容易識(shí)破隱藏木馬

一、經(jīng)常看到有玩家說(shuō)， 在輸入自己的帳號(hào)的時(shí)候通故意輸錯(cuò)帳號(hào)和碼。 其實(shí)這種木馬是最早期的木馬程序。 現(xiàn)在已經(jīng)很少有編木馬程序的程序員， 還按照 這種監(jiān)聽鍵盤記錄的思路去編寫木馬程序。 現(xiàn)在的木馬程序已經(jīng)發(fā)展到通過(guò)內(nèi)存提取數(shù)據(jù)來(lái)獲得用戶的帳號(hào)和密碼。 大家都知道， 不管是傳奇還是任何一款程序。

　　一、經(jīng)常看到有玩家說(shuō)， 在輸入自己的帳號(hào)的時(shí)候通故意輸錯(cuò)帳號(hào)和碼。 其實(shí)這種木馬是最早期的木馬程序。 現(xiàn)在已經(jīng)很少有編木馬程序的程序員， 還按照 這種監(jiān)聽鍵盤記錄的思路去編寫木馬程序。 現(xiàn)在的木馬程序已經(jīng)發(fā)展到通過(guò)內(nèi)存提取數(shù)據(jù)來(lái)獲得用戶的帳號(hào)和密碼。 大家都知道， 不管是傳奇還是任何一款程序。 它 都是有他所特有的數(shù)據(jù)的(包括玩家的帳號(hào)、密碼， 等級(jí)裝備資料等等)。 這些數(shù)據(jù)都是會(huì)通過(guò)本機(jī)與游戲服務(wù)器取得了驗(yàn)證以后， 玩家的角色資料才會(huì)出現(xiàn)在玩家 的面前。 而這些數(shù)據(jù)在運(yùn)行的時(shí)候都是存放在計(jì)算機(jī)的內(nèi)存里面的。 木馬作者只需要在自己的程序里面加入條件語(yǔ)句就可以取得玩家真實(shí)的游戲帳號(hào)、密碼、角色等 級(jí)~~~~~， 以我自己的計(jì)算機(jī)知識(shí)， 這種語(yǔ)句的大概意思應(yīng)該是：當(dāng)游戲進(jìn)程進(jìn)入到讓玩家選擇角色的時(shí)候再?gòu)膬?nèi)存中提取最后一次的帳號(hào)、密碼、角色等級(jí)等 資料。 也就是說(shuō)， 其實(shí)玩家之前所做的故意輸錯(cuò)帳號(hào)或密碼完全是浪費(fèi)自己的表情、浪費(fèi)自己的時(shí)間。

　　下邊先來(lái)說(shuō)一下木馬是如何通過(guò)網(wǎng)頁(yè)進(jìn)入你的電腦的， 相信大家都知道， 現(xiàn)在有很多圖片木馬， EML和EXE木馬， 其中的圖片木馬其實(shí)很簡(jiǎn)單， 就是把 木馬exe文件的文件頭換成bmp文件的文件頭， 然后欺騙IE瀏覽器自動(dòng)打開該文件， 然后利用網(wǎng)頁(yè)里的一段JAVASCRIPT小程序調(diào)用DEBUG把臨 時(shí)文件里的bmp文件還原成木馬exe文件并拷貝到啟動(dòng)項(xiàng)里， 接下來(lái)的事情很簡(jiǎn)單， 你下次啟動(dòng)電腦的時(shí)候就是你噩夢(mèng)的開始了， EML木馬更是傳播方便， 把 木馬文件偽裝成audio/x-wav聲音文件， 這樣你接收到這封郵件的時(shí)候只要瀏覽一下， 不需要你點(diǎn)任何連接， windows就會(huì)為你代勞自動(dòng)播放這個(gè) 他認(rèn)為是wav的音樂(lè)文件， 木馬就這樣輕松的進(jìn)入你的電腦， 這種木馬還可以frame到網(wǎng)頁(yè)里， 只要打開網(wǎng)頁(yè)， 木馬就會(huì)自動(dòng)運(yùn)行， 另外還有一種方法， 就是 把木馬exe編譯到.JS文件里， 然后在網(wǎng)頁(yè)里調(diào)用， 同樣也可以無(wú)聲無(wú)息的入侵你的電腦， 這只是些簡(jiǎn)單的辦法， 還有遠(yuǎn)程控制和共享等等漏洞可以鉆， 知道這 些， 相信你已經(jīng)對(duì)網(wǎng)頁(yè)木馬已經(jīng)有了大概了解

　　簡(jiǎn)單防治的方法：

　　開始-設(shè)置-控制面版-添加刪除程序-windows安裝程序-把附件里的windows scripting host去掉， 然后打開Internet Explorer瀏覽器， 點(diǎn)工具-Internet選項(xiàng)-安全-自定義級(jí)別， 把里面的腳本的3個(gè)選項(xiàng)全部禁用， 然后把“在中加載程序和文件”禁用， 當(dāng)然這 只是簡(jiǎn)單的防治方法， 不過(guò)可能影響一些網(wǎng)頁(yè)的動(dòng)態(tài)java效果， 不過(guò)為了安全就犧牲一點(diǎn)啦， 這樣還可以預(yù)防一些惡意的網(wǎng)頁(yè)炸彈和病毒， 如果條件允許的話可 以加裝防火墻， 再到微軟的網(wǎng)站打些補(bǔ)丁， 反正我所知道的網(wǎng)吧用的都是原始安裝的windows， 很不安全哦， 還有盡量少在一些小網(wǎng)站下載一些程序， 尤其是 一些號(hào)稱黑客工具的軟件， 小心盜不著別人自己先被盜了， 當(dāng)然， 如果你執(zhí)意要用的話， 號(hào)被盜了也應(yīng)該付出這個(gè)代價(jià)吧。 還有， 不要以為裝了還原精靈就很安全， 據(jù)我所知， 一般網(wǎng)吧的還原精靈都只還原c:盤即系統(tǒng)區(qū)， 所以只要木馬直接感染你安裝在別的盤里的游戲執(zhí)行文件， 你照樣逃不掉的。

　　下邊介紹一下木馬和如何簡(jiǎn)單的檢查一下是否中了木馬。

　　木馬程序一般分為服務(wù)器端程序和客戶端程序兩個(gè)部分， 當(dāng)服務(wù)器端程序安裝在某臺(tái)連接到網(wǎng)絡(luò)的電腦后， 就能使用客戶端程序?qū)ζ溥M(jìn)行登陸。 這和 PcAnywhere以及NetMeeting的遠(yuǎn)程控制功能相似。 但不同的是， 木馬是非法取得對(duì)對(duì)方電腦的控制權(quán)， 一旦登陸成功， 就可以取得管理員級(jí)的 權(quán)利， 對(duì)方電腦上的資料、密碼等是一覽無(wú)余。 不過(guò)這種木馬一般的“偽黑客”很少使用， 因?yàn)橐徊恍⌒木蜁?huì)引火上身， 被對(duì)方反查過(guò)來(lái)就會(huì)偷雞不成蝕把米了， 一 般他們都會(huì)采用只有服務(wù)器端的小木馬， 這類木馬通常會(huì)把截取的密碼發(fā)到一個(gè)免費(fèi)郵箱里， 不需要人為操作， 有空去收趟郵件就可以了， 這種木馬遍布互連網(wǎng)的各 個(gè)角落， 的確防不勝防， 由于木馬程序眾多， 加之不斷有新版本、新品種產(chǎn)生， 使得軟件無(wú)法完全應(yīng)付， 所以手動(dòng)檢查清除是十分必要的。 更多安全相關(guān)：www.arpun.com

　　木馬會(huì)想盡一切辦法隱藏自己， 別指望在任務(wù)管理器里看到他們的蹤影， 有些木馬更是會(huì)和一些系統(tǒng)進(jìn)程寄生在一起的， 如著名的廣外幽靈就是寄生在 MsgSrv32.exe里;當(dāng)然它也會(huì)悄無(wú)聲息地啟動(dòng)， 木馬會(huì)在每次用戶啟動(dòng)windows時(shí)自動(dòng)裝載服務(wù)端， Windows系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載應(yīng)用程 序的方法木馬都會(huì)用上， 如啟動(dòng)組、win.ini、system.ini、注冊(cè)表等等都是木馬藏身之地;下邊簡(jiǎn)單說(shuō)一下如何檢查， 點(diǎn)開始-運(yùn)行， 輸入：

　　msconfig回車 就會(huì)打開系統(tǒng)配置實(shí)用程序， 先點(diǎn)system.ini， 看看shell=文件名， 正確的文件名應(yīng)該是“explorer.exe”， 如果 explorer.exe后邊還跟有別的程序的話， 就要好好檢查這個(gè)程序了， 然后點(diǎn)win.ini， “run=”和“load=”是可能加載“木馬”程序 的途徑， 一般情況下， 它們的等號(hào)后面什么都沒(méi)有， 如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動(dòng)文件， 你的計(jì)算機(jī)就可能中上“木馬”了， 當(dāng)然你也得看清 楚， 因?yàn)槿?ldquo;AOL木馬”， 它把自身偽裝成command.exe文件， 如果不注意可能不會(huì)發(fā)現(xiàn)它不是真正的系統(tǒng)啟動(dòng)文件;最后點(diǎn)“啟動(dòng)”， 檢查里面的啟 動(dòng)項(xiàng)是不是有不熟悉的， 如果你實(shí)在不清楚的話可以把他們?nèi)�部取消�?然后重新運(yùn)行msconfig， 看一下有沒(méi)有取消的啟動(dòng)項(xiàng)重新被選中的， 一般木馬都會(huì)存 在于內(nèi)存中， (就是線程插入， 然后隱藏進(jìn)程的木馬， DLL無(wú)進(jìn)程木馬就不會(huì)駐留在內(nèi)存里面， 我們?cè)谙乱淮沃袝?huì)講到)所以發(fā)現(xiàn)你取消他的啟動(dòng)項(xiàng)就會(huì)自動(dòng)添加 上的， 然后你就可以逐步添上你的輸入法， 音量控制， 防火墻等軟件的啟動(dòng)項(xiàng)了;還有一類木馬， 他是關(guān)聯(lián)注冊(cè)表的文件打開方式的， 一般木馬經(jīng)常關(guān)聯(lián).exe， 點(diǎn)開始-運(yùn)行， 輸入：regedit回車， 打開注冊(cè)表編輯器， 點(diǎn)第一條， 也就是HKEY_CLASSES_ROOT， 找到exefile， 看一下\\ exefile\\shell\\open\\command里面的默認(rèn)鍵值是不是"%1" %* ， 如果是一個(gè)程序路徑的話就一定是中木馬了， 另外配合兩種以上的殺毒軟件也是必要的， 另外在windows下木馬一般很難清除， 最后重新啟動(dòng)到dos環(huán)境 下再進(jìn)行查殺。