網絡安全之特洛伊木馬攻防戰略

　　木馬程序用“瞞天過海”或“披著羊皮的狼”之類的詞來形容這類程序一點也不為過,直截了當的說法是木馬有兩個程序,一個是服務器程序,一個是控制器程序,當你的電腦運行了服務器程序後,客人就可以使用控制器程序進入你的電腦,通過指揮服務器程序達到控制你的電腦的目的.

　　有些網友會說我的電腦沒有什麽秘密的資料,就抱著無所謂的態度,我想你肯定不希望在奮勇沖浪的時候,在與MM談情說愛的時候,或許你在看屬於你隱私的電子郵件的時候總有一雙或很多雙眼睛在"笑瞇瞇"的"關心"著你吧,更有甚者,通過木馬將病毒傳染到你的電腦上,讓你死去活來,你的鼠標被人家控制,鍵盤不知什麽時候鎖住了,這電腦還算你的嗎?怎麽辦?涼拌!

　　那麽木馬究竟是何方神聖,讓我們來分析一下.

　　一個木馬要工作,那麽其服務器程序必須在目標上運行,沒有人會主動要求去運行它,但是會有這麽一天,有人對你抱以和善的微笑說,"我這有一個好游戲""我有漂亮的MM屏保和你分享一下"等等,當你打開這些所謂的程序時,一個宿主程序已經悄悄潛入你的機子,第一步就這樣完成了,這完全是我們疏於防范造成的.

　　然後,木馬一般會在以下三個地方安營扎寨:注冊表、win.ini、system.ini,因為電腦啟動的時候,需要裝載這三個文件,大部分木馬是使用這三種方式啟動的.也有捆綁方式啟動的,木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標電腦上,可以捆綁到啟動程序上,也可以捆綁到一般程序的常用程序上.如果捆綁到一般的程序上,啟動是不確定的,這要看目標電腦主人了,如果他不運行,木馬就不會進入內存.捆綁方式是一種手動的安裝方式,一般捆綁的是非自動方式啟動的木馬.非捆綁方式的木馬因為會在注冊表等位置留下痕跡,所以,很容易被發現,而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬由很強的隱蔽性.

　　木馬的服務器程序文件一般位置是在c:\windows和c:\windows\system中,為什麼要在這兩個目錄下,因為windows的一些系統文件在這兩個位置,如果你誤刪了文件,你的電腦可能崩潰,你不得不重新安裝系統.

　　木馬的文件名更是一種學問,木馬的文件名盡量和windows的系統文件接近,這樣你就會弄糊塗了,比如木馬SubSeven 1.7版本的服務器文件名是c:\windows\KERNEL16.DL,而windows由一個系統文件是c:\windows\KERNEL32.DLL,他們之差一點點,但是刪錯了的話,結果可大不相同的哦,刪除KERNEL32.DLL會讓你死翹翹的哦.再比如,木馬phAse 1.0版本,生成的木馬是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系統文件C:\WINDOWS\System\Msgsrv32.exe一模一樣,只是圖標有點兩樣,你可不要刪錯了哦.上面兩個是假扮系統文件的類型,我們再來看看無中生有的類型,木馬SubSeven 1.5版本服務器文件名是c:\windows\window.exe,看清楚了哦,少一個s的哦,如果不告訴你這是木馬,你有膽子刪嗎？

　　但是木馬有一個致命的缺點,相對固定的端口,黑客要進入你的電腦,必須要有通往你電腦的途徑,也就是說,木馬必須打開某個端口,大家叫這個端口為“後門”,木馬也叫“後門工具”.這個不得不打開的後門是很難隱蔽的,只能采取混淆的辦法,很多木馬的端口是固定的,讓人一眼就能看出是什麼樣的木馬造成的.所以,端口號可以改變,這是一種混淆的辦法.我們知道7306是木馬netspy的,木馬SUB7可以改變端口號,SUB7默認的端口是1243,但是如果把1243端口改成了7306呢,呵呵,一定會把目標電腦的主人弄混淆了.有些人會問,要是這個端口會自動改變那該多好呀,每次上網端口號自動改變,呵呵,真聰明,可惜聰明過頭了.比如,真有這樣的木馬裝在我的電腦上,每次上網的端口均會改變,你是黑客,你打算怎麼進入我的電腦呢？你知道這個木馬現在開放的端口號是多少嗎？想掃描我的電腦？端口一共有6萬多個,你什麼時候掃描完畢？半個小時,呵呵,我早發現了,早把你炸死了.即使我是菜鳥一個,你這樣高速度掃描我的電腦,也會導致我的電腦通訊阻塞,誰會在網速非常慢的情況下在網絡上待半個小時？所以,這基本上是不太可能的事情.

　　木馬有很強的隱蔽性,在WINDOWS中,如果某個程序出現異常,用正常的手段不能退出的時候,采取的辦法時按“Ctrl Alt Del"鍵,跳出一個窗口,找到需要終止的程序,然後關閉它.早期的木馬會在按“Ctrl Alt Del"顯露出來,現在大多數木馬已經看不到了.所以只能采用內存工具來看內存中時候存在木馬.

　　木馬還具有很強潛伏的能力,表面上的木馬被發現並刪除以後,後備的木馬在一定的條件下會跳出來.這種條件主要是目標電腦主人的操作造成的.我們先來看一個典型的例子：木馬Glacier（冰河1.2正式版）現在已經升級到3.0版, 這個木馬有兩個服務器程序,C:\WINDOWS\SYSTEM\Kernel32.exe掛在注冊表的啟動組中,當電腦啟動的時候,會裝入內存,這是表面上的木馬.另一個是C:\WINDOWS\SYSTEM\Sysexplr.exe,也在注冊表中,它修改了文本文件的關聯,當你點擊文本文件的時候,它就啟動了,它會檢查Kernel32.exe是不是存在,如果存在的話,什麼事情也不做.當表面上的木馬Kernel32.exe被發現並刪除以後,目標電腦的主人可能會覺得自己已經刪除木馬了,應該是安全的了.如果目標電腦的主人在以後的日子中點擊了文本文件,那麼這個文件文件照樣運行,而Sysexplr.exe被啟動了.Sysexplr.exe會發現表面上的木馬Kernel32.exe已經被刪除,就會再生成一個Kernel32.exe,於是,目標電腦以後每次啟動電腦木馬又被裝上了.

　　說了這麽多,是不是感到很恐怖,很上火,別著急,清涼解暑藥馬上就到.

　　在對付特洛伊木馬程序方面,有以下幾種辦法：

　　1.必須提高防范意識,不要打開陌生人信中的附件,哪怕他說的天花亂墜,熟人的也要確認一下來信的原地址是否合法.

　　2.多讀readme.txt.許多人出於研究目的下載了一些特洛伊木馬程序的軟件包,在沒有弄清軟件包中幾個程序的具體功能前,就匆匆地執行其中的程序,這樣往往就錯誤地執行了服務器端程序而使用戶的計算機成為了特洛伊木馬的犧牲品.軟件包中經常附帶的readme.txt文件會有程序的詳細功能介紹和使用說明,盡管它一般是英文的,但還是有必要先閱讀一下,如果實在讀不懂,那最好不要執行任何程序,丟棄軟件包當然是最保險的了.有必要養成在使用任何程序前先讀readme.txt的好習慣.

　　值得一提的是,有許多程序說明做成可執行的readme.exe形式,readme.exe往往捆綁有病毒或特洛伊木馬程序,或者干脆就是由病毒程序、特洛伊木馬的服務器端程序改名而得到的,目的就是讓用戶誤以為是程序說明文件去執行它,可謂用心險惡.所以從互聯網上得來的readme.exe最好不要執行它.

　　3.使用殺毒軟件.現在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能,如KV300、KILL98、瑞星等等,可以不定期地在脫機的情況下進行檢查和清除.另外,有的殺毒軟件還提供網絡實時監控功能,這一功能可以在黑客從遠端執行用戶機器上的文件時,提供報警或讓執行失敗,使黑客向用戶機器上載可執行文件後無法正確執行,從而避免了進一步的損失,但是要記住,它不是萬能的.

　　4.立即掛斷.盡管造成上網速度突然變慢的原因有很多,但有理由懷疑這是由特洛伊木馬造成的,當入侵者使用特洛伊的客戶端程序訪問你的機器時,會與你的正常訪問搶占寬帶,特別是當入侵者從遠端下載用戶硬盤上的文件時,正常訪問會變得奇慢無比.這時,你可以雙擊任務欄右下角的連接圖標,仔細觀察一下“已發送字節”項,如果數字變化成1～3kbps（每秒1～3千字節）,幾乎可以確認有人在下載你的硬盤文件,除非你正在使用ftp功能.對TCP/IP端口熟悉的用戶,可以在“MS－DOS方式”下鍵入“netstat－a"來觀察與你機器相連的當前所有通信進程,當有具體的IP正使用不常見的端口（一般大於1024）與你通信時,這一端口很可能就是特洛伊木馬的通信端口.當發現上述可疑跡象後,你所能做的就是：立即掛斷,然後對硬盤有無特洛伊木馬進行認真的檢查.

　　5.觀察目錄.普通用戶應當經常觀察位於c：\、c：\windows、c：\windows\system這三個目錄下的文件.用“記事本”逐一打開c：\下的非執行類文件（除exe、bat、com以外的文件）,查看是否發現特洛伊木馬、擊鍵程序的記錄文件,在c：\Windows或c：\Windows\system下如果有光有文件名沒有圖標的可執行程序,你應該把它們刪除,然後再用殺毒軟件進行認真的清理.

　　6.在刪除木馬之前,最最重要的一項工作是備份,需要備份注冊表,防止系統崩潰,備份你認為是木馬的文件,如果不是木馬就可以恢復,如果是木馬你就可以對木馬進行分析.不同的不馬有不同的清除方法,由於涉及面太大,這裡就不詳述了.

　　總之不管你喜歡不喜歡,木馬總是存在的,你只有去多多少少的了解一些木馬的知識,才不至於遭人暗算,警惕啊,我的朋友,在茫茫的大海中,總有那麽一雙眼睛在窺視著你.

，5自學網，5自學網