欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

木马

程序员文章站 2022-04-30 19:51:07
大家经常会听到“木马”一词。究竟木马是什么东西呢?这篇文章里我会向大家介绍“特洛伊木马”、“特洛伊木马”的使用以及特洛伊木马的防范等。木马,全称为:特洛伊木马(* Horse)。“特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前,在一次希腊战争中。麦尼劳斯(人名)派兵讨伐特洛 ......

 大家经常会听到“木马”一词。究竟木马是什么东西呢?这篇文章里我会向大家介绍“特洛伊木马”、“特洛伊木马”的使用以及特洛伊木马的防范等。

木马,全称为:特洛伊木马(* horse)。

“特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前,在一次希腊战争中。麦尼劳斯(人名)派兵讨伐特洛伊(王国),但久攻不下。他们想出了一个主意:首先他们假装被打败,然后留下一个木马。而木马里面却藏着最强悍的勇士!最后等时间一到,木马里的勇士全部冲出来把敌人打败了!

这就是后来有名的“木马计”。—— 把预谋的功能隐藏在公开的功能里,掩饰真正的企图。

至于黑客程序里的特洛伊木马和故事里的特洛伊木马差不多。

黑客程序里的特洛伊木马有以下的特点:

(1)主程序有两个,一个是服务端,另一个是控制端。

(2)服务端需要在主机执行。

(3)一般特洛伊木马程序都是隐蔽的进程。

(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。

(5)每个系统都存在特洛伊木马。(包括windows,unix,liunx等)

在许多人眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病毒的性质。(包括:转播,感染文件等。)

特洛伊木马程序的发展历史:

第一代木马:控制端 —— 连接 —— 服务端

特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。

典型木马:冰河,netspy,back orifice(简称:bo)等。

第二代木马:服务端 —— 连接 —— 控制端

特点:属于主动型木马。隐蔽性更强,有利用icmp协议隐藏端口的,有利用dll(动态连接库)隐藏进程的,甚至出现能传播的木马。

典型木马:网络神偷,广外女生等。(反弹端口型木马)

 

下面,我们将介绍一个国产的特洛伊木马 —— 冰河。

特洛伊木马冰河的软件功能概述:

该软件主要用于远程监控,具体功能包括:

1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);

2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;

3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;

5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;

6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;

7.发送信息:以四种常用图标向被控端发送简短信息;

8.点对点通讯:以聊天室形式同被控端进行在线交谈。


不介绍使用方法
 
如果清除冰河服务端:

方法一: 俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体方法:

1、启动“冰河”的控制端程序。
2、选择“文件”——“添加主机”,或者直接点击快接按钮栏的第一个图标 。
3、弹出的对话框中,“远程主机”一项,填写自己的ip。
4、连接服务端,然后,点击“命令控制台”标签。
5、选择“控制类命令”——“系统控制”,在右面的窗口下方,你会发现四个按钮。点击“自动卸载”,就将冰河的服务器端清除了。

方法二:

冰河 v1.1

1、打开注册表“regedit.exe”。(可以在“开始”——“运行”里输入“regedit”。)
2、点击目录至:hkey_local_machine\software\microsoft\windows\currentversion\run
3、查找以下的两个路径,并删除
“c:\windows\system\kernel32.exe”
"“c:\windows\system\sy***plr.exe”
4、关闭“regedit.exe”,重新启动windows。
5、删除“c:\windows\system\kernel32.exe”和“c:\windows\system\sy***plr.exe”木马程序。
6:重新启动。完成。


冰河 v2.2


因为服务端程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。所以,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。然后重新启动windows,删除于注册表相对应的木马程序。也可以试试“冰河 v1.1”的清除方法。
 
如何防御特洛伊木马:

对于第一代特洛伊木马,只需要安装“防火墙+杀毒软件”就可以有效预防特洛伊木马程序。

当然,你必须做到以下几点:

(1)不要乱下载黑客程序。

(2)不要随便打开陌生人发给你的程序。

(3)注意邮件里的附件。

记着经常升级防火墙和杀毒软件哦!:)