如何進(jìn)行木馬防范及木馬相關(guān)基礎(chǔ)知識
木馬除此之外,還有很多特征。和病毒特征一樣,了解這些木馬的特征后,就可以更方便的判斷木馬和找出對策來清除密碼了。
(1)木馬具有很好的隱蔽性,能夠在用戶使用電腦的情況下,不知不覺的在電腦后臺運(yùn)行。因?yàn)槟抉R怕被發(fā)覺,所以需要盡力隱藏,從開始植入目標(biāo)電腦開始,就始終不會顯示,使用各種手段隱藏自己。而木馬的制作者已經(jīng)注意到這個(gè)問題,把它們隱藏了起來,使用捆綁軟件或者修改注冊表文件等達(dá)到目的,不會在桌面或者系統(tǒng)內(nèi)醒目的地方產(chǎn)生圖標(biāo),盡力隱藏在深層目錄或者系統(tǒng)文件夾下。同時(shí),在進(jìn)程中也隱藏了自己,把自身定義為系統(tǒng)進(jìn)程,不讓用戶發(fā)覺。
(2)木馬具有自動運(yùn)行的特性。因?yàn)槟抉R是放到對方電腦上的,木馬必須自動進(jìn)行連接,并且自動修改目標(biāo)電腦的設(shè)置,比如注冊表、啟動文件等。
(3)木馬感染后并不公開,并且不知道其危害程度,這就減少了對木馬的了解,同時(shí)對木馬造成的危害沒有一個(gè)標(biāo)準(zhǔn)的評價(jià)。
(4)木馬有自動恢復(fù)自身程序的功能。木馬可以自動運(yùn)行,同樣可以具有自動修復(fù)自身程序的功能。自動運(yùn)行的時(shí)候,可能還在某些地方多拷貝一些病毒文件,以防被殺毒軟件查殺或者程序損壞。
(5)木馬可以自動打開端口。木馬算是一個(gè)智能的軟件,除了以上自動運(yùn)行自動修復(fù)以外,還可以自動打開特定的連接端口,讓入侵者可以連接到受害者的電腦。
(6)木馬的功能特殊。因?yàn)槟抉R是隱藏執(zhí)行的,不希望讓用戶發(fā)覺,那么需要特別針對某些功能的特征下,盡量做的容量小一點(diǎn)。同時(shí),木馬的特殊點(diǎn)還在意,它可以自動搜集一些受害者電腦內(nèi)的信息。
木馬的自動啟動和隱藏功能是很重要的,這樣可以使木馬更長時(shí)間的潛伏在電腦內(nèi)。同樣和軟件自動啟動一樣,可以加載或者修改到很多設(shè)置里。
(1)在Win.ini中啟動,在Win.ini的[Windows]字段中有啟動命令“load=”和“run=”,這兩個(gè)是系統(tǒng)在啟動的時(shí)候加載和運(yùn)行的程序。.INI文件是應(yīng)用程序的啟動配置文件,利用文件可以啟動程序的特點(diǎn)。
(2)在System.ini中啟動,System.ini位于Windows的安裝目錄下,其[boot]字段的shell=Explorer.exe是系統(tǒng)的引導(dǎo)文件位置,從這里也可以自動啟動。
(3)在注冊表中啟動,注冊表中有一個(gè)啟動鍵值,里面有一些啟動時(shí)候需要加載的程序,同理,也可以在系統(tǒng)的啟動組文件里啟動。
(4)在批處理文件中使用,批處理文件可以自動執(zhí)行處理中設(shè)置的命令,也同樣可以啟動木馬。
(5)系統(tǒng)配置文件Config.sys中啟動,Config.sys文件里可以設(shè)置系統(tǒng)加載的外殼、程序等。
(6)修改文件關(guān)聯(lián),把相關(guān)文件的關(guān)聯(lián)修改為木馬程序的關(guān)聯(lián)。
(7)捆綁文件,利用捆綁軟件的工具,可以很方便的把正常的軟件程序和木馬捆綁在一起,運(yùn)行程序的時(shí)候會一起運(yùn)行。
木馬的隱藏,可以讓用戶以及殺毒軟件很難找到木馬,保護(hù)自身程序的安全。一般隱藏的話,可以在任務(wù)欄和任務(wù)管理器中隱藏,因?yàn)橐话闱闆r下,系統(tǒng)都會把大部分軟件和進(jìn)程放到任務(wù)欄和任務(wù)管理器中。另外,木馬的連接是依靠端口來連接的,所以木馬的端口號是很大的,因?yàn)橛脩魺o法全部檢查那么多端口。
但是木馬再怎么制作的好,也同樣有缺點(diǎn),完全可以被殺毒軟件以及木馬專殺工具檢查出來。在對付特洛伊木馬程序方面,可以采用以下的方法。
1、建議使用殺毒軟件檢查,并且把殺毒軟件病毒庫及時(shí)更新。因?yàn)槿绻麣⒍拒浖]有檢查出的話,可能是您的病毒庫版本比較低,需要升級。
2、檢查內(nèi)存里是否有占用資源很多的非系統(tǒng)或者軟件進(jìn)程,如果有的話,請先關(guān)閉以后再殺毒。
3、檢查注冊表,注冊表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice,這兩個(gè)里面是Windows的啟動運(yùn)行目錄,可以查找一下是否有奇異的程序出現(xiàn)。
4、檢查系統(tǒng)配置文件,系統(tǒng)配置文件包括了win.ini文件、system.ini文件以及config.sys文件,這三個(gè)文件里都記錄了操作系統(tǒng)啟動的時(shí)候需要啟動和加載的程序,而且可以查看文件路徑是否為正常程序。
實(shí)際上清除木馬手段還有很多,相信大家通過以上內(nèi)容的學(xué)習(xí),能夠創(chuàng)造出比筆者更好的清除方法,這里只介紹幾種常規(guī)的清除方法以便大家參考。另外,我們在使用電腦的時(shí)候,也應(yīng)該注意對木馬的防范。
對于陌生人的電子郵件,需要檢查源地址,然后再去看信件里有什么內(nèi)容。如果有附件的話,也有要小心查看,因?yàn)楦郊锟赡茈[藏了可執(zhí)行文件的后綴。盡量打開病毒監(jiān)控制,保持病毒庫的更新,同時(shí)建議使用木馬克星不定期檢查是否有木馬存在。當(dāng)發(fā)現(xiàn)電腦的網(wǎng)絡(luò)狀態(tài)不正常的時(shí)候,需要馬上斷開網(wǎng)絡(luò),然后檢查原因,看是否為木馬導(dǎo)致的。同時(shí) ,在平時(shí)的使用過程中還需要注意c:\、c:\Windows、c:\Windows\system這三個(gè)目錄下的文件,因?yàn)檫@三個(gè)目錄是木馬最習(xí)慣隱藏的地方。
木馬并不是簡單的病毒而已,它可能會造成很多預(yù)想不到的破壞,而且可能使您的重要文件丟失等。不過,只要我們在平時(shí)的使用過程中,多加注意防護(hù),就基本上可以放心使用電腦了。
木馬類型。
(1) 破壞型
這種木馬是很令人討厭的,這個(gè)病毒可以自動的刪除電腦上的重要文件,例如dLL、INI、EXE文件。
(2) 密碼發(fā)送型
主要是用來盜竊用戶隱私信息的,他可以把隱藏的密碼找出來發(fā)送到指定的信箱。也可以用來盜竊用戶的敏感口令等。同時(shí),此類病毒最重要的是會記錄操作者的鍵盤,找到相關(guān)的有用的信息。
(3) 遠(yuǎn)程訪問型
使用最多既木馬。入侵者運(yùn)行了客戶端,使用木馬者就可以通過遠(yuǎn)程連接到對方電腦,訪問對方電腦資源。
(4) 鍵盤記錄木馬
這種鍵盤木馬一般都制作的很短小精悍,主要用來記錄中木馬者的鍵盤敲擊記錄,并且根據(jù)網(wǎng)絡(luò)訪問情況,給木馬使用者發(fā)送到指定的信箱等。
(5) DOS攻擊型
DOS的全稱是洪水式服務(wù)攻擊。是用來請求服務(wù)器請求,讓服務(wù)器忙與處理應(yīng)答,而占用了大量的資源,最后服務(wù)器資源耗盡而死機(jī)。使用多臺電腦DOS攻擊取得的效果更好,可以用他來慢慢攻擊更多的電腦。
(6) 代理木馬
可以把自己的電腦從其他地方代理,然后重新訪問網(wǎng)絡(luò)服務(wù)器,起一個(gè)中轉(zhuǎn)的作用。
(7) FTP木馬
FTP木馬容量也很小,一般情況下是用來打開21端口來等待用戶連接。
(8) 程序殺手木馬
主要是用來關(guān)閉一些監(jiān)控軟件等,這樣就可以讓木馬更安全的保留在系統(tǒng)中,防止被監(jiān)控軟件發(fā)現(xiàn),從而對用戶造成數(shù)據(jù)丟失,敏感信息泄露等故障。
(9) 反彈端口型木馬
反彈端口是為了躲避防火墻的過濾而制作的。因?yàn)榉阑饓B入的鏈接做一個(gè)很嚴(yán)格的過濾,對于連出的鏈接可能就不是那么嚴(yán)格了,所以利用這一點(diǎn),把端口反彈,就可以更安全的使用了。
以上為木馬的基本類型,對木馬進(jìn)行了一些分類,以便用戶分類查詢。
關(guān)鍵詞:木馬防范
閱讀本文后您有什么感想? 已有 人給出評價(jià)!
- 0
- 0
- 0
- 0
- 0
- 0