木馬程序是目前比較流行的一類病毒文件,它與一般的病毒不同,它不會自我繁殖,也並不刻意地去感染其他文件。它通過將自身偽裝吸引用戶下載執行,或以捆綁在網頁中的形式,當用戶瀏覽網頁時受害。木馬程序向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件和隱私,甚至遠程操控被種者的電腦。木馬的原理和計算機網絡中常常要用到的遠程控製軟件相似,但由於遠程控製軟件是“善意”的控製,因此通常不具有隱蔽性;而木馬程序則完全相反,木馬要達到的是“偷竊”性的遠程控製,如果沒有很強的隱蔽性的話,那就是毫無價值的。
木馬通常有兩個可執行程序:一個是客戶端,即控製端,另一個是服務端,即被控製端。木馬的設計者為了防止木馬被發現,而采用多種手段隱藏木馬。木馬的服務一旦運行,電腦就會有一個或幾個端口被打開,黑客就可以利用控製端進入運行了服務端的電腦,甚至可以控製被種者的電腦,所以被種者的安全和個人隱私也就全無保障了!
隨著微軟的操作係統從Win9X過渡到WinNT係統(包括2000/xp/2003),微軟的任務管理器也一下子“脫胎換骨”,變得“火眼金睛”起來 (在Win9X中,隻需要將進程注冊為係統服務就能夠從進程查看器中隱形,可是這一切在WinNT中卻完全不同,無論木馬從端口、啟動文件上如何巧妙地隱藏自己,始終都不能欺騙WinNT的任務管理器),這使得以前在win9X操作係統下靠將進程注冊為係統服務就能夠從任務管理器中隱形的木馬麵臨前所未有的危機,所以木馬的開發者及時調整了開發思路,轉入了開發可以躲避WinNT的任務管理器的進程查詢的動態嵌入式DLL木馬。
要弄清楚什麽是動態嵌入式DLL木馬,我們必須要先了解Windows係統的另一種“可執行文件”——DLL,DLL是Dynamic Link Library(動態鏈接庫)的縮寫,DLL文件是Windows的基礎,因為所有的API函數都是在DLL中實現的。DLL文件沒有程序邏輯,是由多個功能函數構成,它並不能獨立運行,DLL文件一般都是由進程加載並調用的。
因為DLL文件不能獨立運行,所以在進程列表中並不會出現DLL。所以木馬的開發者就通過編寫動態嵌入式DLL木馬,並且通過別的進程來運行它,那麽無論是入侵檢測軟件還是進程列表中,都隻會出現那個進程而並不會出現那個DLL木馬。如果那個進程是可信進程(例如資源管理器Explorer.exe),那麽就沒人會懷疑DLL文件也是個木馬了。從而木馬就又實現了自己的隱蔽性的功能,所以,預防DLL木馬也是相當重要的。
在WinNT係統,DLL木馬一般都藏在System32目錄下(因為System32是係統文件存放的目錄,裏麵的文件很多,在裏麵隱藏當然很方便了),針對這一點我們可以在安裝好係統和必要的應用程序後,對該目錄下的EXE和DLL文件作一次記錄:點擊開始—運行—輸入cmd回車—出現DOS命令行模式—輸入cd回車,再輸入cd C:WindowsSystem32回車,這就轉換目錄到了System32目錄(要還是不知道怎麽進入的,請參看DOS的cd命令的使用),輸入命令:dir *.exe>exebackup.txt & dir *.dll>dllbackup.txt回車。
這樣,我們就把System32目錄下所有的exe文件和所有的dll文件都記錄在exebackup.txt和dllbackup.txt裏麵了。日後如發現係統異常而用傳統的方法又查不出問題時,則要考慮是不是係統中已經潛入了DLL木馬。
這時我們用同樣的方法將System32目錄下的EXE和DLL文件記錄到另外exebackup1.txt和dllbackup1.txt中,然後運行 CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比較前後兩次的DLL和EXE文件,並將結果輸入到 different.txt中),這樣我們就能發現一些多出來的DLL和EXE文件,然後通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。
沒有是最好,如果有的話也不要直接刪除掉,可以先把它移到回收站裏,若係統沒有異常反應再將之徹底刪除,或者把DLL文件上報給反病毒研究中心檢查。
最後,防治木馬的危害,專家建議大家應采取以下措施:
第一,安裝反病毒軟件和個人防火牆,並及時升級。
第二,把個人防火牆設置好安全等級,防止未知程序向外傳送數據。
第三,使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四,操作係統的補丁要經常進行更新。
第五,不要隨便打開陌生網友傳送的文件和下載、使用破解軟件。
相信大家隻要做好安全防護工作,防治木馬並不是那麽可怕的。
木馬通常有兩個可執行程序:一個是客戶端,即控製端,另一個是服務端,即被控製端。木馬的設計者為了防止木馬被發現,而采用多種手段隱藏木馬。木馬的服務一旦運行,電腦就會有一個或幾個端口被打開,黑客就可以利用控製端進入運行了服務端的電腦,甚至可以控製被種者的電腦,所以被種者的安全和個人隱私也就全無保障了!
隨著微軟的操作係統從Win9X過渡到WinNT係統(包括2000/xp/2003),微軟的任務管理器也一下子“脫胎換骨”,變得“火眼金睛”起來 (在Win9X中,隻需要將進程注冊為係統服務就能夠從進程查看器中隱形,可是這一切在WinNT中卻完全不同,無論木馬從端口、啟動文件上如何巧妙地隱藏自己,始終都不能欺騙WinNT的任務管理器),這使得以前在win9X操作係統下靠將進程注冊為係統服務就能夠從任務管理器中隱形的木馬麵臨前所未有的危機,所以木馬的開發者及時調整了開發思路,轉入了開發可以躲避WinNT的任務管理器的進程查詢的動態嵌入式DLL木馬。
要弄清楚什麽是動態嵌入式DLL木馬,我們必須要先了解Windows係統的另一種“可執行文件”——DLL,DLL是Dynamic Link Library(動態鏈接庫)的縮寫,DLL文件是Windows的基礎,因為所有的API函數都是在DLL中實現的。DLL文件沒有程序邏輯,是由多個功能函數構成,它並不能獨立運行,DLL文件一般都是由進程加載並調用的。
因為DLL文件不能獨立運行,所以在進程列表中並不會出現DLL。所以木馬的開發者就通過編寫動態嵌入式DLL木馬,並且通過別的進程來運行它,那麽無論是入侵檢測軟件還是進程列表中,都隻會出現那個進程而並不會出現那個DLL木馬。如果那個進程是可信進程(例如資源管理器Explorer.exe),那麽就沒人會懷疑DLL文件也是個木馬了。從而木馬就又實現了自己的隱蔽性的功能,所以,預防DLL木馬也是相當重要的。
在WinNT係統,DLL木馬一般都藏在System32目錄下(因為System32是係統文件存放的目錄,裏麵的文件很多,在裏麵隱藏當然很方便了),針對這一點我們可以在安裝好係統和必要的應用程序後,對該目錄下的EXE和DLL文件作一次記錄:點擊開始—運行—輸入cmd回車—出現DOS命令行模式—輸入cd回車,再輸入cd C:WindowsSystem32回車,這就轉換目錄到了System32目錄(要還是不知道怎麽進入的,請參看DOS的cd命令的使用),輸入命令:dir *.exe>exebackup.txt & dir *.dll>dllbackup.txt回車。
這樣,我們就把System32目錄下所有的exe文件和所有的dll文件都記錄在exebackup.txt和dllbackup.txt裏麵了。日後如發現係統異常而用傳統的方法又查不出問題時,則要考慮是不是係統中已經潛入了DLL木馬。
這時我們用同樣的方法將System32目錄下的EXE和DLL文件記錄到另外exebackup1.txt和dllbackup1.txt中,然後運行 CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比較前後兩次的DLL和EXE文件,並將結果輸入到 different.txt中),這樣我們就能發現一些多出來的DLL和EXE文件,然後通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。
沒有是最好,如果有的話也不要直接刪除掉,可以先把它移到回收站裏,若係統沒有異常反應再將之徹底刪除,或者把DLL文件上報給反病毒研究中心檢查。
最後,防治木馬的危害,專家建議大家應采取以下措施:
第一,安裝反病毒軟件和個人防火牆,並及時升級。
第二,把個人防火牆設置好安全等級,防止未知程序向外傳送數據。
第三,使用安全性比較好的瀏覽器和電子郵件客戶端工具。
第四,操作係統的補丁要經常進行更新。
第五,不要隨便打開陌生網友傳送的文件和下載、使用破解軟件。
相信大家隻要做好安全防護工作,防治木馬並不是那麽可怕的。
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
