特洛伊马攻防介绍
特洛伊马攻防简介:
什么是特洛伊马?
如果一匹特洛伊马想要工作,它的服务器程序必须在目标上运行,没有人会主动要求运行它。但是总有一天,会有人对你善意的微笑,说“我这里有个不错的游戏”“我有个漂亮的MM屏保要和你分享”等等。当你打开这些所谓的程序时,一个宿主程序已经潜入了你的电脑,第一步已经完成,这完全是我们的疏忽造成的。
然后,木马通常会在以下三个地方安营扎寨:registry、win.ini、system.ini,因为这三个文件都是电脑启动时需要加载的,而大多数木马都是通过这三种方式启动的。也有捆绑的方式开始。特洛伊phAse 1.0和NetBus 1.53可以捆绑安装在目标计算机上。可以绑定到启动程序或者通用程序的常用程序。如果绑定到通用程序,启动是不确定的,这个取决于目标电脑的主人。如果他不运行它,特洛伊就不会进入记忆。绑定方式是手动安装方式,通常会绑定不自动启动的特洛伊。没有绑定的特洛伊很容易被发现,因为它会在注册表等地方留下痕迹,而绑定的特洛伊可以由黑客自己决定。
特洛伊的服务器程序文件通常位于c:\windows和c:\windows\system。为什么它们位于这两个目录中?因为有些windows系统文件位于这两个位置。如果你误删了文件,你的电脑可能会崩溃,你必须重新安装系统。
特洛伊马的文件名是一种学问。特洛伊马的文件名尽可能接近windows的系统文件,所以你会混淆。例如,特洛伊马SubSeven 1.7版本的服务器文件名为c:\windows\KERNEL16。DL,而windows的系统文件是C: \ Windows \ kernel32.dll .,两者有一点区别,但如果删除错误,结果会大不一样。删除KERNEL32.DLL会让你死。再比如,phAse 1.0的特洛伊马版本是C:\WINDOWS\System\Msgsrv32.exe,甚至和WINDOWS系统文件C:\ WINDOWS \ System \ Msgsrv32.exe一模一样,只是图标有点不同。不要删错了。以上两种都是冒充系统文件的类型。我们来看看无中生有的类型。window.exe特洛伊Subeven1.5版本的服务器文件名为C:\ Windows \ Japan。仔细看。哦,少了一个S。如果我不告诉你这是特洛伊,你有勇气删掉它吗?
然而,特洛伊马有一个致命的缺点。它有一个相对固定的端口。如果一个黑客想进入你的电脑,他必须能够进入你的电脑。也就是说,特洛伊马必须开放某个港口。我们称之为港口?后门?,特洛伊马也叫什么?后门工具?这个不得不打开的后门很难隐藏,只能采取迷惑的办法。很多特洛伊港口都是固定的,所以人们一眼就能看出是什么样的特洛伊造成的。所以口号可以改,这是一种混淆视听的做法。我们知道7306是特洛伊netspy,特洛伊SUB7可以更改端口号,SUB7的默认端口是1243。但如果把端口1243改成7306,呵呵,肯定会把目标电脑的主人搞糊涂。有人会问,要是这个端口自动换就好了,每次上网端口号都会自动换。呵呵,真聪明,可惜太聪明了。例如,如果我的电脑上安装了这样一个特洛伊木马,它的网络端口每次都会改变。你是黑客,你打算怎么办?你知道这匹特洛伊马现在开放的端口号是多少吗?想扫描我的电脑吗?一号口有6万多个。你什么时候扫描完的?半个小时,呵呵,早发现早杀了你。就算我是新手,这么高的速度扫描电脑也会导致电脑通讯受阻。网速很慢谁还会在网上呆半个小时?所以,这基本不可能。
特洛伊马有很强的隐蔽性。在WINDOWS中,如果一个程序出现异常,用正常手段无法退出,应该采取什么措施?Ctrl+Alt+Del”键,弹出一个窗口,找到需要终止的程序,然后关闭。早期的特洛伊会出版吗?Ctrl+Alt+Del”显露出来,现在大部分木马都是隐形的。所以我们只能用内存工具来看木马什么时候存在于内存中。
木马还有很强的潜伏能力。看似木马的被发现删除后,备份木马会在一定条件下跳出来。这种情况主要是由目标计算机所有者的操作造成的。我们来看一个典型的例子:特洛伊冰川(冰川1.2正式版)已经升级到3.0版本,这个特洛伊有两个服务器程序,C:\ WINDOWS \ SYSTEM \ Kernel32.exe挂在注册表的启动组里。当计算机启动时,它会被加载到内存中,这是一匹看似特洛伊的马。另一个是C:\WINDOWS\SYSTEM\Sysexplr.exe,也在注册表里。它修改文本文件的关联。当你点击文本文件时,它将启动,并检查Kernel32.exe是否存在。如果存在,什么都不做。当看似特洛伊马Kernel32.exe被找到并删除时,目标计算机的所有者可能会觉得他已经删除了特洛伊马,它应该是安全的。如果目标计算机的所有者将来单击该文本文件,该文件仍将运行。Sysexplr.exe开始了。Syexplr。Exe会发现,貌似Kernel32.exe的特洛伊被删除了,又会生成一个Kernel32.exe。因此,每次目标计算机启动时,都会再次挂载特洛伊。
说了这么多是不是觉得很可怕,很生气?别急,清凉解暑药马上就来了。
特洛伊密码的攻击和防御方法:
特洛伊密码攻防方法1。一定要提高防范意识,不要打开陌生人来信中的附件。即使他大言不惭,熟人也要确认信的原地址是否合法。
特洛伊密码攻防方法2。多阅读readme.txt很多人出于研究目的下载了一些特洛伊马程序的软件包,在不了解软件包中几个程序的具体功能之前,就匆忙执行了其中的一些。这样,服务器端程序经常被错误地执行,这使得用户的计算机成为特洛伊木马的受害者。软件包通常附带的readme.txt文件会有详细的功能介绍和程序使用说明。虽然一般都是英文的,但是还是要先看一下。如果实在看不懂,最好不要执行任何程序。丢弃软件包当然是最安全的。在使用任何程序之前,养成阅读readme.txt的好习惯是很有必要的。
值得一提的是,许多程序描述被做成可执行的readme.exe形式。自述文件。Exe往往捆绑了病毒或特洛伊木马,或者是简单的通过对病毒、木马的服务器端程序进行重命名而获得,以此让用户误以为是程序描述文档来执行,可谓用心险恶。因此,从网上得到它的readme.exe最好不要执行它。
特洛伊密码攻防方法3。使用杀毒软件。目前国内杀毒软件已经推出了清除部分特洛伊木马的功能,如KV300、KILL98、瑞星等。,可不定期离线检查和清除。此外,一些反病毒软件还提供实时网络监控功能,当黑客从远程位置执行用户机器上的文件时,可以发出警报或使执行失败,使黑客在将可执行文件上传到用户机器后无法正确执行。
特洛伊密码攻防方法4。立即挂断。虽然上网突然变慢的原因有很多,但有理由怀疑是一匹特洛伊马造成的。当入侵者使用特洛伊客户端程序访问您的机器时,它会抢占您正常访问的宽带,尤其是当入侵者从远程用户的硬盘下载文件时,正常访问会变得极其缓慢。这时候可以双击任务栏右下角的连接图标仔细看看?发送字节?项,如果数字变为1 ~ 3 kbps(每秒1 ~ 3千字节),几乎可以确认有人在下载你的硬盘文件,除非你用的是ftp功能。熟悉TCP/IP端口的用户可以在?MS-DOS模式?类型?Netstat-a "来观察连接到您的机器的所有当前通信进程。当一个特定的IP正在使用一个不常用的端口(一般大于1024)与你通信时,这个端口很可能是一个特洛伊马的通信端口。当你发现上述可疑迹象时,你所能做的就是立即挂断电话,然后仔细检查硬盘中的特洛伊马。
特洛伊密码攻防方法5。观察目录。普通用户要经常观察位于C:\ C:\ Windows和C: \ Windows \ System三个目录下的文件。使用?记事本?逐一打开C: \下的非执行文件(exe、bat、com除外),查看是否找到特洛伊木马和击键程序的记录文件。如果C: \ Windows或C: \ Windows \ System下存在有文件名但没有图标的可执行程序,应将其删除,然后用杀毒软件仔细清理。
特洛伊密码攻防方法6。在删除一匹特洛伊马之前,最重要的工作是备份注册表,防止系统崩溃,并备份你认为是特洛伊马的文件。如果他们不是特洛伊马,你可以恢复他们。如果它们是特洛伊马,你可以分析它们。不同的马有不同的去除方法,这里就不赘述了,因为涉及太多。