史萊姆論壇 - 查看單個文章

psac · 2005-11-16, 02:39 AM

特洛伊木馬是一種非常危險的惡性程序，它無休止的竊取用戶的訊息，從而給用戶造成了巨大的損失。

本期專題我們從特洛伊木馬的原理、技術以及防禦與清除方面給大家進行全方位的介紹，讓大家瞭解特洛伊木馬，同時提高對特洛伊木馬的防範意識……

什麼是特洛伊木馬?

　　「特洛伊木馬」（trojan horse）簡稱「木馬」，據說這個名稱來源於希臘神話《木馬屠城記》。古希臘有大軍圍攻特洛伊城，久久無法攻下。

於是有人獻計製造一隻高二丈的大木馬，假裝作戰馬神，讓士兵藏匿於巨大的木馬中，大部隊假裝撤退而將木馬擯棄於特洛伊城下。城中得知解圍的消息後，遂將「木馬」作為奇異的戰利品拖入城內，全城飲酒狂歡。

到午夜時分，全城軍民盡入夢鄉，匿於木馬中的將士開秘門游繩而下，開啟城門及四處縱火，城外伏兵湧入，部隊裡應外合，焚屠特洛伊城。後世稱這隻大木馬為「特洛伊木馬」。

如今黑客程序借用其名，有「一經潛入，後患無窮」之意。

　　完整的木馬程序一般由兩個部份組成：一個是伺服器程序，一個是控制器程序。「中了木馬」就是指安裝了木馬的伺服器程序，若你的電腦被安裝了伺服器程序，則擁有控制器程序的人就可以通過網路控制你的電腦、為所欲為，這時你電腦上的各種文件、程序，以及在你電腦上使用的帳號、密碼就無安全可言了。
　　木馬程序不能算是一種病毒，但越來越多的新版的殺毒軟體，已開始可以查殺一些木馬了，所以也有不少人稱木馬程序為黑客病毒。

詳解木馬原理

介紹特洛伊木馬程序的原理、特徵以及中了木馬後系統出現的情況……

特洛伊木馬是如何啟動的

作為一個優秀的木馬，自啟動功能是必不可少的，這樣可以保證木馬不會因為你的一次關機操作而徹底失去作用。正因為該項技術如此重要，所以，很多編程人員都在不停地研究和探索新的自啟動技術，並且時常有新的發現。一個典型的例子就是把木馬加入到用戶經常執行的程式 (例如explorer.exe)中，用戶執行該程序時，則木馬自動發生作用。當然，更加普遍的方法是通過修改Windows系統檔案和註冊表達到目的，現經常用的方法主要有以下幾種:

　　1.在Win.ini中啟動

　　在Win.ini的[windows]字段中有啟動指令"load＝"和"run＝"，在一般情況下 "＝"後面是空白的，如果有後跟程序，比方說是這個樣子：

　　run=c:\windows\file.exe
　　load=c:\windows\file.exe

　　要小心了，這個file.exe很可能是木馬哦。

　　2.在System.ini中啟動

　　System.ini位於Windows的安裝目錄下，其[boot]字段的shell=Explorer.exe是木馬喜歡的隱藏載入之所，木馬通常的做法是將該何變為這樣:shell=Explorer.exefile.exe。注意這裡的file.exe就是木馬服務端程序!

　　另外，在System.中的[386Enh]字段，要注意檢查在此段內的"driver＝路徑\程式名稱"這裡也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這3個字段，這些段也是起到載入驅動程式的作用，但也是增添木馬程序的好場所，現在你該知道也要注意這裡嘍。

　　3.利用註冊表載入執行

　　如下所顯示註冊表位置都是木馬喜好的藏身載入之所，趕快檢查一下，有什麼程序在其下。

　　4.在Autoexec.bat和Config.sys中載入執行

　　請大家注意，在C碟根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都需要控制端用戶與服務端建立連接後，將己增加木馬啟動指令的同名文件上傳到服務端覆蓋這兩個文件才行，而且採用這種方式不是很隱蔽。

容易被發現，所以在Autoexec.bat和Confings中載入木馬程序的並不多見，但也不能因此而掉以輕心。

　　5.在Winstart.bat中啟動

　　Winstart.bat是一個特殊性絲毫不亞於Autoexec.bat的批次處理文件，也是一個能自動被Windows載入執行的文件。

它多數情況下為應用程式及Windows自動產生，在執行了Windows自動產生，在執行了Win.com並加截了多數驅動程式之後

　　開始執行 (這一點可通過啟動時按F8鍵再選項逐步跟蹤啟動程序的啟動方式可得知)。由於Autoexec.bat的功能可以由Witart.bat替代完成，因此木馬完全可以像在Autoexec.bat中那樣被載入執行，危險由此而來。

　　6.啟動組

　　木馬們如果隱藏在啟動組雖然不是十分隱蔽，但這裡的確是自動載入執行的好場所，因此還是有木馬喜歡在這裡駐停留的。啟動組對應的資料夾為C:\Windows\start menu\programs\startup,在註冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell

　　Folders Startup="c:\windows\start menu\programs\startup"。要注意經常檢查啟動組哦!

　　7.*.INI

　　即應用程式的啟動組態文件，控制端利用這些文件能啟動程序的特點，將製作好的帶有木馬啟動指令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。只啟動一次的方式:在winint.ini.中(用於安裝較多)。

　　8.修改文件關聯

　　修改文件關聯是木馬們常用手段 (主要是國產木馬，老外的木馬大都沒有這個功能)，比方說正常情況下TXT文件的開啟方式為Notepad.EXE文件，但一旦中了文件關聯木馬，則txt文件開啟方式就會被修改為用木馬程序開啟，如著名的國產木馬冰河就是這樣幹的. "冰河"就是通過修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的鍵值，將「C:\WINDOWS\NOTEPAD.EXE本套用Notepad開啟，如著名的國產HKEY一CLASSES一ROOT\txt鬧e\shell\open\commandT的鍵值，將 "C:\WINDOWS\NOTEPAD.EXE%l"改為 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，這樣，一旦你雙按一個TXT文件，原本套用Notepad開啟該檔案，現在卻變成啟動木馬程序了，好狠毒哦!請大家注意，不僅僅是TXT文件，其他諸如HTM、EXE、ZIP.COM等都是木馬的目標，要小心摟。

　　對付這類木馬，只能經常檢查HKEY_C\shell\open\command主鍵，檢視其鍵值是否正常。

　　9.元件服務文件

　　實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然後控制端用戶用工具軟體將木馬文件和某一應用程式元件服務在一起，然後上傳到服務端覆蓋源文件，這樣即使木馬被移除了，只要執行元件服務了木馬的應用程式，木馬義會安裝上去。

2005-11-16, 02:39 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	特洛伊木馬完全解析特洛伊木馬是一種非常危險的惡性程序，它無休止的竊取用戶的訊息，從而給用戶造成了巨大的損失。本期專題我們從特洛伊木馬的原理、技術以及防禦與清除方面給大家進行全方位的介紹，讓大家瞭解特洛伊木馬，同時提高對特洛伊木馬的防範意識…… 什麼是特洛伊木馬? 　　「特洛伊木馬」（trojan horse）簡稱「木馬」，據說這個名稱來源於希臘神話《木馬屠城記》。古希臘有大軍圍攻特洛伊城，久久無法攻下。於是有人獻計製造一隻高二丈的大木馬，假裝作戰馬神，讓士兵藏匿於巨大的木馬中，大部隊假裝撤退而將木馬擯棄於特洛伊城下。城中得知解圍的消息後，遂將「木馬」作為奇異的戰利品拖入城內，全城飲酒狂歡。到午夜時分，全城軍民盡入夢鄉，匿於木馬中的將士開秘門游繩而下，開啟城門及四處縱火，城外伏兵湧入，部隊裡應外合，焚屠特洛伊城。後世稱這隻大木馬為「特洛伊木馬」。如今黑客程序借用其名，有「一經潛入，後患無窮」之意。　　完整的木馬程序一般由兩個部份組成：一個是伺服器程序，一個是控制器程序。「中了木馬」就是指安裝了木馬的伺服器程序，若你的電腦被安裝了伺服器程序，則擁有控制器程序的人就可以通過網路控制你的電腦、為所欲為，這時你電腦上的各種文件、程序，以及在你電腦上使用的帳號、密碼就無安全可言了。　　木馬程序不能算是一種病毒，但越來越多的新版的殺毒軟體，已開始可以查殺一些木馬了，所以也有不少人稱木馬程序為黑客病毒。詳解木馬原理介紹特洛伊木馬程序的原理、特徵以及中了木馬後系統出現的情況…… 特洛伊木馬是如何啟動的作為一個優秀的木馬，自啟動功能是必不可少的，這樣可以保證木馬不會因為你的一次關機操作而徹底失去作用。正因為該項技術如此重要，所以，很多編程人員都在不停地研究和探索新的自啟動技術，並且時常有新的發現。一個典型的例子就是把木馬加入到用戶經常執行的程式 (例如explorer.exe)中，用戶執行該程序時，則木馬自動發生作用。當然，更加普遍的方法是通過修改Windows系統檔案和註冊表達到目的，現經常用的方法主要有以下幾種: 　　1.在Win.ini中啟動　　在Win.ini的[windows]字段中有啟動指令"load＝"和"run＝"，在一般情況下 "＝"後面是空白的，如果有後跟程序，比方說是這個樣子：　　run=c:\windows\file.exe 　　load=c:\windows\file.exe 　　要小心了，這個file.exe很可能是木馬哦。　　2.在System.ini中啟動　　System.ini位於Windows的安裝目錄下，其[boot]字段的shell=Explorer.exe是木馬喜歡的隱藏載入之所，木馬通常的做法是將該何變為這樣:shell=Explorer.exefile.exe。注意這裡的file.exe就是木馬服務端程序! 　　另外，在System.中的[386Enh]字段，要注意檢查在此段內的"driver＝路徑\程式名稱"這裡也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這3個字段，這些段也是起到載入驅動程式的作用，但也是增添木馬程序的好場所，現在你該知道也要注意這裡嘍。　　3.利用註冊表載入執行　　如下所顯示註冊表位置都是木馬喜好的藏身載入之所，趕快檢查一下，有什麼程序在其下。　　4.在Autoexec.bat和Config.sys中載入執行　　請大家注意，在C碟根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都需要控制端用戶與服務端建立連接後，將己增加木馬啟動指令的同名文件上傳到服務端覆蓋這兩個文件才行，而且採用這種方式不是很隱蔽。容易被發現，所以在Autoexec.bat和Confings中載入木馬程序的並不多見，但也不能因此而掉以輕心。　　5.在Winstart.bat中啟動　　Winstart.bat是一個特殊性絲毫不亞於Autoexec.bat的批次處理文件，也是一個能自動被Windows載入執行的文件。它多數情況下為應用程式及Windows自動產生，在執行了Windows自動產生，在執行了Win.com並加截了多數驅動程式之後　　開始執行 (這一點可通過啟動時按F8鍵再選項逐步跟蹤啟動程序的啟動方式可得知)。由於Autoexec.bat的功能可以由Witart.bat替代完成，因此木馬完全可以像在Autoexec.bat中那樣被載入執行，危險由此而來。　　6.啟動組　　木馬們如果隱藏在啟動組雖然不是十分隱蔽，但這裡的確是自動載入執行的好場所，因此還是有木馬喜歡在這裡駐停留的。啟動組對應的資料夾為C:\Windows\start menu\programs\startup,在註冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell 　　Folders Startup="c:\windows\start menu\programs\startup"。要注意經常檢查啟動組哦! 　　7.*.INI 　　即應用程式的啟動組態文件，控制端利用這些文件能啟動程序的特點，將製作好的帶有木馬啟動指令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。只啟動一次的方式:在winint.ini.中(用於安裝較多)。　　8.修改文件關聯　　修改文件關聯是木馬們常用手段 (主要是國產木馬，老外的木馬大都沒有這個功能)，比方說正常情況下TXT文件的開啟方式為Notepad.EXE文件，但一旦中了文件關聯木馬，則txt文件開啟方式就會被修改為用木馬程序開啟，如著名的國產木馬冰河就是這樣幹的. "冰河"就是通過修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的鍵值，將「C:\WINDOWS\NOTEPAD.EXE本套用Notepad開啟，如著名的國產HKEY一CLASSES一ROOT\txt鬧e\shell\open\commandT的鍵值，將 "C:\WINDOWS\NOTEPAD.EXE%l"改為 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，這樣，一旦你雙按一個TXT文件，原本套用Notepad開啟該檔案，現在卻變成啟動木馬程序了，好狠毒哦!請大家注意，不僅僅是TXT文件，其他諸如HTM、EXE、ZIP.COM等都是木馬的目標，要小心摟。　　對付這類木馬，只能經常檢查HKEY_C\shell\open\command主鍵，檢視其鍵值是否正常。　　9.元件服務文件　　實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然後控制端用戶用工具軟體將木馬文件和某一應用程式元件服務在一起，然後上傳到服務端覆蓋源文件，這樣即使木馬被移除了，只要執行元件服務了木馬的應用程式，木馬義會安裝上去。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次