把木馬exe編譯到.JS文件裡,然后在網頁裡調用,同樣也可以無聲無息的入侵你的電腦,這只是些簡單的辦法,還有遠程控制和共享等等漏洞可以鑽,知道這 些,相信你已經對網頁木馬已經有了大概了解

  簡單防治的方法:

  開始-設置-控制面版-添加刪除程序-windows安裝程序-把附件裡的windows scripting host去掉,然后打開Internet Explorer瀏覽器,點工具-Internet選項-安全-自定義級別,把裡面的腳本的3個選項全部禁用,然后把“在中加載程序和文件”禁用,當然這 只是簡單的防治方法,不過可能影響一些網頁的動態java效果,不過為了安全就犧牲一點啦,這樣還可以預防一些惡意的網頁炸彈和病毒,如果條件允許的話可 以加裝防火牆,再到微軟的網站打些補丁,反正我所知道的網吧用的都是原始安裝的windows,很不安全哦,還有盡量少在一些小網站下載一些程序,尤其是 一些號稱黑客工具的軟件,小心盜不著別人自己先被盜了,當然,如果你執意要用的話,號被盜了也應該付出這個代價吧。還有,不要以為裝了還原精靈就很安全, 據我所知,一般網吧的還原精靈都隻還原c:盤即系統區,所以隻要木馬直接感染你安裝在別的盤裡的游戲執行文件,你照樣逃不掉的。

  下邊介紹一下木馬和如何簡單的檢查一下是否中了木馬。

  木馬程序一般分為服務器端程序和客戶端程序兩個部分,當服務器端程序安裝在某台連接到網絡的電腦后,就能使用客戶端程序對其進行登陸。這和 PcAnywhere以及NetMeeting的遠程控制功能相似。但不同的是,木馬是非法取得對對方電腦的控制權,一旦登陸成功,就可以取得管理員級的 權利,對方電腦上的資料、密碼等是一覽無余。不過這種木馬一般的“偽黑客”很少使用,因為一不小心就會引火上身,被對方反查過來就會偷雞不成蝕把米了,一 般他們都會採用隻有服務器端的小木馬,這類木馬通常會把截取的密碼發到一個免費郵箱裡,不需要人為操作,有空去收趟郵件就可以了,這種木馬遍布互連網的各 個角落,的確防不勝防,由於木馬程序眾多,加之不斷有新版本、新品種產生,使得軟件無法完全應付,所以手動檢查清除是十分必要的。

  木馬會想盡一切辦法隱藏自己,別指望在任務管理器裡看到他們的蹤影,有些木馬更是會和一些系統進程寄生在一起的,如著名的廣外幽靈就是寄生在 MsgSrv32.exe裡;當然它也會悄無聲息地啟動,木馬會在每次用戶啟動windows時自動裝載服務端,Windows系統啟動時自動加載應用程 序的方法木馬都會用上,如啟動組、win.ini、system.ini、注冊表等等都是木馬藏身之地;下邊簡單說一下如何檢查,點開始-運行,輸入:

  msconfig回車 就會打開系統配置實用程序,先點system.ini,看看shell=文件名,正確的文件名應該是“explorer.exe”,如果 explorer.exe后邊還跟有別的程序的話,就要好好檢查這個程序了,然后點win.ini,“run=”和“load=”是可能加載“木馬”程序 的途徑,一般情況下,它們的等號后面什麼都沒有,如果發現后面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上“木馬”了,當然你也得看清 楚,因為如“AOL木馬”,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件;最后點“啟動”,檢查裡面的啟 動項是不是有不熟悉的,如果你實在不清楚的話可以把他們全部取消,然后重新運行msconfig,看一下有沒有取消的啟動項重新被選中的,一般木馬都會存 在於內存中,(就是線程插入,然后隱藏進程的木馬,DLL無進程木馬就不會駐留在內存裡面,我們在下一次中會講到)所以發現你取消他的啟動項就會自動添加 上的,然后你就可以逐步添上你的輸入法,音量控制,防火牆等軟件的啟動項了;還有一類木馬,他是關聯注冊表的文件打開方式的,一般木馬經常關聯.exe, 點開始-運行,輸入:regedit回車,打開注冊表編輯器,點第一條,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\\ exefile\\shell\\open\\command裡面的默認鍵值是不是"%1" %* ,如果是一個程序路徑的話就一定是中木馬了,另外配合兩種以上的殺毒軟件也是必要的,另外在windows下木馬一般很難清除,最后重新啟動到dos環境 下再進行查殺。

(責編:宋陽)
新聞檢索:    
   熱圖推薦
組圖 白領最累城市排行組圖 白領最累城市排行
中國40歲下商界精英榜中國40歲下商界精英榜
組圖 全球舉世聞名的運河組圖 全球舉世聞名的運河
盤點世界類生存重要河流盤點世界類生存重要河流
武鋼發言人咆哮女記者武鋼發言人咆哮女記者
全球十大最“性感”的建筑全球十大最“性感”的建筑
全球小而精的航空公司全球小而精的航空公司
盤點全球17個世界之最高盤點全球17個世界之最高
世界上那些叫做“中國”的地方世界上那些叫做“中國”的地方
“三亞最大貧民窟被強拆”真相“三亞最大貧民窟被強拆”真相
   精彩新聞
·上海醫藥港股上市前夕遭舉報 A股股價下跌
·偷梁換柱隱瞞關聯交易 哈爾濱譽衡藥業被責令整改
·京通快速公交道24日啟用 八通線壓力將緩解(圖)
·上網電價提價潮蔓延至華東地區 安徽將率先上調
·中投靜待再注資 外儲激增凸顯主權財富基金必要性
·中國黃金轉讓富豪銀礦32.52%股權 價格為581.05萬
·中國中冶轉讓萬達廣場房產 轉讓價格面議
·聯通單方拆除小靈通基站 退市補償方案遲遲未出台
·稀土價格“朝報夕改” 下游行業或面臨洗牌
·廣東最低工資標准調整有望形成機制
   博客精選
·聯通資費大幅下降意在強奸iPhone用戶
·中國SNS社交游戲市場遭遇“恐美症”?
·積微成著,聯想集團何以短期制勝?
·傳統企業如何對待電子商務的風潮
·別對互聯網電視發展前景過於樂觀

羊年真的會慘嗎?羊年真的會慘嗎?
我們的福利受法律保護我們的福利受法律保護
·本本:4千元精品本本導購·本本:細數近期到貨的新款本
·相機:拍美女都用啥鏡頭?·相機:玩轉風光攝影11條法則
·液顯:超值21.5吋液晶搜羅·液顯:全高清大屏顯示器推薦
·硬件:淘寶鍵鼠假貨全曝光·硬件:暑期不推薦的十大硬件
當當網年底欲赴美上市當當網年底欲赴美上市
團購圖實惠 下單須謹慎團購圖實惠 下單須謹慎
·時尚三核靚本 東芝L600D今日熱銷中
·谷歌將美國內務部告上法庭 稱在競標時偏袒微軟
·蒙牛稱“特侖蘇”域名遭惡意搶注
·時光網關張半月 員工非正面回應“涉黃”問題
·百團大戰的熱鬧背后 團購網站“不能說的秘密”
·華碩天價索賠案:黃靜狀告律師泄密終審敗訴
[一語驚壇]收入差距尚且"諱言",分配不公如何"開刀"?
[論壇]美派三航母迎接胡總出訪?·六國要聯合對抗中國?
[訪談]黨國英談農村城鎮化·外交部李鬆談伊朗問題
[辯論]  花千億投資迪斯尼,值嗎?·你認同買不如租嗎?
[博客]溫總理:見一葉而知天下 女副市長咋被騙色騙財?
[博客]毛澤東為何成中國文化符號 男人居住北京11條理由
   無線·手機媒體
“G族看兩會 不是浮雲”“G族看兩會 不是浮雲”
“手機民意直寄總理”“手機民意直寄總理”
人民網