綁定到某一應用程式中,如綁定到系統檔案,那麼每一次Windows啟動均會啟動木馬。
10.反彈連接阜型木馬的主動連接方式
反彈連接阜型木馬我們已經在前面說過了,由於它與一般的木馬相反,其服務端 (被控制端)主動與客戶端 (控制端)建立連接,並且監聽連接阜一般開在80,所以如果沒有合適的工具、豐富的經驗真的很難防範。
這類木馬的典型代表就是網路神偷"。
由於這類木馬仍然要在註冊表中建立鍵值註冊表的變化就不難查到它們。同時,最新的天網防火牆(如我們在第三點中所講的那樣),因此只要留意也可在網路神偷服務端進行主動連接時發現它。
木馬的隱藏方式
1.在工作管理欄裡隱藏
這是最基本的隱藏方式。如果在windows的工作管理欄裡出現一個莫名其妙的圖示,傻子都會明白是怎麼回事。要實現在工作管理欄中隱藏在編程時是很容易實現的。
我們以VB為例。在VB中,只要把from的Visible內容設定為False,ShowInTaskBar設為False程序就不會出現在工作管理欄裡了。
2.在工作管理器裡隱藏
檢視正在執行的行程最簡單的方法就是按下Ctrl+Alt+Del時出現的工作管理器。如果你按下Ctrl+Alt+Del後可以看見一個木馬程序在執行,那麼這肯定不是什麼好木馬。所以,木馬會千方百計地偽裝自己,使自己不出現在工作管理器裡。木馬發現把自己設為 "系統服務「就可以輕鬆地騙過去。
因此,希望通過按Ctrl+Alt+Del發現木馬是不大現實的。
3.連接阜
一台機器有65536個連接阜,你會注意這麼多連接阜麼?而木馬就很注意你的連接阜。
如果你稍微留意一下,不難發現,大多數木馬使用的連接阜在1024以上,而且呈越來越大的趨勢;當然也有佔用1024以下連接阜的木馬,但這些連接阜是常用連接阜,佔用這些連接阜可能會造成系統不正常,這樣的話,木馬就會很容易暴露。也許你知道一些木馬佔用的連接阜,你或許會經常掃瞄這些連接阜,但現在的木馬都提供連接阜修改功能,你有時間掃瞄65536個連接阜麼?
4.隱藏通訊
隱藏通訊也是木馬經常採用的手段之一。任何木馬執行後都要和攻擊者進行通訊連接,或者通過即時連接,如攻擊者通過客戶端直接接人被植人木馬的主機;或者通過間接通訊。
|