程序木马病毒的判断当你的王国而带来的沦陷_病毒安全_

第5章计算机木马病毒木马病毒简介基本木马病毒定义木马病毒3000多年前，木马王国和古希腊战争将战场上的大型木马带回了自己的王国。在Internet上下载的应用程序。或者游戏包含可以控制用户计算机系统的程序。它们允许受害计算机为未知入侵打开大门，使受害系统和数据暴露于混乱的网络世界。木马病毒入侵者的工作原理服务器端程序必须通过各种方式传递给受害者以运行，以达到木马传播的目的。当服务器端由受害人的计算机执行时，它将自身复制到系统目录中，并将正在运行的代码添加到系统中，该代码将在系统启动时自动调用。该区域通常称为启动项。当木马完成此部分操作时，它进入潜伏期__秘密打开系统端口并等待入侵者连接。该木马可以通过ScriptActiveX Asp.CGI交互式脚本植入（漏洞），当服务器在受感染的计算机上运行时，一方面，它会尽可能地隐藏在计算机的一角，以防止用户发现它。同时，它侦听特定端口并等待。客户已建立连接，并且为了在下次重新启动计算机时仍能正常工作，木马程序通常通过修改注册表或其他方法使自己成为自启动程序。常规程序中包含木马的特征。当用户执行正常程序的时候到了，该启动自己，并完成一些操作，这些操作会在用户难以感知的隐蔽状态下危及用户。

系统启动时，它将跟随启动，因此您必须潜入启动配置文件，例如win.inisystem.ini winstart.bat和启动组。除了普通的文件操作外，该木马还具有搜索缓存。在密码中，设置密码，扫描目标计算机的IP地址，执行键盘记录，远程注册表操作以及锁定鼠标功能以确定木马病毒。当您浏览网络时，弹出一些广告窗口是正常的，但是如果您根本没有打开浏览器，但是浏览器会突然自行打开并进入某个网站。系统配置总是自动更改的，例如屏幕保护程序上显示的文本，时间和日期，声音大小以及CDROM自动运行配置。硬盘总是不合理的。读取磁盘时，软盘驱动器指示灯通常会自行点亮，并且网络连接和鼠标屏幕均异常。 Netstat — a也可以通过端口扫描找到一些智障木马。该软件可以检查系统进程以查找木马。使用基本命令检查计算机是否已被木马程序击中。检查网络连接Netstat禁用未知服务网络启动网络停止服务器轻松检查帐户网络用户net uset +用户名木马启动方法木马启动方法概述：自启动功能是出色的木马，可确保木马不会由您的关闭操作引起的木马程序员正在不断研究和探索新的自启动技术，并且经常有新发现，例如：将木马添加到用户经常执行的程序（explorer.exe）中，以及在用户执行时该程序，木马会自动运行，例如：Windows系统文件和注册表木马启动方法1在win.ini中启动（load = run =原来的空木马可以重写为load = c：\ windows \）2在system.ini中启动（Boot字段shell = Explorer.exe 386Enh字段driver = path \ program micdrivers drivers3 2) 3使用注册表加载和运行（1、我对自动启动文件不熟悉e扩展名，EXE 2、伪装并混淆3、以查找木马程序的文件名可以在整个注册表中搜索）4在Autoexec.bat和Config.sys中加载并运行（在控制终端用户之后）建立与服务器的连接，将与木马启动命令添加的名称相同的文件上载到服务。这两个文件只能在最后被覆盖，这很少见。）5从winstart.bat开始（ Windows会自动加载并运行该文件。

在大多数情况下，它是自动为应用程序和Windows生成的。6启动组（与启动组相对应的文件夹为c：\ windows \ start menu \ programs \ startup）Trojan 7 * .INI的启动方法。 （即应用程序配置文件的启动，控制终端使用这些文件的特征来启动程序，将使用Trojan horse startup命令同名的准备好的文件上载到服务器，以用相同的文件覆盖该文件名称，以便达到启动木马的目的。一次启动木马的方法：在Winint.ini中更多用于安装）8修改文件关联修改文件关联是Trojan的常用方法。马匹。例如，在正常情况下，TXT文件由Notepad.exe文件打开，但是一旦文件关联木马被击中，它将是txt。文件打开方法将被修改为使用木马程序打开（Glacier Trojan Horse ）（htm \ exe \ zip \ .com）。要处理这种木马，您只能经常检查HKEY_C \ shell \ open \ command主键以查看其键值是否正常。 9，捆绑文件控制端和服务器端已经通过木马建立。控制最终用户使用工具软件将木马文件与某个应用程序捆绑在一起，然后将其上传到服务器端以覆盖源文件，因此，即使删除了木马，也只需运行捆绑的木马即可。将以启动模式安装木马。 10回弹端口Trojan的活动连接服务器会主动与客户端建立连接。侦听端口通常设置为80。如果没有合适的工具，则没有丰富的经验就很难避免，例如：网络小偷，在注册表中创建键值11，另一种鲜为人知的启动方法是启动运行-执行Gpedit.msc，设置用户添加的自动启动程序，如果您刚刚添加了木马程序，则“不可见”木马诞生了。

因为以这种方式添加的自启动程序无法在系统的“系统配置实用程序”中找到，也无法在注册表中找到。 12还有一种不使用启动项即可跟随系统启动的方法。卑鄙的技术是“系统路径遍历优先级欺骗”。当系统搜索没有路径信息的文件时，它遵循“从外到内”的规则。它从系统所在驱动器号的根目录开始。深入搜索而不是精确定位。此技术通常在“ internat.exe”中使用，因为无论启动项目的哪个Windows版本，它都是没有设置路径的木马。使用最广泛的是木马。它只需要有人来运行服务器程序。如果客户端知道服务器的IP地址，则可以实现远程控制并观察“受害者”的行为。对于这种木马，邮件发送功能也是必不可少的。攻击木马时，此机器将成为未来DoS攻击中最强大的助手。您控制的肉鸡越多，发动DoS攻击的成功率就越高。这种类型的木马不会反映在受感染的计算机中，但可以在攻击者中使用。它用于接连攻击一台计算机，从而导致网络损坏和丢失。类似于DoS的木马程序称为邮件木马。一旦计算机被感染，木马程序将随机生成带有各种主题的信件，并且不会响应特定的邮箱。木马的唯一功能是打开端口21并等待用户连接。新的FTP木马还添加了密码功能。只要攻击者知道正确的密码，木马的唯一功能就是打开端口21并等待用户连接。为了进入另一台计算机，这种类型的木马的服务器（受控端）使用主动端口，而客户端（控制端）使用被动端口。为了隐藏起见，即使用户使用扫描软件检查自己的端口，控制端的被动端口通常也会在80处打开。如果您发现类似TCP UserIP的情况：1026 ControllerIP：80ESTABLISHED（如果忽略了）一点，您会认为您用来浏览Web的伪装方法与安装程序有关。当安装程序运行时，用户不会注意到木马。如果秘密进入系统，通常会与可执行文件（EXE，COM）捆绑在一起，以在执行木马时提供错误显示功能。用户打开服务器时，将弹出错误提示框。源木马文件与系统文件夹中木马文件的大小相同。用户在最近收到的信件中找到源木马文件和下载的软件，并根据大小在系统文件夹中找到相同大小的文件，并判断哪个是木马。这种木马具有自毁功能。

没有工具来检测和杀死木马，很难删除木马。木马使用的伪装方法是伪装成木马服务器程序的名称类似于系统文件名。我对系统文件了解得不多，也不敢删除它（WINDOW .exe dl）这种类型的木马最难识别。黑客将木马程序编写为任何类型的文件（例如dll ocx），然后将其挂在非常知名的软件中。当打开诸如OICQ时，存在问题。这些文件将同时执行。这些入侵大多数是木马作家。只要稍加修改，就会派生出新的木马，因此即使是防病毒软件也无法使用它。感染后的应急措施。如果不幸的是，您的计算机已被木马访问过。在那之后，您的系统文件已经被黑客一团糟。硬盘上有很多乱七八糟的文件，许多重要数据也可能被黑客窃取。必须立即更改所有帐户和密码，删除硬盘上不存在的所有内容，并检查硬盘上是否存在病毒。常见的入侵方法Dosstart.bat（进入MS-DOS模式时执行），例如：编辑c：\\ windows \\ dosstart.bat，添加：启动记事本，当您进入MS-DOS模式时，您可以看到记事本是通过启动System.iniwin.ini来实现自动操作的目的，例如：在win.ini文件中：[Windows] Load =程序名称Run =程序名称在system.ini文件中[boot] Shell = explorer .exe木马3、的常见入侵方法，借助自动运行功能，使用硬盘来支持自动运行来编写autorun.inf。此程序运行后，它将为您打开硬盘，给您带来困难检测。 4、通过在注册表中运行来启动5、通过文件关联来启动Exefile txtfile regfile unknow关联为了防止用户还原注册表，使用此方法的黑客通常与谋杀scanreg.exe \ sfc.exe \相关联extrac3 2. exe \ regedit.exe。木马的常见入侵方法是通过APIHOOK启动的。通过将木马编写为VXD来直接控制系统底部的情况很少见。使用javaapplet使用HTML将木马下载到缓存中，然后修改注册表以指向其程序名欺骗技术和运行错觉。预防和杀死木马的能力不及通常的预防。这是保护系统安全的最佳策略。每个人都应该对预防木马有强烈的认识。建议采取以下措施来阻止木马：关闭本机未使用的端口。这是针对木马的第一道防线。删除系统中国无用的帐户经常升级防病毒软件并启用隐私保护。感谢您观看此幻灯片。该课件的部分内容来自Internet。如果有任何侵权，请及时与我们联系以将其删除。谢谢您的合作！

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-370238-1.html