壹、特洛伊馬的起源
計算機特洛伊是壹個後門程序,黑客經常利用它作為控制遠程計算機的工具。
英語單詞“特洛伊”的字面意思是“特洛伊”。
特洛伊馬壹詞來源於壹個古老的故事:據說在古希臘戰爭中,當進攻特洛伊城時,它久久不能被攻占。
後來希臘人用了壹個詭計,造了壹些大木馬,很多裝備精良的戰士藏在他們空空的肚子裏,然後在另壹次進攻中假裝失敗,逃跑時拋棄了大木馬。
守城的士兵把它作為戰利品帶到了城裏。
半夜,特洛伊馬腹裏的勇士悄悄溜了出來,和早已在外面準備好的士兵來了個漂亮的內線配合,壹舉拿下特洛伊。
這就是特洛伊馬的起源。
從這個故事中,我們很容易想到電腦特洛伊馬的功能。
二、計算機原理特洛伊馬
電腦特洛伊馬壹般由服務器和控件兩部分組成,這是常用的C/S(CONTROL/SERVE)模式。
服務器(S端):遠程計算機運行。
壹旦成功執行,就可以控制或造成其他傷害,這取決於特洛伊養馬人的想法和特洛伊馬本身的功能。這些控制功能主要通過調用Windows的API來實現。早期的dos操作系統,是通過調用DOS終端和系統函數(INT 21H)來實現的。在服務段設置什麽控件,取決於程序員的需求,是不壹樣的。
控制終端(C終端)也稱為客戶端。客戶端程序主要是支持服務端程序的功能。它通過網絡向服務端發出控制指令,控制端運行在本地計算機上。
第三,傳播途徑
木馬的傳播方式很多,常見的有以下幾種:
1.通過郵件附件傳播。
這是最常見也是最有效的方式,大多數病毒(尤其是蠕蟲)都是通過這種方式傳播的。
首先,特洛伊傳播者用很多方法偽裝木馬,比如變形、壓縮、脫殼、捆綁、帶雙後綴,這使得木馬非常具有迷惑性。
壹般的做法是先在本地機器中偽裝特洛伊,然後用殺毒程序查殺並測試偽裝的特洛伊。如果找不到,說明偽裝成功了。
然後用壹些捆綁軟件把偽裝好的特洛伊馬藏在壹張圖片或者其他可以運行腳本語言的文件裏發出去。
2.通過下載文件傳播。
從網上下載的文件,即使是大型門戶網站也不能保證他隨時查詢的安全,更何況是壹些個人主頁和小網站。
通常有兩種傳播下載文件的方式。壹種方法是直接將下載鏈接指向特洛伊,這意味著您下載的不是您需要的文件。
另壹個是將特洛伊馬綁定到您需要下載的文件。
3.通過網頁傳播。
眾所周知,許多VBS腳本病毒是通過網頁傳播的,特洛伊馬也不例外。
如果網頁包含壹些惡意代碼,IE會自動下載並執行壹個木馬程序。
這樣,妳就不知不覺中被裝上了木馬。
對了,很多人的IE設置在訪問網頁後被修改甚至鎖定,也是網頁上用腳本語言編寫的惡意代碼造成的。
4.通過聊天工具傳播。
目前流行QQ、ICQ、MSN、EPH等網絡聊天工具,這些工具都具有文件傳輸的功能,很容易被惡意者利用彼此的信任傳播木馬和病毒文件。
第四,壹些特殊類型的特洛伊馬
1.反彈端口特洛伊:普通木馬會從C端向S端發送連接請求,但其他壹些木馬不會。他們從S端向C端發送請求。
這樣做的好處是什麽?眾所周知,網絡防火墻具有監控網絡的功能,但大多只是從外部監控最近的數據,而忽略了從內部到外部的數據。
反彈端口特洛伊正是利用這壹點來避開網絡防火墻的阻擋,從而能夠順利完成自己的任務。
著名的“網絡小偷”就是這樣壹種特洛伊馬。
它從S終端向C終端發送連接請求。當C端的數據通過防火墻時,防火墻會認為這是正常數據發出去的返回信息(壹般發出去的數據被防火墻認為是正常的),所以不會被攔截,這就給了它可乘之機。
2.無流程特洛伊馬:“流程”是壹個抽象的概念,可以理解為排隊買電影票。每個窗口中的人(實際上是端口)可以理解為壹個進程,有多少個窗口就有多少個進程。
普通木馬在運行時都有自己獨立的進程(先把某個窗口排的人當成小偷),使用“柳樹擦眼”等優秀的進程查看軟件就能發現並終止。
這不是太讓人失望了嗎?我終於寫了壹個木馬,妳發現了。
為了更好的隱藏自己,木馬的制作者們想了壹些辦法,將木馬的進程隱藏到正常進程(主機進程)中。
比如正常流程(制度和正當證件的流程)可以理解為正常排隊買票的人。
特洛伊進程(小偷排隊假裝買票),如果都在某個窗口(通過某個端口通信),很容易被發現,所以那些小偷盡量混進正常隊列(實現了特洛伊進程的隱藏),所以不容易被發現,也不容易被終止。
在實踐中,即使妳發現壹個特洛伊進程隱藏在壹個正常的進程中,妳也不敢輕易終止它,因為壹旦特洛伊進程被終止,正常的主機進程也會被終止,這可能會導致壹些嚴重的後果。
因此,可以看出,非過程特洛伊實際上是壹個“隱藏過程特洛伊”,這也是它的高明之處。
在實踐中,不可能有真正的“無流程特洛伊馬”。
最近出現的“廣外男生”就是壹個典型的例子。
3.無控制端木馬:這類木馬最顯著的特點是C端和S端是壹體的,壹旦配置就無法更改。
作用壹般是專壹的,有針對性的,危害小的,殺起來簡單的。
經常被用來盜取QQ、郵箱、網遊的密碼。
4.嵌套式特洛伊:首先利用自己的小程序或者利用系統的漏洞奪取某個特定的權限,比如上傳文件、查殺網絡防火墻和病毒防火墻,然後上傳修改或未修改的強大木馬,進壹步奪取控制權。
於是這個小程序或者系統漏洞就和強大的真實特洛伊馬結合在壹起,形成了“嵌套特洛伊馬”,特點是不允許發現和查殺,“發展前景很好”。
5.其他木馬:嚴格來說,這裏說的其他木馬都不是真正的木馬,只能算是木馬入侵時的輔助工具。
壹個典型的惡意網頁代碼,讓妳在瀏覽後不自覺的分享所有硬盤,然後方便別人給妳種下特洛伊馬,為進壹步入侵做準備。
動詞 (verb的縮寫)關於捆綁
木馬綁定,通俗點說就是將特洛伊的代碼嵌入到其他類型的文件中,很容易偽裝。比如國內著名的特洛伊“Ice River”自帶綁定工具,可以將特洛伊的代碼嵌入到各種支持腳本語言或運行代碼的文件中,比如網頁、圖片文件、可執行文件等。
當接收者收到這些文件時,幾乎感覺不到有什麽不同,但在後臺,特洛伊代碼悄悄地進入內存並運行。
如果妳的電腦莫名其妙的死機或重啟,如果硬盤被頻繁訪問而沒有操作,如果系統無故搜索軟驅和光驅,如果系統速度極慢,系統資源占用率過高...妳有沒有意識到妳的電腦可能被植入了木馬程序?
特洛伊馬不是壹場歷史上驚心動魄的戰爭,而是壹個在互聯網上廣泛流傳的危險節目。
木馬在當今網絡中無處不在,如“博背孔”和“冰川”都是特洛伊程序。甚至在PDA的世界裏,也出現了壹個“自由破解”程序。
人們談論“馬”,下面,我將告訴妳可怕的“特洛伊馬”是怎麽回事。
什麽是“特洛伊馬”
就像歷史上的“特洛伊馬”壹樣,名為“特洛伊馬”的程序也是隱藏在美麗外表下進入我們電腦的東西。
確切地說,“特洛伊馬”是壹種偽裝的欺騙性程序,通過偽裝自己吸引用戶下載並執行,從而破壞或竊取用戶的重要文件和資料。
木馬程序不同於普通病毒。它不會自我復制,也不會“故意”感染其他文件。它的主要作用是打開受害者電腦對特洛伊養馬人的入口,讓對方隨意破壞、竊取妳的文件,甚至遠程控制妳的電腦。
特洛伊馬不同於計算機網絡中常用的遠程控制軟件。
雖然兩者在主要功能上都可以實現遠程控制,但遠程控制軟件通常不會隱藏,因為是“善意”控制。
特洛伊馬正好相反。特洛伊馬想要達到的是“偷”的遠程控制,所以如果沒有很強的隱蔽性,那麽特洛伊馬根本“壹文不值”。
特洛伊馬的工作原理
壹個完整的木馬程序由兩部分組成:服務器和控制器。
植入妳電腦的是它的“服務器”部分,所謂“黑客”就是利用“控制器”進入運行“服務器”的電腦。
眾所周知,基於TCP/IP協議接入互聯網的計算機,從0到65535共有256×256個端口。
平時我們上網的時候,電腦通過139端口與外界保持聯系。
運行木馬程序的“服務器”後,妳的電腦會有另外壹個或多個端口被打開,黑客就可以利用這些打開的端口進入妳的系統,妳的系統安全和個人隱私將完全得不到保護!
木馬如此“猖狂”,怎麽才能知道自己的電腦被植入了木馬?
特洛伊木馬運行的跡象
如果電腦無故死機或重啟;
如果硬盤被頻繁訪問而沒有操作;
如果系統無故搜索軟驅和光驅;
如果系統速度異常緩慢並且系統資源占用率過高...
這些時候,妳要小心!妳很有可能與“特洛伊馬”有“親密接觸”!這些“* * *”是怎麽在我們的電腦裏沈澱下來的?
特洛伊馬的隱藏和開始
特洛伊木馬進入服務器計算機後,需要以某種方式激活自己,運行並加載到系統自啟動程序序列中。
了解特洛伊是如何激活自身的是找到並移除特洛伊的關鍵。
檢驗特洛伊馬的方法
掃描端口是檢測特洛伊木馬的常用方法。
我們之前說過,在不打開任何網絡軟件的前提下,上網的電腦只打開139端口。
所以我們可以關閉所有網絡軟件,然後用“代理獵人”之類的端口掃描軟件掃描電腦端口。如果發現139端口之外的任何端口被打開,那麽妳無疑是被特洛伊馬撞了。
如果妳想找到特洛伊馬的位置,妳可以使用檢測記憶的方法。
運行“c:\windows\Drwatson.exe”,這是windows系統的“華生醫生”,它可以對系統內存進行拍照,獲取相關信息。
拍照後,在“高級視圖”中的“任務”選項卡下查看“程序”項,其中列出了正在運行的程序。
對於可疑的程序,再次檢查“路徑”列找到該程序,從而知道它是否是特洛伊馬。
手動刪除木馬
如果妳認為刪除壹匹特洛伊馬只是找到它後的壹點努力,那妳就大錯特錯了。
刪除木馬有時是最困難的任務。如果不徹底刪除,木馬很容易“死灰復燃”。
想到的第壹個方法就是用殺毒軟件。畢竟優秀的殺毒軟件都是“反恐”高手。
那麽手動刪除需要註意什麽呢?
很多木馬都有自動檢測其自啟動項的功能。如果刪除啟動項而不刪除木馬,木馬可以立即將這些啟動信息重新寫入相關文件或註冊表位置。
所以最安全的辦法就是在確定特洛伊木馬的位置後重啟電腦進入DOS狀態,在DOS下刪除木馬程序後再返回Windows刪除其相關啟動信息。
其次,特洛伊文件名的麻煩——特洛伊為了更好的隱藏自己,給妳制造麻煩,生成的服務器文件名類似於Windows的系統文件名。
例如,特洛伊Subeven1.7版本的服務器文件名為c:\windows\kernel16.dll,windows有壹個名為C:\ Windows \ kernel32.dll的系統文件..
再比如特洛伊階段1.0版本。生成的特洛伊是c:\windows\system\Msgsrv32.exe,和windows系統文件壹模壹樣,只是圖標不同。能正確區分這些並刪除嗎?另外,別忘了文件名是可以改的。
妳可能覺得贏了大巴特洛伊應該有Mring.exe或者SysEdit.exe之類的文件,但是我把它改成123.exe又能怎麽樣呢?所以,不要盲目依賴“常識”。
最後也是最困難的是特洛伊馬的“多次攻擊”帶來的麻煩。
比如壹款名為“智能基因”的國產“文件相關”特洛伊,會生成三個文件,c:\windows\MBBManager.exe和c:\windows\system\editor.exe,都使用HTM文件圖標。如果妳的系統設置是不顯示已知文件類型的擴展名,妳真的會以為它們是HTM文件!Explore32.exe關聯HLP文件,MBBManager.exe在啟動時加載,Editor.exe關聯TXT文件。
當妳找到並刪除MBBManager.exe,並認為妳完成了,只要打開HLP文件或文本文件,即使只有壹次,Explore32.exe和Editor.exe將被激活,MBBManager.exe將再次生成。
有許多特洛伊馬具有類似的手段,甚至更強大的。
要手動清除特洛伊馬,妳必須具備足夠的計算機知識、豐富的經驗、冷靜的頭腦、敏銳的洞察力、高度的警惕性和超強的分析能力——妳能做到嗎?防患於未然特洛伊馬如此兇殘,妳還有信心打敗它嗎?別擔心,其實對付特洛伊這匹馬最好的辦法就是“拒之門外”。
在這個木馬橫行的時代,我們確實有必要加強安全防護意識。
防火墻和殺毒軟件要經常更新;要慎重選擇下載軟件的地方,盡量不要從壹些來歷不明的個人主頁下載軟件;對於下載的軟件,安裝前需要用殺毒軟件進行掃描,以防有害;另外,不要打開來歷不明的郵件中的附件,不要執行別人發給妳的所謂“有趣”的小程序...
另外,壹旦被特洛伊馬擊中,壹定要先斷網,因為就算是神仙也操縱不了妳,然後再耐心清除。
刪除前還有備份,防止操作失誤。
總之,網絡也是壹個復雜的社會。
而且不同於現實世界,在這個虛擬世界裏我們看不到對方的真實面目。
所以,對我們來說,辨別真假就更難了。
要想在這樣的環境下生存,必須處處嚴密防範!這樣才能保證我們的安全。