什么是木马，木马有什么危害？ 2 木马, 危害

代理83000

4.)木马的加载方式隐蔽


木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马，你会运行它才怪呢。而随着网站互动化进程的不断进步，越来越多的东西可以成为木马的传播介质，JavaScript、VBScript、 ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。


5.)木马的命名


木马服务端程序的命名也有很大的学问。如果你不做任何修改的话，就使用原来的名字。谁不知道这是个木马程序呢？所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除么？还有的就是更改一些后缀名，比如把dll改为dl等，你不仔细看的话，你会发现么？


6.)最新隐身技术


目前，除了以上所常用的隐身技术，又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同，它基本上摆脱了原有的木马模式—监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况，DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它，在正常运行时木马几乎没有任何症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。


三、木马防范工具


防范木马可以使用防火墙软件和各种反黑软件，用它们筑起网上的马其诺防线，上网会安全许多。


网上防火墙软件很多，推荐使用“天网防火墙个人版”。它是一款完全的免费的软件，安装成功后，它就变成一面盾牌图表缩小到任务来的系统托盘里，并时刻监视黑客的一举一动，当有黑客入侵时，它就会自动报警，并显示入侵者的IP地址。


用鼠标双击盾牌图标，就会弹出天网的控制台，控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签，会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP 端口服务，但UDP端口服务还开放着，别人无法通过端口的漏洞来入侵，它阻挡了几乎所有的蓝屏攻击和信息泄漏问题，并且不会影响普通网络软件的使用)


在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑，天网防火墙会将其自动拦截，并告警提示，同时在控制台的“安全纪录”里会将连接者的IP，协议，来源端口，防火墙采取的操作，时间记录等攻击信息显示出来。


在控制台的“检测”、“关于”标签里主要有安全漏洞的说明，防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络，点一下控制台上的“停”就可以了。


四、木马的查杀


木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！


由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是：


1.)检查注册表


看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrenVersion和 HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。


2.)检查启动组


木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼ windows＼startmenu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼ Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell


FoldersStartup="C:＼windows＼startmenu＼programs＼startup"。要注意经常检查这两个地方哦！


3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方


比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在 System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样： Shell=Explorer.exewind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。


4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里


C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。


5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。


如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。


6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动


所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。只要我们能够提高自身的素质，加强网络安全意识，远离木马是完全可能的，没准你也能成为木马查杀高手呢！