|
導(dǎo)讀網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機(jī)、存儲資源、數(shù)據(jù)... 網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機(jī)、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 木馬,又名特洛伊木馬,其名稱取自古希臘神話的特洛伊木馬記,它是一種基于遠(yuǎn)程控制的黑客工具,具有很強(qiáng)的隱蔽性和危害性。為了達(dá)到控制服務(wù)端主機(jī)的目的,木馬往往要采用各種手段達(dá)到激活自己、加載運(yùn)行的目的。讓我們一起來看看木馬常用的激活方式。 在Win.ini中啟動 在Win.ini的[windows]字段中有啟動命令“l(fā)oad=”和“run=”,在一般情況下“=”后面是空白的,如果后面跟著程序,比如: run=c:\windows\file.exe load=c:\windows\file.exe 這個file.exe很可能就是木馬程序! 修改文件關(guān)聯(lián) 修改文件關(guān)聯(lián)是木馬們常用手段(主要是國產(chǎn)木馬,老外的木馬大都沒有這個功能),比方說正常情況下TXT文件的打開方式為Notepad.exe文件,但一旦中了文件關(guān)聯(lián)木馬,則TXT文件打開方式就會被修改為用木馬程序打開,如著名的國產(chǎn)木馬冰河。“冰河”就是通過修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將“C:\WINDOWS\NOTEPAD.EXE %1”改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”,這樣當(dāng)你雙擊一個TXT文件,原本應(yīng)用Notepad打開該文件的,現(xiàn)在卻變成啟動木馬程序了,好狠毒哦!請大家注意,不僅僅是TXT文件,其他諸如HTM、EXE、ZIP、COM等都是木馬的目標(biāo),要小心嘍。對付這類木馬,只能經(jīng)常檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值是否正常。 捆綁文件 實現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接,然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起,上傳到服務(wù)端覆蓋原文件,這樣即使木馬被刪除了,只要運(yùn)行捆綁了木馬的應(yīng)用程序,木馬又會被安裝上去了。綁定到某一應(yīng)用程序中,如綁定到系統(tǒng)文件,那么每一次Windows啟動均會啟動木馬。 在System.ini中啟動 System.ini位于Windows的安裝目錄下,其[boot]字段的shell=Explorer.exe是木馬喜歡的隱蔽加載之所,木馬通常的做法是將該句變?yōu)檫@樣:shell=Explorer.exe file.exe,注意這里的file.exe就是木馬服務(wù)端程序! 另外,在System.ini中的[386Enh]字段,要注意檢查在此段內(nèi)的“driver=路徑\程序名”,這里也有可能被木馬所利用。 再有,在System.ini中的[mic]、[drivers]、[drivers32]這三個字段,它們起到加載驅(qū)動程序的作用,但也是添加木馬程序的好場所。 利用注冊表加載運(yùn)行 如下所示的注冊表位置都是木馬喜好的藏身之處,趕快檢查一下,有什么程序在其下: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值; HKEY_USERS\.Default\Software\ Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。 在Autoexec.bat和Config.sys中加載運(yùn)行 請大家注意,在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后,將已添加木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這兩個文件才行,而且采用這種方式不是很隱蔽,容易被發(fā)現(xiàn)。所以在Autoexec.bat和Config.sys中加載木馬程序的并不多見,但也不能因此而掉以輕心。 在Winstart.bat中啟動 Winstart.bat是一個特殊性絲毫不亞于Autoexec.bat的批處理文件,它也是一個能自動被Windows加載運(yùn)行的文件。它多數(shù)情況下為應(yīng)用程序及Windows自動生成,在執(zhí)行了Win.com并加載了多數(shù)驅(qū)動程序之后開始執(zhí)行(這一點可通過啟動時按[F8]鍵再選擇逐步跟蹤啟動過程的啟動方式得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行。 “反彈端口”型木馬的主動連接方式 什么叫“反彈端口”型木馬呢?作者經(jīng)過分析防火墻的特性后發(fā)現(xiàn):大多數(shù)的防火墻對于由外面連入本機(jī)的連接往往會進(jìn)行非常嚴(yán)格的過濾,但是對于由本機(jī)發(fā)出的連接卻疏于防范(當(dāng)然有的防火墻兩方面都很嚴(yán)格)。于是,與一般的木馬相反,“反彈端口”型木馬的服務(wù)端(被控制端)使用主動端口,客戶端(控制端)使用被動端口,當(dāng)要建立連接時,由客戶端通過FTP主頁空間告訴服務(wù)端:“現(xiàn)在開始連接我吧!”,并進(jìn)入監(jiān)聽狀態(tài),服務(wù)端收到通知后,就會開始連接客戶端。為了隱蔽起見,客戶端的監(jiān)聽端口一般開在80,這樣,即使用戶使用端口掃描軟件檢查自己的端口,發(fā)現(xiàn)的也是類似“TCP服務(wù)端的IP地址:1026,客戶端的IP地址:80 ESTABLISHED”的情況,稍微疏忽一點你就會以為是自己在瀏覽網(wǎng)頁。防火墻也會如此認(rèn)為,大概沒有哪個防火墻會不給用戶向外連接80端口吧。這類木馬的典型代表就是“網(wǎng)絡(luò)神偷”。由于這類木馬仍然要在注冊表中建立鍵值,因此只要留意注冊表的變化就不難查到它們。 盡管木馬很狡猾,善于偽裝和隱藏自己,達(dá)到其不可告人的目的。但是,只要我們摸清規(guī)律,掌握一定的方法,還是能夠防范的。消除對木馬的恐懼感和神秘感。其實,只要你能加倍小心,加強(qiáng)防范,相信木馬將會離你遠(yuǎn)去! 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個人學(xué)習(xí)測試使用,請在下載后24小時內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請及時通知我們(peng896066052@126.com),我們會及時處理.
Copyright © 2018-2020 雨林木風(fēng)下載站
