关于木马的几种启动形式
3-5-2木马的植入、自启动和隐藏
计算机病毒与防治课程小组
木马自启动途径
程序自动启动的原理
1. 利用INI文件实现相关程序的自动启动 win.ini是系统保存在[Windir]目录下的一个系统初始化文件。 系统在起动时会检索该文件中的相关项,以便对系统环境的初始设 置。在该文件中的“[windows]”数据段中,有两个数据项 “load=” 和“run=”。它们的作用就是在系统起动之后自动地装入和运行相关 的程序。 Win.ini: [windows] load=file.exe run=file.exe System.ini: [boot] Shell=Explorer.exe Shell=Explorer.exe
计算机病毒与防治课程小组
WIN2K中“进程隐藏”的实现
//使用WriteProcessMemory函数将DLL路径名复制到远程进程的内存空间
BOOL lRetun Code= WriteProcessMemory(hRemoteProcess,pszt_lbFlleRemote,( PVOID) pazlbFileName, ICb, NULL);
[HKEY _LOCAL_MACHINE\Software\CLASSES\ShellScrap] @="Scrap object" "NeverShowExt"=" "
NeverShowExt键可以隐藏SHS文件的扩展名.shs。比如将一个文件 改名为“abc.jpg.shs“它只会显示”abc.jpg”。如果你的注册表里有 很多NeverShowExt键值,应予以删除。
计算机病毒与防治课程小组
木马进程的隐藏
访问令牌 进程对象 VAD VAD VAD
对象句柄表项1 对象句柄表项2 „„
木马分析报告
木马分析报告1. 引言木马(Trojan),又称为“特洛伊木马”,是指通过伪装成正常合法程序或文件进入目标系统,并在未被用户察觉的情况下,对系统进行非法操作的恶意软件。
木马程序的存在给系统安全带来了重大威胁,因此,对木马进行深入分析和研究十分必要。
本文将对一款木马进行分析,并对其传播方式、特征和危害进行探讨。
2. 木马的传播方式木马程序主要通过以下几种方式进行传播: 1. 邮件附件:木马程序常常伪装成诱人的附件,通过邮件发送给用户,一旦用户点击或下载附件,木马程序就会悄悄安装和运行。
2. 网络下载:用户在未经过恶意网站的仔细筛选的情况下,下载了含有木马的软件或文件,木马程序就会被安装到用户的系统中。
3. 可移动存储介质:如U盘、移动硬盘等存储介质中含有木马程序,只要用户将这些介质连接到自己的电脑上,木马程序就会被植入系统。
4. 动态链接库:木马程序可能会以DLL(Dynamic-Link Library)的形式出现,通过注入到正常进程中,实现对系统的控制。
3. 木马的特征为了能够更好地进行木马防护,我们需要了解木马的一些特征: 1. 欺骗性:木马程序通常伪装成合法可信的程序或文件,例如常见的.exe、.doc、.pdf等,以迷惑用户进行安装或下载。
2. 启动项修改:木马程序常常会修改系统的启动项,以保证自己能够在系统启动时自动运行,从而实现长期隐藏控制。
3. 远程控制:木马程序通常与远程服务器建立连接,以便黑客能够远程控制被感染的系统,进行各种操控、监控和窃取敏感信息等操作。
4. 系统资源占用增加:木马程序运行时会消耗大量系统资源,例如CPU和内存,从而降低系统的整体性能。
5. 网络流量增加:木马程序会通过网络上传、下载数据,导致网络流量明显增加,对网速造成影响。
4. 木马的危害与预防木马程序给系统带来的危害非常严重,包括但不限于以下几个方面: 1. 数据窃取:木马程序可以利用系统权限,窃取用户的个人隐私数据,例如登录名、密码、银行账号等。
木马实施的五个步骤
木马实施的五个步骤1. 了解目标在实施木马攻击之前,攻击者需要详细了解目标系统。
这包括了解目标的操作系统、网络拓扑结构、使用的软件应用以及系统中可能存在的漏洞。
通过了解目标,攻击者可以选择最有效的木马攻击方式。
为了收集目标相关的信息,攻击者可以使用各种方法,例如网络扫描、社会工程学等。
网络扫描可以帮助发现目标系统的开放端口和服务,通过这些信息可以判断系统中可能存在的攻击面。
2. 选择木马种类根据目标系统的特点和攻击者的目标,选择合适的木马种类。
常见的木马种类包括远程控制木马、键盘记录木马、反弹木马等。
不同种类的木马有不同的功能和特点,攻击者需要根据自己的需求进行选择。
当选择合适的木马种类后,攻击者需要获取该木马的源代码或二进制文件。
这可以通过开源社区、暗网市场和自行开发等方式获得。
3. 注入木马在实施木马攻击之前,攻击者需要找到一种可行的注入方式将木马程序引入目标系统。
注入木马的方式多种多样,例如利用系统漏洞、社会工程学攻击、恶意邮件等。
攻击者可以通过开发新的漏洞利用代码或利用已公开的漏洞对目标系统进行攻击。
利用漏洞成功注入木马后,木马程序会在目标系统上运行并实施相应的攻击行为。
4. 控制目标系统在成功注入木马后,攻击者可以远程控制目标系统并进行各种操作。
这包括获取系统的敏感信息、执行恶意代码、修改系统配置等。
为了保持长期控制目标系统,攻击者通常会尽量隐藏木马的存在,避免被目标系统的管理员和安全软件发现。
攻击者可以使用rootkit等工具来隐藏木马的进程和文件,使其不易被发现。
5. 持久化控制为了持久地控制目标系统,攻击者需要采取措施使木马程序在系统重启后仍能自动运行并保持控制。
这可以通过创建系统服务、修改系统启动项、植入恶意脚本等方式实现。
通过持久化控制,攻击者可以长期操控目标系统,获取敏感信息、扩大攻击面、进行更深入的渗透等。
结论木马实施的五个步骤为了攻击者在进行木马攻击时能够有系统性的规划和步骤,以达到最终的攻击目标。
木马病毒是怎么启动的
木马病毒是怎么启动的木马病毒,提起来都让人害怕,因为他们的破坏性很大,能窃取你的数据如密码,银行帐号,游戏帐号,破坏你的硬盘,等等。
旧的木马杀毒软件可以杀了,但是如果你的电脑中一种新型的木马病毒你能怎么办?特别是一些未知类型的木马病毒,使用一般的杀毒软件或防木马软件是很难将其根除的,这时候我们就需要手动来清除这些病毒文件了。
现在就要我们来认识一下这些木马病毒的启动方式:其实我们只要能破坏这些病毒的启动条件,就可以达到清除病毒的目的,为此,就本人在这方面的一些经验提供给大家,以供参考。
病毒的启动主要分为3类,分别是:一、随windows系统启动,二、映像劫持启动,三、捆绑和嵌入正常程序中启动。
下面我们主要就第一和第二点进行详细介绍。
第一部分:Windows自启动程序一、经典的启动——“启动”文件夹单击“开始→程序”,你会发现一个“启动”菜单,这就是最经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,如所示,其中的程序和快捷方式都会在系统启动时自动运行。
最常见的启动位置如下:当前用户:所有用户:二、有名的启动——注册表启动项注册表是启动程序藏身之处最多的地方,主要有以下几项:1.Run键Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run],也要仔细查看。
木马的7种分类
木马的7种分类木马(Trojan Horse)是指通过一些看似合法的软件、文件、邮件等手段传播的恶意软件。
它可以像拿着一把万能钥匙,随意打开用户电脑中的各个大门,窃取各种敏感信息,控制系统功能,甚至破坏硬件设备。
下面我们将从不同的角度来介绍木马的7种分类。
一、按功能分:1.远程控制型木马:可以远程监控、控制用户电脑,随意执行命令。
2.窃密型木马:可以从用户电脑中窃取各类敏感信息,如账号、密码、银行卡号等。
3.病毒型木马:可以破坏用户电脑中的硬件或软件系统,造成一定的损失。
二、按传播途径分:1.网络传播型木马:通过网络渠道进行传播,如邮件、聊天工具等。
2.U盘插播型木马:诱使用户在电脑中插入感染病毒的U盘。
3.欺诈型木马:通过欺骗等手段让用户自己安装木马软件,如“看片软件”、“电脑清理工具”等。
三、按攻击方式分:1.远控攻击型木马:通过远程控制完成攻击,如后门木马等。
2.利用漏洞型木马:利用系统中的漏洞进行攻击,如Petya病毒等。
3.伪装欺骗型木马:通过伪装、欺骗等手段,使用户误以为是合法的软件。
四、按系统类型分:1.手机木马:主要攻击手机系统,侵害用户个人信息安全等。
2.PC木马:主要攻击PC系统,通过控制计算机实现攻击目的。
3.嵌入式木马:攻击嵌入式系统,如工控系统。
五、按木马特点分:1.加壳木马:通过在木马文件中加壳,改变二进制代码,增加木马的下发成功率。
2.虚拟机逃逸木马:由于虚拟机的隔离性,攻击者通过这种木马可以逃脱虚拟机的隔离,对真实系统进行攻击。
3.钓鱼木马:通过伪造合法的网站,欺诈用户输入个人信息,完成攻击。
六、按传销性质分:按照恶意软件的传播性质,有三种具体类型:自上而下传播的单一部门型传销木马;基于上下级关系或社区传播的多点式传销木马以及病毒式传播模式下的组织结构性传销木马。
1.文件式木马:通过改变文件,将木马程序与正常程序结合到一起,通过运行正常程序启动木马,达到控制的目的。
木马(mu ma)
木马的攻击原理
一.配置木马 一般来说一个设计成熟的木马都有木马配置程序,从具 体的配置内容看,主要是为了实现以下两方 面功能: (1)木马伪装:木马配置程序为了在服务端尽可能的好的 隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件, 定制端口,自我销毁等,我们将在“传播木马”这一节中详 细介绍。 (2)信息反馈:木马配置程序将就信息反馈的方式或地址 进行设置,如设置信息反馈的邮件地址,IRC号 ,ICQ号等 等,具体的我们将在“信息反馈”这一节中详细介绍
第三代木马:网络传播性木马
随着Internet的普及,这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。 同时他还有新的特征: 第一,添加了“后门”功能。 所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装,这些程序就能 够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息,例如,财务报告、 口令及信用卡号。此外,攻击者还可以利用后门控制系统,使之成为攻击其它计算机的帮凶。由 于后门是隐藏在系统背后运行的,因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而 引起注意。 第二,添加了键盘记录功能。 从名称上就可以知道,该功能主要是记录用户所有的键盘内容然后形成键盘记录的日志文件 发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比 较有名的有国外的BO2000(BackOrifice)和国内的冰河木马。它们有如下共同特点:基于网络 的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 当 木马程序攻击得手后,计算机就完全在黑客控制的傀儡主机,黑客成了超级用户,用户的所有计 算机操作不但没有任何秘密而言,而且黑客可以远程控制傀儡主机对别的主机发动攻击,这时候 背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。 虽然木马程序手段越来越隐蔽,但是苍蝇不叮无缝的蛋,只要加强个人安全防范意识,还是 可以大大降低\“中招\”的几率。对此笔者有如下建议:安装个人防病毒软件、个人防火墙软件;及 时安装系统补丁;对不明来历的电子邮件和插件不予理睬;经常去安全网站转一转,以便及时了 解一些新木马的底细,做到知己知彼,百战不殆。
木马概述
六、木马的防范
1、使用病毒防火墙或木马监控程序并及时升级 2、不要轻易打开来历不明的电子邮件附件 3、及时升级浏览器软件、电子邮件软件 4、到大型的网站上下载软件,下载后先进行杀毒 5、显示所有文件的扩展名
一、关于木马
• 木马,又叫特洛伊木马(Trojan Horse),是一种恶意程序,是基于远 程控制的黑客工具,一旦侵入用户的 计算机,就悄悄地在宿主计算机上运 行,在用户毫无察觉的情况下,让攻 击者获得远程访问和控制系统的权限, 进而在用户的计算机中修改文件、修 改注册表、控制鼠标、监视/控制键盘, 或窃取用户信息。 • 古希腊特洛伊之战中利用木马攻陷特 洛伊城;现代网络攻击者利用木马, 采用伪装、欺骗等手段进入被攻击的 计算机系统中,窃取信息,实施远程 监控。
启动方式:集成(捆绑)到应用程序中、隐藏在Autoexec.bat和Config.sys
中、潜伏在Win.ini中、在System.ini中藏身、隐蔽在Winstart.bat中、隐藏在 应用程序的启动配置文件中、伪装在普通文件中、内置到注册表中、隐形于 启动组中、修改文件关联、修改运行可执行文件的方式、设置在超级链接 中。。。 木马常用的传播方式,有以下几种: 以邮件附件的形式传播; 木马伪装之后添加到附件中,发送给收件人; 通过QQ等聊天工具软件传播; 通过提供软件下载的网站传播; 通过一般的病毒和蠕虫传播; 通过带木马的磁盘和光盘进行传播。。。
案例3:
中国某军工科研所发生泄密事件
参与中国海军潜艇科研项目的某军工科研 所发生了重大泄密事件。多份重要保密资料和文 件,甚至一些关键材料的绝密技术资料,都落入 境外情报机关之手。安全、保密等部门迅速查清 了案情:原来又是境外间谍机构无孔不入的网络 窃密攻击。网络间谍工具寻隙钻入一台违规上网 的工作电脑,将其中存储的大量涉及军工项目的 文件资料搜出、下载、传回。泄密案的当事人姓 彭,是一名科研人员。去年中秋前,他用工作电 脑上网查阅自己的邮箱时,收到了一封“国防科 工委办公厅的中秋贺卡”,他没有多想,信手点 开,结果中了网络间谍木马。邮件完全是伪造的, 捆绑着某境外情报机构特制的间谍程序,一经点 击就控制了彭某的工作电脑,偏偏彭某的电脑中 还违规存储了大量军工科研项目的资料,结果, 连潜艇隐身材料这样的军工技术机密都被间谍程 序从网上窃走了。
木马的攻击原理
木马的攻击原理
木马是一种恶意软件,可以隐藏在看似正常的程序或文件中,一旦被执行,会在背后执行恶意操作。
木马的攻击原理主要包括以下几个步骤:
1. 欺骗用户:木马通常会通过社交工程或其他方式欺骗用户执行它,比如伪装成常用软件的安装包或诱导用户点击恶意链接。
2. 植入系统:一旦用户执行了木马,它会植入系统,通常是将自己复制到一些系统目录中,使得它能够在系统启动时自动运行。
3. 启动与隐藏:木马在系统启动后会悄悄地运行,并尽力隐藏自己,比如修改进程名称或隐藏窗口。
这样用户通常难以察觉到木马的存在。
4. 远程操作:木马会与控制端建立连接,使攻击者能够远程控制被感染的计算机。
攻击者可以通过命令控制木马执行各种恶意操作,如窃取个人信息、监控用户活动、发送垃圾邮件或发起网络攻击等。
5. 后门设置:为了保持持久性,木马通常会在系统中设置后门,以便日后攻击者可以随时重新获取对被感染计算机的控制权。
为了防止木马的攻击,用户应保持警惕,谨慎下载和执行可疑的文件或程序,定期更新操作系统和安全软件补丁,及时删除
系统中的可疑文件,使用防火墙以及实时监测和查杀软件来检测木马的存在。
认识木马启动的六种方式
添 加 一 次 不 就 行 了 吗 ? 在 De h l i p
这 不 过 3、 5行 程 序 。 虽 说 这 些 项 目 不 会 出 现 在 mso f 中 , 但 是 在 cn g i
d wsx这 是 经 常 的 ) 木 马 也 就 失 效 o 9 ,
的 【 id w 】 中 的 la W n o s域 o d和 rn 项 会 u
破 解 方 法 : 先 , 安 全 模 式 启 首 以
了 。
在 W id ws 动 时 运 行 , 这 两 个 项 no 启
目 也 会 出 现 在 ms n g中 。 而 且 , c f oi 在 W id ws8安 装 完 成 后 这 两 项 就 会 no 9
被 W id ws的 程 序 使 用 了 , 也 不 很 no 适 合木马使用 。
动 W id ws 这 时 , id w no , W n o s不 会 加
载 注 册 表 中 的 项 目 , 因 此 木 马 不 会 被 启 动 , 相 互 保 护 的 状 况 也 就 不 攻
自 破 了 ; 后 , 就 可 以 删 除 注 册 表 然 你 中 的键 值 和 相 应 的 木 马 程 序 了 。
通 常 木 马 会 使 用 最 后 一 个 。 使 用 W id ws自 带 的 程 序 : c n g或 注 no mso f i
这 种 方 法 好 像 用 的 人 不 是 很 多 , 隐 蔽 性 比 上 一 种 方 法 好 , 的 但 它 内 容 不 会 出 现 在 ms n g中 。 这 个 c f oi 在 键 值 下 的 项 目 和 上 一 种 相 似 ,会 在 W id ws 动 时 启 动 , W id ws no 启 但 n o 启 动 届 , 键 值 下 的项 目会 被 清 空 , 该 因
木马通用的激活方式和清除方法
木马通用的激活方式和清除方法木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。
为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。
这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。
●在Win.ini中启动木马:在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:run=C:Windows ile.exeload=C:Windows ile.exe则这个file.exe很有可能就是木马程序。
●在Windows XP注册表中修改文件关联:修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。
举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。
如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。
当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
●在Windows XP系统中捆绑木马文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。
常见木马的隐藏启动方法
这里只要有“run”敏感字眼的都要仔细。
方法二:利用系统文件
可以利用的文件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 当系统启动的时候,上述这些文件的一些内容是可以随着系统一起加载的,从而可以被木马利用,用文本方式打开 C:\Windows 下面的system.ini文件 我们会看到,其它的几个所述文件也是经常被用来利用,从而达到开机启动的目的的。
木马的隐藏启动至关重要,下面为大家介绍一下它的几种方法:
方法一:注册表启动项:这个大家可能比较熟悉,请大家注意以下的注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
net stop 服务名(关闭服务)
�
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
方法四:利用文件关联:
例如:正常情况下txt文件的打开方式为Notepad.exe文件,如果一旦中了文件关联类的木马,这样打开一个txt文件,原本应该用Notepad打开该文件的,现在却变成了启动木马程序了。
②进入控制面版,选择文件夹选项-----------文件类型
然后点击"高级" 在弹出的菜单中选择“应用程序”
方法五:利用服务加载
系统要正常的运行,就少不了一些服务,一些木马通过加载服务来达到随系统启动的目的
木马简单分析
木马的工作原理木马在实质上只是—个网络客户端,服务器程序。
是一种基于远程控制的黑客工具,木马一般有两部分组成:服务器端,客户端。
在Windows系统中,木马一般是—个网络服务程序,服务器端运行于感染的机器上监听它的一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。
当该木马相应的客户端程序在此端口上请求连接时,木马的客户端和服务器端就建立—个TCP连接.这样客户端就可以控触感染木马的机器,以达到攻击的目的。
1.1利用木马对目标进行攻击。
1.1.1传播木马。
木马的传播方式主要有两种:一种是通过E—MAIL黑客把木马程序以附件的形式用邮件中发送出去,收信人只要打开附件,系统就会感染木马:另—种是软件下载,—些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。
现在有专门的捆绑软件,可以把不同功能的软件捆绑在—起。
1.1.2木马的隐藏方式。
鉴于木马的危害性'很多人对木马知识还是有—定了解的'这对木马的传播起了一定的抑制作用。
为了使木马不被发现,木马配置程序会采用诸如修改图标,捆绑文件,定制端口,自我销毁等伪装手段,黑客开发了多种功能来伪装木马。
以达到降低用户警觉欺骗用户的目的,下面介绍一下常见的几种伪装手段。
a修改图标。
服务器的图标必须能够迷惑目标电脑的主人。
如果木马的图标看上去象是系统文件,电脑的主人就不会轻易地删除他。
另外在E—mail的附件中,木马设计者们将木马服务端程序的图标改成HTML,TXT、ZIP等各种文件的图标,这样就有相当大的迷惑性现在这种木马很常见。
b.捆绑文件。
为了启动木马,最容易下手的地方是三个,注册表、win.ini、system.ini,电脑启动的时候,需要装载这三个文件。
还有替换windows启动程序装载的,例如schoolbus 1.60版本。
以上木马的启动方式都属于非捆绑方式,大部分木马是使用这几种方式启动的。
木马病毒的工作原理
木马病毒的工作原理木马病毒,是病毒的特殊形式,它与一般病毒的区别是它不仅停留在本机电脑里,更利用一些手段开放电脑端口获得与木马服务器的通信,达到获取用户信息的目的。
下面是,希望店铺整理的对你有用,欢迎阅读:一个木马程序通常很小,它典型的工作方式是通过一些手段下载到用户电脑里,然后获得启动。
启动后的木马进入活动状态。
活动状态的木马就可以进行破坏性的操作了。
木马病毒的下载方式:(1) 网页挂马;(2)文件捆绑;(3)利用系统或软件漏洞;木马病毒的启动方式:需要手动的启动方式:(1)修改文件图标,比如把exe格式的文件图标换成记事本,诱惑用户点击;(2)和捆绑文件一起启动;(3)修改启动关联,比如修改注册表后每次打开txt文本时就能启动木马程序;其它的自启动方式:(4)把木马释放到WIN程序启动项里;(5)修改注册表启动项;(6)config.sys等方式;木马病毒的破坏性操作:(1)销毁自身(为了免除后患,是自我保护的手段);(2)打开电脑端口,电脑被远程控制;(3)信息泄露;(4)为了驻留客户端电脑所作的其它感染或复制操作。
对于一般的电脑使用者来说,当然安装好的杀毒软件就可以解决大部分的问题,不过杀毒软件通常对新木马不很有效。
如果之前你已经了解了木马的工作原理和驻留方式,会更有助于你保护自己的电脑。
i d = " 1 0 3 " > u l i d = " p a g e _ s l i c e " b d s f i d = " 1 04 " > / u l > / d i v > / d i v > a h r e f = " / / w w w . x u e x i l a .c o m / o f f i c e / i nde x . h t m l ? u r l = / d i a n n a o / a n q u a n / b i n g d u / 3 1 9 0 7 3 . h t m l ? r = 0 . 7 9 1 9 3 3 4 1 3 9 4 5 " t a r g e t = " _ b l a n k " c l a s s = " d o w n l o a d _ c a r d " b d sf i d = " 1 0 5 " > i mg c l a s s = " d o w n l o a d _ c a r d _ p i c " s r c = " / / s t a t i c . / i m g / d o c / 1 . 0 / m / i c o n _ w o r d . p n g " a l t = " " b d s f i d = " 1 0 6 " > d i v c l a s s = "d o w n l o a d _ c a r d _ m s g " b d s f i d = " 1 0 7 " >。
木马程序的启动方式
木马程序的启动方式木马程序一般的启动方式有:加载到“开始”菜单中的“启动”项、记录到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Run]项和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run]项中,更高级的木马还会注册为系统的“服务”程序,以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中找到它的踪迹。
另一种鲜为人知的启动方式,是在“开始→运行”中执行“Gpedit.msc”。
打开“组策略”,可看到“本地计算机策略”中有两个选项:“计算机配置”与“用户配置”,展开“用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项进行属性设置,选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中输入要自启动的程序的路径,如图所示,单击“确定”按钮就完成了。
添加需要启动的文件面重新启动计算机,系统在登录时就会自动启动你添加的程序,如果刚才添加的是木马程序,那么一个“隐形”木马就这样诞生了。
因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的,同样在我们所熟知的注册表项中也是找不到的,所以非常危险。
通过这种方式添加的自启动程序虽然被记录在注册表中,但是不在我们所熟知的注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Run]项和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi on\Run]项内,而是在注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Policies\Explorer\Run]项。
木马的7种分类
木马的7种分类木马是计算机病毒中的一种类型,它们是通过网络上的恶意软件传播到用户计算机上的一种程序。
木马通常会伪装成合法的软件或文件,通过隐藏自己的存在,获取用户的敏感信息以及控制用户计算机的权限。
根据不同的特点和目的,木马可以分为以下七种类型。
1. 远程控制木马(RAT)远程控制木马是一种可以通过远程连接来控制被感染计算机的木马。
黑客可以通过这种木马远程操控计算机,发送命令来执行各种操作,如窃取个人信息、删改文件等。
远程控制木马通常会隐藏自己的存在,用户对其一无所知。
2. 数据盗取木马数据盗取木马是一种专门用于窃取用户计算机上的敏感信息的木马。
这些信息可以包括登录密码、信用卡号码、银行账户信息等。
一旦用户输入这些敏感信息,木马便会将其发送到黑客控制的服务器上,并可能用于非法活动。
3. 拉姆木马拉姆木马是一种利用已经感染的计算机和网络进行攻击的木马。
它可以将感染的计算机组织成一个被黑客控制的网络,用于进行分布式拒绝服务攻击(DDoS)或发送垃圾邮件等恶意活动。
5. 下载器木马下载器木马是一种通过下载其他恶意软件或文件到用户计算机上的木马。
一旦用户被感染,下载器木马会在后台下载并安装其他病毒、恶意软件或广告插件。
这些恶意软件可能会损害用户计算机的性能,窃取个人信息或泄漏广告。
6. 网络蠕虫网络蠕虫是一种可以自行传播的木马。
一旦用户计算机被感染,蠕虫会寻找其他未感染的计算机,并通过网络传播自己。
这种木马的传播速度和范围往往比其他木马更快、更广。
7. 自启动木马自启动木马是一种会在计算机开机时自动运行的木马。
一旦用户计算机被感染,木马会在每次计算机重启时自动启动,并开始执行其恶意操作。
这种木马往往较难被发现和清除,会长期存在于用户计算机中。
木马工作原理
木马工作原理
木马是一种恶意软件,旨在通过隐藏在合法程序或文件中,进而偷取敏感信息、控制被感染的计算机或传播其他恶意软件。
它的工作原理主要由以下几个步骤组成:
1. 欺骗用户:木马通常会被命名为吸引人的文件名,如游戏补丁、破解工具等,以诱使用户下载并执行。
2. 静默安装:一旦用户下载并执行木马程序,它会进行静默安装,尽可能避免用户察觉。
3. 植入恶意代码:木马会将自身植入计算机系统中,并将恶意代码插入到合法程序或系统文件中,使其与正常的软件功能相混合,隐藏自己的存在。
4. 启动后门:木马通过在被感染系统上创建后门,以便黑客远程控制被感染的计算机,并执行恶意操作。
5. 数据窃取:木马通常会用指令集记录用户的敏感信息,如账号密码、银行卡信息等,然后将这些数据发送到控制服务器上。
6. 扩散传播:木马可以通过多种方式传播自己,如利用邮件附件、网络下载、USB设备等,以感染更多的计算机。
为了更好地保护计算机系统免受木马的侵害,用户应该保持良好的安全意识,避免下载和执行可疑来源的文件,及时安装和更新杀毒软件,定期进行系统补丁更新,并备份重要数据。
同时,网络管理员也应采取综合的安全措施,包括防火墙、入侵检测系统等,来减少木马的风险。
木马
木马的安全与技术姓名:王芳学号:200841607049学院:化学化工与环境学院系别:环境科学系在计算机领域中,木马是有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。
木马主要可分为以下几种,(1)破坏型:这种木马唯一的功能就是破坏并且删除文件,它们非常简单,很容易使用。
能自动删除目标机上的DLL、INI、EXE 文件,所以非常危险,一旦被感染就会严重威胁到电脑的安全。
(2)密码发送型:这种木马可以找到目标机的隐藏密码,并且在受害者不知道的情况下,把它们发送到指定的信箱。
如果目标机有隐藏密码,这些木马是非常危险的。
(3)远程访问型:这种木马是现在使用最广泛的木马,它可以远程访问被攻击者的硬盘。
只要有人运行了服务端程序,客户端通过扫描等手段知道了服务端的IP地址,就可以实现远程控制。
(4)键盘记录木马:这种特洛伊木马非常简单,它们只做一件事情,就是记录受害者的键盘敲击并且在LOG 文件里查找密码,并且随着Windows 的启动而启动,自动将密码发送到黑客指定的邮箱。
(5)DOS攻击木马(6)FTP木马:这种木马是最简单和古老的木马,它的惟一功能就是打开21端口,等待用户连接。
(7)反弹端口型木马:与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。
木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的被动端口;为了隐蔽起见,控制端的被动端口一般开在80,用户稍微疏忽一点,就会以为是自己在浏览网页,因为浏览网页都会打开80端口的。
(8)代理木马:这是黑客用来隐藏自身踪迹的一种木马。
(9)程序杀手木马:上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。
常见的防木马软件有ZoneAlarm,Norton Anti-Virus 等。
程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用。
木马病毒的六种启动方式
木马病毒的六种启动方式一、通过"开始\程序\启动"隐蔽性:2星应用程度:较低这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。
因为启动组的每人会会出现在“系统配置实用程序”msconfig.exe,以下简称msconfig中。
事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
二、通过Win.ini文件隐蔽性:3星应用程度:较低同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。
在Windows3.2中,Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在msconfig中。
而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。
三、通过注册表启动1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices隐蔽性:3.5星应用程度:极高应用案例:BO2000,GOP,NetSpy,IEthief,冰河……这是很多Windows程序都采用的方法,也是木马最常用的。
使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最后一个。
使用Windows自带的程序:msconfig或注册表编辑器regedit.exe,以下简称regedit都可以将它轻易的删除,所以这种方法并不十分可靠。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。
破解他们的方法也可以用安全模式。
另外使用这三个键值并不完全一样,通常木马会选择第一个,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束会才继续启动Windows。
四、通过Autoexec.bat文件,或winstart.bat,config.sys文件
FTP日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnNE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
那我们就可手动清除吧:
1. 日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。那我们就切换到这个目录下吧,然后 del *.*。你大概想是安全了吧,那就dir一下吧。…… 咦,咦,今天的日志怎么还在?不要慌!因为w3svc服务还开着,那我们怎么清除这个日志文件呢?
隐蔽性:3.5星
应用程度:较低
其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我想能写这样木马的人一定是高手中的高手了。
三、通过注册表启动
1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和
我想大想一定用过小榕的CLeanIIsLog,是一个不错的日志清除工具。不过可惜,只能清除IIS的日志,那ftp和shedule等产生的日志文件呢,我们一般只能手动清除。
1.清除IIS的日志。
可不要小看IIS的日志功能,它可以详细的记录下你的入侵全过程,如你用unicode入侵时ie里打的命令,和对80端口扫描时留下的痕迹。你可能就因为对其不注意,而被网管盯上,说不定还会…… 呵呵。
方法一: 如有3389可以登录,那就用notepad打开,按Ctrl+A 然后del吧。
方法二: net 命令
C:\>net stop w3svc
World Wide Web Publishing Service 服务正在停止。(可能会等很长的时间,也可能不成功)
3、文件关联
隐蔽性:5星
应用程度:常见
应用案例:广外女生
通常木马程序会将自己和TXT文件或EXE文件关联,这样当你打开一个文本文件或运行一个程序时,木马也就神不知鬼不觉的启动了。
这类通过特定程序或文件启动的木马,发现比较困难,但查杀并不难。一般地,只要删除相应的文件和注册表键值即可
进入MS-DOS PROMPT
C:\WINDOWS>edit services (回车)
HAKTEK是一个非常实用的一个工具软件,它将许多应用集成在一起的工具,其中包括:PING、IP范围扫描、目标主机端口扫描、邮件炸弹、过滤邮件、FINGER主机等都是非常实用的工具。
给大家推荐一个工具——Autoruns,该工具能够扫描出系统中所有没有得到微软认证的服务,
灰鸽子的服务端安装程序由客户端根据自定义设置自动生成。能够自定义的项目包括:服务端安装成功后是否删除安装程序;是否在任务管理器中隐藏进程;是否在注册表中加入启动键项。
黑洞2004 是木马用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。
另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类似"Deltree C:\*.*"和"Format C:/u"的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。
五、通过System.ini文件
隐蔽性:5星
应用程度:一般
应用案例:尼姆达
破解方法:首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自破了;然后,你就可以删除注册表中的键值和相应的木马程序了。
2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,
2、将特定的程序改名
隐蔽性:5星
应用程度:常见
这种方式常见于针对QQ的木马,例如将QQ的启动文件QQ2000b.exe,改为QQ2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为QQ2000b.ico,而用户会认为它是一个图标),再将木马程序改为QQ2000b.exe,此后,用户运行QQ,实际是运行了QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来要比上一种简单的多。
一、通过"开始\程序\启动"
隐蔽性:2星
应用程度:较低
这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人会会出现在“系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
事实上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是"Explorer.exe",这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为Progman.exe就可以让Win9x变成Windows3.2)。我们可以在"Explorer.exe"后加上木马程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell这一项嘛,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启动,呵呵以毒攻毒啊。
隐蔽性:4星
应用程度:较低
应用案例:Happy99
这种方法好像用的人不是很多,但隐蔽性比上一种方法好,它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢?
其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。
还有一种方法,不是在启动的时候加而是在退出Windows的时候加,这要求木马程序本身要截获WIndows的消息,当发现关闭Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦Windows异常中止(对于Windows9x这是经常的),木马也就失效了。
六、通过某特定程序或文件启动
1、寄生于特定程序之中
隐蔽性:5星
应用程度:一般
即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。
二、通过Win.ini文件
隐蔽性:3星
应用程度:较低
应用案例:Asylum
同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。在Windows3.2中,Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在msconfig中。而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。
Step1中的UPX就是这样一款压缩软件,但默认该软件是按照自身的设置对服务端压缩的,因此得出的结果都相同,很难长时间躲过杀毒软件;而自己对服务端进行压缩,就可以选择不同的选项,压缩出与众不同的服务端来,使杀毒软件很难判断。下面我就以冰河为例,为大家简单的讲解一下脱壳(解压)、加壳(压缩)的过程。