木马小常识

火车头

木马，又叫特洛伊木马，它是一种恶意程序，经过伪装，让系统认为是可信的用户在合法工作中运行，从而达到特定目的。 木马的危害性在于它对电脑有很强的控制和破坏能力，它可以直接侵入用户的电脑并进行破坏，窃取密码、控制系统操作、进行文件操作等，一个功能强大的木马一旦被植入你的机器，攻击者就可以象操作自己的机器一样控制你的机器，甚至可以远程监控你的所有操作。它一般采用Client/Server的模式，Server端在你机器上运行，如果不运行它的Server端，对方也无法控制你，因此大家也不必太害怕。 （1）、如何拒绝木马 首先，用户要尽量避免打开木马文件。当然，这点是无法绝对保证的，现在有的木马在用户浏览邮件时即可植入，有的木马是利用系统的漏洞植入的。另外用户不要开放可写的共享目录，减少木马入侵的途径。 防火墙是抵挡木马入侵的最好途径，绝大多数木马都必须采用直接通讯的方式进行连接，虽然它们可以采用一定的方式隐藏这种连接，如只有在受到攻击者特殊数据包的时候才激活木马打开通讯端口，连接完毕，木马则马上进入休眠状态。防火墙这种阻塞方式不仅适用于TCP数据包，还能够阻止UDP、ICMP等其他IP数据包的通讯控制。防火墙完全可以进行数据包过滤检查，在适当规则限制下，如对通讯端口进行限制，只允许系统接受限定几个端口的数据请求，这样即使木马植入成功，攻击者也无法进入到你的系统，因为防火墙把攻击者和木马分隔开来了。 （2）、如何发现木马 首先，木马要控制你的机器，一般要设置成开机自动运行。在win.ini的load和run选项中加载，在启动项中加载，和在注册表HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Currentversion项下五个RUN开头的项目中加载，都可以起到开机运行的作用。正常情况下，Win98系统的win.ini的load选项下不应该有任何东西，而注册表上述选项下可能有一些需要开机运行的程序和系统一些进程，比如intenent、systray、taskmon、以及用户安全的在线查毒工具、系统在线维护和优化工具等。当然，木马也可能用自身替代这些程序运行，自己加载完毕后再把正常程序运行，或者干脆如病毒般的附身在某个系统的驱动或者应用程序上。Win.ini可以用任何编辑器查看，检查注册表可以在运行中执行regedit，对98系统还可以通过MS-CONFIG命令加以检查，这个工具显示系统常规信息和config.sys、atuoexec.bat、win.ini、system.ini和开机启动选项。其次，木马既然也是一个程序，就要作为一个进程存在，用户可以用进程查看工具发现它的存在，有的简单木马用Ctrl+Alt+Del激活的任务管理器窗口中就能发现。 对于一些常见的木马，BO，冰河等，都是采用打开TCP端口监听和写入注册表启动等方式，使用像Clean之类的软件可以检测到这些木马，很多防火墙软件也提供了强大的木马检测和清除功能。 你还可以手工来检测木马。如果你发现自己的硬盘老没缘由的读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面。这时最简单的方法就是使用netstat命令查看，你可以通过这个命令列出所有网络连接和开放端口，如果有攻击者通过木马连接，你可以通过这些信息发现异状，还可以在Foreign Address处看到入侵者的IP。如果确定发现系统异常，马上将系统短线再扫描木马。 另外通过端口扫描的方法也可以发现一些弱智的木马，特别是一些早期的木马，他们捆绑的端口不能更改的。这就需要你了解一些著名木马的基本情况，他们的运行方式和常用通讯端口。 （3）、如何清除木马 用户可以通过手工检测木马启动的文件和注册表的方式把那些不明的自启动运行文件删除。还可用专门的清除木马的软件如天网防火墙等：首先检测木马，然后找到木马启动文件，一般在注册表及系统启动有关的文件里能找到木马文件的位置。最后删除木马文件，并且删除注册表或系统启动文件中关于木马的信息。 但对于一些十分狡猾的木马编制者完全可以通过合理的隐藏通讯和进程使木马很难被检测到。这些程序主要有BOSERV、NETBUS、DMSETUP、NETSPY等。因此上网时的一个重要原则就是不要轻易相信别人，不要轻易的执行别人给你的文件，这些文件可能就是木马！罗嗦一大堆，希望能对你有所帮助。

小珂

好~！