壹般來說,壹個殺毒軟件程序,如果它的特洛伊查殺程序可以查殺某壹個特洛伊馬,那麽它自己的普通殺毒程序也壹定可以查殺這個特洛伊馬,因為在木馬泛濫的今天,專門為木馬設計壹個特洛伊查殺工具,可以提高這個殺毒軟件的產品檔次,對它的聲譽大有裨益。其實常見的殺毒軟件都含有查殺木馬的功能。如果人們說某個殺毒軟件沒有查殺木馬的程序,那麽這個殺毒軟件廠商就顯得有點心虛了,盡管它常見的殺毒軟件當然有查殺木馬的功能。
還有壹點,將木馬查殺程序單獨分離,可以提高查殺效率。目前很多殺毒軟件中的木馬查殺程序都是只查殺木馬,不檢查常用病毒庫中的病毒代碼,也就是說,用戶運行木馬查殺程序時,程序只調用木馬代碼庫中的數據,大大提高了木馬的查殺速度。我們知道常見病毒的查殺速度是比較慢的。因為現在病毒太多了。每個文件都要經過成千上萬個特洛伊馬代碼的測試,再加上近65438+百萬個已知病毒代碼,那不是很慢嗎?是否通過省略常見的病毒代碼測試來提高效率和速度?也就是說,很多殺毒軟件自帶的特洛伊查殺程序只查殺木馬,壹般不查殺病毒,而自己自帶的普通病毒查殺程序,既殺病毒又殺木馬!
==========================================
特洛伊馬提示
特洛伊馬(以下簡稱特洛伊馬)英文名叫“特洛伊之家”,名字取自希臘神話中的特洛伊馬。它是壹個基於遠程控制的黑客工具。在黑客進行的各種攻擊中,特洛伊·霍斯扮演了先鋒的角色。
壹、特洛伊馬的危害
相信很多網友對木馬並不陌生。它是壹種遠程控制工具,因其簡潔、簡單、有效而受到黑客的青睞。壹旦電腦進入特洛伊馬的身體,它就變成了壹臺傀儡機。對方可以在妳的電腦上上傳下載文件,偷看妳的私人文件,竊取妳的密碼和密碼信息...如果妳騎上壹匹特洛伊馬,妳所有的秘密都會暴露給別人。隱私?不復存在!
特洛伊馬也是黑客攻擊中不可或缺的工具。就在去年,10年6月28日,壹個黑客入侵了美國微軟的門戶網站,網站的壹些內部信息被壹個叫QAZ的特洛伊馬傳播出去。就是這個小小的QAZ讓龐大的微軟顏面盡失!
網友們比較熟悉的木馬是幾款國產軟件冰川。Glacier是黃鑫開發的壹款免費軟件。它問世後,以其簡單的操作方法和強大的操控能力讓人不寒而栗,可以說已經到了談“冰”色變的地步。
二、特洛伊馬原則
特洛伊馬屬於客戶/服務模式。它分為兩部分,即客戶端和服務器端。其原理是壹臺主機提供服務(服務器),另壹臺主機接收服務(客戶端)。作為服務器,主機壹般會打開壹個默認端口進行監聽。如果客戶端向服務器的這個端口發出連接請求,服務器上相應的程序將自動運行來響應客戶端的請求。這個程序被稱為守護程序。以著名的特洛伊冰川為例。受控端可以看作是服務器,而控制端是客戶端。服務器程序G_Server.exe是壹個守護程序,G_Client.exe是壹個客戶端應用程序。
為了進壹步了解木馬,我們來看看它們的隱藏方法。隱藏木馬主要有以下幾種方式:
1.)隱藏在任務欄中
這是最基本的。如果壹個令人費解的圖標出現在windows的任務起源中,傻子也會明白是怎麽回事。在VB中,只要窗體的Viseble屬性設置為False,ShowInTaskBar設置為False的程序就不會出現在任務欄中。
2.)隱藏在任務管理器中
查看正在運行的進程的最簡單方法是按ctrl+alt+del來顯示任務管理器。如果妳按下ctrl+alt+del後能看到壹個特洛伊在運行,那麽這絕對不是壹個好的特洛伊。因此,特洛伊想盡壹切辦法偽裝自己,使其不出現在任務管理器中。特洛伊·霍斯發現,把自己設定為“系統服務”可以很容易地蒙騙過去。因此,希望通過按ctrl+alt+del找到特洛伊是不現實的。
3.)端口
壹臺機器有65536個端口。妳會關註這麽多端口嗎?特洛伊非常關註妳們的港口。如果妳稍微留意壹下,不難發現,大部分特洛伊馬使用的端口都在1024以上,而且趨勢在增加。當然也有占用1024以下端口的木馬。但是這些端口都是常用的,占用這些端口可能會導致系統不正常。在這種情況下,特洛伊馬將很容易暴露。也許妳知道壹些木馬占用的端口,妳可能會經常掃描這些端口,但是現在木馬提供了端口修改功能。妳有時間掃描65,536個端口嗎?
4.)特洛伊馬的裝載方式是隱藏的。
木馬可以通過多種方式加載。但是殊途同歸,就是讓妳運行特洛伊服務器程序。如果木馬不加任何偽裝。我會告訴妳這是壹匹特洛伊馬,但奇怪的是妳能跑它。隨著網站交互過程的不斷進步,越來越多的東西可以成為木馬的傳播媒介,比如JavaScript、VBScript、ActiveX、XLM……....................................................................................................................................
5.)特洛伊馬的命名
特洛伊服務器程序的命名也很有學問。如果不做任何改動,就用原來的名字。誰不知道這是木馬程序?因此,特洛伊馬的名字也很奇怪。但是,它們中的大多數都被更改為類似於系統文件名的名稱。如果對系統文件了解不夠,會很危險。例如,壹些特洛伊人把他們的名字改成了window.exe。如果他們沒告訴妳這是特洛伊,妳敢刪嗎?還有壹些後綴的變化,比如把dll改成dl等。不仔細看會發現嗎?
6.)最新的隱形技術
目前,除了上述常用的隱身技術外,還出現了壹種更新更隱蔽的方法。也就是修改虛擬設備驅動(vxd)或者修改動態鏈接庫(DLL)。這種方法不同於壹般的方法。它基本上擺脫了原來的特洛伊模式——監聽端口,采用替換系統函數的方法(重寫vxd或DLL文件)。特洛伊將用系統的已知DLL替換修改後的DLL,並過濾所有函數調用。對於常見的調用,使用函數forwarder直接轉發給被替換的系統DLL,對於壹些事先約定的特殊情況,DLL會執行壹些相應的操作。實際上,這些木馬大多只是利用DLL進行監控,壹旦發現控制終端的連接請求,就會自行激活,並綁定到壹個進程上進行正常的特洛伊操作。這樣做的好處是,不需要添加新文件,不需要打開新端口,不需要新進程,也無法用常規方法監控。在正常運行時,特洛伊幾乎沒有任何癥狀,但壹旦特洛伊的控制端向受控端發送特定信息,隱藏程序就會立即開始運行。
三、特洛伊防馬工具
要防範特洛伊木馬,可以使用防火墻軟件和各種反黑客軟件,用它們在互聯網上築起壹道馬奇諾防線,上網會安全很多。
網上有很多防火墻軟件,推薦“天網防火墻個人版”。這是壹個完全免費的軟件。安裝成功後,它會變成壹個盾圖,被收縮到任務來的系統托盤中,它會壹直監視黑客的壹舉壹動。當黑客入侵時,會自動報警並顯示入侵者的IP地址。
用鼠標雙擊盾牌圖標,會彈出天網的控制臺。控制臺上有五個選項卡:常規設置、高級設置、安全設置、檢測和關於。點擊“常規設置”標簽,妳會看到兩個窗口:局域網安全設置和互聯網安全設置。我們可以通過拖動滑塊來設置他們的安全級別。建議普通用戶選擇“中”(所有TCP端口服務關閉,但UDP端口服務仍然開放,其他無法通過端口的漏洞入侵,屏蔽了幾乎所有藍屏攻擊和信息泄露問題,不會影響普通網絡軟件的使用)。
點擊控制臺上的“高級設置”,手動選擇是否取消“連接網絡”、“ICMP”、“IGMP”、“TCP監控”、“UDP監控”、“NETBIOS”選項。上網後如果有人想連接妳的電腦,天網防火墻會自動攔截並給出報警提示。同時,連接器的IP、協議、源端口、防火墻采取的動作、時間記錄等攻擊信息都會顯示在控制臺的“安全記錄”中。
在控制臺的“檢測”和“關於”選項卡中,主要有安全漏洞的描述、防火墻軟件的版本號、註冊者號等信息。如果妳被攻擊了,想馬上斷網,只需點擊控制臺上的“停止”即可。
四、特洛伊殺馬案
特洛伊馬可以自動和手動殺死。刪除木馬最簡單的方法就是安裝殺毒軟件(自動)。現在很多殺毒軟件都可以刪除網絡上最猖狂的木馬。建議安裝金山毒霸或者安全之星XP,對木馬查殺非常好!
因為殺毒軟件的升級在大多數情況下比特洛伊馬的出現要慢,所以要學會手殺。方法是:
1.)檢查註冊表
查看所有以“Run”開頭的鍵名在HKEY _本地_機器\軟件\微軟\ Windows \當前版本和HKEY _當前_用戶\軟件\微軟\ Windows \當前版本下是否有可疑文件名。如果有,需要刪除對應的鍵值,然後刪除對應的應用。
2.)檢查啟動組
雖然木馬在啟動群裏並不是很隱蔽,但這裏確實是自動加載運行的好地方,所以還是有木馬喜歡待在這裏。啟動組對應的文件夾是C:\ Windows \ start menu \ Programs \ startup,在註冊表中的位置是HKEY _當前_用戶\軟件\微軟\ Windows \當前版本\ Explorer \ shell。
folders Startup = " C:\ windows \開始菜單\程序\啟動" .註意經常檢查這兩個地方!
3.)Win.ini和System.ini也是木馬喜歡的隱藏地方。註意這些地方。
比如Win.ini的[Windows]部分下,正常情況下加載運行後沒有程序。如果有,仔細看看是什麽;System.ini的[boot]部分的Shell=Explorer.exe也是加載木馬的好地方,這裏也要註意。當妳看到這樣的wind0ws.exe:shell = explorer。請註意,wind0ws.exe很可能是壹個特洛伊服務器程序!快檢查壹下。
4.)經常查看下面列出的文件,木馬很可能就藏在那裏。
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat .
5.)如果EXE文件啟動了,運行這個程序看看特洛伊木馬是否加載到內存中,端口是否打開。如果是,說明要麽是文件啟動了木馬程序,要麽是文件捆綁了木馬程序,我們只好另找壹個這樣的程序重新安裝。
6.)總是有辦法啟動特洛伊馬,只是在特定的情況下啟動。
所以多註意妳的端口,檢查運行的程序,監控大部分木馬應該沒問題。