壹般直接上傳病毒或者特洛伊文件,百度雲會攔截。但是很多文件都是以壓縮包或者後綴更改的形式上傳的,所以無法檢測。
所以從百度雲盤下載的時候,也要註意安全。請在使用之前下載並刪除這些文件。
“百度藝兮”是特洛伊病毒1嗎?知道它是否是病毒的最好方法是用殺毒軟件檢測。
2.可以在電腦上安裝電腦管家。
3,然後用病毒把病毒全殺了,如果病毒會提示。
百度已經感染了特洛伊病毒。您好,根據您的描述,建議您使用手機自帶的手機管家防病毒。如果還是不行,建議備份資料,把機器拿到當地售後服務中心,讓工作人員幫妳刷機。
百度貼吧裏有特洛伊病毒嗎?那是壹個貼吧。妳知道這很快就會發生,對嗎?
用圖片木馬掛個馬就行了,好像
我沒玩過。我不知道
最近百度有特洛伊馬病毒嗎?卡巴誤報,更新壹下就沒了。
什麽是特洛伊馬?
特洛伊馬(以下簡稱特洛伊馬)英文名叫“特洛伊之家”,名字取自希臘神話中的特洛伊馬。
它是壹種基於遠程控制的黑客工具,具有隱蔽性和非授權性的特點。
特洛伊馬病毒得名於古希臘特洛伊戰爭中著名的“木馬把戲”。顧名思義,就是偽裝隱藏起來,時機成熟就出來害人的網絡病毒。
感染方式:通過電子郵件附件發送,捆綁在其他程序中。
病毒特征:它會修改註冊表文件,駐留內存,在系統中安裝後門程序,啟動附帶的特洛伊木馬。
特洛伊病毒的破壞性:當特洛伊病毒爆發時,客戶端程序應該在用戶的機器上執行。壹旦爆發,可以設置壹個後門,定期將用戶的隱私發送到特洛伊程序指定的地址,並且壹般同時內置壹個可以進入用戶電腦的端口,可以隨意控制電腦進行文件刪除、復制、修改密碼等非法操作。
註意事項:用戶要提高警惕,不要下載和執行來歷不明的程序,不要隨意打開來歷不明的郵件附件。
所謂隱蔽,就是特洛伊設計者為了不讓特洛伊被發現,會用各種手段隱藏特洛伊,這樣即使服務器發現感染了特洛伊,也只能望“馬”興嘆,因為不確定它的位置。
所謂非授權,是指壹旦控制終端與服務器連接,控制終端將享有服務器的大部分操作權限,包括修改文件、修改登錄文件、控制鼠標鍵盤等。,而這些權利不是服務器賦予的,而是被特洛伊馬程序竊取的。
從特洛伊馬的發展來看,基本上可以分為兩個階段。
起初,網絡還處於UNIX平臺時期,特洛伊馬應運而生。當時木馬程序的功能比較簡單,往往是在系統文件中嵌入壹個程序,利用跳轉指令來執行壹些特洛伊木馬的功能。在這個時期,特洛伊馬的設計者和使用者大多是技術人員,他們必須具備相當的網絡和編程知識。
然後隨著WINDOWS平臺的日益普及,出現了壹些基於圖形化操作的特洛伊木馬程序,用戶界面的改進使得用戶無需了解太多專業知識就能熟練操作木馬。相對的特洛伊木馬入侵也頻繁出現,而且由於這段時間木馬的功能日臻完善,對服務器的破壞更大。
所以,特洛伊馬發展到今天,它已經做了它能做的壹切。壹旦被壹匹特洛伊馬控制,妳的電腦將沒有秘密可言。
鑒於特洛伊馬的巨大危害,我們將分三個部分詳細介紹特洛伊馬:原文篇、防禦反擊篇、信息篇。我希望大家對特洛伊馬作為壹種攻擊手段有壹個透徹的了解。
原文
基礎知識
在介紹特洛伊馬的原理之前,我們要提前說明壹些特洛伊馬的基礎知識,因為下面有很多地方要提到這些內容。
壹個完整的特洛伊木馬系統由硬件部分、軟件部分和特定連接部分組成。
(1)硬件部分:建立特洛伊連接所必需的硬件實體。控制端:遠程控制服務器的壹方。服務器:被控制終端遠程控制的壹方。互聯網:從控制終端到服務終端進行遠程控制和數據傳輸的網絡載體。
(2)軟件部分:實現遠程控制所必需的軟件程序。控制終端程序:控制終端用來遠程控制服務器的程序。木馬程序:潛入服務器並獲取其操作權限的程序。特洛伊配置程序:設置端口號、觸發條件、特洛伊名稱等的程序。讓它在服務器中隱藏得更好。
(3)具體連接部分:通過互聯網在服務器和控制終端之間建立特洛伊馬通道的必要元素。控制端IP和服務端IP:控制端和服務端的網絡地址,也是特洛伊馬數據傳輸的目的地。控制端口,特洛伊木馬端口:即控制端和服務端的數據入口,通過它數據可以直接到達控制端程序或木馬程序。
木馬
利用特洛伊作為黑客工具進行網絡入侵,大致可以分為六個步驟(詳見下圖)。讓我們根據這六個步驟來闡述特洛伊的進攻原理。
1.配置特洛伊木馬
壹般來說,壹個設計良好的特洛伊有壹個特洛伊配置程序。從具體的配置內容來看,主要是實現以下兩個功能:
(1)特洛伊偽裝:為了在服務器上盡可能隱藏特洛伊,特洛伊配置程序會采用各種偽裝方式,比如修改圖標、綁定文件、自定義端口、自毀等。我們將在“傳播木馬”壹節中詳細介紹。
(2)信息反饋:特洛伊配置程序會設置信息反饋的方式或地址,如設置郵箱、IRC號、ICO號等。我們將在“信息反饋”部分介紹細節。
二。傳播特洛伊木馬
(1)傳輸方式:
特洛伊病毒的傳播途徑主要有兩種:壹種是通過電子郵件,控制終端以附件的形式發送木馬程序,收件人只要打開附件系統就會感染特洛伊病毒;另壹個是軟件下載。壹些不正規網站打著提供軟件下載的名義,將木馬綁定到軟件安裝程序中。下載後,只要這些程序壹執行,木馬就會自動安裝。
(2)偽裝模式:
鑒於木馬的危害性,很多人對木馬還是有壹定了解的,對木馬的傳播起到了壹定的抑制作用,這是木馬的設計者不願意看到的。因此,他們開發了各種功能來偽裝木馬,以降低用戶的警惕性,欺騙用戶。
(A)修改圖標
當妳在電子郵件的附件中看到這個圖標時,妳會認為它是壹個文本文件嗎?但是我要告訴妳,它可能是壹個木馬程序。現在有木馬可以把特洛伊木馬服務器程序的圖標換成HTML、TXT、ZIP等文件的圖標,相當混亂,但目前提供這種功能的木馬並不多見,這種偽裝也不是無懈可擊,不用整天緊張懷疑。
(2)捆綁文件
這種偽裝意味著特洛伊馬是綁在壹個安裝程序。當安裝程序執行時,特洛伊木馬會在用戶不知情的情況下偷偷進入系統。至於捆綁的文件,壹般都是可執行文件(即EXE、COM之類的文件)。
(3)錯誤顯示
對木馬有壹定了解的人都知道,如果打開壹個文件沒有任何反應,那很可能是壹個特洛伊程序,木馬的設計者也意識到了這個缺陷,所以有的木馬提供了壹個叫錯誤顯示的功能。服務端用戶打開Muma程序,會彈出如下圖所示的錯誤提示框(當然是假的)。錯誤內容可以自由定義,大部分都會定制成“文件損壞,無法打開!”這樣的信息,當服務器用戶信以為真的時候,特洛伊木馬已經悄悄入侵了系統。
(4)定制端口
許多老特洛伊口岸是固定的,這給判斷特洛伊是否被感染帶來了方便。只要檢查壹個特定的端口,妳就會知道特洛伊感染了什麽。所以現在很多新木馬都加入了自定義端口的功能。控制端用戶可以選擇1024-65535之間的任意端口作為特洛伊端口(壹般不選擇1024以下的端口),從而判斷感染。
(5)自毀
這個功能是為了彌補特洛伊馬的壹個缺陷。我們知道,當服務器用戶打開壹個包含特洛伊木馬的文件時,特洛伊木馬會將自身復制到WINDOWS的系統文件夾中(在C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下)。壹般來說,系統文件夾裏的特洛伊馬文件原件和特洛伊馬文件是壹樣大的(文件捆綁的特洛伊馬除外),所以掉進特洛伊馬的朋友只需要在最近收到的信件和下載的軟件裏找到特洛伊馬原件,然後根據特洛伊馬原件的大小去系統文件夾裏找到大小壹樣的文件。特洛伊的自毀功能意味著木馬安裝後會自動銷毀原有的特洛伊文件,因此服務器用戶很難找到特洛伊的來源,不借助查殺特洛伊的工具也很難刪除特洛伊。
(6)特洛伊改名
安裝在系統文件夾中的木馬文件名壹般都是固定的,所以只要根據壹些查殺木馬的文章在系統文件夾中尋找具體的文件,就可以確定自己中了哪些木馬。所以現在很多木馬允許控制端的用戶自由定制安裝的特洛伊文件名,這就很難確定被感染的特洛伊的類型。
三。特洛伊馬執行
在服務器用戶執行特洛伊或綁定特洛伊的程序後,特洛伊將被自動安裝。先把自己復制到WINDOWS的system文件夾下(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然後在登錄文件、啟動組、非啟動組中設置特洛伊的觸發條件,這樣就完成了特洛伊的安裝。安裝後,您可以啟動特洛伊馬。具體流程見下圖:
(1)觸發條件使能特洛伊馬
觸發條件是指啟動特洛伊馬的條件,壹般出現在以下八個地方:
1.登錄文件:打開HKEY _ local _ machine \ Sofare \ Microsoft \ Windows \ Current Version \下的Run和RunServices五個鍵值,找到可能用來啟動特洛伊木馬的鍵值。
2.win.ini:c:\ Windows目錄下有壹個配置文件win . ini,用文本打開。在[windows]字段中,有啟動命令load=和run=,壹般為空。如果有壹個啟動程序,它可能是壹匹特洛伊馬。3.system.ini: C: \有壹個配置文件系統。在words中打開的Windows目錄下的ini。在[386Enh]、[mic]和[drivers32]中都有命令行,在這裏可以找到特洛伊馬的啟動命令。
4.Autoexec.bat和config . sys:c盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式壹般需要控制端的用戶與服務器建立連接,然後將添加了特洛伊啟動命令的同名文件上傳到服務器,以覆蓋這兩個文件。
5.*.INI:應用程序的啟動配置文件。控制終端利用這些文件可以啟動程序的特性,將與特洛伊啟動命令同名的文件上傳到服務器,以覆蓋同名文件,從而啟動特洛伊。
6.註冊表文件:打開HKEY _類_根\文件類型\外殼\打開\和主鍵查看其鍵值。比如國內的特洛伊《冰河》就是修改HKEY _ classes _ root \ txt file \ shell \ open \ mand下的鍵值,把“C :\WINDOWS \NOTEPAD。EXE %1”到“c: \ Windows \ system \ syxxxplr.exe”。還需要註意的是,不僅是TXT文件,通過修改HTML、EXE、ZIP等文件的啟動命令的鍵值,也可以啟動木馬。唯壹的區別在於“文件類型”主鍵的不同。TXT是TXTFile,ZIP是WINZIP,可以試著找壹下。
7.捆綁文件:要實現這個觸發條件,控制終端和服務器首先要通過壹個特洛伊建立連接,然後控制終端的用戶用工具軟件將特洛伊文件和壹個應用程序捆綁在壹起,然後上傳到服務器覆蓋原文件,這樣即使刪除了特洛伊,只要執行與特洛伊捆綁的應用程序,就會重新安裝特洛伊。
8.啟動菜單:“開始-程序-啟動”選項下可能有特洛伊馬的觸發條件。
②特洛伊馬的行刑過程
特洛伊馬啟用後,它進入內存並打開預定義的特洛伊端口,準備與控制終端建立連接。此時,服務器用戶可以在MS-DOS模式下鍵入NETSTAT -AN來查看端口狀態。壹般來說,個人電腦脫機時不會打開端口。如果有口岸開放,就要註意是否感染了特洛伊馬。以下是電腦感染特洛伊馬後,用NETSTAT命令檢查端口的兩個例子:
其中①是服務器和控制終端之間的連接建立時的顯示狀態,②是服務器和控制終端之間的連接尚未建立時的顯示狀態。
在上網、下載軟件、發信、網上聊天等過程中。必然會開放壹些端口。以下是壹些常用的端口:
(1) 1-1024之間的端口:這些端口稱為保留端口,專門用於壹些外部通信程序,比如使用21的FTP,使用25的SMTP,使用110的POP3等。只有少數特洛伊木馬會將保留端口用作特洛伊端口。
(2)1025以上的連續端口:在線瀏覽網站時,瀏覽器會打開多個連續端口將文字和圖片下載到本地硬盤。這些端口都是1025以上的連續端口。
(3)端口4000:這是OICQ的通信端口。
(4)端口6667:這是IRC的通訊端口。除了以上端口,基本可以排除。如果發現其他端口打開,尤其是數值比較大的端口,就要懷疑是否感染了木馬。當然,如果木馬有自定義端口的功能,那麽任何端口都可能是特洛伊端口。
4.信息泄露:
壹般來說,設計良好的木馬都有信息反饋機制。所謂信息反饋機制,是指特洛伊馬安裝成功後,會收集服務器的壹些軟硬件信息,通過E-MAIL、IRC或ICO通知控制端用戶。下圖是典型的信息反饋郵件。
從這封郵件中,我們可以知道服務器的壹些軟硬件信息,包括操作系統、系統目錄、硬盤分區槽、系統密碼等。在這些信息中,最重要的是服務器IP,因為只有得到這個參數,控制終端才能與服務器建立連接。我們將在下壹節解釋具體的連接方法。
動詞 (verb的縮寫)建立連接:
在本節中,我們將解釋特洛伊馬連接是如何建立的。建立特洛伊木馬連接首先要滿足兩個條件:壹是服務器上已經安裝了木馬程序;第二,控制終端和服務器必須在線。在此基礎上,控制終端可以通過特洛伊端口與服務端建立連接。為了便於說明,我們用插圖的形式來說明。
如上圖所示,A機是控制終端,B機是服務器。對於A機來說,需要知道B機的特洛伊端口和IP地址,才能與B機建立連接,因為特洛伊端口是A機事先設置好的,是已知項,所以最重要的是如何獲取B機的IP地址,獲取B機IP地址的方式主要有兩種:信息反饋和IP掃描。對於前壹種,上壹節已經介紹過了,這裏不再贅述。我們將重點討論IP掃描。因為木馬程序安裝在B機,它的特洛伊端口7626是開放的,所以現在A機只需要掃描IP地址段中端口7626開放的主機。比如圖中B機的IP地址是202.102.47.56。當計算機A掃描該IP並發現其端口7626是開放的時,該IP將被添加到列表中。此時,計算機A可以通過特洛伊控制終端程序向計算機B發送連接信號,計算機B中的特洛伊程序收到信號後會立即做出響應。當計算機A收到響應信號時,它將打開壹個隨機端口1031,與計算機B的特洛伊端口7626建立連接。到這個時候,它將是壹個新的港口。值得壹提的是,掃描整個IP地址段顯然是費時費力的。壹般來說,控制終端首先通過信息反饋獲得服務器的IP地址。因為撥號上網的IP是動態的,也就是用戶每次上網的IP是不壹樣的,但是這個IP是在壹定範圍內變化的。如圖,B機的IP是202.438+002.47.56。那麽電腦B的IP範圍是202.102.000 . 000-202.102.255 . 255,所以控制終端每次搜索這個IP地址段就能找到電腦B。
不及物動詞遠程控制:
建立特洛伊馬連接後,控制端口和特洛伊馬端口之間將出現壹個通道,如下所示。
控制終端上的控制終端程序可以通過這個通道與服務器上的木馬程序取得聯系,通過木馬程序遠程控制服務器。下面介紹壹下控制終端可以享有的具體控制權,遠遠大於妳的想象。
(1)竊取密碼:所有明文,*或緩存在緩存中的密碼都可以被木馬檢測到。另外,很多木馬還提供了按鍵記錄功能,會記錄服務器的每壹次按鍵,所以壹旦有特洛伊入侵,密碼就會被輕易竊取。
(2)文件操作:控制終端可以通過遠程控制對服務器上的文件進行刪除、新建、修改、上傳、下載、執行、變更所有權等操作,基本涵蓋了WINDOWS平臺上所有的文件操作功能。
(3)修改登錄文件:控制終端可以隨意修改服務器登錄文件,包括刪除、新建或修改主鍵、子鍵、鍵值。通過該功能,控制終端可以禁止使用服務器上的軟驅和光驅,鎖定服務器上的登錄文件,並將服務器上特洛伊馬的觸發條件設置得更加隱蔽。
(4)系統操作:此內容包括重啟或關閉服務器操作系統、斷開服務器網絡連接、控制服務器的鼠標和鍵盤、監控服務器的桌面操作、檢查服務器的程序等。控制終端甚至可以隨時向服務器發送消息。試想壹下,當服務器桌面突然彈出壹段話,壹點都不奇怪。
三者之間的差別現在其實越來越小了。
蠕蟲現在特指那些通過漏洞或電子郵件快速傳播的程序。大多以快速傳播為目的,避免徹底殺傷。蠕蟲很少感染可執行文件。
當壹個攻擊者進入妳的系統,它會放置壹匹特洛伊馬,或者攻擊者會誘騙妳執行特洛伊馬。特洛伊馬是用來幫助攻擊者更容易地操作您的計算機。他們很少自己銷毀文件,因為他們通常要在妳的系統中等待很長時間。
病毒,最大的壹類東西,按照目前的分類趨勢,病毒幾乎可以涵蓋木馬和蠕蟲,壹般指那些對用戶有害的程序,尤其是會自我傳播的程序。早期病毒和壹般病毒是指感染文件的存檔病毒。
特洛伊馬病毒非常強大,它是2009年最流行的病毒。詳細信息可以在百度上搜索。
特洛伊馬可以危害QQ和其他網絡遊戲帳戶,但它可以危害電腦!
希望妳對我的回答滿意。謝謝妳。
BootSoftTest.txt是特洛伊病毒嗎?文本在文件名的後面。txt為後綴,表示文件file(例如。exe是可執行文件~!)是壹個文件。如果妳不寫任何東西進去,它就是壹個空文件。妳可以在裏面寫點什麽或者寫完後改變後綴,它就可以變成別的東西,比如網頁(。htm)。。
如果不確定,可以用騰訊電腦管家全面查殺。
依托紅傘國際頂級反病毒引擎、騰訊雲引擎、鷹眼引擎等四核專業引擎,病毒識別率提升30%,深度根除頑固病毒!完美解決殺毒修復問題,全方位保護用戶上網安全。
工具箱——頑固的特洛伊馬的克星——大力掃描它
希望能幫到妳。有什麽不懂的可以問。
iojfjpff.dll是特洛伊病毒嗎?沒有,我登錄qq的時候沒有提示這個。有些木馬是程序啟動啟動的。最好用殺毒軟件殺了他們。360不太靠譜~
res.dll是特洛伊病毒嗎?百度壹下,自己搜res.dll。自己查詢,這個檔案本來是系統的自動檔案,因為妳只發了壹個名字。如果它被替換,其他人將無法獲得您計算機上的DLL文件進行分析。沒人知道是不是病毒。
或者妳可以提交分析。