想學殺木馬先學木馬基本知識,第2課木馬的深入分析4
木馬的種類
1、破壞型
惟一的功能就是破壞並且刪除檔案,可以自動的刪除電腦上的dll、ini、exe檔案。
2、密碼傳送型
在這裡提醒一下,不要認為自己在文件中加了密碼而把重要的保密檔案存在公用計算機中,那你就大錯特錯了。別有用心的人完全可以用窮舉法暴力破譯你的密碼。利用windows api函式enumwindows和
enumchildwindows對當前執行的所有程式的所有視窗(包括控制項)進行遍歷,通過視窗標題查詢密碼輸入和出確認重新輸入視窗,通過按鈕標題查詢我們應該單擊的按鈕,通過es_password查詢我們需要鍵入的密碼視窗。向密碼輸入視窗傳送wm_settext訊息模擬輸入密碼,向按鈕視窗傳送wm_command訊息模擬單擊。在破解過程中,把密碼儲存在乙個檔案中,以便在下乙個序列的密碼再次進行窮舉或多部機器同時進行分工窮舉,直到找到密碼為止。此類程式在黑客**上唾手可得,精通程式設計的人,完全可以自編乙個。
3、遠端訪問型
最廣泛的是特洛伊馬,只需有人執行了服務端程式,如果客戶知道了服務端的ip位址,就可以實現遠端控制。以下的程式可以實現觀察"受害者"正在幹什麼,當然這個程式完全可以用在正道上的,比如監視學生機的操作。
程式中用的udp(user datagram protocol,使用者報文協議)是網際網路上廣泛採用的通訊協議之一。與tcp協議不同,它是一種非連線的傳輸協議,沒有確認機制,可靠性不如tcp,但它的效率卻比tcp高,用於遠端螢幕監視還是比較適合的。它不區分伺服器端和客戶端,只區分傳送端和接收端,程式設計上較為簡單,故選用了udp協議。本程式中用了delphi提供的tnmudp控制項。
4.鍵盤記錄木馬
5.dos攻擊木馬
隨著dos攻擊越來越廣泛的應用,被用作dos攻擊的木馬也越來越流行起來。當你入侵了一台機器,給他種上dos攻擊木馬,那麼日後這台計算機就成為你dos攻擊的最得力助手了。你控制的肉雞數量越多,你發動dos攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在攻擊者可以利用它來攻擊一台又一台計算機,給網路造成很大的傷害和帶來損失。
還有一種類似dos的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對特定的郵箱不停地傳送郵件,一直到對方癱瘓、不能接受郵件為止。
6.**木馬
黑客在入侵的同時掩蓋自己的足跡,謹防別人發現自己的身份是非常重要的,因此,給被控制的肉雞種上**木馬,讓其變成攻擊者發動攻擊的跳板就是**木馬最重要的任務。通過**木馬,攻擊者可以在匿名的情況下使用telnet,icq,irc等程式,從而隱蔽自己的蹤跡。
7.ftp木馬
這種木馬可能是最簡單和古老的木馬了,它的惟一功能就是開啟21埠,等待使用者連線。現在新ftp木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進人對方計算機。
8.程式殺手木馬
上面的木馬功能雖然形形色色,不過到了對方機器上要發揮自己的作用,還要過防木馬軟體這一關才行。常見的防木馬軟體有zonealarm,norton anti-virus等。程式殺手木馬的功能就是關閉對方機器上執行的這類程式,讓其他的木馬更好地發揮作用。
9.**埠型木馬
木馬是木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的鏈結往往會進行非常嚴格的過濾,但是對於連出的鏈結卻疏於防範。於是,與一般的木馬相反,**埠型木馬的服務端 (被控制端)使用主動埠,客戶端 (控制端)使用被動埠。木馬定時監測控制端的存在,發現控制端上線立即彈出埠主動鏈結控制端開啟的主動埠;為了隱蔽起見,控制端的被動埠一般開在80,即使使用者使用掃瞄軟體檢查自己的埠,發現類似tcp userip:1026 controllerip:80established的情況,稍微疏忽一點,你就會以為是自己在瀏覽網頁。
中木馬後出現的狀況
對於一些常見的木馬,如sub7、bo2000、冰河等等,它們都是採用開啟tcp埠監聽和寫人登錄檔啟動等方式,使用木馬克星之類的軟體可以檢測到這些木馬,這些檢測木馬的軟體大多都是利用檢測tcp鏈結、登錄檔等資訊來判斷是否有木馬人侵,因此我們也可以通過手工來偵測木馬。
也許你會對硬碟空間莫名其妙減少500m感到習以為常,這的確算不了什麼,天知道windows的臨時檔案和那些烏七八糟的遊戲吞噬了自己多少硬碟空間。可是,還是有一些現象會讓你感到警覺,一旦你覺得你自己的電腦感染了木馬,你應該馬上用防毒軟體檢查一下自己的計算機,然後不管結果如何,就算是norton告訴你,你的機器沒有木馬,你也應該再親自作一次更深人的調查,確保自己機器安全。經常關注新的和出名的木馬的特性報告,這將對你診斷自己的計算機問題很有幫助。
(1)當你瀏覽乙個**,彈出來一些廣告視窗是很正常的事情,可是如果你根本沒有開啟瀏覽器,而覽瀏器突然自己開啟,並且進入某個**,那麼,你要小心。
(2)你正在操作電腦,突然乙個警告框或者是詢問框彈出來,問一些你從來沒有在電腦上接觸過的間題。
(3)你的windows系統配置老是自動莫名其妙地被更改。比如屏保顯示的文字,時間和日期,聲音大小,滑鼠靈敏度,還有cd-rom的自動執行配置。
(4)硬碟老沒緣由地讀盤,軟碟機燈經常自己亮起,網路連線及滑鼠螢幕出現異常現象。
這時,最簡單的方法就是使用netstat-a命令檢視。你可以通過這個命令發現所有網路連線,如果這時有攻擊者通過木馬連線,你可以通過這些資訊發現異常。通過埠掃瞄的方法也可以發現一些弱智的木馬,特別是一些早期的木馬,它們**的埠不能更改,通過掃瞄這些固定的埠也可以發現木馬是否被植入。
當然,沒有上面的種種現象並不代表你就絕對安全。有些人攻擊你的機器不過是想尋找乙個跳板。做更重要的事情;可是有些人攻擊你的計算機純粹是為了好玩。對於純粹處於好玩目的的攻擊者,你可以很容易地發現攻擊的痕跡;對於那些隱藏得很深,並且想把你的機器變成一台他可以長期使用的肉雞的黑客們,你的檢查工作將變得異常艱苦並且需要你對入侵和木馬有超人的敏感度,而這些能力,都是在平常的電腦使用過程日積月累而成的。
我們還可以通過軟體來檢查系統程序來發現木馬。如利用程序管理軟體來檢視程序,如果發現可疑程序就殺死它。那麼,如何知道哪個程序是可疑的呢?教你乙個笨方法,有以下程序絕對是正常的:explorer.exe、kernel32.dll、mprexe.exe、msgsrvinternat.exe、32.exe、spool32.exeiexplore.exe(如果開啟了ie),而出現了其他的、你沒有執行的程式的程序就很可疑了。一句話,具體情況具體分析。
木馬 流行木馬列表
nrd系列網遊竊賊 型別 盜號木馬 360安全衛士全年累計查殺量 152509102 危害 牛年新春佳節爆發的 犇牛 堪稱全年危害最大的惡意軟體,它在全域性劫持dll檔案 感染多種型別壓縮檔案的基礎上,綜合了 熊貓燒香 在網頁檔案插入 網馬 區域網 360安全衛士全年累計查殺量 119995842 ...
可惡的木馬
今天發現 執行錯誤,原來的好多網頁中都有 這兩段 也就是所謂的掛馬。var cooka new string document.cookie var then new date var cookname 9b4a4c5ebf042c02 then.settime then.gettime 30 60...
木馬繫結的原理
準備乙個檔案 me.jpg,然後再準備乙個文字檔案,在裡面寫上test,將該檔案存為2.txt,執行命令提示符,輸入命令 copy me.jpg b 2.txt 3.jpg 這個命令的意思是將2.txt和me.jpg合併成新檔案3.jpg 這個時候開啟3.jpg這裡顯示出me.jpg的圖象,但是用記...