新方法帮你识隐藏木马

2008年05月07日14:17  来源:来自论坛

 【字号 打印 留言 论坛 网摘 手机点评 纠错
E-mail推荐:  

  一、经常看到有玩家说,在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员,还按照 这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道,不管是传奇还是任何一款程序。它 都是有他所特有的数据的(包括玩家的帐号、密码,等级装备资料等等)。这些数据都是会通过本机与游戏服务器取得了验证以后,玩家的角色资料才会出现在玩家 的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等 级~~~~~,以我自己的计算机知识,这种语句的大概意思应该是:当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等 资料。也就是说,其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。

  下边先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把 木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临 时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把 木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个 他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是 把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这 些,相信你已经对网页木马已经有了大概了解

  简单防治的方法:

  开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这 只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可 以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是 一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全, 据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。

  下边介绍一下木马和如何简单的检查一下是否中了木马。

  木马程序一般分为服务器端程序和客户端程序两个部分,当服务器端程序安装在某台连接到网络的电脑后,就能使用客户端程序对其进行登陆。这和 PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是,木马是非法取得对对方电脑的控制权,一旦登陆成功,就可以取得管理员级的 权利,对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用,因为一不小心就会引火上身,被对方反查过来就会偷鸡不成蚀把米了,一 般他们都会采用只有服务器端的小木马,这类木马通常会把截取的密码发到一个免费邮箱里,不需要人为操作,有空去收趟邮件就可以了,这种木马遍布互连网的各 个角落,的确防不胜防,由于木马程序众多,加之不断有新版本、新品种产生,使得软件无法完全应付,所以手动检查清除是十分必要的。

  木马会想尽一切办法隐藏自己,别指望在任务管理器里看到他们的踪影,有些木马更是会和一些系统进程寄生在一起的,如著名的广外幽灵就是寄生在 MsgSrv32.exe里;当然它也会悄无声息地启动,木马会在每次用户启动windows时自动装载服务端,Windows系统启动时自动加载应用程 序的方法木马都会用上,如启动组、win.ini、system.ini、注册表等等都是木马藏身之地;下边简单说一下如何检查,点开始-运行,输入:

  msconfig回车 就会打开系统配置实用程序,先点system.ini,看看shell=文件名,正确的文件名应该是“explorer.exe”,如果 explorer.exe后边还跟有别的程序的话,就要好好检查这个程序了,然后点win.ini,“run=”和“load=”是可能加载“木马”程序 的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了,当然你也得看清 楚,因为如“AOL木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件;最后点“启动”,检查里面的启 动项是不是有不熟悉的,如果你实在不清楚的话可以把他们全部取消,然后重新运行msconfig,看一下有没有取消的启动项重新被选中的,一般木马都会存 在于内存中,(就是线程插入,然后隐藏进程的木马,DLL无进程木马就不会驻留在内存里面,我们在下一次中会讲到)所以发现你取消他的启动项就会自动添加 上的,然后你就可以逐步添上你的输入法,音量控制,防火墙等软件的启动项了;还有一类木马,他是关联注册表的文件打开方式的,一般木马经常关联.exe, 点开始-运行,输入:regedit回车,打开注册表编辑器,点第一条,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\\ exefile\\shell\\open\\command里面的默认键值是不是"%1" %* ,如果是一个程序路径的话就一定是中木马了,另外配合两种以上的杀毒软件也是必要的,另外在windows下木马一般很难清除,最后重新启动到dos环境 下再进行查杀。

(责编:宋阳)
新闻检索:    
   热图推荐
组图 白领最累城市排行组图 白领最累城市排行
中国40岁下商界精英榜中国40岁下商界精英榜
组图 全球举世闻名的运河组图 全球举世闻名的运河
盘点世界类生存重要河流盘点世界类生存重要河流
武钢发言人咆哮女记者武钢发言人咆哮女记者
全球十大最“性感”的建筑全球十大最“性感”的建筑
全球小而精的航空公司全球小而精的航空公司
盘点全球17个世界之最高盘点全球17个世界之最高
世界上那些叫做“中国”的地方世界上那些叫做“中国”的地方
“三亚最大贫民窟被强拆”真相“三亚最大贫民窟被强拆”真相
   精彩新闻
·上海医药港股上市前夕遭举报 A股股价下跌
·偷梁换柱隐瞒关联交易 哈尔滨誉衡药业被责令整改
·京通快速公交道24日启用 八通线压力将缓解(图)
·上网电价提价潮蔓延至华东地区 安徽将率先上调
·中投静待再注资 外储激增凸显主权财富基金必要性
·中国黄金转让富豪银矿32.52%股权 价格为581.05万
·中国中冶转让万达广场房产 转让价格面议
·联通单方拆除小灵通基站 退市补偿方案迟迟未出台
·稀土价格“朝报夕改” 下游行业或面临洗牌
·广东最低工资标准调整有望形成机制
   博客精选
·联通资费大幅下降意在强奸iPhone用户
·中国SNS社交游戏市场遭遇“恐美症”?
·积微成著,联想集团何以短期制胜?
·传统企业如何对待电子商务的风潮
·别对互联网电视发展前景过于乐观

羊年真的会惨吗?羊年真的会惨吗?
我们的福利受法律保护我们的福利受法律保护
·本本:4千元精品本本导购·本本:细数近期到货的新款本
·相机:拍美女都用啥镜头?·相机:玩转风光摄影11条法则
·液显:超值21.5吋液晶搜罗·液显:全高清大屏显示器推荐
·硬件:淘宝键鼠假货全曝光·硬件:暑期不推荐的十大硬件
当当网年底欲赴美上市当当网年底欲赴美上市
团购图实惠 下单须谨慎团购图实惠 下单须谨慎
·时尚三核靓本 东芝L600D今日热销中
·谷歌将美国内务部告上法庭 称在竞标时偏袒微软
·蒙牛称“特仑苏”域名遭恶意抢注
·时光网关张半月 员工非正面回应“涉黄”问题
·百团大战的热闹背后 团购网站“不能说的秘密”
·华硕天价索赔案:黄静状告律师泄密终审败诉
[一语惊坛]收入差距尚且"讳言",分配不公如何"开刀"?
[论坛]美派三航母迎接胡总出访?·六国要联合对抗中国?
[访谈]党国英谈农村城镇化·外交部李松谈伊朗问题
[辩论]  花千亿投资迪斯尼,值吗?·你认同买不如租吗?
[博客]温总理:见一叶而知天下 女副市长咋被骗色骗财?
[博客]毛泽东为何成中国文化符号 男人居住北京11条理由
   无线·手机媒体
“G族看两会 不是浮云”“G族看两会 不是浮云”
“手机民意直寄总理”“手机民意直寄总理”
人民网