篇一:电脑常见特洛伊病毒详细介绍及杀毒方法。
特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可爱的游戏,这会诱使用户将其安装在PC或者服务器上。“特洛伊木马”(trojan horse)简称“木马”,木马和病毒都是一种人为的程序,都属于电脑病毒,据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为“特
洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。 完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序以及在你电脑上使用的帐号、密码就无安全可言了。木马程序不能算是一种病毒,程序本身在无人操控的情况下不会像蠕虫病毒复制感染,不会破坏操作系统及硬件。但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性和迅速感染系统文件的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
木马的启动方式:
木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。
通过“开始/程序/启动”
隐蔽性:2星
应用程度:较低
这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人会会出现在“系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序/启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
通过Win.ini文件
隐蔽性:3星
应用程度:较低
同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。在Windows3.2中,Win.ini就相当于
Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在msconfig中。而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。
通过注册表启动
1、通过HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run,
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run和
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
隐蔽性:3.5星
应用程度:极高
应用案例:BO2000,GOP,NetSpy,IEthief,冰河??
这是很多Windows程序都采用的方法,也是木马最常用的。使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe,以下简称regedit)都可以将它轻易的删除,所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件,以便实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写入,以保证下次
Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使在没有任何工具软件的情况下也能轻易解除这种互相保护。
破解方法:首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自破了;然后,你就可以删除注册表中的键值和相应的木马程序了。
2、通过
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce,
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce和
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
隐蔽性:4星
应用程度:较低
应用案例:Happy99月
这种方法好像用的人不是很多,但隐蔽性比上一种方法好,它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢?
其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。
还有一种方法,不是在启动的时候加而是在退出Windows的时候加,这要求木马程序本身要截获WIndows的消息,当发现关闭Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦
Windows异常中止(对于Windows9x这是经常的),木马也就失效了。 破解他们的方法也可以用安全模式。
另外使用这三个键值并不完全一样,通常木马会选择第一个,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束会才继续启动Windows。
通过Autoexec.bat文件
winstart.bat,config.sys文件
隐蔽性:3.5星
应用程度:较低
其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我想能写这样木马的人一定是高手中的高手了。 另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类似“Deltree C:/*.*”和“Format C:/u”的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。
通过System.ini文件
隐蔽性:5星
应用程度:一般
事实上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是“Explorer.exe”,这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为Progman.exe就可以让Win9x变成Windows3.2)。我们可以在“Explorer.exe”后加上木马程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell这一项嘛,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启动,呵呵以毒攻毒啊。
通过某特定程序或文件启动
1、寄生于特定程序之中
隐蔽性:5星
应用程度:一般
即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。
2、将特定的程序改名
隐蔽性:5星
应用程度:常见
这种方式常见于针对QQ的木马,例如将QQ的启动文件
QQ2000b.exe,改为QQ2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为QQ2000b.ico,而用户会认为它是一个图标),再将木马程序改为QQ2000b.exe,此后,用户运行QQ,实际是运行了QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来要比上一种简单的多。
篇二:电脑木马病毒查杀方法技巧
电脑木马病毒查杀方法技巧
一阶:菜鸟看,中鸟老鸟也可以看
1、请升级你的杀毒软件到最新版本,保证病毒库是最新的。
2、对于局域网内部用户,在杀毒之前请断掉网络。
3、杀毒之前确认你的扫描选项中的“杀毒前备份染毒文件”、“在杀毒前先扫描内存中的病毒”被选中,不要选中“染毒文件清除失败后删除此文件”选项。因为经验证明,很多病毒都是内存驻留型,备份染毒文件是因为没有哪个杀毒软件能保证杀过毒之后的文件100%能够正常使用。(对于国内的杀毒软件)
4、对于Xp系统来说SystemVolumeInformation中的文件是不允许修改的,因为此文件夹是系统还原文件夹不允许外部进程对它进行访问修改。因此,如果碰到杀软在此文件夹中查到病毒,请在系统属性中的系统还原中取消对磁盘的监视,删除还原点即可。(以前我老是强调关闭系统还原的原因,还有就是有的网友问有时杀毒软件走到百分之多少时走不动了,原因也在此。)
5、对于一些正在使用中的文件,系统是不允许删除的,碰到这种情况,请在任务管理器中结束该进程,然后按杀软提示的病毒文件路径进行手动删除,或重新杀毒。(删除文件时删不了有时也因为此)
6、碰到病毒已经清除,但系统重新启动又出现中毒情况的,请确认你所在网络无毒,然后制作dos杀毒盘在dos下查杀。如果网络中毒,请联系网络管理员,断网杀毒。(补充此点:有时系统重新启动又出现中毒是因为你的系统还原是在监视状态,或者是杀毒没有把文件和注册表删除了(朋友用江民是遇到过这样的)
7、在dos下使用dos杀毒伴侣,硬盘修复王时,请备份你的敏感数据和个
人文件,并在有经验的人的指导下进行。使用不当,可能造成硬盘数据全部丢失。(此方法用的较少)
中阶:中鸟看——杀毒技巧集锦
有人认为杀毒是一件简单的事情,不就是点击杀毒软件的“杀毒”按钮就行了吗?
不错,杀毒的确要借助杀毒软件,但是不是说一点击杀毒就万事大吉的。这就是为什么有的人一次性就将病毒杀尽,有的人机子内的病毒永远也杀不完的原因了。杀毒也要讲技巧!
对于杀毒的设置本文就不做介绍了。
杀毒要讲环境。其实说真的,杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的!即费时间,有减少DOS杀毒盘的寿命。那么,该怎么判断该在什么环境下杀毒呢?
一、被激活的非系统文件内的病毒
杀这种病毒很简单,只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。
二、已经被激活或发作的非系统文件内的病毒
如果在一般Windows环境下杀毒,效果可能会大打折扣。虽然,现在的反病毒软件都能查杀内存病毒,但是此技术毕竟还未成熟,不一定能歼灭病毒。
因此,杀此类病毒应在Windows安全模式下进行。在Windows安全模式下,
这些病毒都不会在启动时被激活。因此,我们就能放心的杀毒了。
三、系统文件内病毒
这类病毒比较难缠,所以在操作前请先备份。杀此类病毒一定要在干净的DOS环境下进行。有时候还要反复查杀才能彻底清除。(如果在Windows下即使杀毒成功估计还会有这了那了的系统问题,很麻烦的)
四、网络病毒(特别是通过局域网传播的病毒)
此类病毒必须在断网的情况下才能清除,而且清除后很容易重新被感染!要根除此类病毒必需靠网络管理员的努力了!(在之一也提到了)
五、感染杀毒厂家有提供专用杀毒工具的病毒
杀灭此类病毒好办,只需下载免费的专用杀毒工具就行了。专用杀毒工具杀毒精确性相对较高,因此我推荐在条件许可的情况下使用专用杀毒工具。(遇到什么毒的话先到搜索引擎上搜一下,不要老是问别人,因为首先自己掌握了杀毒技巧不是更好么,其次回复的人大部分也是在网上找的方法,他们并不明白你的具体情况,反而造成帮倒忙)
杀毒很讲究技巧,所以,选择适合自己的反病毒软件和时刻开启监控很重要,还有千万别忘了升级哦!
检查注册表
注册表一直都是很多木马和病毒“青睐”的寄生场所,注意在检查注册表之前要先给注册表备份。
1、检查注册表中HKEY_LOCAL_MACHINE//Software//Microsoft//Windows//CurrentVersion//Run和HKEY_LOCAL_MACHINE//Software//Microsoft//Windows//CurrentVersion//Runserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地将其彻底删除。(注册表的启动项给的不全还包括HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//Run HKEY_CURRENT_USER//Software//Microsoft//Windows//CurrentVersion//Run
在最后还会有更全面的介绍注册表十大启动项)
2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER//SOFTWARE//Microsoft//InternetExplorer//Main中的几项(如LocalPage),如果发现键值被修改了,只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。(这是ie项的注册表)
3、检查HKEY_CLASSES_ROOT//inifile//shell//open//command和HKEY_CLASSES_ROOT//txtfile//shell//open//command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来,很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。
检查你的系统配置文件
其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe),在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini,并且可以选择启动系统的时间。
1、检查win.ini文件(在C://windows//下),打开后,在?WINDOWS?下面,“run=”
和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。
2、检查system.ini文件(在C://windows//下),在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,然后你就要在硬盘找到这个程序并将其删除了。(你现在就可以是试了)
坚决把“邮件病毒”消灭
邮件病毒”其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为“邮件病毒”,它们一般是通过邮件中“附件”夹带的方法进行扩散。现在就告诉大家把“邮件病毒”消灭在邮箱之中应用八招。
1、选择一款正版的防毒软件。借杀毒软件中的邮件监视功能,在邮件接收过程中对其进行病毒扫描过滤
2、及时升级病毒库。病毒软件厂商天天都会更新病毒库,提供的升级服务是非常周到,如果用户不及时升级,就很难对新病毒进行查杀。
3、打开实时监控防火墙。防火墙最重要的功能就是邮件监视功能。
4、不要轻易打开陌生人的邮件附件,如果发现邮件中无内容,无附件,邮件自身的大小又有几十K或者更大,那么此邮件中极有可能包含有病毒;如果附件为可执行文件(.exe、.com)或word文档时,要选择用杀毒软件的扫描查毒察看;如果发现收到的邮件对方地址非常陌生,域名对极不像正常的国内邮箱,那就很有可能是收到病毒了;如果是双后缀那么极有可能是病毒,因为邮件病毒
篇三:关于木马病毒的论文
关于木马病毒的论文
计算机0901班 李丹 090521125
摘要:
木马(Trojan)这个名字来源于古希腊传说。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。以下是关于木马病毒的相关介绍与防治。
关键字:木马病毒的介绍、危害、防御、查找、删除
正文:
一、木马病毒的介绍:
木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序
的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据。
特洛伊木马有两种,universal的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小,运行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的;运行时很难阻止它的行动,运行后,立刻自动登录在系统引导区,之后每次在Windows加载时自动运行;或立刻自动变更文件名,甚至隐形;或马上自动复制到其他文件夹中,运行连用户本身都无法运行的动作。
二、木马病毒的危害:
1、盗取我们的网游账号,威胁我们的虚拟财产的安全。 木马病毒会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
2、盗取我们的网银信息,威胁我们的真实财产的安全。 木马采用键盘记录等方式盗取我们的网银帐号和密码,并发送给黑客,直接导致我们的经济损失。
3、利用即时通讯软件盗取我们的身份,传播木马病毒。 中了此类木马病毒后,可能导致我们的经济损失。在中了木
马后电脑会下载病毒作者指定的程序任意程序,具有不确定的危害性。如恶作剧等。
4、给我们的电脑打开后门,使我们的电脑可能被黑客控制。 如灰鸽子木马等。当我们中了此类木马后,我们的电脑就可能沦为肉鸡,成为黑客手中的工具。
三、木马病毒的防御:
1、木马查杀(查杀软件很多,有些病毒软件都能杀木马),例如:江民、瑞星、卡巴斯基 、金山毒霸 、反间谍专家 、木马克星、东方卫士、ESET NOD32安全套装等。
2、防火墙(分硬件和软件),家里面的就用软件好了如果是公司或其他地方就硬件和软件一起用。
现在高手也很多,只要你不随便访问来历不明的网站,使用来历不明的软件(很多盗版或破解软件都带木马,这个看你自己经验去区分),如果你都做到了,木马病毒就不容易进入你的电脑了。
四、木马病毒的查找:
在使用目前常见的木马查杀软件及杀软件的同时,系统自带的一些基本命令也可以发现木马病毒:
1、检测网络连接。
如果你怀疑自己的计算机上被别人安装了木马,或者是中了
病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
2、禁用不明服务。
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
3、轻松检查账户。
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认
账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况,可以用很简单的方法对账户进行检测。首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的。一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内臵的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!
联网状态下的客户端。对于没有联网的客户端,当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程,也使用户的计算机时刻处于最佳的保护环境之下。
4、对比“msconfig.exe"和"Services.msc"
①点击“开始,运行”输入“msconfig.exe"回车,打开”系统配臵实用程序,然后 在“服务”选项卡中勾选“隐藏所有Microsoft服务”,这时列表中显示的服务项都是非系统程序。
②再点击“开始,运行”,输入Services.msc"回车,打开“系统服务管理”,对比两张表,在该“服务列表”中可以逐一找出刚才显示的非系统服务项。