史萊姆論壇 - 查看單個文章

psac · 2005-11-16, 02:46 AM

也就是說你按過什麼按鍵，下木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用訊息，甚至是你的信用卡帳號哦!當然，對於這種檔案類型的木馬，郵件傳送功能也是必不可少的。

　　5.DoS攻擊木馬

　　隨著DoS攻擊越來越廣泛的套用，被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一台機器，給他種上DoS攻擊木馬，那麼日後這台電腦就成為你DoS攻擊的最得力助手了。你控制的目標物數量越多，你發動DoS攻擊取得成功的機率就越大。

所以，這種木馬的危害不是體現在被感染電腦上，而是體現在攻擊者可以利用它來攻擊一台又一台電腦，給網路造成很大的傷害和帶來損失。

　　還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機產生各種各樣主題的郵件，對特定的郵信箱不停地傳送郵件，一直到對方癱瘓、不能接受郵件為止。

　　6.代理木馬

　　黑客在入侵的同時掩蓋自己的足跡，謹防別人發現自己的身份是非常重要的，因此，給被控制的目標物種上代理木馬，讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的工作。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序，從而隱蔽自己的蹤跡。

　　7.FTP木馬

　　這種木馬可能是最簡單和古老的木馬了，它的惟一功能就是開啟21連接阜，等待用戶連接。現在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進人對方電腦。

　　8.程序殺手木馬

　　上面的木馬功能雖然形形色色，不過到了對方電腦上要發揮自己的作用，還要過防木馬軟體這一關才行。一般的防木馬軟體有ZoneAlarm,Norton Anti-Virus等。程序殺手木馬的功能就是關閉對方電腦上執行的這類程序，讓其他的木馬更好地發揮作用。

　　9.反彈連接阜型木馬

　　木馬是木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的連接往往會進行非常嚴格的過濾，但是對於連出的連接卻疏於防範。

於是，與一般的木馬相反，反彈連接阜型木馬的服務端 (被控制端)使用主動連接阜，客戶端 (控制端)使用被動連接阜。

木馬定時監測控制端的存在，發現控制端上線立即彈出連接阜主動連結控制端開啟的主動連接阜;為了隱蔽起見，控制端的被動連接阜一般開在80，即使用戶使用掃瞄軟體檢查自己的連接阜，發現類似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情況，稍微疏忽一點，你就會以為是自己在瀏覽網頁。

中木馬後出現的狀況

　　對於一些一般的木馬，如SUB7、BO2000、冰河等等，它們都是採用開啟TCP連接阜監聽和寫人註冊表啟動等方式，使用木馬剋星之類的軟體可以檢測到這些木馬，這些檢測木馬的軟體大多都是利用檢測TCP連結、註冊表等訊息來判斷是否有木馬人侵，因此我們也可以通過手動式來偵測木馬。

　　也許你會對硬碟空間莫名其妙減少500M感到習以為常，這的確算不了什麼，天知道Windows的臨時文件和那些烏七八糟的遊戲吞噬了自己多少硬碟空間。

可是，還是有一些現象會讓你感到警覺，一旦你覺得你自己的電腦感染了木馬，你應該馬上用殺毒軟體檢查一下自己的電腦，然後不管結果如何，就算是Norton告訴你，你的機器沒有木馬，你也應該再親自作一次更深人的調查，確保自己機器安全。經常關注新的和出名的木馬的特性報告，這將對你診斷自己的電腦問題很有說明。

　　(1)當你瀏覽一個網站，彈出來一些廣告視窗是很正常的事情，可是如果你根本沒有開啟瀏覽器，而覽瀏器突然自己開啟，並且進入某個網站，那麼，你要小心。

　　(2)你正在操作電腦，突然一個警告框或者是詢問框彈出來，問一些你從來沒有在電腦上接觸過的間題。

　　(3)你的Windows系統組態老是自動莫名其妙地被更改。比如螢幕保護程式顯示的文字，時間和日期，聲音大小，滑鼠靈敏度，還有CD-ROM的自動執行組態。

　　(4)硬碟老沒緣由地讀磁碟，軟式磁碟機燈經常自己亮起，網路連接及滑鼠螢幕出現異常現象。

　　這時，最簡單的方法就是使用netstat-a指令檢視。你可以通過這個指令發現所有網路連接，如果這時有攻擊者通過木馬連接，你可以通過這些訊息發現異常。

通過連接阜掃瞄的方法也可以發現一些弱智的木馬，特別是一些早期的木馬，它們元件服務的連接阜不能更改，通過掃瞄這些固定的連接阜也可以發現木馬是否被植入。

　　當然，沒有上面的種種現象並不代表你就絕對安全。有些人攻擊你的機器不過是想尋找一個跳板。做更重要的事情;可是有些人攻擊你的電腦純粹是為了好玩。對於純粹處於好玩目的的攻擊者，你可以很容易地發現攻擊的痕跡;對於那些隱藏得很深，

並且想把你的機器變成一台他可以長期使用的目標物的黑客們，你的檢查工作將變得異常艱苦並且需要你對入侵和木馬有超人的敏感度，而這些能力，都是在平常的電腦使用程序日積月累而成的。

　　我們還可以通過軟體來檢查系統行程來發現木馬。如利用行程管理軟體來檢視行程，如果發現可疑行程就殺死它。那麼，如何知道哪個行程是可疑的呢?教你一個笨方法，有以下行程絕對是正常的：EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果開啟了IE)，而出現了其他的、你沒有執行的程序的行程就很可疑了。一句話，具體情況具體分析。

2005-11-16, 02:46 AM	#5 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	也就是說你按過什麼按鍵，下木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用訊息，甚至是你的信用卡帳號哦!當然，對於這種檔案類型的木馬，郵件傳送功能也是必不可少的。　　5.DoS攻擊木馬　　隨著DoS攻擊越來越廣泛的套用，被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一台機器，給他種上DoS攻擊木馬，那麼日後這台電腦就成為你DoS攻擊的最得力助手了。你控制的目標物數量越多，你發動DoS攻擊取得成功的機率就越大。所以，這種木馬的危害不是體現在被感染電腦上，而是體現在攻擊者可以利用它來攻擊一台又一台電腦，給網路造成很大的傷害和帶來損失。　　還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機產生各種各樣主題的郵件，對特定的郵信箱不停地傳送郵件，一直到對方癱瘓、不能接受郵件為止。　　6.代理木馬　　黑客在入侵的同時掩蓋自己的足跡，謹防別人發現自己的身份是非常重要的，因此，給被控制的目標物種上代理木馬，讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的工作。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序，從而隱蔽自己的蹤跡。　　7.FTP木馬　　這種木馬可能是最簡單和古老的木馬了，它的惟一功能就是開啟21連接阜，等待用戶連接。現在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進人對方電腦。　　8.程序殺手木馬　　上面的木馬功能雖然形形色色，不過到了對方電腦上要發揮自己的作用，還要過防木馬軟體這一關才行。一般的防木馬軟體有ZoneAlarm,Norton Anti-Virus等。程序殺手木馬的功能就是關閉對方電腦上執行的這類程序，讓其他的木馬更好地發揮作用。　　9.反彈連接阜型木馬　　木馬是木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的連接往往會進行非常嚴格的過濾，但是對於連出的連接卻疏於防範。於是，與一般的木馬相反，反彈連接阜型木馬的服務端 (被控制端)使用主動連接阜，客戶端 (控制端)使用被動連接阜。木馬定時監測控制端的存在，發現控制端上線立即彈出連接阜主動連結控制端開啟的主動連接阜;為了隱蔽起見，控制端的被動連接阜一般開在80，即使用戶使用掃瞄軟體檢查自己的連接阜，發現類似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情況，稍微疏忽一點，你就會以為是自己在瀏覽網頁。中木馬後出現的狀況　　對於一些一般的木馬，如SUB7、BO2000、冰河等等，它們都是採用開啟TCP連接阜監聽和寫人註冊表啟動等方式，使用木馬剋星之類的軟體可以檢測到這些木馬，這些檢測木馬的軟體大多都是利用檢測TCP連結、註冊表等訊息來判斷是否有木馬人侵，因此我們也可以通過手動式來偵測木馬。　　也許你會對硬碟空間莫名其妙減少500M感到習以為常，這的確算不了什麼，天知道Windows的臨時文件和那些烏七八糟的遊戲吞噬了自己多少硬碟空間。可是，還是有一些現象會讓你感到警覺，一旦你覺得你自己的電腦感染了木馬，你應該馬上用殺毒軟體檢查一下自己的電腦，然後不管結果如何，就算是Norton告訴你，你的機器沒有木馬，你也應該再親自作一次更深人的調查，確保自己機器安全。經常關注新的和出名的木馬的特性報告，這將對你診斷自己的電腦問題很有說明。　　(1)當你瀏覽一個網站，彈出來一些廣告視窗是很正常的事情，可是如果你根本沒有開啟瀏覽器，而覽瀏器突然自己開啟，並且進入某個網站，那麼，你要小心。　　(2)你正在操作電腦，突然一個警告框或者是詢問框彈出來，問一些你從來沒有在電腦上接觸過的間題。　　(3)你的Windows系統組態老是自動莫名其妙地被更改。比如螢幕保護程式顯示的文字，時間和日期，聲音大小，滑鼠靈敏度，還有CD-ROM的自動執行組態。　　(4)硬碟老沒緣由地讀磁碟，軟式磁碟機燈經常自己亮起，網路連接及滑鼠螢幕出現異常現象。　　這時，最簡單的方法就是使用netstat-a指令檢視。你可以通過這個指令發現所有網路連接，如果這時有攻擊者通過木馬連接，你可以通過這些訊息發現異常。通過連接阜掃瞄的方法也可以發現一些弱智的木馬，特別是一些早期的木馬，它們元件服務的連接阜不能更改，通過掃瞄這些固定的連接阜也可以發現木馬是否被植入。　　當然，沒有上面的種種現象並不代表你就絕對安全。有些人攻擊你的機器不過是想尋找一個跳板。做更重要的事情;可是有些人攻擊你的電腦純粹是為了好玩。對於純粹處於好玩目的的攻擊者，你可以很容易地發現攻擊的痕跡;對於那些隱藏得很深，並且想把你的機器變成一台他可以長期使用的目標物的黑客們，你的檢查工作將變得異常艱苦並且需要你對入侵和木馬有超人的敏感度，而這些能力，都是在平常的電腦使用程序日積月累而成的。　　我們還可以通過軟體來檢查系統行程來發現木馬。如利用行程管理軟體來檢視行程，如果發現可疑行程就殺死它。那麼，如何知道哪個行程是可疑的呢?教你一個笨方法，有以下行程絕對是正常的：EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果開啟了IE)，而出現了其他的、你沒有執行的程序的行程就很可疑了。一句話，具體情況具體分析。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次