zoukankan      html  css  js  c++  java

  • 木马

     大家经常会听到“木马”一词。究竟木马是什么东西呢?这篇文章里我会向大家介绍“特洛伊木马”、“特洛伊木马”的使用以及特洛伊木马的防范等。

    木马,全称为:特洛伊木马(Trojan Horse)。

    “特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前,在一次希腊战争中。麦尼劳斯(人名)派兵讨伐特洛伊(王国),但久攻不下。他们想出了一个主意:首先他们假装被打败,然后留下一个木马。而木马里面却藏着最强悍的勇士!最后等时间一到,木马里的勇士全部冲出来把敌人打败了!

    这就是后来有名的“木马计”。—— 把预谋的功能隐藏在公开的功能里,掩饰真正的企图。

    至于黑客程序里的特洛伊木马和故事里的特洛伊木马差不多。

    黑客程序里的特洛伊木马有以下的特点:

    (1)主程序有两个,一个是服务端,另一个是控制端。

    (2)服务端需要在主机执行。

    (3)一般特洛伊木马程序都是隐蔽的进程。

    (4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。

    (5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等)

    在许多人眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病毒的性质。(包括:转播,感染文件等。)

    特洛伊木马程序的发展历史:

    第一代木马:控制端 —— 连接 —— 服务端

    特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。

    典型木马:冰河,NetSpy,back orifice(简称:BO)等。

    第二代木马:服务端 —— 连接 —— 控制端

    特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态连接库)隐藏进程的,甚至出现能传播的木马。

    典型木马:网络神偷,广外女生等。(反弹端口型木马)

     

    下面,我们将介绍一个国产的特洛伊木马 —— 冰河。

    特洛伊木马冰河的软件功能概述:

    该软件主要用于远程监控,具体功能包括:

    1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);

    2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;

    3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

    4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;

    5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;

    6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;

    7.发送信息:以四种常用图标向被控端发送简短信息;

    8.点对点通讯:以聊天室形式同被控端进行在线交谈。


    不介绍使用方法
     
    如果清除冰河服务端:

    方法一: 俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体方法:

    1、启动“冰河”的控制端程序。
    2、选择“文件”——“添加主机”,或者直接点击快接按钮栏的第一个图标 。
    3、弹出的对话框中,“远程主机”一项,填写自己的IP。
    4、连接服务端,然后,点击“命令控制台”标签。
    5、选择“控制类命令”——“系统控制”,在右面的窗口下方,你会发现四个按钮。点击“自动卸载”,就将冰河的服务器端清除了。

    方法二:

    冰河 v1.1

    1、打开注册表“Regedit.exe”。(可以在“开始”——“运行”里输入“regedit”。)
    2、点击目录至:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    3、查找以下的两个路径,并删除
    “C:windowssystemkernel32.exe”
    "“C:windowssystemsy***plr.exe”
    4、关闭“Regedit.exe”,重新启动Windows。
    5、删除“C:windowssystemkernel32.exe”和“C:windowssystemsy***plr.exe”木马程序。
    6:重新启动。完成。


    冰河 v2.2


    因为服务端程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。所以,不能明确说明。
    你可以察看注册表,把可疑的文件路径删除。然后重新启动Windows,删除于注册表相对应的木马程序。也可以试试“冰河 v1.1”的清除方法。
     
    如何防御特洛伊木马:

    对于第一代特洛伊木马,只需要安装“防火墙+杀毒软件”就可以有效预防特洛伊木马程序。

    当然,你必须做到以下几点:

    (1)不要乱下载黑客程序。

    (2)不要随便打开陌生人发给你的程序。

    (3)注意邮件里的附件。

    记着经常升级防火墙和杀毒软件哦!:)
  • 相关阅读:
    Ubuntu下ClickHouse安装
    redis.conf配置详解(转)
    php使用sftp上传文件
    ubuntu下安装nginx1.11.10
    cookie和session的区别
    linux下Redis主从复制
    linux-ubuntu 安装配置Redis
    php的常量
    Ubuntu防火墙配置
    技术资料
  • 原文地址:https://www.cnblogs.com/yangzailu/p/9828509.html
Copyright © 2011-2022 走看看