论文部分内容阅读
早期的防病毒思想并不盛行,使用网络防火墙的人也只有少数,攻击者只需要一点简单的社会工程学手段就能把木马程序传输给对方执行。这一时期的木马种植手段(如今的普遍称谓为“下马”)基本上不需要技术支撑。当木马技术刚在国内开始的时候,任意一个IP段都有可能存在超过40%的受害计算机开放着大门等待入侵者进攻,唯一美中不足的制约条件就是当时的网络速度普遍太慢了。随着木马技术发展日益成熟,同时网民的安全意识也普遍提高,出现了初期的病毒防火墙概念,这时期的木马虽然隐蔽性有了相对提高,但仍然是基于客户端寻找连接服务器端的模式。病毒防火墙的出现,使网民判断和查杀木马的效率大大提高,但因为防火墙技术并未普及,仍然有很多人没有使用,以至于许多老旧的木马依然可以横行无忌。
网络防火墙技术的出现,让计算机与网络之间不再直接,尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核内部程序访问网络请求”的策略,导致大部分木马纷纷失效,这时期的木马逐渐分裂成两个派别:一种依然采用客户端连接服务器端的方式,只是改为了其他传输途径。如E-mail、FTP等,或者在内部除掉网络防火墙,以便自己畅通无阻;另一种则改变了入侵的思维,把“客户端连接服务器端”变为“服务器端连接客户端”,突破了网络防火墙的限制,也因此诞生了一种新的木马技术——“反弹型”木马。这一时期里,入侵者与受害者之间的战争终于提升到了技术级别。
现在网络上流行的木马软件基本都是客户机,服务器模式,也就是所谓的c/S结构,即客户/服务器体系结构(Client/Server At-chitecture),由客户应用程序和服务器程序组成。目前也有一些木马开始向B/s结构转变。所谓B/S结构,就是只安装维护一个服务器,而客户端采用浏览器运行软件,即浏览器/服务器结构。
下面列举几种木马常见类型:
(1)破坏型
唯一的功能就是破坏并且删除文件,可以自动地删除电脑上的DLL、INI、EXE等文件。
(2)密码发送型
可以找到隐藏密码并把它们发送到指定的信箱。有些人喜欢用WINDOWS提供的密码记忆功能。这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。
(3)远程访问型
最广泛的是特洛伊木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。
(4)键盘记录
这种木马非常简单。它们只记录受害者的键盘敲击并且在LOG文件里查找密码。这种木马随着Windows的启动而启动。它们有在线和离线记录选项,分别记录你在线和离线状态下敲击键盘时的按键情况。当然,对于这种类型的木马,邮件发送功能也是必不可少的。
(5)代理型
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此。给被控制的电脑种上代理木马,让其变成攻击者。通过代理木马,攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序。从而隐蔽自己的踪迹。
(6)FTP型
这种木马可能是最简单和古老的木马了,它的唯一功能就是打开21端口,等待用户连接。新FTP木马还加上了密码功能,只有攻击者本人才知道正确的密码,从而进人对方计算机。
(7)程序杀手
木马到了对方机器上要发挥自己的作用,还要过杀毒软件这一关才行。常见的防木马软件有ZoneAlarm、Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的防病毒程序,让其他的木马更好地发挥作用。
(8)反弹端口型
该木马的开发者在分析了防火墙的特性后发现:防火墙对于连八的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,也会以为是自己在浏览网页。
当确定你的电脑已经被感染以后。要尽快清除病毒。以免造成更严重的后果。清除病毒主要有两种方法:一是使用杀毒软件或一些木马专杀工具:二是靠自己手工来清除。
在此简单介绍一些手工杀毒方法:
(1)检查网络连接情况,不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连接情况来发现木马的存在。
(2)查看目前运行的服务,我们可以通过点击“开始”→“运行”→“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
(3)检查系统启动项,由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”→“运行”→“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值:HKEY-USERS,Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe.file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了。
(4)检查系统账户,恶意的攻击者喜欢通过在电脑中留有一个账户的方法来控制你的计算机。激活一个系统中的默认账户,然后把这个账户的权限提升为管理员权限,它将是系统中最大的安全隐患。恶意攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”→“运行”→“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组。如果你发现一个系统内置的用户是属于administra-tors组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户。
应对网络威胁,最好的方法还是先做好防范。不给木马入侵的机会。不要浏览陌生的网页,关闭移动驱动器的自动浏览功能,对陌生的u盘杀毒后再打开,及时更新系统补丁和杀毒软件。虽然任何方法都无法保证绝对安全,但对于大多数用户来说。只要提高网络安全意识,仍然能施心地畅游网络。
网络防火墙技术的出现,让计算机与网络之间不再直接,尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核内部程序访问网络请求”的策略,导致大部分木马纷纷失效,这时期的木马逐渐分裂成两个派别:一种依然采用客户端连接服务器端的方式,只是改为了其他传输途径。如E-mail、FTP等,或者在内部除掉网络防火墙,以便自己畅通无阻;另一种则改变了入侵的思维,把“客户端连接服务器端”变为“服务器端连接客户端”,突破了网络防火墙的限制,也因此诞生了一种新的木马技术——“反弹型”木马。这一时期里,入侵者与受害者之间的战争终于提升到了技术级别。
现在网络上流行的木马软件基本都是客户机,服务器模式,也就是所谓的c/S结构,即客户/服务器体系结构(Client/Server At-chitecture),由客户应用程序和服务器程序组成。目前也有一些木马开始向B/s结构转变。所谓B/S结构,就是只安装维护一个服务器,而客户端采用浏览器运行软件,即浏览器/服务器结构。
下面列举几种木马常见类型:
(1)破坏型
唯一的功能就是破坏并且删除文件,可以自动地删除电脑上的DLL、INI、EXE等文件。
(2)密码发送型
可以找到隐藏密码并把它们发送到指定的信箱。有些人喜欢用WINDOWS提供的密码记忆功能。这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。
(3)远程访问型
最广泛的是特洛伊木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。
(4)键盘记录
这种木马非常简单。它们只记录受害者的键盘敲击并且在LOG文件里查找密码。这种木马随着Windows的启动而启动。它们有在线和离线记录选项,分别记录你在线和离线状态下敲击键盘时的按键情况。当然,对于这种类型的木马,邮件发送功能也是必不可少的。
(5)代理型
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此。给被控制的电脑种上代理木马,让其变成攻击者。通过代理木马,攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序。从而隐蔽自己的踪迹。
(6)FTP型
这种木马可能是最简单和古老的木马了,它的唯一功能就是打开21端口,等待用户连接。新FTP木马还加上了密码功能,只有攻击者本人才知道正确的密码,从而进人对方计算机。
(7)程序杀手
木马到了对方机器上要发挥自己的作用,还要过杀毒软件这一关才行。常见的防木马软件有ZoneAlarm、Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的防病毒程序,让其他的木马更好地发挥作用。
(8)反弹端口型
该木马的开发者在分析了防火墙的特性后发现:防火墙对于连八的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,也会以为是自己在浏览网页。
当确定你的电脑已经被感染以后。要尽快清除病毒。以免造成更严重的后果。清除病毒主要有两种方法:一是使用杀毒软件或一些木马专杀工具:二是靠自己手工来清除。
在此简单介绍一些手工杀毒方法:
(1)检查网络连接情况,不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连接情况来发现木马的存在。
(2)查看目前运行的服务,我们可以通过点击“开始”→“运行”→“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
(3)检查系统启动项,由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”→“运行”→“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值:HKEY-USERS,Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe.file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了。
(4)检查系统账户,恶意的攻击者喜欢通过在电脑中留有一个账户的方法来控制你的计算机。激活一个系统中的默认账户,然后把这个账户的权限提升为管理员权限,它将是系统中最大的安全隐患。恶意攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”→“运行”→“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组。如果你发现一个系统内置的用户是属于administra-tors组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户。
应对网络威胁,最好的方法还是先做好防范。不给木马入侵的机会。不要浏览陌生的网页,关闭移动驱动器的自动浏览功能,对陌生的u盘杀毒后再打开,及时更新系统补丁和杀毒软件。虽然任何方法都无法保证绝对安全,但对于大多数用户来说。只要提高网络安全意识,仍然能施心地畅游网络。